Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
Facultad de Ingeniería Ingeniería de Sistemas e Informática Tesis: “Diseño de una propuesta de Ciberseguridad para la detección de fuga de información a través de dispositivos IoT en el área de TI de una empresa embotelladora y distribuidora de bebidas en Arequipa - 2021” ALEX MANUEL ALVAREZ PEZO Para optar el Título Profesional de: Ingeniero de Sistemas e Informática Asesor: Mg. Jorge Javier Mendoza Montoya Arequipa – Perú 2023 ii DEDICATORIA Este trabajo está dedicado para mis padres Jacinto Alvarez y Alicia Pezo quienes con su esfuerzo y su enseñanza pudieron dejar en mí valores que hoy me hacen ser quien soy. A mi hermana Mary Alvarez quien me motiva a ser cada día mejor y que con pasión y dedicación se pueden alcanzar nuevas metas. A mi tío Roberto Pezo en quien veo un segundo padre y consejero. Y por último quisiera dedicar también este trabajo a mi mamá Isabel quien ya se encuentra en el cielo y me acompaña y acompañará siempre. iii AGRADECIMIENTO Agradezco con mucha estima y cariño a mis padres por brindarme la oportunidad de educarme, a la Universidad Tecnológica del Perú UTP por brindarme una educación de calidad. A mi asesor por brindarme de su tiempo y sapiencia. iv RESUMEN La ciberseguridad actualmente es una práctica que toda empresa debe implementar y generar una necesidad por proteger lo más valioso para una empresa que son sus activos de información, a su vez los dispositivos IoT cada vez más están presentes en nuestro entorno cotidiano por lo tanto es un activo a considerar proteger. La presente investigación tiene por objetivo diseñar una propuesta de ciberseguridad que ayude a la empresa Socosani S.A. a detectar posibles fugas de información a través de dispositivos IoT utilizando el estándar ISO 27001 para gestionar adecuadamente la seguridad de la información. La metodología se basa en la aplicación del ciclo de Deming con el fin de gestionar adecuadamente los procesos de ciberseguridad de forma periódica cumpliendo sus cuatro etapas: Planear, Hacer, Verificar y Actuar; La detección de fuga de información se realizará mediante un mapeo de riesgos y vulnerabilidades de cada activo de información para luego seleccionar los controles y políticas más adecuados basados en la ISO 27002. Los resultados del diagnóstico de vulnerabilidad de los activos de información de la empresa revelaron la existencia de probabilidad de fuga de información, al analizar con Python y NMAP un televisor Smart se encontró un 57.14% de vulnerabilidad, luego de la aplicación de controles de seguridad el porcentaje se redujo a un 45.45%, se aplicó una capacitación para mejorar el conocimiento en ciberseguridad lográndose una mejora del 67% antes y 100% después de la capacitación. Como conclusiones, luego de aplicar los v controles de seguridad que necesita la empresa y como primer ciclo de implementación de la propuesta vemos el porcentaje de vulnerabilidad de los dispositivos IOT se redujo un 11.69%, el grado de conocimiento de los trabajadores mejoró luego de una capacitación realizada, un mejor manejo en la estructura de red reduce las probabilidades de sufrir una fuga de información a través de un dispositivo IOT, con un plan de auditorías internas aseguramos que el sistema de gestión de la seguridad de la información este en constante evolución. Palabras clave: Ciberseguridad, dispositivos Iot, área de TI, fuga de información, ISO 27001. vi ABSTRACT Cybersecurity is currently a practice that every company must implement and generate a need to protect the most valuable for a company, which are its information assets. In turn, IoT devices are increasingly present in our daily environment, therefore it is a asset to consider protecting. The objective of this research is to design a cybersecurity proposal that helps the company Socosani S.A. to detect possible information leaks through IoT devices using the ISO 27001 standard to properly manage information security. The methodology is based on the application of the Deming cycle in order to adequately manage cybersecurity processes on a regular basis, fulfilling its four stages: Plan, Do, Verify and Act; The detection of information leaks will be carried out by mapping the risks and vulnerabilities of each information asset to later select the most appropriate controls and policies based on ISO 27002. The results of the vulnerability diagnosis of the company's information assets revealed the existence of probability of information leakage, when analyzing a Smart TV with Python and NMAP, a 57.14% vulnerability was found, after the application of security controls the percentage was reduced to 45.45%, training was applied to improve the knowledge in cybersecurity, achieving an improvement of 67% before and 100% after the training. As conclusions, after applying the security controls that the company needs and as the first implementation cycle of the proposal, we see the percentage of vulnerability of IOT devices decreased by 11.69%, the degree of knowledge of the workers improved after vii training. When done, better management in the network structure reduces the chances of suffering an information leak through an IOT device, with an internal audit plan we ensure that the information security management system is constantly evolving. Keywords: Cybersecurity architecture, Iot platforms, IT area, information leakage, ISO 27001. viii ÍNDICE DEDICATORIA .................................................................................................................. ii AGRADECIMIENTO ......................................................................................................... iii RESUMEN ........................................................................................................................ iv ABSTRACT ...................................................................................................................... vi ÍNDICE ........................................................................................................................... viii ÍNDICE DE FIGURAS ...................................................................................................... xii ÍNDICE DE TABLAS ....................................................................................................... xiv CAPÍTULO 1 ..................................................................................................................... 1 GENERALIDADES ........................................................................................................... 1 1.1 Descripción de la realidad problemática ............................................................. 1 1.2 Planteamiento del problema ............................................................................... 2 1.2.1 Pregunta principal de investigación ............................................................. 2 1.3 Problemas .......................................................................................................... 2 1.3.1 Problema general ........................................................................................ 2 1.3.2 Problemas específicos ................................................................................. 2 1.4 Hipótesis de la investigación ............................................................................... 3 1.4.1 Hipótesis general ......................................................................................... 3 1.4.2 Hipótesis especificas ...................................................................................3 1.5 Objetivos de la investigación .............................................................................. 3 1.5.1. Objetivo general .......................................................................................... 3 1.5.2. Objetivos específicos ................................................................................... 3 1.6 Justificación ........................................................................................................ 4 1.7 Importancia ......................................................................................................... 4 1.8 Alcances y limitaciones ....................................................................................... 5 CAPÍTULO 2 ..................................................................................................................... 6 FUNDAMENTACIÓN TEÓRICA ....................................................................................... 6 2.1 Internet of Things (IoT) ....................................................................................... 6 2.2 Infraestructura de Activos IoT ............................................................................. 6 2.3 ISO 27001: 2013 ................................................................................................ 7 2.4 Beneficios de un SGSI ........................................................................................ 8 2.5 Implementación de un SGSI ............................................................................... 8 2.6 Fases de un SGSI .............................................................................................. 