GESTIÓN DE LA SEGURIDAD

Actividad 2: Plan de gestión en ciberseguridad

Análisis de Riesgos sobre ISO27001:2013

Descripción breve
Implementación de un plan de gestión en ciberseguridad.

Grupo 11, equipo 5

Miguel Ángel Cano Bejar

Juan José García Chinarro

Unai Pildain Legorburu

Contenido
1. Introducción 1
2. Análisis de Activos 2
3. Análisis de controles 5
4. Categorización amenazas 13
5. Análisis de Riesgos. 15
6. Plan de tratamiento de riesgos 25
7. Análisis de los Incidentes de Seguridad 25
8. Conclusiones 29
9. Bibliografía 29
1. Introducción
Este documento tiene como propósito mostrar un análisis de riesgos llevado a cabo sobre la empresa
Aceites El Raso dentro del plan de gestión de ciberseguridad de la compañía.

De dicho análisis, se extrae el estado actual en el que se ha detectado que está la empresa referido a
la Gestión de la Seguridad de la Información, de cuyos resultados se debe llevar a cabo las acciones de
mejora oportunas para garantizar una correcta Gestión de la Seguridad de La Información, de acuerdo
a la normativa correspondiente, en este caso la normativa ISO 27001:2013.

Aceites El Raso es una empresa dedicada a la obtención de aceite de oliva virgen extra a través de la
explotación de las mejores aceitunas de la variedad manzanilla, de la zona sur de Ávila.

También se dedica la comercialización del aceite desde las oficinas de la compañía o mediante tienda
online.

Se compone de un área de Administración, un Área de Recursos Humanos, un área comercial, un área

de obtención de aceite y un área de envasado.

1
2. Análisis de Activos
Se han definido los siguientes activos importantes dentro de la compañía, como puntos de interés a la hora de configurar la seguridad de la información,
cada activo representa un elemento a tener en cuenta a la hora de aplicar nuestras políticas de seguridad.

Valor
Tipo Nombre Estratégico Propietario Descripción
Archivos con acceso confidencial para
[Media] Soportes de Archivos determinadas personas del equipo
información confidenciales Muy Alto CEO directivo

[D] Datos / Información Bases de Datos Medio Departamento TIC Bases de datos

[HW] Equipos Equipos de Todos los equipos que no son servidores

informáticos (hardware) Usuarios Medio Departamento TIC de la compañía
[P] Personal Formación Bajo CEO Cursos de formación
[keys] Claves Gestión de usuarios de acceso interno a
criptográficas Gestión de usuarios Muy Alto Departamento TIC las herramientas administrativas
Gestor de usuarios
[keys] Claves registrados en
criptográficas tienda online Alto Departamento TIC

[AUX] Equipamiento Otros Equipos con

auxiliar conexión a red Muy Bajo Departamento TIC Impresoras y faxes

[COM] Redes de
comunicaciones Red Interna Medio Departamento TIC Red interna de cableado LAN y telefónico

[SW] Aplicaciones Servidor de

(software) aplicaciones Alto Departamento TIC
[Media] Soportes de Servidor de correo
información electrónico Medio Departamento TIC Servidor de correo de la empresa
Servidor de Servidor común de archivos con gestor
[D] Datos / Información documentos Alto Departamento TIC de usuarios

[HW] Equipos Servidor proxy para controlar el acceso a

informáticos (hardware) Servidor proxy Alto Departamento TIC internet

[COM] Redes de
comunicaciones Telefonos móviles Bajo Departamento TIC Teléfonos móviles de empleados

[S] Servicios Teletrabajo Medio Departamento TIC Herramientas que facilitan el teletrabajo

[Media] Soportes de
información Tienda online Alto Departamento TIC Tienda online

3
Del análisis de los activos nos permite evaluar la importancia de cada uno de los elementos:

Por categoría del riesgo:

Se ha realizado una valoración del riesgo en función de la importancia y vulnerabilidad del activo, y
nos ha dado como resultado la gráfica que se muestra.

