Para qué contarlos
Para las organizaciones modernas se abren nuevos desafíos debido a la infinidad de riesgos a los que se encuentran expuestos, independientemente de que sus directivos sean conscientes de ello o no.

Por este motivo exponemos aquí nuestros casos de éxito más representativos de las situaciones en las que hemos sido convocados para resolver.
El paradigma de la Seguridad de la Información es: Estar preparado para CUANDO suceda.
Sabemos cómo ayudarlo. Puede contar con nosotros.

Caso 1
Plan de Continuidad del Negocio

Escenario
Una empresa líder en el rubro extrusión de aluminio. Produce 7500 toneladas por año entre sus dos prensas extrusoras, A y B cuya vida lleva alrededor de 40 años. Cada prensa utiliza 3 computadoras para ser operada en las diferentes etapas de sus procesos productivos. Estas se encuentran dentro de la planta 2000mts 2 con temperaturas que en verano alcanzan los 50 grados centígrados.

El mantenimiento y control de procesos de cada una de estas prensas se realiza con una computadora que utiliza el sector mantenimiento para monitorear el estado de los parámetros sensibles de las prensas.

Un horno de homogeneizado es controlado en forma automática mediante una placa PLC con la cual se genera una curva de temperatura que está calibrada para el proceso de horneado.

Además hay un sector de embalaje con balanzas de pesaje automatizado. Se imprimen en el sector las etiquetas que identifican los lotes y los destinatarios de los mismos.
Cualquier inconveniente con la impresión origina cuellos de botella de alto impacto en los tiempos de procesado pudiendo suceder que se detenga la cadena de producción lo cual impacta en objetivos de ventas y premios de los equipos de trabajo afectados.
La empresa tiene 120 empleados entre la planta y la administración. 50 de ellos tienen telefonía celular provista por la propia empresa.

El departamento de sistemas es operado y administrado por un solo recurso, quién trabaja allí hace 7 años. Este recurso diseñó la red e instaló y configuró los servidores y estaciones de trabajo.

El sistema de vigilancia externa cuenta con equipos de más de 5 años de antigüedad con Windows XP para monitorear las cámaras de seguridad. El servidor controlador de dominio cuenta con Windows 2003 server en un equipo Dell fuera de garantía, la página web está instalada en un clon con Linux. También hay un servidor para el sistema de gestión de toda la empresa y otro para la central telefónica.

El sistema de gestión, se utiliza para TODOS los procesos de la empresa, facturación, pedidos, fabricación y seguimiento de las partes en el proceso productivo. La empresa desarrolladora del mismo por medio de un único recurso quién brinda el soporte y desarrolla todas las mejoras que se solicitan al sistema. Si éste recurso no está disponible, no hay reemplazo.

El caso
La alta dirección de la empresa, por medio de su Directora General y el Gerente de RRHH solicitan en una entrevista la necesidad de remover al encargado de Sistemas -única persona que trabaja en el área manteniendo los servicios informáticos y dando soporte a los usuarios-.

El cliente solicita nuestra intervención en el área de sistemas una vez que el recurso estuviere desvinculado.

La propuesta de IKYO  consistió en realizar una auditoria completa de seguridad con el objetivo de tomar el control. El informe final daría lugar a diseñar e implementar un plan de acción con el objetivo de transferir el control del recurso a la empresa.

En los 3 meses siguientes a la finalización de la auditoría se fueron implementando cambios en cuestiones operativas y de seguridad junto con la redacción de manuales de procedimiento a los efectos de elaborar un plan de continuación del negocio.

En el momento que éste estuvo consolidado se dio inicio a las conversaciones con el empleado para lograr su desvinculación, la cual se concluyó al 4º mes de la auditoría.

Lecciones Aprendidas
Las Pequeñas y Medianas Empresas (PyMes) adolecen de criterio para comprender los riesgos que ponen en juego la continuidad del negocio. Estos tienen cada vez mayor probabilidad de ocurrencia y un alto impacto económico el cual no es valorado adecuadamente.

Cuando se da el caso que una empresa tiene personal interno debe haber al menos 2 personas en el área para que en caso de ausencia de una de ellas por el motivo que fuere, la otra pueda mantener las operaciones en funcionamiento reduciendo de este modo el riesgo.

Es sumamente importante contar con Políticas y Procedimientos escritos y revisados periódicamente como así también realizar auditorías periódicas que permitan monitorear las desviaciones de las Políticas propuestas y o bien corregir los procesos o mejorar las Políticas. Para ello las Normas como ISO 27.00x u otras puede ser una buena guía para las PyMes, sin que ello necesariamente implique certificar
 

Caso 2
Ataque de un INSIDER

Escenario
La empresa a la cual asesoramos se dedica al autotransporte de carga en sus diferentes modalidades, -larga distancia, logística y distribución y transporte de productos refrigerados-.