9 2.7 Evaluación del riesgo .........................................................................................10 2.8 Versiones ..........................................................................................................12 ix 2.8.1 BS 7799-1 (1995) .......................................................................................12 2.8.2 BS 7799-2 (1998) .......................................................................................12 2.8.3 ISO/IEC 27001:2005 ...................................................................................12 2.9 Familia 27000:2013. ..........................................................................................12 2.9.1 ISO 27002:2013. ........................................................................................12 2.9.2 ISO 27003:2013. ........................................................................................12 2.9.3 ISO 27004:2013. ........................................................................................13 2.9.4 ISO 27005:2013. ........................................................................................13 2.9.5 ISO 27006:2013. ........................................................................................13 2.9.6 ISO 27007:2013. ........................................................................................13 2.9.7 ISO 27032:2012. ........................................................................................14 2.10 Confidencialidad ................................................................................................14 2.11 Integridad. .........................................................................................................15 2.12 Disponibilidad ....................................................................................................15 2.13 ITIL ....................................................................................................................16 2.14 Plan de Contingencia .........................................................................................16 2.15 Ciberataques .....................................................................................................16 2.15.1 Exploits .......................................................................................................16 2.15.2 Phishing ......................................................................................................17 2.15.3 Vishing........................................................................................................17 2.15.4 Smishing .....................................................................................................17 2.15.5 Shoulder Surfing .........................................................................................17 2.16 OWASP .............................................................................................................18 CAPÍTULO 3 ....................................................................................................................19 ESTADO DEL ARTE........................................................................................................19 CAPÍTULO 4 ....................................................................................................................23 METODOLOGÍA ..............................................................................................................23 4.1 Metodología PDCA – Ciclo Deming. ..................................................................23 4.1.1 Planificar .....................................................................................................23 4.1.2 Hacer ..........................................................................................................23 4.1.3 Verificar ......................................................................................................23 4.1.4 Actuar .........................................................................................................24 4.2 Comparando el ciclo de DEMING versus otras metodologías ............................25 4.2.1 Metodología Six Sigma ...............................................................................25 4.2.2 Metodología Kaizen ....................................................................................25 4.2.3 Elección de la metodología .........................................................................26 4.3 Descripción de la investigación ..........................................................................26 x 4.3.1 Población. ...................................................................................................26 4.3.2 Muestra ......................................................................................................26 4.3.3 Tipo y diseño de la investigación ................................................................27 4.3.4 Nivel y enfoque de la investigación .............................................................27 4.3.5 Viabilidad ....................................................................................................27 CAPÍTULO 5 ....................................................................................................................29 RESULTADOS Y DISCUSIÓN ........................................................................................29 5.1 Resultado del Diagnóstico .................................................................................29 5.1.1 Tratamiento de información por área ..........................................................29 5.1.2 Análisis del contexto del SGSI ....................................................................32 5.1.3 Encuesta y Entrevista .................................................................................33 5.2 Resultado del diagnóstico de puertos ................................................................49 5.2.1 Escaneo de Puertos TCP ...........................................................................51 5.2.2 Detección de probabilidad de fuga de información en diferentes capas. .....56 5.2.2.1 Capa de Percepción. ..................................................................................565.2.2.2 Capa de Aplicación. ....................................................................................56 5.2.2.3 Capa de Red. .............................................................................................56 5.2.3 Análisis de riesgos ......................................................................................58 5.3 Propuesta del Sistema de Seguridad .................................................................62 5.3.1 Metodología de Evaluación y Gestión del riesgo ........................................62 5.3.2 Metodología para atender los riesgos .........................................................64 5.3.3 Objetivos del Diseño Propuesto ..................................................................67 5.3.4 Gestión del problema ..................................................................................67 5.3.5 Riesgo Residual e Inherente .......................................................................68 5.3.6 Gestión de la Ciberseguridad .....................................................................69 5.3.7 Síntomas para considerar un incidente de ciberseguridad. .........................69 5.3.8 Gestión de Incidentes .................................................................................70 5.3.9 Diseño de Red ............................................................................................72 5.3.10 Access List Control (ACL) ...........................................................................74 5.3.11 Seguridad en redes LAN (Port Security) .....................................................75 5.3.12 Arquitectura de red actual de la empresa ...................................................76 5.3.13 Arquitectura de red propuesta ....................................................................78 5.3.14 Declaración de aplicabilidad .......................................................................79 5.3.15 Planes de acción de ciberseguridad ...........................................................81 5.3.16 Propuesta de ciberseguridad para dispositivos IoT .....................................82 5.3.17 Mejoras de seguridad en Router .................................................................85 5.3.18 Revisión del sistema ...................................................................................90 xi 5.4 Plan de Capacitación al Personal de la Empresa ..............................................94 5.4.1 Resultados de la encuesta Post Capacitación ............................................95 5.5 Resultados de la comparativa Antes y Después de las encuestas. .................. 102 5.6 Comparativa según una escala ponderada ...................................................... 108 5.7 Aplicación de la metodología DEMING para la propuesta de ciberseguridad... 109 5.7.1 Planificación ............................................................................................. 109 5.7.2 Hacer ........................................................................................................ 109 5.7.3 Verificar .................................................................................................... 110 5.7.4 Actuar ....................................................................................................... 110 5.8 Aporte para abordar el problema ..................................................................... 110 CONCLUSIONES .......................................................................................................... 113 RECOMENDACIONES .................................................................................................. 115 ANEXOS ........................................................................................................................ 