Mejora de los niveles de seguridad de información en las plataformas de sistemas - servidores

Abstract

Durante el periodo 2003 y 2004, en la Empresa ABC; que pertenece a un grupo de empresas como telefonía local, telefonía móvil, cable, y a la vez les presta servicios de Consultaría y Sistemas de Información, Recursos Humanos, Inmobiliaria, Recaudación y cobranzas, entre otros; se presentó cuatro casos de robos de información confidencial, dos denuncias legales por la no protección de información, doce casos reportados por usuarios que su información ha sido eliminada y dos casos de indisponibilidad de la plataforma de sistema o servidor de archivos. Después de revisiones y auditorias, por parte de consultoría externa en el 2006, se identificó que 32 plataformas de sistemas o servidores (críticos por la información que contienen) tiene un nivel de seguridad promedio de 29.3% y todos los servidores no superan el 40% de las recomendaciones de buenas prácticas de control de accesos, siendo la política de ésta cumplir por lo menos con el 90% de las mismas para tener un nivel adecuado de seguridad de información. Para mejorar los niveles de seguridad, evalúa la contratación de consultoría externa para que brinde asesoría en el tema. De tres alternativas elige la alternativa que compone al proveedor B y producto ESM, el cual obtuvo la mayor calificación con un 74.7% de nivel de cumplimiento de los criterios de evaluación. Se adquiere el producto ESM para facilitar la labor administrativa de elaboración de reportes, configuraciones, control y evaluaciones del cumplimiento de configuraciones de Seguridad de Información. Se realiza un análisis de riesgos identificando vulnerabilidades de gestión de cuentas, gestión de contraseñas, configuraciones de acceso en las plataformas de sistemas, y responsabilidad de los usuarios en la seguridad de información. Asimismo, se ha identificado amenazas como robo de información, denegación de servicio a toda la red corporativa; eliminación, modificación o divulgación de información confidencial, infección con virus; calculando un impacto de 851,803 soles anuales. Para tratar los riesgos se implanta procedimientos, producto ESM; configuraciones, validación y eliminación de accesos, capacitación y charlas de seguridad de información. Calculando una inversión de 597,936 para el desarrollo del proyecto con una duración de seis meses calendario. El retorno de inversión del proyecto es de ocho meses y medio, con un ahorro anual de 271,867 soles. Al evaluar los resultados del proyecto se encontró que 28 de los 32 servidores superan el 90% de recomendaciones de buenas prácticas de control de accesos con un nivel de seguridad promedio de todos los servidores de 91.6% mejorando en un 62.3% comparado con la medición realizada antes de iniciar el proyecto.