A continuación se muestran los activos por categoría:

4
3. Análisis de controles
Una vez hemos realizado la definición de activos procedemos a analizar la situación de todos ellos de
manera agrupada:

Se adjunta anexo con los detalles de toda la información obtenida.

Se ha dividido el análisis en los siguientes aspectos:

5. Políticas de Seguridad de la información

6. Organización de la seguridad de la información
7. Seguridad ligada a los recursos humanos
8. Gestión de activos
9. Control de acceso
10. Criptografía
11. Seguridad física y del entorno
12. Seguridad de las operaciones
13. Seguridad de las comunicaciones
14. Adquisición, desarrollo y mantenimiento de los sistemas de información
15. Relación con proveedores
16. Gestión de incidentes de seguridad de la información
17. Aspectos de seguridad de la información para la gestión de la continuidad del
negocio
18. Cumplimiento

A continuación se pasa a resumir los resultados obtenidos en cada uno de los check establecidos. No
se incluyen los resultados de los apartados 11 al 18 al no haber sido analizados en detalle para el
presente informe.

5. Políticas de Seguridad de la información

Política de información adecuada, sin embargo muy baja la cobertura de las revisiones de esa política
de información.

A51- Políticas para la seguridad de la información

A52 - Revisión de la política de seguridad de la información

5
6
6. Organización de la seguridad de la información
A.6.1. Organización interna

A.6.1.1 - Roles y responsabilidades en seguridad de la información

A.6.1.2 - Segregación de tareas

A.6.1.3 - Contacto con las autoridades

A.6.1.4 - Contacto con grupos de interés especial

A.6.1.5 - Seguridad de la información en la gestión de proyectos

A.6.2 Los dispositivos móviles y el teletrabajo

A.6.2.1 - Política de dispositivos móviles

A.6.2.2 - Teletrabajo

7
7. Seguridad ligada a los recursos humanos
[A.7.1] - Antes del empleo

[A.7.1.1] - Investigación de antecedentes

[A.7.1.2] - Términos y condiciones del empleo

[A.7.2] - Durante el empleo

[A.7.2.1] - Responsabilidades de gestión

[A.7.2.2] - Concienciación, educación y capacitación en seguridad de la Información

