Modelo de Ciberseguridad para la empresa Space Cargo(SPC) Colombia

Abstract

Actualmente las organizaciones públicas y privadas desarrollan sus procesos de negocios por medio de sistemas de información, generando un ahorro en costos y tiempo sobre la ejecución de sus actividades, esta sistematización conduce a que las organizaciones sean competitivas y eficientes frente al mercado. De acuerdo al Ministerio de Tecnologías de la Información y las Comunicaciones (Mintic) entre los años 2017 y 2018 se concluye que las conexiones a internet de banda ancha en el país han aumentado en 1.9 millones de acuerdo a las estadísticas reportadas por las empresas de telecomunicaciones al Mintic. (Mintic. 2018. Pag.08). La aplicabilidad de los Sistemas de información genera nuevos retos para las organizaciones debido a que la información trasmitida deberá cumplir con medidas para la reducción de riesgos y control de amenazas, logrando que los activos de la información cumplan con los tres pilares, seguridad, confidencialidad y disponibilidad. De acuerdo con las cifras obtenidas del informe anual 2018 sobre ciberseguridad que realizó la empresa Cisco, se observa un aumento del 300% en ciberataques a las redes de comunicación ocasionados por Malware, durante un periodo de 12 meses se analizaron más de 400.000 códigos maliciosos, los cuales alrededor del 70% causaron encriptación de información afectando a empresas y personas naturales. (Cisco. 2018. Pag.09). Referente a los antecedentes anteriormente mencionados es correcto concluir que existe un comportamiento exponencial entre las conexiones a internet y los ciberataques, es por ello por lo que se hace necesario generar un modelo de ciberseguridad que permita reducir la materialización de los ciberataques a organizaciones. El modelo de ciberseguridad está basado en la Norma Técnica Colombiana NTC-ISO/IEC 27002 y estará aplicada a la organización Space Cargo Colombia (SPC). La organización SPC Colombia categorizada como Pyme, ubicada en la cuidad, Bogotá D.C, es una empresa dedicada al trasporte internacional de mercancías; dentro de la organización laboran en total once personas que se establecen dentro del organigrama Comercial, logística, Gerencia y Operaciones. La organización cuenta con una infraestructura o elementos propios de telecomunicaciones la cual se compone de Switch, Router, Virtual Network Private (VPN), equipos de cómputo (computadores de escritorios o portátiles) los elementos anteriormente mencionados no cuentan con herramientas y controles de protección básicos como los son antivirus, firewalls, actualización de Sistemas Operativos (S.O), contraseñas de usuarios y copias de seguridad. Para laborar un modelo de Ciberseguridad es necesario realizar un levantamiento de información de todos los activos que se encuentran de forma física y digital de la organización, para lo cual es necesario clasificar los activos en Hardware, Software, equipamientos auxiliares y periféricos. Posteriormente se generar un inventario de equipos informáticos en donde se tomaron en cuenta las siguientes de varíales, placa de inventario, serial, área correspondiente, nombre del activo, clasificación del activo y criticidad. Para poder realizar la clasificación de los activos de información se propone, la metodología de Análisis y Gestión de Riesgo de los Sistemas de Información de las Administraciones Públicas (Magerit versión 3), el cual se compone de tres libros, el primero titulado «Método», segundo «Catalogo de Elementos» y tercero «Guía de Técnicas». Lo que permite especificar la valorización del activo según la confidencialidad, integridad y disponibilidad en dimensiones cuantitativas y cualitativas. Magerit propone identificar las amenazas a la que está expuesto un activo de la organización, segmentándolas de la siguiente forma: desastres naturales, de origen industrial, errores y fallos no intencionados y ataques intencionados. De acuerdo con la identificación previamente realizada, se establece una relación directa con los tres pilares de la información. En consecuencia, de lo anterior los activos de información son víctimas de amenazas sin producir una afectación total del mismo, por consiguiente, al perjudicar el activo este se ve impactado el valor en dos criterios; la primera hace referencia a degradación y segundo define la probabilidad. La degradación mide el daño causado por un incidente en dado caso de que se materialice la amenaza; la probabilidad se modela cualitativamente por medio de una escala nominal donde se recurre a una tasa anual de ocurrencia. Para Magerit los activos de información deben ser evaluados según su degradación en función del tiempo, tomando horas, días, meses y años. Una vez realizado el análisis siguiendo los parámetros establecidos por Magerit para la identificación de las amenazas se concluye que es conveniente seleccionar, generar y proponer controles y políticas para garantizar la reducción de las amenazas. Los controles y políticas deben ser aplicables a toda la organización para satisfacer la gestión de continuidad de los procesos informáticos.