Análisis de vulnerabilidades de los sistemas de seguridad informática de la empresa Kappa10 LTDA.

Abstract

El documento se centra en los riesgos de la infraestructura tecnológica de la empresa Kappa10 Ltda. que está ubicada en la ciudad de Bogotá, en la localidad de Chapinero. Desde el mes de enero del año 2018, la empresa se encuentra en busca de conseguir la certificación ISO 27001, en cuya norma se solicita la documentación de procesos macro, servicios, infraestructura tecnológica, salvaguardas aplicadas, y en general, un sistema de información confiable que permita tener una trazabilidad de los activos informáticos. La norma ISO 27001:2013 pide explícitamente que la empresa que se desea certificar debe tener controles de acceso a los equipos de infraestructura tecnológica, como el acceso basado en identidad, los registros de seguimiento de inicio y fin de sesión, y los registros de cambios, con lo cual se lleva un seguimiento adecuado de cada activo. La empresa realizó un análisis de riesgos a principios del 2018, pero no se tomaron en cuenta varios de los activos de infraestructura tecnológica, sino que se hizo de manera más global y enfocado a riesgos en los procesos, por lo que se vio la necesidad de realizar un nuevo análisis incluyendo este tipo de variables. Una de las necesidades que se detectaron en el primer análisis, incluía al área operativa de la empresa, ya que uno de los riesgos más críticos de esta, es que los ingenieros de Kappa10 utilizaran el mismo usuario genérico para ingresar a todos los equipos de seguridad informática que se administran, lo que no cumple con el requisito solicitado para obtener la certificación ISO 27001. Este análisis previo, detecto bastantes falencias en el proceso de autenticación de usuarios y seguimiento de control de cambios, por lo que sería uno de los principales puntos que atacaría el nuevo análisis de riesgos enfocado a los activos de infraestructura tecnológica. El nuevo análisis de riesgos buscó detectar las amenazas actuales de la empresa Kappa10 Ltda. así como sus diferentes causas y consecuencias sobre la infraestructura tecnológica actual. Este análisis se realizó de forma general sobre los procesos y organización basándose principalmente en las normas ISO 27001, ISO 27002, y algunas partes de las normas ISO 31000. El análisis se encaminó a investigar y documentar cada uno de los riesgos de los activos importantes de la empresa, y a proponer un plan de tratamiento de riesgos para cada uno de estos después de hacer la respectiva calificación entre riesgos moderados, aceptables e inaceptables. En el plan de tratamiento de riesgos se proponen diferentes controles o salvaguardas a la empresa Kappa 10 Ltda. con el fin de mitigar los riesgos de calificación inaceptable hallados en el proceso de análisis. De acuerdo con este plan desarrollado durante el análisis de riesgos, se propuso una solución a cada uno de los problemas que surgen por la falta de controles de acceso y de autenticación de los ingenieros del área de operaciones. El análisis sigue una metodología de investigación aplicada como mapa de ruta para lograr los dos principales objetivos del proyecto, entender los riesgos que aquejan a los activos de infraestructura tecnológica de Kappa10 Ltda. y proponer una solución acertada a cada uno de estos mediante el plan de tratamiento. Adicionalmente, el proyecto buscó mostrar a las directivas una alternativa de solución a los riesgos causados por la falta de controles de acceso basados en identidad. La metodología de investigación aplicada usada durante el proyecto busca seguir una secuencia lógica, comenzando por la recolección de datos (Por ejemplo, el número de activos informáticos de cada oficina de la empresa), el procesamiento y análisis de estos para organizarlos en información coherente. Después de esto la metodología propone continuar con las fases de análisis de situación actual, estudio de la problemática, propuestas de alternativas de solución, y finalmente la fase de evaluación de los resultados del proyecto. Una vez superadas las tres primeras fases, deben quedar plenamente identificados los riesgos que están atados a cada una de las amenazas que presentan los activos de la empresa, y sobre todo las del problema en discusión sobre la autenticación de usuario, lo que facilita proponer la solución adecuada, para que la empresa realice la mitigación de riesgos que requiere para poder certificarse. Posiblemente y de acuerdo con los resultados obtenidos en uno de los puntos principales de este proyecto, la mitigación del riesgo de la gestión de identidad se lleve a cabo mediante un sistema de autenticación tipo Enterprise del fabricante Fortinet (FortiAuthenticator, de tipo físico o máquina virtual), ya que este equipo tiene la capacidad de interactuar e integrarse con el directorio activo de Windows y con los equipos de seguridad de la marca Fortinet , que son los que posee, administra y soporta la empresa. Inicialmente, se propuso trabajar este proyecto en dos grandes partes, la primera incluiría las primeras cuatro fases mencionadas anteriormente, y la segunda parte contendría las dos fases restantes, y abordaría el tema de proponer la solución a implementar para mitigar al riesgo de gestión de identidad. En el proyecto se tendría como alcance únicamente la prueba piloto a manera de laboratorio controlado. El objetivo principal del proyecto es analizar los riesgos de seguridad informática de los activos de infraestructura tecnológica de la empresa Kappa10, generar las recomendaciones que salgan del proceso, y después de esto enfocarse principalmente en el riesgo causado a raíz de no tener una correcta gestión de identidad. Una vez terminada la documentación al detalle del análisis de riesgos, se realizará la prueba piloto del sistema de acceso y autenticación que permita tener una gestión de identidad, y se dejará constancia de todo en la documentación para que sea fácil reproducir el esquema a gran escala. En conjunto el proyecto se realizó en un plazo de 4 meses. Por último, lo que se busca es ayudar a la empresa Kappa10 a cumplir con los requisitos que le faltan para la obtención de la certificación ISO 27001 dentro del menor plazo de tiempo posible, a más tardar en 2019.