[A.7.2.3] - Proceso disciplinario

[A.7.3] - Finalización del empleo o cambio en el puesto de trabajo

[A.7.3.1] - Responsabilidades ante la finalización o cambio

8
8. Gestión de activos
[A.8.1] - Responsabilidad sobre los activos

[A.8.1.1] - Inventario de activos

[A.8.1.2] - Propiedad de los activos

[A.8.1.3] - Uso aceptable de los activos

[A.8.1.4] - Devolución de activos

[A.8.2] - Clasificación de la información

[A.8.2.1] - Clasificación de la información

[A.8.2.2] - Etiquetado de la información

[A.8.2.3] - Manipulado de la información

[A.8.3] - Manipulación de los soportes

[A.8.3.1] - Gestión de soportes extraíbles

[A.8.3.2] - Eliminación de soportes

[A.8.3.3] - Soportes físicos en tránsito

9
9. Control de acceso

[A.9.1] - Requisitos de negocio para el control de acceso

[A.9.1.1] - Política de control de acceso

[A.9.1.2] - Acceso a las redes y a los servicios de red

[A.9.2] - Gestión de acceso de usuario

10
 [A.9.2.1] - Registro y baja de usuario

[A.9.2.2] - Provisión de acceso de usuario

[A.9.2.3] - Gestión de privilegios de acceso

[A.9.2.4] - Gestión de la información secreta de autenticación de los usuarios

[A.9.2.5] - Revisión de los derechos de acceso de usuario

[A.9.2.6] - Retirada o reasignación de los derechos de acceso

[A.9.3] - Responsabilidades de usuario

[A.9.3.1] - Uso de la información secreta de autenticación

[A.9.4] - Control de acceso a sistemas y aplicaciones

[A.9.4.1] - Restricción del acceso a la información

[A.9.4.2] - Procedimientos seguros de inicio de sesión

[A.9.4.3] - Sistema de gestión de contraseñas

[A.9.4.4] - Uso de utilidades con privilegios

[A.9.4.5] - Control de acceso al código fuente de los programas

11
10. Criptografía
[A.10.1] - Controles criptográficos

[A.10.1.1] - Política de uso de los controles criptográficos

[A.10.1.2] - Gestión de claves

12
4. Categorización amenazas
a) Amenazas
TIPO AMENAZA OCU. DGR.
Ataques intencionados Acceso no autorizado 40% 40%
Ataques intencionados Manipulación de programas 20% 20%
Ataques intencionados Manipulación de los equipos 60% 60%
Ataques intencionados Difusión de software dañino 20% 40%
Desastres Naturales Daños por agua 20% 80%
Desastres Naturales Fuego 40% 100%
De Origen Industrial Corte del suministro eléctrico 60% 80%
Errores y fallos no Destrucción de información 60% 20%
intencionados
Errores y fallos no Errores de los usuarios 60% 40%
intencionados
Errores y fallos no Pérdida de equipos 20% 20%
intencionados

 Acceso no autorizado:
El perímetro de la empresa se encuentra vallado y con cámaras de seguridad, no existe
vigilante 24 h, por lo que el porcentaje de ocurrencia se ha elevado al 40%, con un nivel de
degradación de 40% por los daños que se puedan provocar.
 Manipulación de programas:
Todos los programas de gestión en la empresa se encuentran protegidos con contraseñas
con cifrado de datos, por lo que la manipulación de los mismos es poco probable.
 Manipulación de los equipos:
La manipulación de equipos se ha elevado a un grado medio debido a que están expuestos
a que algún empleado mal intencionado pueda manipularlos.
 Difusión de software dañino
La probabilidad de la difusión de software dañino se ha mantenido en un grado bajo ya que
los sistemas cuentan con una protección antimalware para medios extraíbles, en caso de
sufrir un incidente la degradación se ha elevado al grado medio por los daños que pueda
causar en los sistemas.
 Daños por agua
La probabilidad de sufrir una inundación es escasa, pero en caso de producirse los daños
podrían elevados para el producto base de la empresa como para los sistemas de
información.
 Fuego
Sin embargo, sufrir un incidente por fuego es algo mas elevado al tratarse de una empresa
aceitera, pero los sistemas de detención de incendios instalados hacen poco probable su
ocurrencia, pero en caso de producirse el daño puede ser devastador.
 Corte del suministro eléctrico
El corte de suministro eléctrico es un suceso que podría suceder con algo mas de frecuencia,
ya que la empresa no cuenta con un sistema autónomo de electricidad, pudiendo provocar
grandes retrasos de producción si se llegara a dar.

 Destrucción de información
Existe una probabilidad media de que algún usuario llegara a destruir información ya que no
existe una clara distinción de roles dentro de las aplicaciones, y casi cualquier usuario interno

13
 puede editar o modificar la información contenida, no existiendo una correcta política de
backup.
 Errores de los usuarios
Similar a la amenaza anterior la falta de roles de administración hace posible que por errores
de los usuarios se sufran perdidas de información.

