Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
1 DISEÑO DE UN PLAN DE SEGURIDAD INFORMATICA PARA MIPYMES ENSAYO PRESENTADO POR: ALVARO ALMEIDA FACULTAD DE RELACIONES INTERNACIONALES, ESTRATEGIA Y SEGURIDAD PROGRAMA DE ESPECIALIZACIÓN EN ADMINISTRACIÓN DE LA SEGURIDAD CARTAGENA 2022 2 RESUMEN El presente ensayo busca sensibilizar a las directivas de las pequeñas empresas (MiPymes) de los riesgos a los cuales se ven expuestos cuando ofrecen su portafolio de servicios en el ciberespacio, también, pretende mostrar las principales modalidades delictivas y ciber ataques en los últimos años en Colombia, así como, las ciudades más vulneradas con infracciones definidas en la ley 1273 de 2009. De igual manera, su finalidad es orientar a este tipo de organizaciones a incluir en sus objetivos de direccionamiento estratégico un plan básico de seguridad para protección de la información, teniendo como guía la norma técnica ISO 27001 de 2013; iniciando con el diligenciamiento de un cuestionario de seguridad, para luego con ese diagnóstico continuar con una serie de requerimientos y recomendaciones, que al ser implementados contribuirían con la consolidación del sistema de seguridad para la protección de la información de cada empresa MiPymes. ABSTRAC This essay seeks to sensitize the directives of small businesses (MiPymes) of the risks to which they are exposed when they offer their portfolio of services in cyberspace, also, it intends to show the main criminal modalities and cyber attacks in recent years in Colombia, as well as the most vulnerable cities with infractions defined in Law 1273 of 2009. Likewise, its purpose is to guide this type of organization to include a basic security plan for information protection in its strategic management objectives, having as a guide the technical standard ISO 27001 of 2013; starting with the completion of a security questionnaire, and then with that diagnosis continue with a series of requirements and recommendations, which, when implemented, would contribute 3 to the consolidation of the security system for the protection of the information of each MiPymes company. INTRODUCCION Las diferentes empresas en Colombia vienen enfrentando grandes cambios tecnológicos los cuales tienen influencias globales tales como: el comercio digital, la banca en línea, y estar disponibles en el ciberespacio ofreciendo su portafolio comercial y de servicios a nivel mundial las 24 horas, 7 días a la semana. Es por esto, que las MiPymes nacionales para mantenerse en el mercado, recurren a utilizar cualquier tipo de tecnologías sin tener en cuenta que la información de su organización está en riesgo y, por lo tanto, adoptar medidas de protección para este activo intangible, minimizaría el riesgo de suspensión de operaciones o el sometimiento a pagos de dinero a cambio de liberar la información secuestrada por los ciberdelincuentes. En los últimos años, han sido reportados percances de seguridad que han impactado negativamente a empresas de todo nivel; según Morales, D. (2021), acorde con los datos de Fortinet, en nuestro país Colombia, se evidenció un aumento de estos en un trescientos por ciento, de modo que, para Juan Puentes, gerente de Fortinet, en la actualidad se hace necesario que las empresas aumenten sus presupuestos para la puesta en marcha de un Sistema de Gestión de Seguridad Informática (SGSI). La Policía Nacional de Colombia (2020), en su balance de cibercrimen al año 2020, destaca modalidades tales como: la intrusión, defraudación, espionaje y sabotaje informático, los cuales incrementaron sus porcentajes de manera importante a nivel nacional, y resalta también, que las ciudades con mayores índices fueron Bogotá, Medellín, Cali, Barranquilla, Bucaramanga 4 y Cartagena, como se muestra en la figura 1. Ciberdelitos y ciudades más atacadas año 2019- 2020. Figura1. Ciberdelitos y ciudades más atacadas año 2019-2020 Fuente: Policía Nacional de Colombia (2020). Siguiendo a Martínez, J. (2019), el sistema de gestión de seguridad de la información (SGSI), permite a las organizaciones instaurar las políticas, los diferentes procedimientos y controles, con el fin de tener el riesgo en constante vigilancia. No obstante, el problema radica en que, en la alta dirección de las organizaciones empresariales, en especial de las MiPymes, se tiene la concepción de que la seguridad de la información es un gasto más y, es por esto que las empresas se limitan a ejecutar solo los controles físicos de seguridad, lo cual genera una ficticia 5 percepción de protección, dejando a un lado a los empleados y al cumplimiento normativo, siendo estos últimos, dos mecanismos que contribuyen directamente a la protección de la información dentro de las empresas. La delincuencia dentro del ciberespacio y el impacto negativo causado por sus actividades, han venido afectando a las organizaciones de todo nivel, por consiguiente, el gobierno nacional ha optado por iniciar la adopción de prácticas benévolas en este campo, con el fin de estar preparado para afrontar los distintos medios utilizados por los ciberdelincuentes para vulnerar las empresas. Con la expedición del documento Conpes 3854 de fecha 11 de abril de 2016, se hace referencia a las políticas públicas establecidas