Un estudio a la estructura de ciberseguridad que tiene la empresa
Creado por Jorge Luis Ramírez Durán Julio 2024
EDITORIAL
Editorial TechDent Solutions
Título: Auditoría de Seguridad Informática en TechDent Solutions
Autor: Jorge Ramírez
ISBN: 978-3-16-148410-0
Fecha de Publicación: Junio, 2024
Editorial: Universidad Bicentenaria de Aragua Press
Sobre la Editorial
La Universidad Bicentenaria de Aragua (UBA) es una institución de educación superior privada fundada el 16 de junio de 1986 en Turmero, Estado Aragua, Venezuela. La universidad se destaca por su compromiso con la excelencia académica y la formación integral de sus estudiantes en diversas disciplinas, incluyendo ingeniería, ciencias administrativas, ciencias jurídicas y políticas, y ciencias de la salud.
AUTOR
Jorge Luis Ramírez Durán es estudiante de Ingeniería de Sistemas en la Universidad Bicentenaria de Aragua. Durante su formación, ha demostrado un fuerte interés y habilidad en el campo de la ciberseguridad, participando activamente en proyectos y auditorías de seguridad informática. En su trabajo de auditoría a TechDent Solutions, Jorge aplicó metodologías rigurosas para evaluar y mejorar la seguridad de los sistemas informáticos, desarrollando recomendaciones prácticas y detalladas para proteger los datos sensibles de la empresa. Su enfoque analítico y su compromiso con la excelencia académica se reflejan en este libro, que sirve como guía esencial para profesionales de la tecnología.
PRÓLOGO
La seguridad informática es crucial en la era digital, especialmente para empresas como TechDent Solutions, que manejan datos sensibles en el sector odontológico. Este libro, "Auditoría de Seguridad Informática en TechDent Solutions," surge de una auditoría exhaustiva que realicé como estudiante de Ingeniería de Sistemas en la Universidad Bicentenaria de Aragua.
Basado en el NIST Cybersecurity Framework, el estudio evalúa la efectividad de los controles de seguridad, el tratamiento seguro de los datos, y el cumplimiento normativo de TechDent Solutions. La auditoría también aborda la formación en ciberseguridad del personal, esencial para crear una cultura de seguridad robusta. A través de fases detalladas desde la recopilación de información hasta las recomendaciones finales, el libro ofrece una guía práctica para otras organizaciones que desean mejorar su ciberseguridad. Las recomendaciones presentadas son aplicables a cualquier empresa que busque protegerse de amenazas cibernéticas.
Agradezco a TechDent Solutions por su colaboración durante la auditoría y a la Universidad Bicentenaria de Aragua por su apoyo en mi formación académica. Espero que este libro sea una herramienta útil para profesionales de la tecnología y la seguridad informática, ayudándoles a enfrentar los desafíos cibernéticos actuales.
PLAN DE ACTIVIDADES
Primeramente presentaremos un resumen de lo que se llevó a cabo durante el transcurso de la auditoría para poder abordar con mayor claridad los siguientes puntos. Recordando que el plan de actividades abarcaron en total un plano de 14 semanas, lo que se traduce en aproximadamente unos 3 meses y medio; esta auditoría inició como muchas otras, con el proceso de recopilación de información sobre la empresa para poder desarrollar el contexto a la misma, al igual que comprender con mejor precisión el entorno sobre el que opera la misma.
La fase de recopilación de información consistió en la evaluación de los controles de seguridad mediante la observación directa y la entrevista a los diferentes empleados de la organización, fase que ocupó precisamente 5 semanas para su desarrollo; dentro de esta fase se identificaron las políticas de seguridad que maneja la empresa, las medidas que se tienen al momento de procesar datos, las medidas de seguridad que se tienen cuando los datos son enviados a la transferencia, se estudia el historial de incidentes de seguridad que posee la organización y los protocolos que se utilizaron para llegar a una solución de los incidentes. Con toda esta información se pudo desarrollar un perfil de seguridad de la organización para la metodología de auditoría que se implementó.