 Pérdida de equipos
Esta amenaza es considerada de grado bajo ya que los equipos en la empresa son en su
mayoría fijos y de uso exclusivamente interno.

b) Activos x Amenazas
AMENAZA ACTIVO OCU. A C D I T
Acceso no autorizado Red Interna 20% 20% 20%
Acceso no autorizado Equipos de Usuarios 20% 20% 20%
Acceso no autorizado Tienda online 40% 40% 40%
Desastres naturales Archivos confidenciales 20% 90%
Desastres naturales Equipos de Usuarios 20% 90%
Desastres industriales Tienda online 20% 20%
Errores del administrador Archivos confidenciales 20% 60% 50% 50%
Errores del administrador Gestión de usuarios 20% 40% 20% 60%
Destrucción de Bases de datos
información
20% 80%

 Acceso no autorizado - Red Interna: Existe una baja probabilidad de acceso no

autorizado a la red interna, debido a las cámaras de seguridad instaladas en los
perímetros y al sistema de cableado oculto.
 Acceso no autorizado - Equipos de Usuarios: Los que equipo de usuarios están
protegidos con contraseñas por lo que su acceso no autorizado es bastante bajo.
 Acceso no autorizado - Tienda online: La tienda online se encuentra ubicada en
un servidor externo, su acceso no autoriza es bajo, pero se a elevado su
porcentaje de ocurrencia ya que al estar expuesta a internet podría sufrir un
hackeo.
 Desastres naturales - Archivos confidenciales: La ocurrencia de un desastre
natural en la zona es bastante baja, pero en caso de ocurrir la afección a la
disponibilidad se eleva considerablemente.
 Desastres naturales - Equipos de Usuarios: Igualmente la ocurrencia es baja,
pero en caso de terremoto o cualquier otro desastre natural lo equipos de
pueden ver altamente afectados en su disponibilidad.
 Desastres industriales - Tienda online: La caída del servidor donde se encuentra
alojada la tienda online es poco probable que sufra una caída, ya que el hosting
contratado esta preparado para mantener una disponibilidad del servicio,
 Errores del administrador - Archivos confidenciales: Es poco probable un error en
la configuración de permisos de archivos confidenciales, pero en caso de ocurrir
puede ser bastante grave.
 Errores del administrador - Gestión de usuarios: Los errores en la gestión de
usuarios es poco probable que puede suceder, pero la afección a la integridad
del sistema en este caso es mas elevada.
 Destrucción de información - Bases de datos: Poco probable que alguien pueda
destruir una base de datos, por su acceso controlado, pero en caso de suceder
un afección a la disponibilidad muy elevada.

14
5. Análisis de Riesgos.

Se han seleccionado 10 amenazas y se realiza un análisis de cada una de ellas en función de

los resultados obtenidos del análisis de riesgos.

Descripción Activo Tienda online

Nombre Activo Tienda online
Código Amenaza [E.1]
Nombre Amenaza Errores de los usuarios
Valor 4
Fr 60.0
V 46.6938
[A]
[C] 40
[D] 40
[I] 40
[T]
IT 40.0
IMP 160.0
Riesgo 96.0
Riesgo R. 44.8261
VRR 6.0
Análisis
Con un valor de riesgo (VRR) residual de 6 supone el más alto.

Nos da este valor porque es un activo de valor 4 sobre 5, lo que significa es que
bastante valioso.

La frecuencia de la amenaza es de 60, es decir media/alta.

Con un porcentaje de degradación de 40 sobre cada una de las tres dimensiones

de riesgo, es decir medio.

Con un índice de vulnerabilidad del 46,7, que es significativamente alto, por lo

que el resultado se eleva a un 6 en el VRR.

15
Descripción Activo Gestión de usuarios de acceso interno
a las herramientas administrativas
Nombre Activo Gestión de usuarios
Código Amenaza [E.2]
Nombre Amenaza Errores del administrador
Valor 5
Fr 20.0
V 45.6448
[A]
[C] 40
[D] 20
[I] 60
[T]
IT 60.0
IMP 300.0
Riesgo 60.0
Riesgo R. 27.3869
VRR 5.0
Análisis

En este caso el valor de riesgo (VRR) residual de es de 5, un poco más bajo, pero
sigue siendo alto, vamos a ver a que es debido:

Nos da este valor porque es un activo es el más alto, es de 5, muy valioso.