en ciberseguridad de Colombia, y uno de sus objetivos, es brindar la base para el diseño de estrategias que tengan como propósito prevenir y combatir los riesgos dentro del ciberespacio. El diseñar un plan de seguridad informático utilizando un (SGSI), es una alternativa que las organizaciones colombianas (MiPymes), deberían adoptar con el objetivo de disminuir las prácticas no adecuadas de los usuarios con los sistemas de la información, las redes, las bases de datos, las transacciones comerciales y los dispositivos móviles. Problemáticas de MiPymes en la protección de la información La Policía nacional de Colombia (2020) y su centro cibernético policial en su reporte “Tendencias del cibercrimen en Colombia 2019- 2020”, destacan que para los cibercriminales su principal motivación es la económica, y que el delito con mayor denuncias es el hurto a través de medios informáticos que en cifras suma 31058 casos, seguido de robo de identidad (la violación de datos personales y empresariales), con 8037 casos, en tercer lugar se encuentra el acceso abusivo a sistema informático con 7994 casos y la transferencia no consentida de activos con 6 3425 casos se encuentra en el cuarto lugar, como se observa en la siguiente grafica 2 tendencias de Cibercrimen en Colombia (2020). Figura 2 Tendencias de Cibercrimen en Colombia (2020). Fuente: Policía Nacional de Colombia (2020). Ahora, bien, en estudios realizados por compañías especializadas como Kaspersky Lab (2013), que en su informe titulado “¿Quién le espía? Ninguna empresa está a salvo del ciber espionaje”, afirma que no existe ninguna empresa que está libre de experimentar ciberataques, siendo las de mayor riesgo las MiPymes, al ser organizaciones altamente vulnerables por su falta de recursos y muy poca sensibilización en estos temas. Los percances de seguridad en las MiPymes se concentran en el uso no apropiado de la infraestructura tecnológica, y es así, como algunas de estas prácticas no adecuadas, se mencionan a continuación: 31058 8037 7994 3425 0 10000 20000 30000 40000 Hurto por Medios Informáticos Robo de Identidad Acceso Abusivo a Sistema Informáticos Transferencia NO Consentida de Activos TENDENCIAS DE CIBERCRIMEN EN COLOMBIA 2020 7 a) Uso de software no licenciado. b) Infección de malware por la utilización de unidades externas de almacenamiento USB c) Utilización de redes de intercambio de archivos (P2P). d) Falta de normatividad para la correcta utilizacióndel correo electrónico de la organización empresarial, para la restricción de envío y recibo de correos personales o para la suscripción en las redes sociales. e) Remisión de información confidencial por medio del correo electrónico. f) Hurto o extravió de información confidencial de la empresa. g) Empleo de teléfonos o computadoras personales dentro de la organización. h) Ausencia de políticas corporativas de control de navegación en la internet. i) Brindar servicios de redes wifi sin las medidas básicas de protección. j) Utilización de claves de acceso poco robustas. De igual manera, casas de software especializadas en seguridad como lo es Kaspersky, en su portal corporativo, enuncia que las organizaciones focalizan sus esfuerzos para reducir los percances de seguridad y como resultado de su operación e interacción con la web, los clasifican de la siguiente manera como lo evidencia la figura 3: 8 Figura 3 Incidentes de seguridad como resultado de la operación e interacción con la web Fuente: Elaboración propia con base en Karpersky. (s.f). & Malwarebytes. (2019). Así mismo, Eugene Howard Spafford – Experto en Seguridad informática, manifiesta que no es posible lograr un sistema completamente seguro, pues “el único sistema seguro, es aquel que está apagado en el interior de un bloque de hormigón protegido en una habitación sellada rodeada por guardias armados y, aun así, tengo mis dudas”. (Spafford, E, 2008) 9 La importancia de implementar un plan de seguridad informática. Las diferentes empresas a nivel nacional se están transformando y adecuando sus procesos organizacionales aprovechando la llegada de tecnología y procesos colaborativos actualizados disponibles en la web, así como, la adopción de nuevos modelos de negocios que permiten de manera virtual la globalización comercial de los productos y servicios. Las tecnologías de punta para las diferentes organizaciones a nivel nacional están centradas en la información, los datos, la conectividad y movilidad, adoptar estas tendencias facilitara y acelerara el ingreso de las pymes al e-commerce, manteniendo su competitividad y ampliando sus líneas de comercialización y mercadeo. La adopción de estas tecnologías web por las diferentes organizaciones, deben contemplar programas de seguridad con el objetivo de disminuir los diferentes riesgos y vulneraciones que conlleva mantener la información expuesta en el ciberespacio. En un plan de seguridad informático, se destacan tres áreas que son necesarias proteger: el perímetro, que por vulnerable que sea, sigue prevaleciendo; los puestos de trabajo, lugares críticos por dónde hoy entra la mayor parte de los ataques; y, por último, y no menos importante los datos, qué son la clave para cualquier negocio”, comenta Borja Pérez, Country Manager Stormshield