116 GLOSARIO .................................................................................................................... 152 BIBLIOGRAFÍA .............................................................................................................. 153 xii ÍNDICE DE FIGURAS Figura 1. Arquitectura del Internet de las Cosas [37]........................................................ 7 Figura 2. Secciones de la ISO 27001. Fuente: Elaboración Propia ................................... 9 Figura 3. Fases de un SGSI [5] ........................................................................................10 Figura 4. Método de evaluación y Tratamiento del Riesgo [5] ..........................................11 Figura 5. Ciclo de Deming orientado al SGSI [38] ............................................................24 Figura 6. Diagrama de Flujo del Sistema. Fuente: Elaboración Propia ............................25 Figura 7. Diagrama de flujo para administrativos de Ventas ............................................30 Figura 8: Diagrama de Flujo de la venta de una Preventista ............................................31 Figura 9: Resultado de encuesta n°1 ...............................................................................34 Figura 10: Resultado de encuesta n°2 .............................................................................35 Figura 11: Resultado de encuesta n°3 .............................................................................35 Figura 12: Resultado de encuesta n°4 .............................................................................36 Figura 13: Resultado de la encuesta n°5 .........................................................................37 Figura 14: Resultado de la encuesta n°5 .........................................................................37 Figura 15: Resultado de la encuesta n°6 .........................................................................38 Figura 16: Resultado de la encuesta n°7 .........................................................................38 Figura 17: Resultado de la encuesta n°8 .........................................................................39 Figura 18: Resultado de la encuesta n°9 .........................................................................40 Figura 19: Resultado de la encuesta n°10 .......................................................................40 Figura 20: Resultado de la encuesta Operativa n°1 .........................................................41 Figura 21: Resultado de la encuesta Operativa n°2 .........................................................42 Figura 22: Resultado de la encuesta operativa n°3 ..........................................................42 Figura 23: Resultado de la encuesta operativa n°4 ..........................................................43 Figura 24: Resultado de la encuesta operativa n°5 ..........................................................43 Figura 25: Resultado de la encuesta operativa n°6 ..........................................................44 Figura 26: Resultado de la encuesta operativa n°7 ..........................................................45 Figura 27: Respuesta de la encuesta técnica al encargado de TI n°1 ..............................45 Figura 28. Respuesta de la encuesta técnica al encargado de TI n°2 ..............................46 Figura 29: Respuesta de la encuesta técnica al encargado de TI n°3 ..............................46 Figura 30. Respuestas de la encuesta técnica al encargado de TI n°4 ............................47 Figura 31: Respuestas de la encuesta técnica al encargado de TI n°5 ............................48 Figura 32: Respuesta de la encuesta técnica al encargado de TI n°6 ..............................49 Figura 33. Interfaz del software VM VirtualBox con el SO Kali Linux instalado.................50 Figura 34. Configuración de la interfaz de red de VM Virtual Box ....................................51 Figura 35. Escaneo de dispositivos en la red con Nmap ..................................................52Figura 36. Escaneo de los 1000 puertos más importantes de los dispositivos .................53 Figura 37. Escaneo al dispositivo Smart TV LG ...............................................................54 Figura 38. Servicios que funcionan en los puertos 7000 y 9080 del Smart TV .................54 Figura 39. Vulnerabilidades explotables del servicio Airtunes rtspd .................................55 Figura 40. Vulnerabilidades explotables del servicio Mongoose httpd ..............................56 Figura 41. Código del escáner en Python ........................................................................57 Figura 42. Probabilidad de fuga de información por vulnerabilidad. .................................58 Figura 43. Top 10 de las vulnerabilidades que afectan a los dispositivos IOT [35] ...........59 Figura 44. Contraseñas por defecto Router TP-Link ........................................................60 Figura 45. Búsqueda de contraseñas por defecto Router Arris ........................................61 Figura 46. Contraseñas por defecto del Router Arris en Router Password ......................61 Figura 47. Contraseñas por defecto del Router TP-LINK en Router Password ................62 Figura 48. Ponderación de la probabilidad, impacto y nivel de riesgo ..............................63 xiii Figura 49. Ejemplo del Plan para atender los riesgos ......................................................65 Figura 50. Flujo para atender los riesgos de manera optima ............................................66 Figura 51. Pasos para la gestión del problema ................................................................68 Figura 52. Síntomas para considerar un malware ............................................................70 Figura 53. Flujo para la gestión del ciclo de vida del incidente .........................................72 Figura 54. Access list configurado en el router B .............................................................75 Figura 55. Informe del comando Show Port Security .......................................................76 Figura 56. Diagrama de flujo de la seguridad en la red LAN ............................................76 Figura 57. Estructura inicial de la red ...............................................................................77 Figura 58. Reestructuración de red ..................................................................................78 Figura 59.Gráfico del uso de los controles de la ISO 27002.............................................79 Figura 60. Declaración de Aplicabilidad (SOA) ................................................................80 Figura 61. Plan de acción frente a un ransomware ..........................................................81 Figura 62. Plan de acción frente a una fuga de información.............................................82 Figura 63. Resultados luego de bloquear puertos ............................................................83 Figura 64. Bloqueo de puertos innecesarios en el firewall del router ................................84 Figura 65. Proteger la confidencialidad mediante encriptación ........................................85 Figura 66. Verificar la autenticidad /origen del emisor ......................................................85 Figura 67. Contraseñas de enable, SSH y Telnet no configuradas ..................................86 Figura 68. Contraseñas de enable, SSH y Telnet no configuradas n°2 ............................87 Figura 69. Contraseñas de enable, SSH y Telnet habilitadas ..........................................88 Figura 70. Contraseñas de enable SSH y Telnet habilitadas n° 2 ....................................88 Figura 71. Encriptación habilitada en router .....................................................................89 Figura 72. Encriptación habilitada en router n°2...............................................................89 Figura 73. Acciones de Ciberseguridad en Software y Hardware ....................................90 Figura 74. Pasos para la auditoría interna .......................................................................92 Figura 75. Resultados de la Encuesta General Post Capacitación n°1 ............................96 Figura 76. Resultados de la Encuesta General Post Capacitación n°2 ............................96 Figura 77. Resultados de la Encuesta General Post Capacitación n°3 ............................97 Figura 78. Resultados de la Encuesta Administrativos Post Capacitación n°1 .................97 Figura 79. Resultados de la Encuesta Administrativos Post Capacitación n°2 .................98 Figura 80. Resultados de la Encuesta Administrativos Post Capacitación n°3 .................98 Figura 81. Resultados de la Encuesta Administrativos Post Capacitación n°4 .................99 Figura 82. Resultados de la Encuesta Administrativos Post Capacitación n°5 .................99 Figura 83. Resultados de la Encuesta Administrativos Post Capacitación n°6 ............... 100 Figura 84. Resultados de la Encuesta Operativos Post Capacitación n°1 ...................... 100 Figura 85. Resultados de la Encuesta Operativos Post Capacitación n°2 ...................... 101 Figura 86. Resultados de la Encuesta Operativos Post Capacitación n°3 ...................... 101 Figura 87. Resultados de la Encuesta Operativos Post Capacitación n°4 ...................... 102 Figura 88. Resultados de la Encuesta Operativos Post Capacitación n°5 ...................... 