La frecuencia de la amenaza es de 20, es decir baja.

Con un porcentaje de degradación en este caso no coincida, es de 40, 20 y 60

para cada uno de los valores de confidencialidad, disponibilidad e integridad,
media de 40, es decir de riesgo, es decir medio.

Con un índice de vulnerabilidad del 45,65, que es significativamente alto, por

lo que el resultado se eleva a un 5 en el VRR.

Descripción Activo Herramientas que facilitan el

teletrabajo

16
Nombre Activo Teletrabajo
Código Amenaza [E.1]
Nombre Amenaza Errores de los usuarios
Valor 3
Fr 60.0
V 46.6938
[A]
[C] 40
[D] 40
[I] 40
[T]
IT 40.0
IMP 120.0
Riesgo 72.0
Riesgo R. 33.6196
VRR 5.0
Análisis

En este caso el valor de riesgo (VRR) residual de es de nuevo de 5, debido a:

Nos da este valor porque es un activo medio, un 3.

La frecuencia de la amenaza es bastante alta, de un 60.

Con un porcentaje de degradación es de 40, es decir de riesgo, es decir medio.

Con un índice de vulnerabilidad es bastante alto del 46,7, que es bastante alto.

17
Descripción Activo Bases de datos
Nombre Activo Bases de Datos
Código Amenaza [A.18]
Nombre Amenaza Destrucción de información
Valor 3
Fr 20.0
V 25.5986
[A]
[C]
[D] 80
[I]
[T]
IT 80.0
IMP 240.0
Riesgo 48.0
Riesgo R. 12.2873
VRR 4.0
Análisis

En este caso el valor de riesgo (VRR) residual de es de 4, vamos bajando, vamos

a ver a que es debido:

El valor del activo es medio, de un 3.

La frecuencia de la amenaza es de 20, es decir baja.

Con un porcentaje de disponibilidad es elevado el riesgo, de un 80.

Con un índice de vulnerabilidad del 25,6, que, aun siendo alto, es

significativamente más bajo que los anteriores.

18
Descripción Activo Cursos de formación
Nombre Activo Formación
Código Amenaza [A.28]
Nombre Amenaza Indisponibilidad del personal
Valor 2
Fr 20.0
V 33.0087
[A]
[C]
[D] 100
[I]
[T]
IT 100.0
IMP 200.0
Riesgo 40.0
Riesgo R. 13.2035
VRR 4.0
Análisis

En este caso el valor de riesgo (VRR) residual de es de 4 nuevamente:

Por un lado, tenemos un valor del activo de un 2 de nuevo.

La frecuencia de la amenaza es de 20, es decir baja.

Con un coeficiente de disponibilidad es máximo, de 100.

Con un índice de vulnerabilidad del más del 33, por lo que esta amenaza se
consideraría alta.

19
Descripción Activo Teléfonos móviles de empleados
Nombre Activo teléfonos móviles
Código Amenaza [A.11]
Nombre Amenaza Acceso no autorizado
Valor 2
Fr 40.0
V 30.4601
[A]
[C] 40
[D]
[I] 40
[T]
IT 40.0
IMP 80.0
Riesgo 32.0
Riesgo R. 9.74722
VRR 3.0
Análisis

En este caso el valor de riesgo (VRR) residual baja a 3 debido a lo siguiente:

El valor del activo es medio, de un 2.

La frecuencia de la amenaza es de 40, media.

Con un coeficiente de confidencialidad y de integridad de un 40.

Con un índice de vulnerabilidad del 30,46, que, aun siendo alto, es

significativamente más bajo que los anteriores.