A partir de la sexta semana, se inició el análisis de la información que se recopiló para poder poder categorizarla, en esta se desarrolla y describe el núcleo de seguridad que posee la organización, al igual que se describe el perfil de seguridad que desea conseguir TechDent. Luego en la décima semana se realiza el contraste de los perfiles desarrollados de la empresa, esto permite tener una visión clara sobre los pasos que deben seguirse para que la empresa consiga ser aquella a la que aspira, es decir, una organización que posee un nivel de seguridad adaptativo y robusto.
Y en la última fase se desarrollan las conclusiones de la auditoría, junto a las recomendaciones pertinentes en base a la situación encontrada. Se podría decir que esta última fase es la que se está desarrollando con la escritura de este libro digital, ya que, durante los próximos puntos estaremos hablando sobre los riesgos y hallazgos encontrados durante la investigación de de la organización.
OBJETIVOS Y ALCANCES
Los objetivos son:
1.
Evaluar la efectividad de los controles de seguridad
Determinar si los controles de seguridad que se implementan actualmente protegen efectivamente la información sensible de los pacientes
Identificar cualquier posible debilidad y/o vulnerabilidad existente
2.
Validar el tratamiento, almacenamiento y transferencia de datos
Verificar que los datos personales de los pacientes
son tratados, almacenados y transferidos mediante el uso de protocolos de seguridad eficientes
Verificar que utilicen técnicas adecuadas de cifrado y se cumplen normativas de protección de datos
3.
Comprobar el cumplimiento de reglamentos y normativas de seguridad informática
Verificar que TechDent cumple con normativas y regulaciones que sean aplicables según su caso específico
Asegurar que se realicen auditorías internas de forma regular para mantener el cumplimiento continuo
4.
Evaluar la respuesta ante incidentes
Evaluar la efectividad que poseen los protocolos que se implementan actualmente
Verificar la capacidad que tiene la organización de detectar, responder y recuperarse de incidentes relacionados con la ciberseguridad 4
5.Evaluar la concientización sobre seguridad informática del personal
Determinar el nivel de conocimiento que tiene el personal de la organización sobre ciberseguridad
Identificar la formación que le dan a los clientes en cuanto a la ciberseguridad
MATRIZ DE RIESGOS
AMENAZA
Robo de datos sensibles
Acceso no autorizado
Ataque de malware
Phishing
Fallos del sistema
PROBABILIDAD RIESGO RECOMENDACIÓN
Implementar cifrado robusto y controles de acceso estrictos
Desarrollar políticas de acceso y monitoreo continuo
Instalar y actualizar software antivirus y realizar capacitaciones periódicas
Capacitar al personal y utilizar filtros de correo electrónico
Implementar redundancias y realizar mantenimientos preventivos
Vulnerabilidades de software
Ataques de denegación de servicio (DoS)
Uso no autorizado de dispositivos móviles
Realizar auditorías periódicas de seguridad y aplicar parches de software
Utilizar soluciones de mitigación DoS y monitoreo de tráfico
Implementar políticas de BYOD y gestión de dispositivos móviles
AMENAZA PROBABILIDAD RIESGO RECOMENDACIÓN
Ingeniería social Desastres naturales
Alta Baja
Crítica Menor
Capacitar al personal en identificación y manejo de tácticas de ingeniería social
Desarrollar un plan de recuperación ante desastres y realizar simulacros
HALLAZGOS
Es importante destacar que TechDent Solutions ha implementado medidas de seguridad esenciales, incluyendo:
Políticas de control de acceso: La organización ha establecido políticas que regulan el acceso a los sistemas y datos, restringiendo el acceso solo a usuarios autorizados.
Cifrado de datos en tránsito: TechDent Solutions cifra los datos cuando se transmiten entre dispositivos y sistemas, protegiéndolos de accesos no autorizados durante la transferencia.
Implementación de firewalls e IDS: La organización cuenta con firewalls y sistemas de detección de intrusiones (IDS) bien configurados, actuando como primera línea de defensa contra intrusiones y ataques cibernéticos.