102 Figura 89. Comparativa en puntaje del Antes y Después ............................................... 107 Figura 90. Comparativa Ponderada del Antes y Después área administrativa ............... 108 Figura 91. Comparativa Ponderada del Antes y Después área operativa ...................... 108 Figura 92. Flujo del ciclo continuo de mejora SGSI ........................................................ 112 xiv ÍNDICE DE TABLAS Tabla 1. Beneficios de implementar un SGSI .................................................................... 8 Tabla 2. Acortar riesgo por nivel ......................................................................................64 Tabla 3. Escala de Urgencia ............................................................................................66 Tabla 4. Gestión de la Ciberseguridad .............................................................................69 Tabla 5. Subneteo de Red ...............................................................................................73 Tabla 6: Diferencias entre Programa Anual de Auditorías vs Plan de Auditoría ...............94 Tabla 7. Comparativa de la encuesta General Antes y Después ................................... 104 Tabla 8. Comparativa de la encuesta a los Administrativos Antes y Después ................ 105 Tabla 9. Comparativa de la encuesta al área Operativa Antes y Después ..................... 106 Tabla 10. Resultados Promedio de las encuestas Antes y Después .............................. 107 xv INTRODUCCIÓN La importancia del desarrollo de esta tesis va enfocada a poder brindar una propuesta de solución de ciberseguridad que mejore la protección de la información y darle una continuidad de negocio que permita a la empresa un desarrollo más sostenible a lo largo del tiempo. Dicha propuesta de solución de ciberseguridad puede aplicarse y adaptarse a empresas nacionales e internacionales ya que se basa en la ISO 27001 y su objetivo como tal es hacer un sistema de seguridad de la información SGSI. Con los resultados y desarrollo de este trabajo podremos ver los huecos de seguridad de la empresa, comprender por qué los tiene y poder proponer una solución basada en las normativas de la ISO 27001 adaptadas a la realidad de la empresa. Desarrollo temático de la tesis Capítulo 1: Planteamiento del problema,el capítulo está conformado por la descripción del problema, los objetivos de esta tesis, la justificación e importancia de la investigación, alcances y limitaciones de la misma. Capítulo 2: Este capítulo trata el marco teórico de todos los conceptos relacionados a la presente investigación, así como también la definición de algunos conceptos técnicos. Capítulo 3: En este capítulo se trabaja el estado del arte que no son más que referencias de trabajos de investigación relacionados al tema principal del presente trabajo. xvi Capítulo 4: El capítulo trata de la metodología que utilizará el sistema de la seguridad de la información para poder tener un ciclo de mejora continua que en este caso será el ciclo de Deming. Capítulo 5: En este capítulo se encuentra el desarrollo del proyecto empezando por un análisis a nivel de personal y a nivel de infraestructura de red para poder generar un estatus de cómo se encuentra la empresa en seguridad, para después generar una serie de soluciones para dichos problemas encontrados en el análisis previo. 1 CAPÍTULO 1 GENERALIDADES 1.1 Descripción de la realidad problemática Se está tomado más conciencia sobre la ciberseguridad y esto no es más que el reflejo de la necesidad por salvaguardar la continuidad de la empresa, los activos de información son vitales para que una empresa pueda seguir con un proceso de crecimiento estable y seguro, no obstante somos conscientes de que existe un gran déficit de conocimiento o cultura de seguridad que afecta directamente al “Eslabón más débil” nos referimos al factor humano, tan solo los últimos años se ha incrementado notablemente los ataques cibernéticos hacia empresas que en su gran mayoría no estuvieron preparadas desencadenando perdidas a nivel monetario y aún peor afectando la confianza de sus clientes, tal es el ejemplo del Ransonware WannaCry. Por otro lado, las entidades reguladoras ya empiezan exigir a las empresas adoptar medidas y/o controles que aseguren la protección de data sensible de sus clientes, es por eso y con lo mencionado que podemos apuntar a una de las normativas a nivel internacional que nos ayude a mejorar los puntos débiles respecto a seguridad de la información de una entidad, hablamos de la ISO 27001 que nos detalla la implementación de un Sistema de Gestión de Seguridad de la Información (SGSI). Hoy por hoy las tecnologías Internet de las cosas, Internet of Things (IoT) empiezan a estar presentes en casi la totalidad de empresas actuales ya que centraliza cada vez más 2 cada componente electrónico haciendo así un sistema integrado complejo y útil para las empresas siendo nuestro foco principal analizar qué tan preparadas se encuentran estas nuevas tecnologías frente a una probabilidad de fuga de información y como poder mejorar su nivel de seguridad, recordando que actualmente uno de los retos más significativos del IoT es precisamente la falta de seguridad por ende la falta de confianza en dichos dispositivos provocando que no muchas empresas se preocupen por proteger sus activos. Esta infraestructura de seguridad se puede ver vulnerada más fácil de lo que parece. ¿Una propuesta de ciberseguridad para la detección de fuga de información a través de dispositivos IoT podrá prevenir la fuga de información de una empresa? 1.2 Planteamiento del problema Falta de una propuesta de un plan de ciberseguridad para la detección de fuga de información a través de dispositivos IoT en el área de TI de una empresa embotelladora en Arequipa. 1.2.1 Pregunta principal de investigación ¿Una propuesta de ciberseguridad para la detección de fuga de información a través de dispositivos IoT podrá prevenir la fuga de información de una empresa? 1.3 Problemas 1.3.1 Problema general Falta de una propuesta de un plan de ciberseguridad para la detección de fuga de información a través de dispositivos IoT en el área de TI de una empresa embotelladora en Arequipa. 1.3.2 Problemas específicos Falta de un estándar para gestionar y asegurar la seguridad de la información de la empresa. 3 Desconocimiento de una probable fuga de información a través de los dispositivos IOT que podría provocar riesgos y amenazas a la ciberseguridad de la empresa. Falta de controles para mejorar el manejo y prevención de fuga de información. No contar con procesos y planes de acción para proteger la información que se gestiona mediante los dispositivos IOT 1.4 Hipótesis de la investigación 1.4.1 Hipótesis general El diseño de una propuesta de ciberseguridad acorde a las necesidades de la empresa permite detectar de forma preventiva la fuga de información a través de dispositivos IoT. 1.4.2 Hipótesis especificas La propuesta del estándar ISO 27001:2013 permite gestionar la seguridad de la información de la empresa. Al detectar una probable fuga de información se mapearán los riesgos y amenazas que afecten la ciberseguridad de la empresa. La selección adecuada de controles basados en la ISO 27002 previene la fuga de información. Los procesos y planes de acción protegen la información que se gestiona a través de dispositivos IOT. 1.5 Objetivos de la investigación 1.5.1. Objetivo general Diseñar una propuesta de ciberseguridad para la detección de fuga de información a través de dispositivos IoT en área de TI de la empresa embotelladora. 1.5.2. Objetivos específicos 4 Proponer la ISO 27001:2013 como estándar para gestionar la seguridad de la información Detectar las probables fugas de información a través de los dispositivos IOT para mapear los riesgos y amenazas de ciberseguridad de la empresa. Seleccionar apropiadamente controles y políticas basados en la ISO 27002 de acuerdo a las necesidades de la empresa. Definir procesos y planes de acción para proteger la información que se gestiona mediante dispositivos IOT. 1.6 Justificación Justificación Personal: La presente investigación permitirá aplicar los conocimientos adquiridos en la carrera para así poder obtener el título profesional de Ingeniero de Sistemas. Justificación Social: Existe una ley de protección de datos personales (N° 29733) siendo los clientes uno de los aspectos más que más importa en una empresa, si estos pierden su confianza en la empresa esto representa un gran daño para el futuro de la empresa que requerirá de mucho tiempo y dinero para volver a recuperar y en el peor de los casos esta confianza se perderá para siempre. Justificación Económica: En la actualidad se ha podido ver casos donde un fallo de seguridad puede representar una gran pérdida a nivel monetaria donde muchas empresas pueden llegar a quebrar ya que pierden la principal fuente de ingresos que son sus clientes. 1.7 Importancia En general la importancia por velar por la seguridad de la información hace que las empresas se preocupen más por cubrir sus falencias en ciberseguridad por lo tanto necesitan un modelo o una propuesta que se adapte a las necesidades de cualquier 5 empresa que quiera mejorar su nivel de seguridad y que esté basado en estándares internacionales que puedan avalar su nivel de protección. 