20
Descripción Activo Servidor de correo de la empresa
Nombre Activo Servidor de correo electrónico
Código Amenaza [A.7]
Nombre Amenaza Uso no previsto
Valor 3
Fr 20.0
V 32.57
[A]
[C] 20
[D] 20
[I] 20
[T]
IT 20.0
IMP 60.0
Riesgo 12.0
Riesgo R. 3.9084
VRR 2.0
Análisis

En este caso el valor de riesgo (VRR) residual de es de ya es de un 2, debido:

El valor del activo es medio, de un 3.

La frecuencia de la amenaza es de 20, es decir baja.

Con un coeficiente de degradación es bajo, de un 20.

Con un índice de vulnerabilidad del 32,57, nos da como resultado un VRR ya de

un 2.

21
Descripción Activo Servidor común de archivos con
gestor de usuarios
Nombre Activo Servidor de documentos
Código Amenaza [A.13]
Nombre Amenaza Repudio
Valor 4
Fr 20.0
V 32.879
[A]
[C]
[D]
[I] 20
[T]
IT 20.0
IMP 80.0
Riesgo 16.0
Riesgo R. 5.26065
VRR 2.0
Análisis

En este caso el valor de riesgo (VRR) residual de es de 2.

El valor del activo es medio, de alto, de un 4.

La frecuencia de la amenaza es de 20, es decir baja.

Con un porcentaje de integridad es bajo, de un 20.

Con un índice de vulnerabilidad del 32,88, bastante alto.

22
Descripción Activo Servidor común de archivos con
gestor de usuarios
Nombre Activo Servidor de documentos
Código Amenaza [A.18]
Nombre Amenaza Destrucción de información
Valor 4
Fr 20.0
V 25.5986
[A]
[C]
[D] 20
[I]
[T]
IT 20.0
IMP 80.0
Riesgo 16.0
Riesgo R. 4.09577
VRR 2.0
Análisis

En este caso el valor de riesgo (VRR) residual de es de 2 de nuevo:

El valor del activo es más alto, de un 3.

La frecuencia de la amenaza sigue siendo baja, de un 20.

Con un porcentaje de disponibilidad es bajo el riesgo, de un 20.

Con un índice de vulnerabilidad del 25,6.

23
Descripción Activo Archivos con acceso confidencial para
determinadas personas del equipo
directivo
Nombre Activo Archivos confidenciales
Código Amenaza [A.26]
Nombre Amenaza Ataque destructivo
Valor 5
Fr 20.0
V 26.7303
[A]
[C]
[D] 20
[I]
[T]
IT 20.0
IMP 100.0
Riesgo 20.0
Riesgo R. 5.34606
VRR 2.0
Análisis

Por último, con un valor residual (VRR) de un 2 nuevamente, pero cambia los
coeficientes:

El valor del activo es el más alto, de un 5.

La frecuencia de la amenaza es de 20 de nuevo, es decir baja.

Con un porcentaje de disponibilidad es bajo, sólo de 20.

Con un índice de vulnerabilidad del 26,73.

24
6. Plan de tratamiento de riesgos
Dado que para la elaboración del análisis de riesgos descrito en el presente documento se ha hecho
uso de la herramienta de análisis eMarisma, adjunto al presente informe se aporta el informe del
tratamiento de riesgos generado por dicha herramienta.

7. Análisis de los Incidentes de Seguridad

A continuación se describen 10 de los incidentes de seguridad aparecidos en la empresa más
recientemente.

Código 41672658

Descripción No es posible acceder a la tienda online.

Causa El servidor web de la tienda online está caído debido a un corte

eléctrico y no ha reiniciado correctamente.
Solución Se reinicia el servidor web de la tienda online y vuelve a estar
disponible para los clientes.
Conclusión
Es necesario concretar más detalladamente las tareas periódicas de revisión del
estado del servidor web.

Código 41672660

Descripción El fichero de log del servidor de gestión de usuarios registra un

acceso a un equipo de un empleado fuera del horario laboral.
Causa Se ha producido un acceso al equipo de un empleado fuera del
horario laboral.
Solución Se cambia la clave del empleado afectado.

