Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No comercial-Compartir bajo la misma licencia 2.5 Per. Para ver una copia de dicha licencia, visite http://creativecommons.org/licenses/by-nc-sa/2.5/pe/
PRESENTADO POR:
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 1 de 71
DEDICATORIA
A mis padres Carolina y Francis por su incansable e ilimitado apoyo y amor incondicional a lo largo de toda mi vida de estudiante, y por ser hoy lo que soy gracias a ellos. A mi hermano Gerardo por su inmenso amor y apoyo en todos los aspectos de mi vida. A mi enamorada Susana por su amor sin fronteras y por su constante nimo en concluir exitosamente este trabajo.
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 2 de 71
AGRADECIMIENTOS
Al Ingeniero Manuel Tupia por su apoyo y asesora en la presente tesis y en mi desarrollo de asesor acadmico en la universidad. Al Ingeniero Bruno Fernndez por su valioso apoyo en el desarrollo del presente trabajo. Al Ingeniero Carmen Quiroz por su valioso apoyo en mi desarrollo de asesor acadmico en la universidad
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 3 de 71
TABLA DE CONTENIDOS RESUMEN ----------------------------------------------------------------------------------------6 I. INTRODUCCION -------------------------------------------------------------------------7 II. OBJETIVOS Y ALCANCE --------------------------------------------------------------8 III. ESTADO DEL ARTE DEL PROBLEMA ---------------------------------------------9 1. JUSTIFICACION ------------------------------------------------------------------------9 2. DEFINICIONES [6] ------------------------------------------------------------------- 10 3. MARCO DE REFERENCIA -------------------------------------------------------- 11 3.1 GOBIERNO DE TI ------------------------------------------------------------------ 11 3.2 BS 7799 ------------------------------------------------------------------------------- 17 3.3 ISO 17799 ---------------------------------------------------------------------------- 19 3.4 COBIT --------------------------------------------------------------------------------- 22 3.5 AS/NZS 4360:2004----------------------------------------------------------------- 25 IV. ANALISIS Y DISCUSION ------------------------------------------------------------- 31 1. Gobierno de Seguridad de Informacin ----------------------------------------- 31 1.1 Estrategia de Seguridad de Informacin: ------------------------------------- 33 1.2 Compromiso de la Administracin Gerencial -------------------------------- 37 1.3 Roles y Responsabilidades ------------------------------------------------------ 38 1.4 Canales de Comunicacin-------------------------------------------------------- 40 1.5 Normas Regulatorias y Legales------------------------------------------------- 41 1.6 Polticas de Seguridad de Informacin ---------------------------------------- 42 1.7 Procedimientos y Guas----------------------------------------------------------- 44 1.8 Anlisis de Valor -------------------------------------------------------------------- 45 2. Administracin de Riesgos --------------------------------------------------------- 47 2.1 Proceso de Administracin de Riesgos --------------------------------------- 50 2.2 Integracin en el Ciclo de Vida de los Procesos ---------------------------- 50 2.3 Identificacin de Riesgos y Mtodos de Anlisis --------------------------- 51 2.4 Mitigacin de Riesgos ------------------------------------------------------------- 52 2.5 Cambios Significativos en los Riesgos ---------------------------------------- 52 3. Administracin de un Programa de Seguridad de Informacin ----------- 54 3.1 Creacin y Mantenimiento de Planes------------------------------------------ 54 3.2 Conceptos Base de Seguridad de Informacin ----------------------------- 56 3.3 Procesos de Negocio -------------------------------------------------------------- 56 3.4 Actividades relacionadas a la infraestructura tecnolgica ---------------- 57 3.5 Actividades en el ciclo de vida de la institucin financiera --------------- 58 3.6 Impacto en los Usuarios Finales ------------------------------------------------ 59 3.7 Responsabilidad -------------------------------------------------------------------- 59 3.8 Mtricas ------------------------------------------------------------------------------- 60 3.9 Recursos Internos y Externos para la Seguridad de