1.8 Alcances y limitaciones El diseño de la propuesta de ciberseguridad tendrá como alcance la detección de fuga de información a través de dispositivos IoT en el área de TI de la empresa Socosani en Arequipa, así como la aplicación del estándar ISO 27001:2013 para la creación de un sistema de gestión de la seguridad de la información que mejore el estado actual respecto a ciberseguridad. Dicho sistema no abarca la planta de producción de Socosani y se centrará en el área administrativa, operativa(ventas) y el área de TI de las oficinas ubicadas en el distrito de Cerro Colorado ya que es donde se centraliza la mayor fuente de activos de información.Como limitante tendríamos el acceso limitado a los componentes tecnológicos de la empresa ya que sin dicho acceso será más complicado entender la situación real de la empresa y retrasará en gran medida la mejora de sus puntos más débiles respecto a seguridad, por otro lado, el cambio de directivos también representa una limitante en caso las nuevas personas que estén a cargo de la dirección de la empresa difieran de los puntos previamente acordados. Por último, el estado de emergencia sanitaria por la pandemia del COVID 19 ha impedido realizar un análisis a profundidad dentro de la empresa por las restricciones de distanciamiento social. 6 CAPÍTULO 2 FUNDAMENTACIÓN TEÓRICA 2.1 Internet of Things (IoT) Tal como menciona Liu, Zhao, Li, Zhang, y Trappe, El IoT es una tendencia reciente que extiende los límites de Internet a incluir una amplia variedad de dispositivos informáticos, conectando muchos sistemas independientes a la red formando así un sistema variado y más complejo [1]. Cartuche también nos indica lo siguiente, el IoT es una extensión del internet que integra redes móviles, dispositivos inteligentes, redes sociales con el fin de proporcionar mejores servicios o aplicaciones al usuario gracias a la integración de dichos componentes a red, agrega también que existe una comunicación entre estos dispositivos como el intercambio de información logrando incluso en ciertos casos la toma de decisiones automáticas ante la detección de un evento en particular [2]. 2.2 Infraestructura de Activos IoT Cartuche menciona también que un ecosistema IoT puede interpretarse como el conjunto de Hardware y Software instalados juntos con sus usuarios en un contexto particular, actualmente existen distintos modelos de arquitectura de IoT definidas por instituciones y comunidades científicas [2]. 7 Se puede observar una arquitectura IoT en la figura 1, que comprende diferentes entornos los cuales representan en conjunto el ecosistema de dispositivos relacionados entre sí. 2.3 ISO 27001: 2013 Tal como menciona, ISOTools refiriéndose a la ISO 27001 define que es una norma internacional la cual nos presenta los requerimientos tanto para el mantenimiento como para la implementación y un ciclo de mejora continua dirigido a un sistema de gestión de la seguridad de la información, dicho sistema será una estrategia de la organización por mantener seguro sus activos de información [3]. Por otro lado, Advisera Expert Solutions Ltd, también nos indica que, se describe cómo hacer la gestión dicha seguridad y proteger la información en una organización, dicha norma fue emitida por Internacional Organization for Standardization (ISO) también Figura 1. Arquitectura del Internet de las Cosas [37] 8 presenta varias versiones hasta la fecha actual. la primera fue emitida el 2005 y se realizó basado en BS 7799-2 que es una norma británica [4]. 2.4 Beneficios de un SGSI Tabla 1. Beneficios de implementar un SGSI Beneficios de un SGSI N° Concepto 1 Los procesos en seguridad están equilibrados y coordinados entre sí 2 Metodologías que favorecen la prevención y mitigación de riesgos, mejorando el nivel de seguridad 3 Si un riesgo se materializa, evita que cause grandes pérdidas 4 Ventaja frente a los requerimientos legales 5 Da un valor agregar a la empresa, ya que no todas cuentan con la certificación 6 La empresa puede reducir costos según la eficiencia de la implementación 7 Se genera confianza para las personas dentro y fuera de la organización 8 Detecta y alerta si se presenta alguna actividad sospechosa 9 Seguimiento continuo a los controles de seguridad 10 Planifica nuevos controles y procesos 11 Genera una mejor imagen corporativa (Reputación) Fuente: Adaptado de Beneficios de implementar un SGSI [3] 2.5 Implementación de un SGSI Retomando a Advisera Expert Solutions Ltd, nos dice que la ISO/IEC 27001 está dividida en 11 secciones necesarias para su implementación, sin embargo, las tres primeras secciones es decir de la 0 a las 3 son de carácter introductorio a la norma por lo que no son obligatorias mientras que de la 4 a la 10 son estrictamente obligatorias. En el caso del anexo 2, son controles que la norma nos pide implementar, pero a través de la Declaración de Aplicabilidad se pueden emitir ciertos controles sin dejar de mencionarlos y justificando por qué no se aplicaría [4]. 9 Figura 2. Secciones de la ISO 27001. Fuente: Elaboración Propia Como se puede observar en la imagen anterior la ISO 27001 se puede dividir en 10 secciones, cada sección tiene una finalidad y sirven de ayuda para lograr la implementación. 2.6 Fases de un SGSI Un SGSI basado en la norma ISO 27001 podría resumirse en las fases que se muestra en la figura 3. 10 Figura 3. Fases de un SGSI [5] 2.7 Evaluación del riesgo Como menciona Normas-ISO, para implementar una ISO 27001 es necesario abordar un sistema de la evaluación del riesgo la cual permitirá a la empresa tener un mejor panorama a la otra de delimitar el alcance y la aplicación de la norma, integrando en el sistema un proceso de mejora continua. Para esto usaremos una metodología recomendada por la norma [5]. 11 Figura 4. Método de evaluación y Tratamiento del Riesgo [5] En la figura 4 se observa un gráfico para explicar el flujo para evaluar y Tratar un riesgo. Continuando con la definición de Normas-Iso [5] los pasos serían: Definir los Activos de información, así como sus responsables y que un activo de información es todo aquello que representa valor para la empresa y pueden ser de tipo físico o lógico. Identificar las vulnerabilidades que pueden afectar a nuestros activos. Identificar y reconocer las distintas amenazas que puedan perjudicar el activo, estas pueden ser virus, desastres naturales, incendios, ataques cibernéticos. Identificar requisitos legales, los cuales la organización se encuentra obligada a cumplir con sus proveedores, clientes y socios. Definir los riesgos de cada activo y su probabilidad de que estas se materialicen y causen un impacto directo a los pilares de la seguridad (CIA) Calcular el riesgo, medir que tan probable es que se materialice el riesgo y el impacto que tendría la organización en caso el activo se vea perjudicado, esto se puede medir con la formula R = I x P (Riesgo = Impacto x Probabilidad). En base al resultado podemos priorizar que riesgos tendrían que ser atendidos primero. 12 Plan de tratamiento del riesgo, se podría establecer como la política de tratamiento del riesgo que describe como: tomar el riesgo, reducirlo, eliminarlo y transferirlo. 2.8 Versiones 2.8.1 BS 7799-1 (1995) Como menciona PMG-SSI, se trataba de un conjunto de mejores prácticas que tienen el fin de ayudar a las empresas administrar la seguridad de la información, dichas buenas prácticas o recomendaciones no daban opción a alguna certificación [6]. 2.8.2 BS 7799-2 (1998) Retomando a PMG-SSI, menciona que la norma BS 7799-1 tuvo una segunda versión y llamada BS 7799-2 en la cual se establecían distintos requisitos que eran necesarios cumplir para tener un sistema de gestión de seguridad de la información certificable [6]. 2.8.3 ISO/IEC 27001:2005 Así mismo Gestión-Calidad nos menciona que en el año 2005 un total de 1700 empresas contaban con la certificación BS 7799-2 por ende la normativa se publicó como ISO estándar de la ISO 27001 y se renombró ISO 27001:2005 [7]. 2.9 Familia 27000:2013. 2.9.1 ISO 27002:2013. Según nos indica ISOTools, Esta ISO nos ofrece un compendio de las buenas prácticas donde los objetivos de los controles se detallan como también y las evaluaciones más recomendadas [8]. Continuando con ISOTools, Nos indica que en la norma podemos encontrar un total de 39 objetivos de controly 144 controles agrupados en diferentes dominios [8]. 2.9.2 ISO 27003:2013. 13 Como indica ISOTools, Esta ISO nos proporciona un manual de como implementar un SGSI y también información y pautas para utilizar el ciclo PHVA (Planear, Hacer, Verificar, Actuar) [8]. 2.9.3 ISO 27004:2013. La ISO 27004 nos ayuda con pautas para ayudar a las organizaciones o entidades a medir la calidad de la seguridad de la información y cuan efectivo es el SGSI para cumplir los requisitos de la 27001:2013 [9]. También podemos abordar el concepto de ISO 27000 que menciona que es una guía útil para desarrollar y utilizar métricas, técnicas que nos ayuden a medir la eficiencia del SGSI y de sus diferentes grupos de controles que serán implementados según la ISO 27001 [10]. 2.9.4 ISO 27005:2013. La ISO 27005 proporciona pautas para hacer la gestión los riesgos de seguridad y nos ayuda con a la implementación de la seguridad de la información orientada a la gestión de riesgos [11]. También podemos tomar el concepto de Melo, donde nos recalca que no es una ISO certificable y está diseñada para ayudar en la implementación del SGSI basada en el ciclo PHVA [12] 2.9.5 ISO 27006:2013. Esta ISO nos especifica requisitos para acreditarnos como entidad frente a otra entidad auditora, en otras palabras, nos ayuda en la interpretación de la acreditación de la ISO 27001. Tal como menciona [10]. También debemos resaltar lo que menciona ISOTools [8], La ISO 27006 es una versión revisada de la EA-7/03. 2.9.6 ISO 27007:2013. A diferencia de la ISO 27006 la ISO 27007 se encarga dar una guía de auditoría de un SGSI [10]. 