Conclusión
Es necesario informar a todos los empleados sobre las políticas de
confidencialidad de las claves de acceso a los equipos, y se debe revisar y reforzar
el requisito de cambio periódico de clave, con criterios aumentados de seguridad.

Código 41672663

Descripción Aquellos empleados actualmente teletrabajando al ser contacto

estrecho de familiares afectados de COVID-19 no consiguen
conectividad a los recursos de la compañía.
Causa Fallo del servicio de acceso a teletrabajo por parte del
proveedor del servicio.
Solución Una vez restablecido el servicio por parte del proveedor de
servicios, los empleados afectados vuelven a tener acceso a
recursos mediante teletrabajo.
Conclusión
Se debe revisar el acuerdo de calidad de servicio contratado con el proveedor de
las aplicaciones de teletrabajo.

25
Código 41672669

Descripción Aparece en las redes sociales información confidencial de

contratos firmados con proveedores de aceitunas de la zona,
concretamente precios acordados con los proveedores. Se
sospecha que la información podría haber salido de la empresa.
Causa Se debe analizar el motivo de la fuga de información.

Solución Se propone contratar un servicio de auditoría de seguridad de la

información de cara a detectar fallos y áreas de mejora de la
seguridad de los sistemas de información.
Conclusión
Se debe concienciar a gerencia de la empresa acerca de la importancia de invertir
en la gestión de la seguridad de la información.

Código 41672689

Descripción Debido a un cortocircuito, se provoca un pequeño incendio en la

sala de servidores viéndose afectado el servidor que aloja el
servicio de impresión,
Causa Cortocircuito en la sala de servidores.

Solución Sustitución del equipo afectado y reconfiguración del servicio de

impresión.
Conclusión
Este incidente ha posibilitado la detección de la falta de un sistema adecuado de
copias de seguridad que permita un restablecimiento del servicio afectado más
rápido. Asimismo, ha permitido evidenciar la necesidad de una política y sistema
de copias de seguridad para evitar futuros incidentes, no sólo similares al
producido, sino también relativos a pérdidas de información almacenada en los
distintos sistemas, vitales para el buen funcionamiento de la empresa.

Código 41672691

Descripción Registro de alarmas en los servidores indicando acceso a sitios

malicioso por parte de un empleado de la compañía. Como
consecuencia de ello, el servidor de correo ha detectado el envío
masivo de un correo malicioso (phising) a los empleados de la
empresa.
Causa Acceso a sitios maliciosos por parte de un empleado de la
compañía.
Solución Restablecimiento de claves de los usuarios de la empresa y
trazeo de los registros de log del servidor de correo de cara a
detectar posibles efectos producidos por el ataque.
Conclusión
Se eleva a gerencia la importancia de elaborar un plan de formación a los
empleados de la empresa para desplegar nociones relativas a seguridad,
especialmente aspectos a considerar al acceder a sitios potencialmente
maliciosos. También se debe detallar por parte de gerencia las políticas de uso de
los recursos de la empresa, evitando mal uso de los recursos para actividades no
relacionadas con la actividad de la empresa.

26
Código 41672693

Descripción Ordenador de un empleado resulta infectado por un virus.

Causa Uso de pendrive infectado con virus por parte de un empleado de

la empresa.
Solución Formateo y reinstalación del equipo afectado.

Conclusión
Debe plantearse establecer un prohibición de uso de dispositivos de
almacenamiento externos (USB pendrives) dentro de la políticas de seguridad de
uso de los equipos de los empleados.

Código 41672695

Descripción Robo de un lote de productos de la empresa (40 bidones de

aceite).
Causa Acceso no autorizado a dependencias de la empresa.
Servidor de grabación de cámaras de seguridad sin espacio
disponible en disco.
Solución Desde el punto de vista de seguridad de la información,
ampliación de espacio de almacenamiento en disco en servidor
de grabación de las cámaras de seguridad.
Notificación a las autoridades del robo producido.
Conclusión
Se ha detectado un fallo en el sistema de alarma de espacio reducido en uno de
los servidores. Se debe ajustar los parámetros de seguridad en cuanto a
prevención de falta de espacio de almacenamiento en dispositivos de
almacenamiento y equipos de la empresa.