Iberia. (Interempresas, 2020). Es así, como Gundín, S (2020), en su artículo “Ciberseguridad para empresas guía imprescindible”, manifiesta que son muchas las empresas que diariamente comprometen su seguridad en la nube no solo por la falta de recursos técnicos y tecnológicos, sino como consecuencia de las actividades diarias realizadas por los colaboradores. Además, la falta de un plan de seguridad informático, sumado a la mínima preparación del personal en relación con la 10 seguridad de la información para empresas, es un factor de riesgo y debilidad, que incluso puede convertirse en una vulneración o una amenaza, ante la posibilidad de sufrir un ciberataque. Según Mora, L. (2019) en su artículo “iso20000 guía completa de aplicación”, en los últimos años la seguridad de la tecnología de la información, ha sido una de las angustias más relevantes de las empresas. La información es hoy por hoy, uno de los activos más importantes y de alta criticidad, a tal punto, que de no tenerla o de intentar trabajar con información no confiable, las organizaciones pueden colapsar y no desarrollar su actividad. El mismo autor manifiesta que la facilidad con que los funcionarios puede tener ingreso a las redes y administrar la información en cualquier momento y desde cualquier parte del mundo a través de la Internet, facilitan la propagación de virus de toda clase (gusanos, troyanos), además, los accesos no autorizados son cada vez más frecuentes (hackear la red); es por ello que, la apropiada gestión de la seguridad de la información se ha convertido en el principal objetivo estratégico de toda compañía que adopte tecnologías de punta. (Mora, L., 2019) Actualmente, se presentan incidentes de seguridad de la información que circula tanto dentro como fuera de la organización, de modo que, el no tener procedimientos, medidas y/o controles previamente estipulados para la manipulación de los datos, incrementa el riesgo de perder registros en los servidores, portátiles y móviles, exponiéndose gravemente la integridad y confidencialidad de la información almacenada en los datacenters de la empresa. A nivel de software, la ausencia de una persona o un responsable que garantice el soporte y cumplimientos de los diferentes planes, procesos y procedimientos informáticos y de mantenimiento de equipos, conlleva con el pasar del tiempo, un impacto tecnológico negativo en la administración del área y también, de la vida útil del hardware y software de la compañía. 11 MiPymes y la Seguridad en la Gestión de información en la Nube, Facturacion Electrónica y Nómina Electrónica. De acuerdo con Isotools excelence (2018) “la ciberseguridad es el conjunto de políticas, directrices, métodos, herramientas, y tecnologías utilizadas para proteger la información de una empresa que se procesa, almacena y transporta por sistemas interconectados”. Entre los activos de información encontramos los datos y el conocimiento que son de gran valía para una empresa, necesarios para la toma de decisiones y control financiero, productivo de la organización. El portal www.pmg-ssi.com, blog especializado en la seguridad de la información y ciberseguridad en su artículo “¿Qué relación existe entre la facturación electrónica y la ciberseguridad?” , especifica que migrar todo el proceso de facturación a la web y empezar a tramitar documentos digitales es un objetivo que se ha venido implementando en muchas de las empresas en el territorio nacional, conociendo de antemano que existen riesgos de violación de la privacidad, integridad, confiabilidad de la información al trabajar en un medio digital fuera del perímetro de la organización. Por lo tanto, es muy importante que, a pesar de los riesgos que pueden existir en internet, se cuenten con mecanismos de seguridad que minimicen estas inseguridades y certifiquen la privacidad de la información. El mismo artículo, menciona que la seguridad de la información que se reconoce en las facturas electrónicas se autentica por tres distintos instrumentos que se encuentran integrados como componentes esenciales de su estructura: el código CUFE, el formato XML y la firma electrónica, siendo procesos que de forma particular aseguran diversas dialécticas pero que de 12 manera grupal protegen los datos durante el procedimiento de enviar y decepcionar la información electrónica, instrumentos que definimos a continuación en la figura 4: Figura 4 Tres distintos instrumentos que aseguran la seguridad de la información en las facturas electrónicas Fuente: Elaboración propia con base en Siigo (2019). Empresas proveedoras de software contable como SIIGO en su blog oficial y en uno de sus artículos “La facturación electrónica y ciberseguridad”, establece que, al momento de creación de factura electrónica en el sistema escogido, este ha de realizar la codificación de los 13 datos y convertirlos en un archivo XML; posteriormente,al recepcionarlo la DIAN, esta debe decodificarlo mediante el empleo de un código específico, seguidamente ha de timbrarlo y sellarlo. Luego, se verifica la inscripción en los respectivos registros de la persona o empresa que envía la factura y antes de realizar el reenvío, el mismo sistema comprueba que la factura electrónica acate los requisitos técnicos requeridos por