Trabajo Metodología e informe de una fuga de información

14 de junio de 2014

Deissy Ueda
Manuel Alejandro Asenjo



Trabajo: Realizar la metodología e informe de una fuga de información a través de la intranet.

Objetivo: localizar la incidencia de seguridad de la fuga de información localizada en la intranet de la empresa, calificar y cuantificar su riesgo.

Alcance: el riesgo se considera de nivel alto, debiendo buscar al responsable, información de lo ocurrido y analizar lo que la incidencia afecta a la organización.

Herramientas: monitorización de la red internet, nivel de carga del servidor, aviso de acceso de permiso con privilegio en un ordenador de usuario con permisos estándar.

Hora de la Incidencia: entre el lunes a las 09:00 hasta el viernes a las 15:00. De acuerdo al horario encontrado se establece que la incidencia es ocasionada por el personal de información.

Se detecta una fuga de información, la incidencia se detecta gracias al control de permisos de acceso al ordenador afectado y su “logs” la entrada no autorizada, ni registrada de uso de privilegios como administrador.

Se localiza el riesgo entre el lunes y el viernes en el ordenador número 1 del departamento:

Usuario Hora (X) Administrador Hora
Lunes Usuario 1 09 a 15:00 (X) 12:15
Martes Usuario 1 09 a 15:00 (X) 11:30, 15:00
Miércoles Usuario 1 09 a 15:00 (X)
Jueves Usuario 1 09 a 15:00 (X) 08:40, 11:45
Viernes Usuario 1 09 a 15:00 (X) 13:00

Se accedió como administrador, y la información sustraída era el documento comercial de la campaña 2014 y verificando la salida de dicha información se observó que se envío a través de correo electrónico. Esta incidencia se cataloga como muy grave, pudiendo producir pérdidas económicas muy costosas para la organización.

Se notifica a la dirección lo ocurrido realizando un informe con las evidencias encontradas y los posibles pasos a seguir tales como:

1) Cambiar la información y exhibir una información más relevante diciendo por ejemplo: “modificación de campaña 2014”, incluyendo software de seguimiento dentro de dicho documento.
2) Bloquear el acceso como administrador, y sólo acceder como super administrador para visualizar datos del logs, y accesos en tiempo real del usuario.
3) Colocar cámaras de vigilancia en el departamento para verificar el acceso que sea un individuo o de varios.
4) Se recomienda el uso del cambio de archivo, las cámaras de vigilancia, y dejar pasar unos días como administrador y luego modificarlo como super administrador para bloquear el acceso del administrador.

Aprobado, el cuarto paso, se estima la resolución de la incidencia en catorce días siguientes de su detección.
Lo primero que se realiza es la colocación estratégica de micro cámaras de seguridad que envían la información únicamente al ordenador del services desk seleccionado con sus privilegios.

Se modifica el archivo colocando un programa malintencionado que rastrea la ruta de ip, keylogger, y demás información relevante.

Se monitorizar el usuario, su actividad diaria, el software que utiliza, el comportamiento del hardware y porque medios o canales pasan la información que utiliza en el día a día. Se verifica los vídeos y se observa el uso del ordenador si es un individuo o varios.

Pasado los primeros siete días se pudo observar dos usuarios en el mismo ordenador, de acuerdo a los logs del mismo ordenador y a las cámaras de video vigilancia comprobando que los dos usuarios utilizan en el mismo momento el pc.

A través de las cámaras se verificó los usuarios con nombre y apellido, gracias a la jefa de recursos humanos que se había implicado con el informe y el comité de dirección.

A través de herramientas utilizadas en el ordenador verificamos el correo electrónico utilizado y el destinario. 

Pasados los catorce días se realiza un informe con los datos localizados y sus correspondientes evidencias para que el comité de dirección realice las penalizaciones correspondientes y los actos legales contra los destinatarios localizados en los correos electrónicos.

Recomendación: realizar una auditoría exhaustiva para verificar el alcance afectado de la fuga de información dentro de la organización y los distintos departamentos que contiene dicha información.

Después de detectar, analizar, y verificar los resultados de la auditoría, se informa que:

Se ve afectado el área del departamento, el control de recursos humanos, los procesos de acceso a los recursos, el uso no autorizado de correo personal dentro de la organización.

Se ve afectado al cambio la política de usos, la política de formación y concienciación, por ende la política de seguridad (contingencia, continuidad).

Se deberá asignar a un jefe de área para ser responsable del control interno de su sector, modificación de las normativas de usos y accesos y por el último la monitorización y control de cualquier tipo de salida de información (física o lógica).

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*