Informacin ------ 60 4. Gestin de la Seguridad de Informacin---------------------------------------- 61 4.1 Reglas de uso para los Sistemas de Informacin -------------------------- 61 4.2 Procedimientos Administrativos para Sistemas de Informacin -------- 62 4.3 Proveedores Externos ------------------------------------------------------------- 62 4.4 Uso de mtricas para medir, monitorear y reportar ------------------------ 63 4.5 Gestin de Cambios --------------------------------------------------------------- 63 4.6 Evaluacin de Vulnerabilidades------------------------------------------------- 64 4.7 Aspectos de no cumplimiento --------------------------------------------------- 64 4.8 Cultura, Comportamiento y Educacin en Seguridad de Informacin - 65 5. Administracin de Respuestas a Incidentes ----------------------------------- 65 ______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 4 de 71
5.1 Procesos para detectar, identificar y analizar eventos de seguridad -- 65 5.2 Desarrollo de Planes de Respuesta y Recuperacin ---------------------- 67 5.3 Documentacin---------------------------------------------------------------------- 68 6. Conclusiones -------------------------------------------------------------------------- 69 REFERENCIAS BIBLIOGRAFICAS ------------------------------------------------------ 70
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 5 de 71
RESUMEN
En la actualidad, las inversiones en seguridad que realizan las empresas se destinan cada vez menos a la compra de productos, destinando ms bien parte de su presupuesto a la gestin de la seguridad de la informacin. El concepto de seguridad ha variado, acundose uno nuevo, el de seguridad gestionada, que va desplazando poco a poco al de seguridad informtica. Las medidas que comienzan a tomar las empresas giran entorno al nuevo concepto de gestin de la seguridad de la informacin. ste tiene tres vertientes: tcnica, legal y organizativa, es decir, un planteamiento coherente de directivas, procedimientos y criterios que permiten desde la administracin de las empresas asegurar la evolucin eficiente de la seguridad de los sistemas de informacin, la organizacin afn y sus infraestructuras. Para gestionar la seguridad de la informacin de una entidad se debe partir de una premisa fundamental y es que la seguridad absoluta no existe. Tomando lo anterior como punto de partida, una entidad puede adoptar algunas de las normas existentes en el mercado que establecen determinadas reglas o estndares que sirven de gua para gestionar la seguridad de la informacin, La presente tesis ha realizado una investigacin de las normas y estndares que van difundindose con mayor nfasis en el mercado peruano, en especial en el sector financiero. Se rescataron los aspectos ms saltantes de cada norma y estndar, a partir de los cuales se plantea un esquema de gestin de seguridad de informacin que puede ser empleado por una institucin financiera en el Per, lo cual permitir que sta cumpla con las normas de regulacin vigentes en lo relacionado a la Seguridad de Informacin.
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 6 de 71
I. INTRODUCCION
La informacin es el principal activo de toda organizacin segn los ms modernos paradigmas de la administracin empresarial, pudiendo hacer su aparicin de muchas formas: impresa o escrita en papel, almacenada electrnicamente, transmitida por correo, ilustrada en pelculas o hablada en conversaciones. En el ambiente de negocios competitivo de hoy, esa informacin est constantemente bajo la amenaza de muchas fuentes, que pueden ser internas, externas, accidentales o maliciosas para con la organizacin. Con el incremento del uso de nueva tecnologa para almacenar, transmitir y recobrar informacin se han abierto canales para un mayor nmero y variedad de amenazas. Se requiere establecer por tanto, un programa de gestin de seguridad de informacin dentro de cualquier tipo de organizacin. Es necesario asegurar la confidencialidad, integridad, disponibilidad y auditabilidad de la informacin vital para la corporacin, el negocio y los clientes. Una estrategia de gestin de la informacin es esencial para sobrevivir en el mercado actual. En la Figura 1 se puede apreciar como los activos de informacin de una organizacin estn rodeados de un complejo ambiente de objetos y amenazas que van desde simples virus de computadora hasta robos de la propiedad intelectual del negocio.