la autoridad. La automatización de una empresa trae múltiples beneficios, proporciona exactitud, en cuanto a liquidación de nómina facilita el ahorro de tiempo y recursos humanos, al mismo tiempo incentiva a gran escala la producción. Camilo Mejía Landucci, Country Manager de Buk Colombia, agrega que existen en el mercado diversas plataformas que ofrecen soluciones 100% en la nube, las cuales ayudan a simplificar la gestión de información, a automatizar y a optimizar procesos inherentes a la administración remota de registros, además de proporcionar facilidad de acceso y disponibilidad de recursos actualizados con las nuevas modificaciones en materia legal y en materia fiscal respecto a los pagos de nómina, las facturas y los reportes todos los días del año; lo cual, reduce el riesgo que las empresas pierdan dinero, por la imposición de sanciones económicas o multas por incumplimientos en los diferentes registros de ley por parte de las instituciones gubernamentales. Un Sistema de Gestión de Seguridad de la Información (SGSI). NTC: ISO 27000 Para lograr instaurar un sistema de gestión (SGSI), requiere de la elaboración de un plan, diseño, implementación, puesta en marcha y mantenimiento de una serie de procedimientos que faciliten su ejecución de manera eficiente, para preservar la integridad, confidencialidad y disponibilidad de los datos. NTC-ISO/IEC 27001 (2016). 14 Los principales estándares de gestión de la seguridad, han integrado dentro de los procesos, el análisis y la gestión del riesgo como lo dispone la ISO/IEC27005, al igual que lo expuesto en la norma ISO/IEC27001 e ISO/IEC27002. Las metodologías ITIL y COBIT, hacen referencia al control de los proyectos de tecnología, los flujos de información y los riesgos que involucran la carencia de controles idóneos y las prácticas benévolas en la administración de la seguridad de la información. Las normas ISO, (International Standard Organization), se definen como aquellas normas y estándares internacionales elaboradas para ser empleadas en el desarrollo de distintos productos y servicios, los cuales resultan de necesaria aplicación por parte de las organizaciones, para poder lograr la optimización de su eficiencia y su rentabilidad económica. ISO, además, cuenta con un compendio especial para las tecnologías de la información (TI), acorde con la norma internacional ISO 20000, catalogada como una de las primeras normativas con estándares internacionales desarrolladas para este sector, que agrupa procesos con enfoque de administración eficiente de servicios de Tecnología de la Información (TI) para clientes internos y externos. (NTC-ISO/IEC 27001;2016). La seguridad informática no puede ser garantizada a ninguna empresa u organización al cien por ciento, sin embargo, existen alternativas como la NTC- ISO/IEC 27001 de 2013 que es la Norma Técnica Colombiana para la estandarización de las políticas que buscan la minimización de riesgos y que además permite el aseguramiento, la confidencialidad e integridad de los datos y de la información, así como de los sistemas que la procesan. (Ortigoza A. Rojas, E. Torres J., 2019). Algunos aspectos positivos de diseñar planes de seguridad informática de la mano de la metodología de un sistema NTC- ISO/IEC 27001:2013 son: 15 • Es adecuada para MiPymes, orientado en procesos organizativos y procedimentales con metas específicas de mejorar métodos de producción y distribución. • Reducción de costos como resultado del uso racional de materias primas, beneficiando positivamente los procesos de calidad en corto tiempo. • Favorece la asimilación de procesos ante los avances tecnológicos que la organización requiera adoptar. • Demanda una gestión de cambio organizativo, requiere inversión de tiempo y dinero. Como lo manifiesta Martínez, J. (2019), la puesta en marcha de un SGSI garantiza la eficiencia en el acceso a la información e impulsa la confidencialidad, la integridad y la disponibilidad de la misma. El mismo autor, asegura que el ciclo PHVA cumple con el modelo de gestión dirigido al riesgo planteado por la NTC ISO 27001 de 2013, como se muestra en la Figura 4 “prácticas necesarias para instaurar un SGSI en pymes basadas en el ciclo PHVA”: Figura 5 Practicas necesarias para instaurar un SGSI en pymes basadas en el ciclo PHVA Fuente: Martínez, J. (2019). 16 Por lo anteriormente expuesto, y para establecer un plan de seguridad informático, es necesario conocer, identificar las políticas, procedimientos, amenazas y vulnerabilidades del sistema de información que utilizan las diferentes MiPymes para el desarrollo de sus actividades; para esta etapa inicial, es necesario que las empresas realicen el diligenciamiento propuesto del siguiente cuestionario básico de seguridad de la información, de modo que la empresa misma cuando lo haya terminado, pueda evaluar y determinar cuál es su estado de seguridad y como se está administrando. Figura 6 Etapas de desarrollo plan de seguridad de la información Fuente: Elaboración propia. • La revisión del estado actual de la compañía. Hace referencia al análisis de las principales vulnerabilidades, los riesgos, así como de las políticas, los distintos procesos y procedimientos de la organización ante posibles percances de seguridad de la