Comenzó en la década del sesenta, distribuyendo los productos de las embotelladoras barriales, las que luego se fueron fusionando, transformándose en grandes compañías embotelladoras internacionales. De esta forma se han comenzado las operaciones con la distribución de las más importantes bebidas de la Argentina desde la Ciudad de Buenos Aires hacia el resto del país.

Cuenta con una Flota propia de alrededor de 150 camiones que están distribuidos por todo el país, además de administrar a más de 100 transportistas independientes tercerizados.

Su centro de operaciones está ubicado en la Ciudad Autónoma de Buenos donde cuenta con un taller para atender vehículos pesados, guarda de camiones, oficina de operaciones y transferencia de cargas.

En las oficinas administrativas se encuentra alojado el centro de datos el cual está en red con todos los demás puntos, a través de la utilización de VPN’s.

Toda la estructura de sistemas está a cargo de 2 administradores quienes se distribuyen las tareas de mantenimiento, soporte y planificación.

El caso
La situación surge a partir de la decisión de desvincular al administrador de sistemas, quién llegó a conocer ésta intención en forma previa a que fuera notificado formalmente.
Las cosas parecieron continuar con su curso normal hasta que, al día siguiente de hacer efectivo el despido de este empleado la empresa se encuentra con las siguientes novedades:

  • La contraseña del usuario administrador había sido modificada.
  • Los privilegios de los usuarios habían sido removidos.
  • Las contraseñas de acceso a los routers se habían modificado.
  • La contraseña de acceso al portal de licenciamiento de Microsoft se había modificado.
  • El controlador de Dominio está instalado en un servidor Hewlet Packard con RAID 5.
  • El escenario que se avizoraba planteaba el interrogante de si este empleado pudiera tener acceso remoto a la red y ante la incerteza se procedió como si así fuera.

Por tal motivo medida inmediata, se propuso reemplazar los routers en todos los puntos de acceso a la red para tomar el control en los accesos a la red corporativa.

El siguiente paso consistió en virtualizar el DC para poder trabajar luego en un ambiente laboratorio y buscar una solución que se pudiera implementar en el ambiente de producción.

 Ante la imposibilidad de instalar software por carecer de usuario administrador, se compró un software que permite arrancar el servidor y virtualizarlo en un disco externo sin necesidad de instalar.

A la imagen virtual así obtenida se la copio en diferentes discos externos y se trabajó en distintos equipos con diferentes líneas de acción.

Un equipo encontró vulnerabilidades en el software y logró modificar la clave con éxito. Se redactó un procedimiento el cual pude ser replicado con éxito en el entorno de producción.
Otro equipo se ocupó de obtener los hashes de las claves de usuarios para luego mediante el uso de herramientas afines obtener la correspondiente al administrador del dominio.

Esto pudo ser completado en 60 días.

Lecciones aprendidas
El contar con más de una persona gestionando el área de sistemas es condición necesaria pero no suficiente para mantener a resguardo la continuidad del negocio.

Resulta esencial contar con una política de Recursos Humanos que monitoree los procesos en donde intervienen puestos críticos para la compañía. El nivel de seguridad está determinado por su eslabón más débil y éste en términos generales suele ser el usuario.

En el caso descripto podemos decir que falló el proceso de desvinculación. Según el modelo del “Triángulo del Fraude”.

Para que una persona cometa Fraude son necesarias 3 condiciones.
Presión – Oportunidad - Justificación

La presión es lo que motiva el delito en primer lugar. En general estos esta originado por necesidades económicas o financieras que serán los disparadores en caso de que ocurran las siguientes etapas.

El segundo elemento necesario para cometer fraude es la oportunidad percibida, la cual define el método por el cual se cometerá el ilícito. La persona debe ver alguna forma por la cual puede abusar de su posición de confianza para resolver sus problemas económicos o financieros.

La tercera etapa necesaria para cometer fraude es la justificación. La mayoría de las personas que cometen fraude no tienen pasado ni conducta como delincuentes. Por tal motivo, el defraudador, necesita encontrar motivos que justifiquen sus actos de una forma que sean aceptables.

Cuando lo logra se cierra el triángulo y se comete el fraude.

El Plan de continuidad del negocio NO es un asunto meramente tecnológico o de control. En cambio es un tema en el que deben involucrarse TODAS las áreas de la organización.