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 7 de 71
A partir del modelo citado, la investigacin cubrir todos aquellos lineamientos a tener en cuenta en relacin a estndares, normas, procedimientos y medidas tecnolgicas que aseguren la confidencialidad, integridad, y disponibilidad de la informacin en sus estados de proceso, almacenamiento y transmisin. A esto se
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 8 de 71
le est agregando el aspecto de auditabilidad de la informacin (importante para la deteccin de accesos no autorizados a ella)
1. JUSTIFICACION
Tomando como base lo expuesto surge la necesidad que toda institucin financiera deba contar con un Sistema de Gestin de Seguridad de Informacin, el cual le permita administrar toda su informacin, garantizando los aspectos de confidencialidad, integridad, disponibilidad y auditabilidad que sta debe cumplir. Al mismo tiempo deber permitir el cumplimiento de las normas vigentes de la Superintendencia de Banca y Seguros del Per, la cual, en la actualidad y de manera paulatina, est adoptando las normas, leyes y estndares que imperan en Europa y Estados Unidos referentes a seguridad de informacin, control interno y clculo de capital mnimo para riesgos, con la finalidad de implementarlos en las instituciones financieras del pas en un futuro cercano. [5] Hoy en da existen diferentes normas y estndares relacionados a la seguridad de informacin, que indican qu debe cumplir un adecuado SGSI, mas no sealan claramente el cmo lograrlo. Se justifica as, la necesidad de un estudio centrado precisamente en analizar la manera implementar un adecuado SGSI a partir del anlisis de las mejores prcticas y metodologas existentes.
Acuerdo de Basilea II establece estndares globales de administracin de riesgos para instituciones financieras [3]. Sarbanes Oxley Act del ao 2002 (EEUU), establecido para recobrar la confianza de los inversores. Norma las certificaciones ejecutivas de los estados financieros como requerimiento permanente aplicable a todas las compaas que cotizan en la Bolsa de EEUU .[4][5]
2
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 9 de 71
2. DEFINICIONES [6]
a. Informacin: es un activo, el cual, como cualquier otro activo de negocios, tiene valor para una organizacin y consecuentemente necesita ser protegido adecuadamente. b. Tipos de Informacin: la informacin puede ser clasificada de diversas maneras, segn la forma de comunicarse: i. ii. iii. iv. v. Impresa o escrita en papel Almacenada electrnicamente Transmitida por correo convencional o electrnicamente. Exhibida en videos corporativos Hablada en reuniones
No importando la forma que tome la informacin, sta deber ser siempre protegida. c. Seguridad de Informacin: Est caracterizada por la preservacin de los siguientes aspectos i. Confidencialidad: Asegurando que la informacin sea accesible solo por aquellos que estn autorizados. ii. Integridad: Salvaguardando la exactitud de la informacin en su procesamiento, as como su modificacin autorizada. iii. Disponibilidad: asegurando que los usuarios autorizados tengan acceso a la informacin y a los activos asociados cuando sea requerido. d. Sistema de Gestin: Es un sistema para establecer polticas y objetivos de tal manera que se puedan cumplir estos ltimos. Son usados por las organizaciones para disear sus polticas y para poner estas en funcionamiento a travs de objetivos. Para ello se basa en: i. ii. iii. iv. Estructuras organizacionales Procesos sistemticos y recursos asociados Metodologas de evaluacin y medida. Revisin de procesos para asegurar que los problemas sean corregidos y las oportunidades para mejorarlos sean reconocidas e implementadas cuando sea necesario.
e. Sistema de Gestin de Seguridad de Informacin (SGSI): Es una forma sistemtica de administrar la informacin sensible de una institucin, para que permanezca segura. Abarca a las personas, los procesos y las tecnologas de informacin. La forma total de la Seguridad de la Informacin, y la integracin de diferentes iniciativas de seguridad necesitan ser administradas para que cada elemento sea completamente efectivo. Aqu es donde entra el Sistema de Gestin de Seguridad de la Informacin que permite coordinar esfuerzos de seguridad con mayor efectividad.