información. Revisión del estado actual de la compañia Creacion de Planes de accion Creación de nuevas politicas, procesos y procedimientos Implementacion de estas politicas al interior de la compañia Programa de difusion y sensibilizaicion a todos los funcionarios Seguimiento y Análisis de resultados Ajustes Conclusiones y Recomendaciones 17 • Creación de nuevas políticas procesos y procedimientos. Se da como resultado del análisis del estado de la organización y para ello, se requiere la actualización de sus directrices, metodologías y operaciones. • Implementar las políticas al interior de la organización. Con el objetivo de minimizar los riesgos a los que está propenso el sistema de información de la organización. • Difusión y sensibilización a los funcionarios. Implementar programas de capacitación en temas de ciberseguridad y de prácticas benévolas para el manejo de la información de la compañía. • Seguimiento y análisis de resultados. Actividades necesarias para mantener activo y en constante mejoramiento el sistema de gestión de la seguridad de la información. Cuestionario Básico de Seguridad de la Información. Esta serie de preguntas que se extractaron del manual de políticas de seguridad de la información, del Ministerio de Educación Nacional de Colombia, son la base para definir el estado en el que una empresa se encuentra para abordar el tema de seguridad o para iniciar el proceso de adopción de buenas prácticas y, en un futuro implementar el SGSI. 1. ¿Existe un compromiso de la Gerencia para apoyar programas de seguridad informática? 2. ¿En la estructura organizacional existe un cargo, roles y responsabilidades para el manejo de la seguridad informática? 3. ¿Tiene la empresa claramente definida una política para el tratamiento de las tecnologías de la información? 4. ¿Se conocen los riesgos tecnológicos a los que está expuesta la empresa? 18 5. ¿Se tiene definidas cuáles son las amenazas más frecuentes al interactuar en el ciberespacio? 6. ¿Existe presupuesto destinado a la seguridad de la información? 7. ¿Cuenta la organización con un sistema de Gestión de Seguridad de la InformaciónSGSI? 8. ¿La información disponible en la organización está clasificada según su importancia? (confidencial, privada, publica) 9. ¿La accesibilidad a la información de la organización tiene controles de lectura, escritura, modificación o borrado? 10. ¿Cuenta la organización con controles de acceso físico en áreas de alta criticidad? 11. ¿Se cuenta con un plan de capacitación dirigido a los empleados en temas de Ciberseguridad? 12. ¿Los usuarios pueden identificar un incidente de seguridad informática? 13. ¿Existen procedimientos para (trabajar desde casa), home office? 14. ¿Para realizar transacciones bancarias de la organización, los funcionarios conocen las medidas de seguridad necesarias para realizar esa actividad? 15. ¿Controla el acceso remoto a los servidores y aplicaciones de la compañía? 16. ¿Utiliza redes inalámbricas (wi-fi), para la gestión de información en sus servidores? 17. ¿Existe una política para el uso de celulares corporativos? 18. ¿La accesibilidad remota a la información de la empresa está controlada? 19. ¿Está permitido utilizar estos dispositivos corporativos para uso personal? 20. ¿Existe un procedimiento a seguir en caso de robo o pérdida de un dispositivo móvil corporativo? 19 21. ¿Los equipos de cómputo son propios o alquilados? 22. ¿Se cuenta con un sistema de respaldo eléctrico? 23. ¿Cuenta la compañía con software legal? 24. ¿Utiliza herramientas informáticas, antivirus, backups que permiten mantener segura la información sensible de la empresa? 25. ¿Existe un plan de mantenimiento para prevenir y corregir el hardware y el software? Plan de Seguridad Informática Las pequeñas empresas ante los inminentes riesgos que implica hacer presencia en la internet necesitan tener una guía que les permita a sus funcionarios conocer las prácticas benévolas sobre seguridad de la información y ciberseguridad, apoyándose y haciendo referencia a las recomendaciones que ofrecen sistemas de gestión como la NTC ISO/ EC 27001 de 2013. El siguiente plan de seguridad de la información, es un primer peldaño para dar comienzo a un proceso de certificación en este sistema, las políticas procesos, procedimientos y controles establecidos deben implementarse para facilitar la creación de un sistema de gestión en seguridad de la información (SGSI), a continuación, se muestran los principales requerimientos que, al cumplirlos, fortalecerán a la organización en este campo. Plan básico de seguridad de la información para MiPymes 1. Políticas para la seguridad de la información: Son requeridas y aplicables transversalmente a la organización. 2. Organización interna: Es requerida la creación de un organigrama que permita identificar con claridad las áreas y cargos responsables del SGSI 20 3. Los roles y las responsabilidades para la seguridad de información: Es necesario establecer en el cargo las funciones y alcance ante el SGSI 4. Gestión para dispositivos móviles: Política requerida para definir los alcances que tiene esta herramienta en el cumplimiento de las diferentes funciones de los usuarios. 