CASO FINAL

1. Sí tú fueras el GG de las empresa que es lo que hicieras?

• Hacer que todos los colaboradores tomen conciencia de la seguridad de la

información y el riesgo que corremos como empresa, con la fuga de información
confidencial.
• Tener un contrato de confidencialidad con las aplicaciones de terceros pues estos
pueden ser los que faciliten la información a la competencia.
• Contrataría una auditoria en seguridad para ver los componentes que están fallando
en la empresa.
• Restricciones en cuanto al uso de Internet durante la jornada laboral.

2. ¿Sí tú fueras el Director Comercial que pasos seguirías?

• Conseguir la implicación de todos los integrantes de la empresa y el patrocinio de la

alta dirección, pues el proceso de ventas es el core de la empresa y sería ideal que
todos tomen conciencia de la importancia de este proceso.

3. ¿Sí tú fueras el Jefe de Sistemas que es lo que harías?

• Formaría un equipo de seguridad con las personas que tienen más habilidades de
auditoria
• Identificar la información y aplicaciones más importantes, en dónde se localizan y
quién tiene o requiere acceso
• Implementaría un Controlador de Dominio para aplicar políticas de seguridad a nivel
de GPO,
• Sugeriría la instalación de un servidor de correos para poder controlar mejor él envió
de información.
• Sugeriría la implementación de contratos, políticas que protejan la continuidad del
negocio.
• Evitar y Monitorear fuga de información confidencial a través de unidades masivas
USB, tarjetas SD, Flash Memory, Cámaras, Celulares y otros dispositivos de
almacenamiento removible
 • Bloqueo selectivo de tecla PrintScreen (evita capturar información confidencial
tomando foto de pantalla) (norma ISO-27001 – circular 052)
• Asegura que el usuario guarde los documentos institucionales en ubicaciones
específicas.
• Bloquea el guardar archivos de tipos determinados en los equipos de la entidad
(MP3, Videos, juegos, etc) (norma ISO-27001 – circular 052)
• Evitar y/o controlar fuga de información confidencial a través de adjuntos de correo
no institucionales. (norma ISO-27001 – circular 052)
• Monitorear y/o Evitar la impresión en papel (por auditoría y/o control de fuga de
información) (norma ISO-27001 – circular 052)
• Evitar el grabado de CD-DVD con información confidencial y/o estratégica de la
entidad (norma ISO-27001 – circular 052)
• Reportar el robo y/o reemplazo de componentes de hardware del computador, al
momento de iniciar la sesión de usuario.
• Generación y reporte de estadísticas de Informática Forense, detallando quien,
cuando, con qué, fecha, hora, documentos abiertos, borrados, etc.
• Utilización de memorias USB serializadas como excepción para determinados
funcionarios de la entidad.
• Asegurar el cumplimiento de normas de Derechos de Autor y Licenciamiento Legal,
al evitar la instalación y uso de Software no autorizado en los equipos de la entidad.
Como valor agregado, esta acción evita la instalación de spyware, virus y malware
desde 14 tipos de ejecutables.
• Controlar el acceso a páginas web y contenidos de Internet no aprobados por
normas de la entidad ó para reducción de riesgos informáticos y optimizar uso del
ancho de banda. (pornografía, videos, música en línea, chat, messenger, descarga
de software ilegal, etc.)
• Bloquear la navegación en internet en forma selectiva, por días – horas.
• Creación y difusión masiva de perfiles de seguridad, ejecución de comandos,
aplicación de parches, etc, para N estaciones con mínimo esfuerzo por parte del
Administrador.
• Reportar y controlar la conexión en la red de PCs y/o portátiles no aprobados
previamente. (requiere autenticación de usuario en DOMINIO – Logon Script )

4. ¿Qué plantearías para encontrar a la persona(s) que están entregando información a la

competencia?
 • Hacer una auditoria interna y externa para ver el flujo de información en la empresa.
• Monitorear la red para ver los paquetes de datos y ver que anomalías presentan.
• Aplicar Ethical Hacking con los equipos de los empleados para dar con el
responsable.

5. ¿Teniendo en cuenta la ISO 27001 cuál sería tu propuesta hacia la Empresa y cómo lo
propondrías?, si tiene un costo favor de colocarlo.

• Entender en cuestiones de seguridad en el presente y futuro. Saber en dónde se

encuentra y en dónde quiere estar.
• Contar con una estrategia de seguridad de la información basada en riesgos que
esté alineada con las necesidades del negocio.
• Lograr el cumplimiento y mantener la integridad y confidencialidad de la información
crítica.
• Entender a fondo lo que constituye la información crítica de la organización, en
dónde se encuentra y quién tiene o requiere acceso a ella.
• Buscar medios para medir, monitorear y reportar sobre la eficacia del programa de
seguridad y los controles.
• Optimizar los programas de seguridad para obtener eficiencias y reducir costos.
• Crear una cultura de confianza y responsabilidad entre los clientes y empleados.

Con respecto al costo creo que el tema va más por concientizar al equipo de trabajo, pues
de ellos depende todo el negocio, y logrando implementar buenas políticas, contratos creo
que se puede dar con el responsable de fuga de información.