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 10 de 71
3. MARCO DE REFERENCIA
A continuacin se presentan ciertos aspectos importantes relacionados al tema de seguridad de informacin y su administracin:
3.1 GOBIERNO DE TI
El Gobierno de TI es parte integral del Gobierno Corporativo3 y consiste en el liderazgo, estructura organizacional y procesos que aseguran que las Tecnologas de Informacin (TI) de una organizacin estn alineadas y acorde a las estrategias y objetivos de la misma. [8][9][10] El gobierno de TI o llamado tambin gobernabilidad de TI es responsabilidad de la junta de directores y gerencia de una organizacin. En medio de las responsabilidades del gobierno de TI como son establecer estrategias, administrar riesgos y medir desempeo, estn los stakeholders4, los cuales conducen la organizacin y estrategia de TI. Un factor primordial para el xito de estas estructuras y procesos es una adecuada comunicacin de todas las partes involucradas, basadas en relaciones constructivas, un lenguaje comn y un compromiso compartido. Las responsabilidades del gobierno de TI forman parte del gobierno corporativo y deben ser conducidas como cualquier otra estrategia. En trminos ms sencillos, el gobierno debe ser efectivo, transparente y medible. El propsito del gobierno de TI es asegurar que el desempeo de las tecnologas de informacin cumpla con los siguientes objetivos [9]: Alineamiento de las tecnologas de informacin con los objetivos del negocio. Uso de las tecnologas de informacin para aprovechar las oportunidades y maximizar los beneficios. Uso responsable de los recursos de tecnologa de informacin.
Se entiende por gobierno corporativo el conjunto de normas y reglas que regulan el proceso de toma de decisiones en una sociedad, as como tambin la organizacin y el ejercicio del poder en la sociedad annima abierta [7] 4 StakeHolder es usado para indicar cualquier persona que tiene una responsabilidad o una expectativa de las tecnologas de informacin en una organizacin. [11]
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 11 de 71
El gobierno de TI usualmente se da en distintas capas, con lderes de grupo recibiendo instrucciones de sus superiores, los cuales a su vez reportan a la gerencia de la organizacin. Aquellos informes que den cuenta de un desvo de los objetivos establecidos son acompaados de las recomendaciones necesarias para corregirlas. Es importante mencionar que estos alcances no podrn ser efectivos al menos que las estrategias y objetivos hayan sido distribuidos a manera de cascada por toda la organizacin. En la Figura 3 se presenta conceptualmente la interaccin entre los objetivos y actividades de TI desde una perspectiva de gobierno de TI, la cual puede ser aplicada a distintas capas dentro de la organizacin.
Como respuesta a las instrucciones recibidas, las funciones de TI necesitan enfocarse en: Maximizar los beneficios incrementando una adecuada automatizacin, haciendo ms efectiva a una organizacin. Disminuir costos haciendo ms eficiente a una organizacin. Administrar los riesgos de tecnologa de informacin.
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 12 de 71
La infraestructura del gobierno de TI puede ser complementado de acuerdo a como lo indica la siguiente figura.
Adicionalmente a las responsabilidades ya mencionadas del gobierno de TI, podemos agregar las siguientes: Tomar en cuenta el valor que encierran los stakeholders cuando se establezca una estrategia. Llevar por una buena direccin los procesos que implementan la estrategia. Asegurar que los procesos brinden resultados mensurables. Estar informado de los resultados e incentivar su mejora. Adoptar las acciones necesarias en funcin de los resultados que se obtengan.
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 13 de 71
Siendo el alineamiento de las tecnologas de informacin con los objetivos del negocio un factor muy importante, la gerencia debe transmitir estos objetivos y la estrategia en cascada hacia la organizacin, haciendo que llegue a los empleados de todos los niveles. En la Figura 6 se puede visualizar lo expuesto.