5. Directrices para realizar Teletrabajo (home office): Son necesarias, porque se requiere establecer las mejores prácticas en el ejercicio de conexión remota a servidores y gestión de información. 6. La toma de conciencia, la educación y la formación en la seguridad de la información: Es fundamental que los usuarios conozcan los diferentes riesgos a los que están expuestos si utilizan dispositivos móviles o trabajan de manera remota (home office). 7. Clasificación de la información: Es una actividad complementaria que facilitaría el control e identificación en el plan de seguridad propuesto. 8. Administración de medios removibles: Establecer procedimientos para controlar el uso de estos medios de almacenamiento, son requeridos en este plan por que se disminuye el riesgo de contaminación por virus. 9. Transferencia de medios físicos: Implementar un procedimiento que oriente al usuario en la gestión de información, su traslado, copias, borrado, son requeridas en este plan. 10. Gestión en el control de acceso: Política requerida, garantiza que todos los usuarios en el sistema están identificados y tienen asignados los permisos respectivos. 21 11. Administración de los servicios de red: Requerido, es transversal a la organización donde cada usuario, tendrá niveles de acceso a los diferentes servicios ofrecidos en la red corporativa 12. Registro y cancelación del registro de usuarios: Este procedimiento es de mucha importancia en el plan, debido a el grado de criticidad que representa, facilita conocer que usuarios está activo o inactivo en los diferentes sistemas de la compañía. 13. Responsabilidades de los usuarios: Política requerida para que en los contratos laborales existan cláusulas de manejo de información, confidencialidad, ética empresarial 14. Control de acceso a sistemas y aplicaciones: Políticas requeridas en el plan por la necesidad de organizar los usuarios en la gestión de información en los servidores. 15. Restricción de acceso a la información: Política requerida para garantizar que los diferentes usuarios utilicen los diferentes servicios según su perfil de cargo. 16. Procedimiento de ingreso seguro: Recomendado como medida adicional de seguridad en este plan. 17. Sistema de gestión de contraseñas: Requerido como política transversal a la compañía donde cada usuario debe ingresar a los diferentes sistemas con claves alfa numéricas. 18. Gestión de claves: Procedimiento necesario donde la organización define tipo de clave, tamaño, vigencia por cada sistema disponible en la empresa. 19. Seguridad física perimetral: Recomendado, es importante implementar medidas de protección física a los alrededores de la organización minimizando el riesgo de accesos no autorizados. 22 20. Controles físicos de ingreso a las instalaciones: Recomendado, la organización debe conocer en cualquier momento las personas que están en la compañía, si son visitantes, contratistas o empleados. 21. Ubicación y protección de los equipos: Requerido, disponer de planos de diseño estructural facilita instaurar medidas de protección según el grado de criticidad del cargo. 22. Seguridad del cableado: Requerido el procedimiento que facilite identificar los diferentes puntos de red, y la identificación de los mismos en el centro de cableado. 23. Mantenimiento de equipos: Requerido, fundamental la creación de un plan de mantener, prevenir y corregir los diferentes equipos de la organización. 24. Retirada de activos: Requerido, para el área de tecnología es de vital importancia conocer la cantidad de equipos que salieron de la organización y la disposición final de los mismos. 25. Eliminación segura o reutilización de equipos: Requerido establecer procedimientos de borrado seguro de equipos portátiles y celulares. 26. Política de seguridad para equipos en estado inactivo: Requerido, establecer procedimientos para controlar los portátiles cuando están inactivos. 27. Protección contra códigos maliciosos: Requerida, establecer una política para que todo equipo de cómputo tenga instalado un antivirus licenciado y actualizado. 28. Copias de respaldo: Requerida. Crear políticas y procedimientos para garantizar que la organización disponga de copias actualizadas de información del negocio en un lugar seguro. 23 29. Registro de eventos: Recomendado. Llevar una bitácora en donde se registren los diferentes incidentes que se presenten a nivel informático en la organización, facilita la definición de los diferentes planes de acción a que dé lugar. 30. Instalación de software en sistemas operativos: Requerido. Crear políticas de restricción de instalación de programas no licenciados en los equipos de cómputo, ayuda a disminuir el riesgo de contaminaciónpor virus informáticos, e intrusiones no deseadas. 31. Gestión de seguridad de redes: Recomendado. Conocer los tipos de dispositivos de concentración (switches), sus características, inventario e identificar cada punto de entrada de conexión facilita el control de ubicación física de computadores conectados. 32. Administración de redes: Recomendado. Utilizar equipos de última tecnología que permitan administrar conexiones a través de la creación de reglas que permitan controlar la entrada y salida de información facilita la aplicación de medidas de seguridad informática en este campo. 