14 Asimismo, recalcar lo que nos menciona Hernández, este apartado nos ayuda aplicar y sirve de ayuda para aquellos que necesiten realizar o comprender las auditorías tanto internas como externas, también para poder realizar una gestión de un plan, por lo tanto, el alcance de la auditoría tiene que tener en cuenta todos los riesgos de seguridad que afecten al SGSI [13]. 2.9.7 ISO 27032:2012. Como menciona GRUPO ACMS [14]. La ISO 27032 es un nuevo estándar de ciberseguridad que ofrece en líneas generales orientación sobre como fortalecer el estado de ciberseguridad en una entidad empresarial, utilizando 4 grandes enfoques los cuales son: Seguridad en redes, seguridad en internet, seguridad de la información y seguridad de las aplicaciones. Seguridad de la información. Tal como menciona Areitio, para un actual entorno competitivo en sociedad, el conocimiento y la información junto con la adecuada gestión de la seguridad de la información será de vital importancia ya que es una de las bases para la supervivencia de una organización [15]. Efectivamente si una empresa quiere estar a la vanguardia de la tecnología, transcender la confianza de sus clientes es necesario contar con una correcta gestión de la seguridad de la información de esta forma mantenerse en el mercado tan competitivo. Los pilares de la seguridad. Como nos dice Soriano, existen pilares básicos de la seguridad de la información, estos son: confidencialidad, integridad y disponibilidad también conocidos como la tríada CIA provenientes del inglés Confidentiality, Integrity and Availability [16]. 2.10 Confidencialidad Retomando con los conceptos de Areitio, Es el requisito que se encarga de que la información privada, personal y secreta no sea revelada a terceros no autorizados. 15 Para algunos este requisito es de suma importancia sin embargo para otras entidades este requisito se encuentra por detrás de la integridad y la disponibilidad [15]. Adicionando al concepto, dependiendo de cuál es el interés de la empresa por priorizar este pilar esta misma tendría que emplear técnicas de encriptación para cifrar data sensible con la finalidad de asegurar la confidencialidad de sus clientes. Este requisito debe tomarse en consideración si se almacenan datos en algún dispositivo físico o virtual al que una persona no autorizada podría acceder [16]. 2.11 Integridad. Como indica Sorian, la integridad de los datos es la garantía que nuestra información no sea alterada/modificada por entidades (personas, procesos, máquinas, organizaciones) no autorizadas. Dentro de un sistema de información la integridad implicaría garantizar al cliente que sus datos no han sufrido ninguna corrupción mientras se realizaba algún proceso y se garantiza la detección en caso ocurra una alteración, este pilar está más considerado en muchos otros entornos [16]. De modo similar Areitio [15] nos dice que la integridad tiene dos facetas: La integridad de datos. Se puede interpretar cuando los datos de alguna manera no hayan sido modificados o alterados de una forma no autorizada y se encuentra libre de manipulaciones no consentidas. Integridad del sistema. Podemos interpretarlo cuando un sistema realiza su función adecuada y deseada, sin alterar su funcionamiento y libre de manipulación con consentida [p. 3]. 2.12 Disponibilidad Explica Soriano que la disponibilidad es sinónimo de tener acceso a la información siempre que se requiera o se solicite, al igual que los demás pilares también puede verse afectada por, motivos técnicos (mal funcionamiento del dispositivo, cortes de 16 energía), naturales (desastres naturales, agua, viento) y también causas humanas ya sean accidentales o deliberadas [16]. Para complementar Areitio nos dice que este pilar usualmente es uno de los más importantes para una organización y que, la disponibilidad es significado que un sistema está protegido contra los intentos accidentales o adrede de ejecutar un borrado que no está autorizado [15]. 2.13 ITIL Como nos menciona Ingenio, ITIL por sus siglas en inglés biblioteca de infraestructura de tecnologías de información es un conglomerado de buenas prácticas y normas que principalmente se usan para la gobernanza de tecnología y tiene por objetivo la eficiencia y calidad en las operaciones relacionadas al departamento de TI [17]. 2.14 Plan de Contingencia Como explica Ferruzola un plan de contingencia prepara a una organización para que esté lista para actuar de una manera efectiva en caso suceda alguna emergencia [18]. 2.15 Ciberataques Como detalla Iberdrola, Los ciberataques son un conjunto de determinadas acciones que van contra los sistemas de información, estos pueden ser bases de datos o redes informáticas y tienen por objetivo perjudicar ya sea a personas, instituciones o empresas, actualmente y debido a la globalización informática es más probable que se dé una guerra cibernética que una tradicional [19]. 2.15.1 Exploits Así mismo Hypponen nos dice que, la mayoría de ciberataques son de carácter delictivo y utilizan exploits para infectar a los ordenadores, dichos exploits no son más que errores en el software en otras palabras defectos de programación y estos existen 17 ya que la programación se da a través de seres humanos y como tal pueden cometer fallos [20]. Continuando con los que nos dice Hypponen, estos exploits también se pueden utilizar para realizar pruebas de penetración o pentesting a través de herramientas como Metasploit y puede ser realizados por personas especializadas y formadas con el fin de incrementar la seguridad de una empresa, por lo tanto hay una necesidad constante de buscar y crear nuevos exploits ya que estos no duran para siempre en cuanto se dé a conocer uno, el código es parcheado para evitar el fallo de seguridad [20]. 2.15.2 Phishing Según Castillo, este método probablemente sea de los más utilizados en los ciberataques y consisten en enviar correos electrónicos fraudulentos que te redirigen a páginas web falsas para intentar obtener datos personales tales como DNI, contraseñas del banco, etc [21]. 2.15.3 Vishing Castillo también nos dice que, el vishing hace referencia a llamadas telefónicas fraudulentasy que utilizan la información expuesta en la red para potenciar el ataque dirigido, el delincuente se puede hacer pasar por algún agente del banco y por lo general exponer alguna noticia de carácter alarmistas [21]. 2.15.4 Smishing Castillo explica que, como se ha globalizado las tecnologías de mensajería instantánea como lo es WhatsApp, Telegram, etc. Esto deriva en una nueva modalidad conocida como smishing, en este caso la victima recibe un mensaje de texto enviando por el delincuente solicitando que la víctima le devuelva la llamada y pidiéndole datos sensibles, otra variante es que te envíen un enlace de internet fraudulento que te dirija a una página falsa de banca móvil por lo general para robarte tus datos [21]. 2.15.5 Shoulder Surfing Como explica Osi, esta técnica consiste en que el ciberdelincuente consigue información básicamente mirando por encima de nuestro hombro desde una posición 18 muy cercana sin que nos demos cuenta, normalmente se dan en espacio públicos como restaurantes, centros comerciales, el transporte, incluso en cajeros automáticos [22]. 2.16 OWASP Como nos indica OWASP, cuya definición de sus siglas es Open Web Application Security Project (OWASP), Es una fundación que no tiene fines de lucro cuyo fin es mejorar la seguridad en el software, esto lo hace a través de distintos proyectos de código libre que su misma comunidad comparte, también realiza formaciones y conferencias con el fin de capacitar a los desarrolladores de software, por otro lado OWASP también realiza un estudio y posterior publicación de un libro que describe el top 10 de las preocupaciones de seguridad más crítica a nivel mundial, dicho trabajo es realizado por expertos de seguridad de todo el mundo [23]. 19 CAPÍTULO 3 ESTADO DEL ARTE Los investigadores de los departamentos de Computer and Security de Texas y Computer Engineering de la Universidad de Science and Technology en su artículo se tuvo por objetivo analizar los nuevos retos que el IoT presenta por la falta de seguridad y privacidad de sus usuarios, nos detalla también las principales causas de que ocurran dichas vulnerabilidades apoyándose en antecedentes de anteriores sistemas IoT, diferentes medidas de seguridad, enfoques utilizados para proteger los componentes de entorno, las actuales soluciones de seguridad existentes y los modelos privacidad necesarios y adecuados para diferentes capas de aplicación impulsadas por el IoT. Como conclusión se propuso un modelo en capas de IoT: Genérico y estirado con los componentes de privacidad, seguridad y la identificación de capas. Dicho modelo no solo elimina las posibles vulnerabilidades de seguridad y privacidad del IoT sino también se puede usar junto con las mejores técnicas de seguridad para las diferentes capas de aplicación de un IoT [1]. Los Investigadores de Google USA y del departamento de Electrical and Computer Engineering de la Universidad de Piscataway en la presente investigación tuvieron por objetivo investigar las posibles soluciones de IoT profundizando en sus aspectos de arquitectura de seguridad, detectando de esta manera los distintos problemas de seguridad exclusivos de los sistemas IoT y como resultado se propuso el modelo MobilityFirst 20 encargado de abordar estos problemas, aumentando la confianza sobre el funcionamiento seguro del internet de las cosas dicho modelo proporciona nombres y calves a los dispositivos a través del middleware IoT-NRS [24]. Los investigadores de la Universidad Tecnológica del Perú de la carrera Ingeniería de Sistemas e Informática, realizaron una investigación que tuvo