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 14 de 71
Es importante mencionar que un gran porcentaje de los valores de mercado de las empresas est atravesando por una transicin desde lo tangible (inventarios, instalaciones, etc.) hacia lo intangible (informacin, conocimiento, experiencia, reputacin, patentes, etc.). Muchos de estos activos tienen su soporte en las tecnologas de informacin. De esta manera una organizacin se vuelve vulnerable y frgil si su valor emana de aspectos conceptuales distintos de lo fsico. Es as como un buen gobierno de TI se vuelve muy importante en dar soporte e implementar los objetivos del negocio. A esto se agregan los riesgos a los que estn expuestos los negocios en el mundo globalizado de hoy. Esto obliga a que la administracin de las tecnologas de informacin sea efectiva y transparente. El Gobierno de TI cubre los siguientes aspectos: Valor derivado de las tecnologas de informacin Administracin de riesgos Alineamiento del negocio Administracin de recursos Medida del desempeo
El Gobierno de TI es a su vez un proceso en el que la estrategia de TI conduce los procesos, los cuales obtienen los recursos necesarios para ejecutar sus responsabilidades.
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 15 de 71
Los procesos de TI generan reportes que permiten medir el desempeo, riesgos controlados y aceptados, recursos consumidos. Estos reportes confirmarn si la estrategia est siendo desarrollada de la manera ms apropiada o brindarn indicaciones de que la estrategia necesita ser redireccionada. Estos procesos se pueden apreciar en la Figura 8.
La gestin de seguridad de la informacin es un proceso clave en el gobierno corporativo. El gobierno de TI representa el liderazgo, estructuras organizacionales, procesos de negocio, que en conjunto aseguran que los activos de informacin de una organizacin den soporte y aseguren las estrategias y objetivos. Un Sistema de Gestin de Seguridad de Informacin (SGSI) es vital para el xito de estas metas. Dado que en la actualidad existen un gran nmero de modelos, estndares y normas internacionales relacionados a la gestin de seguridad de informacin, tomaremos como base una clasificacin realizada por el IT Governance Institute. En la Figura 9 podemos apreciar dicha clasificacin, la cual tom como base los aspectos de metodologa, detalle de controles, controles de alto nivel, principios de seguridad y componentes de administracin y gestin.
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 16 de 71
Para fines de un Sistema de Gestin de Seguridad de Informacin es importante realizar un anlisis y diagnstico previo de la organizacin siguiendo una metodologa adecuada, la cual permita luego establecer objetivos de seguridad a un nivel general y su implementacin en controles especficos. De acuerdo a esto y teniendo como base la clasificacin mostrada en la Figura 9 se har un anlisis de los aspectos ms importantes que nos puede brindar COBIT, BS7799, ISO 17799. Junto con este anlisis, se proceder a realizar una revisin del estndar australiano AS/NZS 4360:2004 para aspectos de administracin de riesgos, el cual forma parte primordial dentro de un SGSI.
3.2 BS 7799
Desarrollado por el British Standards Institute (Reino Unido) en el ao de 1995. Ampliamente aceptado y utilizado como base para elaborar otros estndares de seguridad de informacin, incluyendo el ISO 17799. Est organizado en diez secciones, cubriendo cada una un rea distinta (aspectos organizacionales, aspectos tcnicos, aspectos de instalaciones). En la Figura 10 se pueden apreciar las secciones del BS 7799.
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 17 de 71
Se puede apreciar a partir de la leyenda las distintas secciones del BS 7799, empezando por los aspectos organizacionales, hasta llegar a los aspectos operacionales. La versin actual del estndar tiene dos partes BS7799-1: 1999 Information Security Management. Code of Practice for Information Security Management: es una gua que contiene consejos y recomendaciones para asegurar la seguridad de informacin de una organizacin de acuerdo a diez campos de aplicacin. BS7799-2: 1999 Information Security Management Specification for Information Security Management Systems: consiste en recomendaciones para establecer un efectivo Sistema de Administracin de Seguridad de Informacin (ISMS).