33. Seguridad de los servicios de red: Requerido. Establecer políticas de restrictivas para el uso de los diferentes servicios que proporciona una red corporativa, disminuye el riesgo de intrusión no deseada. Controles y monitoreo en el envío o recibo de información (correo, FTP- file transfer protocol-, VPN -virtual private network-), de streaming de audio y video, entre otros servicios. 34. Separación en las redes: Recomendado. La segmentación de red (VLANS -redes de área local virtual-), es una técnica que permite, crear redes dentro de una red corporativa, a través de la administración de los puntos de conexión de los equipos 24 concentradores (switches), de la red principal medida con la cual, dificulta a los intrusos ubicar con exactitud las fuentes de información resguardadas en servidores. 35. Transferencia de información: Requerida. Implementar políticas sobre él envió y recibo de paquetes de información via correo (email adjunto) o por transferencia (FTP), disminuyen el riesgo de intrusión de códigos maliciosos como son los “troyanos”. 36. Mensajería electrónica: Requerida. Definir políticas acerca del uso de estas herramientas de comunicación ayudan al control de la información enviada y recibida tanto en equipos portátiles como en dispositivos móviles. 37. Acuerdos de confidencialidad o de no divulgación. Requerido. Establecer políticas de confidencialidad en los contratos de trabajo es una medida importante y necesaria como medida de control de fuga de información sensible para la compañía. 38. Política de seguridad de la información para la interacción con proveedores. Hace parte de la confidencialidad de la información que un negocio requiere entre las partes interesadas. 39. Manejo de incidentes y mejoramiento de la seguridad de la información. Recomendado. Investigar las posibles causas de un incidente permite general planes de acción encaminados a revolver el inconveniente e implementar medidas de corrección y prevención requeridas para cada caso. 40. Responsabilidad y procedimientos. Implementar políticas encaminadas a que cada responsable de un área en la compañía, documente sus procesos y procedimientos, reconozca sus fortalezas y debilidades, vulneraciones y determine las medidas de control y seguimiento para mitigar los riesgos inherentes a su entorno laboral. 25 41. Administración de Requisitos legales y contractuales: Requerido. Implementar políticas encaminadas al cumplimiento de la normatividad legal vigente en referencia a licenciamiento de software, hardware y alquiler de tecnología, garantiza un funcionamiento normal del negocio. 42. Propiedad intelectual. Requerida. Cumplir con la normatividad legal vigente en este campo, es fundamental para las empresas. Dar a conocer a sus funcionarios los alcances de estas normas minimizan los riesgos jurídicos entre las partes interesadas. 43. Seguridad y custodia de datos personales. Recomendado. Establecer procedimientos encaminados a difundir entre los colaboradores los alcances de la ley “Habeas Data” para el manejo y tenencia de información de terceros (clientes, proveedores, colaboradores). 44. Mantenimiento de las políticas y la normatividad: Establecer procedimientos de control al interior de la empresa (auditorias), para garantizar el cumplimiento de las políticas de seguridad es una actividad recomendada. 26 CONCLUSIONES Al considerarse la información como uno de los activos con mayor valía dentro de las empresas, es imprescindible contar con arduas medidas de seguridad para resguardarla, de modo que estas últimas deben ser cada vez más robustas y estructuradas. Las técnicas que utiliza la ciberdelincuencia hacen vulnerables los sistemas de información en las organizaciones, y más aún, en el interior de las pymes, las cuales no tienen dentro de sus presupuestos de inversión un rubro para la seguridad de la información. En la actualidad, los delitos con mayor índice de incremento son la intrusión, defraudación, espionaje y sabotaje informático y las ciudades mayormente atacadas son Bogotá, Medellín, Cali, Bucaramanga, Barranquilla y Cartagena. De manera que, la creación de un plan de seguridad informático es una alternativa que las organizaciones MiPymes, deberían adoptar con el objetivo de disminuir los riesgos a los que están expuestas por interactuar en el ciberespacio, además, de las practicas no adecuadas que los usuarios realizan en los sistemas de información, redes, bases de datos, dispositivos portátiles y móviles. La norma Técnica Colombiana para la estandarización de las políticas (NTC- ISO/IEC 27001:2013), busca la disminución de riesgos de forma que se permita: primero, el aseguramiento, segundo, la confidencialidad y tercero la integridad de los datos, de la información, así como de los sistemas que la procesan. En relación con las facturas electrónicas, la seguridad de la información que se registra en ellas, se asegura mediante la implementación de tres distintos mecanismos que se hallan fusionados como partes esenciales de su constitución: primero, el código CUFE, segundo, el formato XML y tercero, la firma electrónica, por lo tanto, para las MiPymes es recomendable que este tipo de procesos se contraten con empresas especializadas y autorizadas por la Dian. 27 Finalmente, respecto a los incidentes de