por objetivo realizar un diseño de una arquitectura para plataformas IoT dentro de la empresa Pacífico Seguros; esta investigación utilizó controles propios de la ISO 27001 y también de la ISO 27032, los comparó para determinar cuál sería mejor usar, cuestionarios para medir el grado de conocimiento, estos instrumentos fueron aplicados tanto a los colaboradores como a la infraestructura de la organización y se llegó a la conclusión que existen distintas vulnerabilidades, amenazas y riesgos hacia los activos de la empresa, así mismo se midió el impacto que generaría si una amenaza se materializa. El desarrollo de un plan de acción y de una arquitectura permite establecer lineamientos en caso se vea afectado la información confidencial de la plataforma de IOT y generar un plan de recuperación y continuidad de la empresa [25]. El investigador del programa de ingeniería especializada en auditorias de sistemas de la Universidad católica de Colombia, en su investigación tuvo por objetivo identificar la mejor estrategia para la implementación de un SGSI basado en la norma ISO 27001 para el área de TI en la empresa Market Mix; para el desarrollo de esta investigación se utilizaron encuestas y entrevistas a los 200 integrantes del área de TI para medir los conocimientos y manejos de la seguridad de la información y se llegó a la conclusión que solo el 29% tiene un buen conocimiento, el 20% no tenía conocimiento, el 13% conocimientos bajos, el 32% conocimientos medios. Por lo que demuestra que la empresa está sujeta a sufrir distintas fugas de información y pérdida de la misma [26]. El investigador de la Universidad Politécnica Salesiana sede Quito en su investigación tuvo por objetivo realizar una investigación de los efectos al momento de implementar una auditoría informática a empresas de seguros utilizando la ISO 27001:2013; para el 21 desarrollo de esta investigación se utilizaron los controles de la ISO 27001:2013, se utilizaron distintos métodos de investigación como el deductivo, sintético, analítico y estadístico dirigidos a la población y muestra proporcionados por la SUPERINTERDENCIA DE COMPAÑIAS VALORES Y SEGUROS, se encuentran 14 empresas de seguros y se llegó a la conclusión que la ISO aumentó el rendimiento del maneja de sus activos de información, se crea una ventaja competitiva frente a otras aseguradoras, se asegura un crecimiento sostenible para la empresa [27]. El investigador de la facultad de ingeniería escuela profesional de sistemas de la Universidad César Vallejo, en su investigación tuvo por objetivo elaborar un diagnóstico de los activos de información en el área QHSE basado en la ISO 27001, para el desarrollo de esta investigación se realizaron reuniones y también se utilizaron cuestionarios hacia los colaboradores del área de logística e informática de la empresa y se llegó a la conclusión de que es necesaria una propuesta técnica que involucre los controles de la seguridad de la información basada en la norma 27001 ya que el grado de criticidad puesto en los activos de información de esa área eran de gran valor para la empresa y una implementación del SGSI ayudará a reducir estos indicadores [28]. El investigador de la escuela profesional de ingeniería informática de la Universidad de San Pedro de Huacho en su investigación tuvo como objetivo determinar las políticas de seguridad informática para el manejo de información de la Distribuidora Almapo S.R.L., para conocer las deficiencias en el uso de la información por la ausencia de controles de seguridad, se utilizaron los controles descritos por la ISO 27001:2013 e una investigación a nivel descriptiva, también se utilizaron encuestas dirigidas a los empleados da la empresa, como conclusión se afirmó la falta de normas y políticas de seguridad para el manejo de información, así mismo los trabajadores no tienen claro el concepto de seguridad de la información por ende se determinar aplicar las políticas descritas por la ISO 27001 [29]. 22 El Investigador de la Universidad técnica de Ambato en Ecuador, en su investigación se plantea un diseño de un plan de contingencia informático basado en la norma de la calidadISO 27001:2013 para evaluar que amenazas y vulnerabilidades son los principales riesgos de activos de la empresa se ven comprometidos para realizar esto se utilizaron las normativas de la ISO 27001:2013 y encuestas hechas a los colaboradores de la empresa de área de TI, y se concluyó que el área de TI no está preparada para las amenazas detectadas y pueden generar la pérdida o modificación de sus activos principales de información [30]. 23 CAPÍTULO 4 METODOLOGÍA 4.1 Metodología PDCA – Ciclo Deming. Tomando el concepto de Ocrospoma [31], El ciclo Deming, es un proceso metodológico cuyo principal objetivo es aplicar a cualquier proceso una acción cíclica con el fin de lograr una mejora continua. P (Plan) = Planificar. D (Do) = Hacer, realizar. C (Check) = Validar, verificar, comprobar. A (Act) = Actuar. 4.1.1 Planificar En esta etapa se desarrolla el planteamiento del contexto, tratamiento de los riesgos, la valoración del riesgo y aceptación del riesgo, en otras palabras, se desarrolla el Plan de Tratamiento del riesgo [12]. 4.1.2 Hacer En esta etapa se plantea la implementación del Plan de tratamiento de riesgos teniendo como objetivo cubrir todos los controles de seguridad que fueron seleccionados en el plan para mitigar riesgos [32]. 4.1.3 Verificar En esta etapa como lo define Mera y Mondragón [32], se deberán efectuar procesos de monitorización con el fin de hallar fallos que ocurran al pasar los días, ver cómo 24 reacciona el personal frente al SGSI, también evaluar regularmente la efectividad del SGSI revisando si los controles aplicados disminuyen o mitigan los riesgos identificados y consecuente el grado de aceptación que tiene la dirección frente a los nuevos cambios y mejoras, es recomendable por tal razón realizar auditorías internas por personal calificado. 4.1.4 Actuar Para esta etapa se deberá efectuar las mejoras identificadas ya sea con acciones preventivas o correctivas, se recolecta también lecciones aprendidas con el fin de no cometer los mismos errores. Toda esta información se deberá comunicar a las partes interesadas con el fin de mejorar el SGSI y evidenciar la mejora continua. Por último, el ciclo de Deming al ser cíclico volvería el primer paso y se repetiría el ciclo [32]. La figura 5 se adaptó el ciclo de Deming para aplicarlo a la implementación de un SGSI y lograr una mejora continua. Figura 5. Ciclo de Deming orientado al SGSI [38] 25 Como se observa en la figura 6 se aplicará el flujo continuo para una mejora continua como nos indica el ciclo DEMING de esta forma el SGSI estará en continua evolución. 4.2 Comparando el ciclo de DEMING versus otras metodologías 4.2.1 Metodología Six Sigma Como menciona Gisbert et al [33] es una técnica cuyo objetivo es disminuir la variabilidad de los procesos con el fin de mejorar la calidad, dicho ciclo se da mediante los siguientes pasos DMAIC (Definir, Medir, Analizar, Mejorar y Controlar) para poder implementar dicha metodología es necesaria la participación de todos los trabajadores de la empresa, sigma desde el punto de vista estadístico nos presenta la dispersión de los valores en la media con respecto a los valores. 4.2.2 Metodología Kaizen Según menciona Blanco [34] el método de Kaizen nos presenta una filosofía de superación constante y permanente, este modelo de mejora se caracteriza por buscar mejoras sin mucha prisa, pero sin pausas y debe implantarse en la totalidad de la Figura 6. Diagrama de Flujo del Sistema. Fuente: Elaboración Propia 26 empresa, este método se divide en 3 grandes apartados los cuales son: la eliminación o también llamada muda, correcto mantenimiento y la estandarización. 4.2.3 Elección de la metodología Retomando a Gisbert [33], nos menciona también que la metodología sigma es utilizada mayormente para procesos más complejos y que manejen gran cantidad de datos a comparación de la metodología de DEMING al ser un método más clásico se suele utilizar para problemas de tamaño medio. El método DMAIC vendría ser una evolución del método PDCA por lo tanto es más exhaustivo y conlleva a un mayor tiempo de implementación Por otro lado, Blanco [34] también menciona, frente a la comparación de estos dos enfoques DEMING y Kaizen. En la metodología de DEMING la mejora se aplica por proyecto mientras que Kaizen se realiza de manera diaria, DEMING se enfoca en los resultados obtenidos mientras que Kaizen en los procesos. Otro de los puntos más importantes es que la metodología DEMING tiene objetivos bien delimitados mientras que Kaizen al no tener un plan tiene resultados desconocidos. Como conclusión la implementación de los procesos de mejora continua del ciclo de DEMING es más sencilla mientras que la de Kaizen es más compleja. 4.3 Descripción de la investigación 4.3.1 Población. En este caso la población es la totalidad de personas que laboran en la empresa Socosani S.A. Esto incluye a todas las áreas de la empresa. 