A pesar de estas fortalezas, la auditoría identificó áreas que requieren atención y mejora para optimizar la postura de ciberseguridad de TechDent Solutions: Evaluación y priorización de riesgos: La ausencia de evaluaciones periódicas de riesgos cibernéticos expone a la organización a amenazas potenciales no identificadas. La priorización adecuada de los riesgos es crucial para enfocar los esfuerzos de mitigación en las áreas más críticas.
Conciencia y formación en seguridad: La falta de participación de algunos empleados en las capacitaciones obligatorias sobre seguridad indica una brecha en la sensibilización sobre las amenazas cibernéticas. Un programa de formación efectivo debe garantizar la participación de todos los empleados y promover una cultura de seguridad cibernética sólida.
Segmentación de la red interna: La segmentación inadecuada de la red interna aumenta la vulnerabilidad ante ataques. Segmentar la red en zonas con diferentes niveles de acceso y protección limita el alcance potencial de las intrusiones y el acceso a datos confidenciales.
Actualización de protocolos de cifrado: El uso de protocolos de cifrado obsoletos debilita la protección de los datos. Actualizar los protocolos a versiones más robustas garantiza la confidencialidad de la información sensible.
Mejora de la respuesta a incidentes: Las configuraciones de alertas insuficientes retrasan la detección de actividades sospechosas, dificultando la respuesta oportuna a incidentes. La documentación y comunicación deficientes durante los incidentes impiden el aprendizaje de las experiencias y la implementación de medidas correctivas efectivas.
Implementación de revisiones posteriores a incidentes: La ausencia de revisiones posteriores a incidentes limita la identificación de las causas raíz de los problemas y la implementación de mejoras preventivas. Estas revisiones son esenciales para el
aprendizaje continuo y la mejora de la postura de ciberseguridad.
Documentación y adopción de lecciones aprendidas: No documentar ni implementar las lecciones aprendidas de incidentes y auditorías anteriores impide que la organización se beneficie de sus propias experiencias y de las mejores prácticas de la industria.
RECOMENDACIONES
En respuesta a las amenazas cibernéticas en constante evolución, TechDent Solutions debe fortalecer su postura de ciberseguridad mediante un plan integral basado en los hallazgos de la auditoría realizada. Las principales recomendaciones incluyen:
Gestión Proactiva de Riesgos Cibernéticos: Establecer un programa formal de gestión de riesgos que incluya evaluaciones periódicas (al menos anuales) usando metodologías reconocidas como NIST SP 800-30, para identificar, evaluar y priorizar los riesgos. Implementar controles de seguridad adecuados y monitorearlos continuamente.
Fortalecimiento de la Conciencia y Formación en Seguridad: Desarrollar un programa integral de concienciación en ciberseguridad obligatorio para todos los empleados, utilizando diversos métodos de formación. Fomentar una cultura de seguridad positiva a través de campañas de comunicación, reconocimientos y canales de denuncia.
Mejora de la Seguridad de la Red: Segmentar la red interna en zonas con diferentes niveles de acceso y protección. Utilizar firewalls avanzados, sistemas de detección y prevención de intrusiones (IDS/IPS), y mantener el software actualizado con los últimos parches de seguridad.
Fortalecimiento de la Respuesta a Incidentes: Implementar un plan documentado de respuesta a incidentes, definiendo roles y procedimientos claros. Configurar alertas efectivas, documentar acciones correctivas y realizar revisiones post-incidente para aprender y mejorar continuamente. Implementación de Mejoras Continuas: Establecer un proceso de mejora continua con revisiones periódicas de seguridad, pruebas de penetración y evaluaciones de vulnerabilidades. Adoptar las mejores prácticas y lecciones aprendidas de otras organizaciones para mantenerse actualizado frente a las amenazas cibernéticas.
Estas recomendaciones ayudarán a TechDent Solutions a fortalecer su postura de ciberseguridad, proteger datos confidenciales y enfrentar desafíos cibernéticos de manera efectiva.
Un estudio a la estructura de ciberseguridad que tiene la empresa