seguridad que se presentan en las pymes, encontramos que los más comunes son la descarga el código malicioso o malware, el phishing y la explotación de vulnerabilidades; incidentes que no están exentos de presentarse en las grandes organizaciones, donde suceden incluso en igual o mayor medida. La seguridad de los datos en una organización requiere mantener bajo control la disponibilidad, la integridad, por último, la confidencialidad de la información y para ello, se necesitan utilizar herramientas, procesos o procedimientos para su gestión, además de profesionales especializados que administren los sistemas con las últimas técnicas y tecnologías disponibles en el ciberespacio. BIBLIOGRAFIA SGSI (2018). Seguridad de la información: ¿Se produce un incidente por su incumplimiento?. Pmg ssi.https://www.pmg-ssi.com/2018/12/seguridad-de-la-informacion-se-produce-un- incidente-por-su- incumplimiento/#:~:text=Evento%20de%20seguridad%20de%20la%20informaci%C3% B3n%3A%20cualquier%20ocurrencia,no%20asignada%20que%20pueda%20afectar%20 a%20la%20seguridad. Bonilla H., Almeida R. (2021). Framework de ciberseguridad basado en la norma ISO 27001 para pymes educativas de Santiago de Cali. Universidad Santiago de Cali. Dirección de Investigación e Interpol & Policía Nacional de Colombia. (2017). Amenazas del Ciber crimen en Colombia 2016-2017. Bogotá. https://caivirtual.policia.gov.co/sites/default/files/informe_amenazas_de_cibercrimen _en_colombia_2016_-_2017.pdf 28 CONPES (2016). Documento Conpes 3854 Política Nacional de Seguridad Digital. https://colaboracion.dnp.gov.co/CDT/Conpes/Econ%C3%B3micos/3854.pdf Flórez, W., Arboleda, C. y Cadavid, J. (2012). Solución integral de seguridad de las Pymes mediante un UTM. Ing. USB Med, 3 (1) 35-42. https://revistas.usb.edu.co/index.php/IngUSBmed/article/view/262 Gundin, S. (2020). Ciberseguridad para empresas guía imprescindible.Aura Quantic. https://www.auraquantic.com/es/ciberseguridad-para-empresas-guia-imprescindible/ Instituto Colombiano de normas técnicas y certificación ICONTEC (2016). Norma técnica Colombia NTC-ISO 27001. https://www.academia.edu/40713289/NORMA_T%C3%89CNICA_NTC_ISO_IEC_CO LOMBIANA_27001 ISOtools excellence (2018). Relación existente entre facturación electrónica y ciberseguridad. Pmg Ssi. https://www.pmg-ssi.com/2018/10/que-relacion-existe-entre-la - facturación-electrónica-y-la-ciberseguridad/ Kaspersky daily (2014). Cuidado con el Malvertising. https://latam.kaspersky.com/blog/cuidado- con-el-malvertising/3832/ Kaspersky Lab (2013).¿Quién le espía? Ninguna empresa está a salvo del ciber espionaje. https://latam.kaspersky.com/small-to-medium-business- security/resources/insights/informe-especial--quien-lo-espia--ninguna-empresa-esta-a- salvo-del-ciberespionaje. 29 Kaspersky (s.f). El ransomware: qué es, cómo se lo evita, cómo se elimina. https://latam.kaspersky.com/resource-center/threats/ransomware Malwarebytes (2019). Ransomware. https://es.malwarebytes.com/ransomware/ Martinez, J. (2019). Seguridad de la Información en pequeñas y medianas empresas (pymes). Universidad Piloto de Colombia. http://polux.unipiloto.edu.co:8080/00002332.pdf Ministerio de Educación de Colombia. (2020). Manual de Políticas Seguridad de la información. https://www.mineducacion.gov.co/1759/articles - 349495_recurso_105.pdf Mora, L. (2019). ISO2000 Guía completa de Aplicación. Proactivanet. https://www.proactivanet.com/images/Blog/ISO20000_GuiaCompletadeAplicacion_Luis Moran.pdf. Morales, D. (2021) Ataques cibernéticos ocurren frecuentemente a pequeñas y medianas empresas. La república. https://www.larepublica.co/empresas/ataques-ciberneticos -ocurren-mas- frecuentemente-a-pequenas-y-medianas-empresas-3228459 Ortigoza A. Rojas, E. Torres J. (2019). Políticas de Seguridad Informática para la Administración de recursos tecnológicos y gestión de la información en la empresa Consultorías y Asesorías en Seguridad y Salud en el Trabajo S.A.S (CONSASST). [Tesis de Grado, Universidad Cooperativa de Colombia]. Repositorio Institucional – Universidad Cooperativa de Colombia. https://1library.co/document/yj7n0emy-politicas-seguridad- informatica-administracion-tecnologicos-informacion-consultorias-asesorias.html 30 Policía Nacional de Colombia. (2020). Balance Cibercrimen en el 2020. https://caivirtual.policia.gov.co/sites/default/files/balance_cibercrimen_2020_- _semana_45.pdf Policía nacional de Colombia (2020). Tendencias del cibercrimen en Colombia 2019-2020. https://caivirtual.policia.gov.co/contenido/tendencias-cibercrimen-colombia-2019-2020 Siigo (2019). Facturación electrónica y Ciberseguridad. Siigo. https://www.siigo.com/blog/empresario/facturacion-electronica-y-ciberseguridad/ Spafford, G. (2008). Citas celebres del Mundo. Variable Not Found. https://www.variablenotfound.com/2008/04/otras-101-citas-clebres-del-mundo-de- la.html Interempresas (2020). Entrevista a Borja Pérez, Country Manager de Stormshield Iberia. https://www.interempresas.net/TIC/Articulos/263614-Entrevista-Borja-Perez-Country- Manager-de-Stormshield-Iberia.html Universidad virtual (2020). Como crear un plan de seguridad informática fácilmente. https://www.universidadviu.com/es/actualidad/nuestros-expertos/como- crear-un-plan- de-seguridad-informática-fácilmente.
Compartir