4.3.2 Muestra Ya que la muestra es una parte representativa de la población, en este caso las personas que tienen contacto con equipos de la empresa, personal correspondiente al área operativa, administrativa y área de TI. Por lo tanto, se determinó que la muestra es no probabilística porque no hubo una elección aleatoria de los elementos que 27 participaron en la encuesta, al contrario, fueron los ya designados por pertenecer a determinada área. Área Operativa: 21 personas Área Administrativa: 15 personas Área TI: 1 persona 4.3.3 Tipo y diseño de la investigación Tipo: Descriptivo Diseño: No experimental/longitudinal 4.3.4 Nivel y enfoque de la investigación Nivel: Aplicado Enfoque: Mixto 4.3.5 Viabilidad Técnica Se cuenta con los permisos para utilizar los recursos técnicos necesarios que la empresa dispone (equipos y software informáticos), así como la facilidad para coordinar con el personal técnico las acciones que permitan implantar el nuevo modelo de seguridad con la ISO 27001:2013 en el que me encuentro certificado. Operativa El proyecto de investigación está enmarcado dentro de los objetivos de la empresa de brindar a sus clientes confianza en las operaciones que se dan entre el cliente y la empresa, por ello la planificación y metas del proyecto de investigación han sido aprobados por la empresa para el manejo de la información, así como el permiso para que supervisores y personal de cada área puedan facilitar el desarrollo de la implementación de la propuesta de seguridad en el tiempo establecido. Económica La de implementación de un nuevo modelo de ciberseguridad ha sido propuesta a la empresa, así como la implementación de algunos equipos de red que mejoren la 28 respuesta seguridad de la red de datos están presupuestados, revisar en el anexo 11, el software utilizado es de código libre. Respecto al estudio y desarrollo del proyecto, su financiamiento corre a cuenta del tesista que incluye estudios preliminares del proyecto, pruebas iniciales e implementación de la nueva propuesta mediante el análisis comparativo de los resultados preliminares y el proceso de validación con encuestas de aceptación del nuevo modelo. 29 CAPÍTULO 5 RESULTADOS Y DISCUSIÓN 5.1 Resultado del Diagnóstico 5.1.1 Tratamiento de información por área Área Administrativa Esta área en concreto se centra en la generación de reportes de ventas ya sean semanales, mensuales y anuales las cuales ayudan a la gerencia a tomar decisiones con respecto al reporte. Siendo el foco más importante la información de las ventas, tal como: Que producto se vende más. En qué zona se vende más un producto que otro. Lafecha en la que un producto se sube su rotación o baja Clientes con alta demanda de pedidos. 30 Figura 7. Diagrama de flujo para administrativos de Ventas Fuente: Elaboración Propia Incidencias: Una fuga de información o vulneración de la integridad, disponibilidad y confidencialidad en esta área en particular significaría un gran riesgo para la empresa ya que esta área es vital para la toma de decisiones gerenciales en base a reportes, dicha información contiene el historial de ventas de varios años, padrones de clientes, información confidencial de clientes y lista de precios de los productos. Dicha vulneración puede afectar a la no disponibilidad del servidor evitando que el sistema interno pueda ser usado por los trabajadores afectando todos los procesos de la empresa, por otro lado, la filtración de data sensible como los datos ya mencionado líneas arriba. 31 Activos de Información afectados: Computadoras de Escritorio USB Servidor Dispositivos IOT afectados: Impresoras Routers Área Operativa (Preventa) Esta área se encarga de tomar los pedidos e ingresarlos al sistema, dicho proceso se hace a través de un dispositivo móvil (Android) y una app desarrollada por la organización, esta app se comunica a través de una API y manda respuestas JSON que en este caso vendrían a ser los pedidos, también utiliza la tecnología de GPS para cuando realice un pedido en el lugar donde se encuentre se captura sus coordenadas y se genere un punto en un mapa de tal forma que ayude al área de reparto a llegar con el pedido solo en el caso de nuevos clientes. Figura 8: Diagrama de Flujo de la venta de una Preventista Figura 8. Diagrama de Flujo de la venta de una Preventista. Fuente: Elaboración Propia 32 Incidencias Esta área en caso llegase a estar comprometida con alguna brecha de seguridad podría significar perdida de ingreso de dinero a la empresa, ya que el rol de un preventista recae en tomar pedidos a los clientes para que después llegue al punto un camión de reparto entregando el pedido y cobrando el mismo. Por otro lado, si el dispositivo no cuenta con la seguridad correspondiente, el atacante tendrá fácil acceso a la información de los contactos del preventista al mismo tiempo suplantar la identidad del preventista afectando directamente al cliente final. Activos de Información más relevantes: Dispositivos Móviles 5.1.2 Análisis del contexto del SGSI Alcance y límite tecnológico. Como estrategia para la implementación del SGSI se definió como alcance del SGSI trabajar con las siguientes áreas Área de TI. Área administrativa. Área operativa. ya que dichas áreas ocupan el mayor número de activos de información críticos dentro de la empresa Socosani S.A. para ver detalladamente los activos identificados ver el anexo 1. Adicionalmente como límite tecnológico tenemos: La estructura de red. Dispositivos IoT. Almacenamiento. Herramientas de productividad personal. Interesados Internos Gerencia General. 33 Necesidades o expectativas: Asegurar la integridad, confidencialidad y disponibilidad de la información dentro de la empresa. Requerimientos: Implementar el SGSI Gerencia Administrativa. Necesidades o expectativas: Proteger la información sensible de los clientes, proveedores, así como la información financiera y contable. Requerimientos: La implementación del SGSI sea de una forma eficiente con el tiempo y el uso de recursos. Gerencia del área operativa. Necesidades o expectativas: Velar por la continuidad de los procesos de negocio y mejorar el flujo de trabajo para ser más productivos. Requerimientos: Los trabajadores deben estar capacitados para manejar de mejor manera incidentes de seguridad. Jefe del área de TI. Necesidades o expectativas: Mejorar el control de la seguridad de la información para evitar posibles fugas de información. Requerimientos: Proponer mejores generales para las distintas posibles fugas de información y reestructuración de la red. Interesados Externos. Clientes Como clientes tanto consumidores como proveedores se espera que la información sensible de su información se encuentre lo mejor resguardada posible. Gobierno Según la Ley N°29733 los datos personales contenidos ya sea en entidades públicas o privadas deben objeto de especial protección. 5.1.3 Encuesta y Entrevista 34 Nivel de conciencia de los trabajadores sobre la ciberseguridad (conocimiento de seguridad, contraseñas, vulnerabilidad de información) (10 preguntas de opciones de cerradas) (preguntas de control: edad, sexo, puesto/área, antigüedad). Se elaboró tres encuestas, una destinada para el área administrativa, otra para el área operativa y una destinada al encargado del área de TI, con el fin para medir el grado de madurez de la empresa con respecto a la seguridad de la información, las primeras preguntas son generales para la parte administrativa y operativa. Figura 9: Resultado de encuesta n°1 Figura 9. Resultado de encuesta n°1 Fuente: Elaboración Propia Se puede observar en la figura 9, que más de la mitad es decir un 67.6% no sabe o no ha escuchado sobre la seguridad de la información y el otro 32.4% si ha escuchado o tiene alguna idea. Esto nos da entender que un gran porcentaje no sabe que es la seguridad de la información y es un punto importante a cubrir. 35 Figura 10: Resultado de encuesta n°2 Figura 10. Resultado de encuesta n°2 Fuente: Elaboración Propia Continuando con la siguiente pregunta en la figura 10 se puede observar, y estando muy ligado a la primera nos damos cuenta que más de la mitad de los encuestados piensa que no tiene algún activo de información en su poder lo cual representa un gran riesgo ya que todos cuentan con al menos un activo de información en su poder por otro lado el 32.4% está consciente que tiene en su poder dicho activo de información. Figura 11: Resultado de encuesta n°3 Figura 11. Resultado de encuesta n°3 Fuente: Elaboración Propia 36 La figura 11 nos refleja la realidad de la empresa, donde se hace notoria la falta de preocupación por parte de la empresa para concientizar a sus trabajadores y fomentar una cultura de seguridad de la información. En resumen, podemos concluir de esta primera parte de la encuesta dirigida a todos en general que la falta de cultura y consciencia con respecto a la seguridad es un punto urgente a tratar. Encuesta para el área Administrativa. Esta encuesta está destinada a medir el grado de seguridad que tiene cada empleado dentro del área administrativa, esto incluye (Contabilidad, Ventas, RRHH, Distribución), Figura 12: Resultado de encuesta n°4 Figura 12. Resultado de encuesta n°4. Fuente: Elaboración Propia La figura 12, nos muestra que un 40% de los trabajadores del área administrativa no cambia nunca la contraseña de usuario para el acceso a su computadora, el otro 40% lo cambia una vez y solo el 20% lo cambia una vez al año, sin embargo, todos cuentan con una contraseña a sus perfiles de usuario, dándonos a entender que no se tiene una política de seguridad sobre el cambio continuo de contraseñas. 37 Figura 13: Resultado de la encuesta n°5 Figura 13. Resultado de la encuesta n°5. Fuente: Elaboración Propia La figura 13, tiene la finalidad de descubrir si se puede dar una fuga de información por este medio tan común pero muy riesgoso que normalmente se utiliza por el personal de oficina, dicho mal hábito nos puede dejar expuesto a técnicas como el “Trashing” o “Dumpster Diving”, un 53.3% no anota información sensible en post it pero un 46.7% si lo hace. Figura 14: Resultado de la encuesta n°5 Figura 14. Resultado de la encuesta n°5. Fuente: Elaboración Propia 38 La figura 14, se puso con la finalidad de ver si información importante
Compartir