Código 41672851

Descripción El responsable de IT recibe un boletín de Adobe con descripción

de vulnerabilidades resueltas en las últimas versiones de sus
productos.
En la empresa, entre otros productos, se emplea Adobe Illustrator
para la realización de folletos comerciales sobre los productos
comercializados por la empresa.
Causa La aplicación Adobe Illustrator no estaba actualizada con las
soluciones a últimas vulnerabilidades descubiertas.
Solución Se actualiza el SW de Adobe Illustrator a la última versión y se
activa la actualización automática de los productos de Adobe,
siguiendo las recomendaciones de INCIBE.
Conclusión
Se deben revisar las políticas de actualizaciones de SW de los distintos sistemas
y aplicaciones para garantizar que se mantienen actualizadas con las correcciones
de seguridad correspondientes.

27
 Código 41672854

Descripción Varios empleados se quejan al recibir numerosos mensajes

maliciosos de phising en sus móviles.
Causa Intentos de robo de información mediante mensajes de phising
maliciosos a través de redes sociales.
Solución Se plantea la necesidad de utilización de doble factores de
autenticación en los dispositivos móviles de los empleados para
evitar fraudes a través de mensajes maliciosos.
Conclusión
Incorporar a las políticas de seguridad a divulgar en los empleados el uso de doble
factor de autenticación para proteger la información de la empresa en el desarrollo
de las actividades laborales.

De los incidentes registrados se observa la necesidad de varias mejoras en diferentes aspectos de

gestión de la seguridad en la empresa, entre los que cabe destacar los siguientes:

 Se debe revisar, con apoyo de gerencia, las políticas de gestión de seguridad

establecidas en la empresa.
 Es necesario desarrollar un plan de formación a impartir a los empleados de los
diferentes departamentos para hacerles conscientes de la importancia de tener en cuenta
la seguridad de la información durante el desarrollo de las diferentes actividades
laborales.
 Desarrollo de un plan de contingencias que considere diferentes aspectos de seguridad
para evitar la aparición de incidentes graves que puedan afectar al negocio de la empresa,
tanto desde un punto de vista preventivo, como correctivo.
 Necesidad de realizar periódicamente auditorías de seguridad externas, de cara a una
evaluación profesional de la situación de la gestión de seguridad de la empresa y detectar
áreas de mejora.

28
8. Conclusiones

La elaboración del presente informe ha permitido conocer en detalle la situación actual de la empresa
en función de las posibles amenazas a los principales activos de la empresa y la elaboración de un
plan de tratamiento de cara a la mejora en prevención de riesgos potenciales que puedan afectar a
un normal funcionamiento de las actividades que desarrolla la empresa. Asimismo, incidentes de
seguridad detectados en la empresa han permitido identificar lagunas y fallos en la gestión de la
seguridad de la información.

Se ve necesario enfatizar en la importancia de tener en cuenta la seguridad de la información no solo

a nivel técnico de configuración y mantenimiento de los activos de la empresa sino también a nivel
formativo en todas las áreas y departamentos de la empresa, siendo necesaria una formación
periódica de aspectos de seguridad a tener en cuenta por parte de todos los empleados de la empresa,
tanto en gestión de la información a tratar como en aspectos sociales más generales, que pueden
producir brechas de seguridad sin que los empleados sean conscientes de ello.

9. Bibliografía
 Standard ISO/IEC 27001:2013
https://www.iso.org/standard/54534.html
 INCIBE. Avisos de seguridad
https://www.incibe.es/protege-tu-empresa/avisos-seguridad

29