Este estndar cubre las necesidades de organizaciones de todo tipo, privadas y pblicas. Ser de gran inters para cualquier organizacin que almacene informacin confidencial en sistemas internos o externos, y que dependa de stos para el normal desarrollo de sus operaciones. En la Figura 11 se puede observar el grado de exposicin de un sistema de informacin y el riesgo asociado. En el caso de una institucin financiera, que es un servicio financiero, se puede apreciar que es alto.
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 18 de 71
Por tanto, podemos observar que este estndar encierra aspectos importantes para el SGSI que estamos planteando para una institucin financiera, ms an si como sabemos el riesgo de los sistemas de informacin de este tipo de instituciones es alto.
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 19 de 71
A continuacin se describe cada seccin y las acciones involucradas para asegurar el cumplimiento de sus objetivos: Polticas de Seguridad: la administracin define en sus polticas de seguridad una direccin estratgica para la seguridad de la informacin y demuestra su respaldo y compromiso. Una poltica de seguridad documentada y aplicada es el ncleo vital para la aplicacin de un ISMS5 Organizacin de la seguridad: La organizacin de la seguridad significa principios y procedimientos para administrar la seguridad de la informacin. Los principales objetivos de esta seccin son: o o Administrar la seguridad de la informacin dentro de la organizacin Mantener la seguridad de la informacin de la organizacin cuando es posible acceder a ella mediante elementos externos, como resultado de algunas facilidades brindadas. Mantener la seguridad de la informacin de la organizacin cuando la responsabilidad de su procesamiento se ha encargado a un ente externo.
Clasificacin y Control de Activos: para proteger activos de informacin primero se debe elaborar un inventario de todos los activos de informacin dentro de la organizacin para as clasificarlos por grado de importancia, y en funcin a ello asignar acciones de proteccin a los mismos. Por tanto el principal objetivo de esta seccin es:
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 20 de 71
Mantener la apropiada proteccin de los activos corporativos y asegurar que los activos de informacin reciban el apropiado nivel de proteccin.
Seguridad de Personal: se intenta reducir los riesgos por errores humanos, robo, fraude o abuso de facilidades. El entrenamiento del personal es vital para el adecuado entendimiento de la seguridad de la informacin, promoviendo un comportamiento adecuado. Por tanto, los principales objetivos de esta seccin son: o o Asegurar que los usuarios estn alerta de las amenazas de la seguridad de la informacin. Equipamiento adecuado de los usuarios para respaldar las polticas de seguridad de la organizacin en el curso de un normal desarrollo de trabajo. Minimizar los daos frente a incidentes de seguridad, fallas, etc., buscando aprender de ellos.
Seguridad Fsica y Ambiental: reas seguras previenen accesos no autorizados, daos, interferencia en las premisas de negocios. Adems protegen de prdidas de activos de informacin, y finalmente de interrupciones propias del negocio. Por lo tanto el principal objetivo de esta seccin es: o Prevenir el robo de informacin
Administracin computacional y de redes: los principales objetivos de esta seccin son: o o o o o o o Asegurar un procesamiento de informacin seguro Mitigar las fallas de sistema. Proteger la integridad del software y la informacin relacionada al mismo. Asegurar la disponibilidad e integridad del procesamiento de informacin y los servicios de comunicacin. Proteger la seguridad de informacin en las redes y su infraestructura Prevenir daos a los activos de informacin y asegurar la continuidad de los procesos de negocio. Prevenir la prdida, modificacin y uso indebido de la informacin que es compartida entre organizaciones.
Control de acceso a los sistemas: los principales objetivos de esta seccin son: o o o o o o Controlar el acceso a la informacin. Prevenir accesos no autorizados a los sistemas de informacin. Asegurar la proteccin de los servicios de red. Prevenir accesos no autorizados a las computadoras. Detectar actividades no autorizadas. Asegurar la seguridad de informacin cuando se usa tecnologa mvil y dems facilidades de red.
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 21 de 71
Desarrollo y Mantenimiento de Sistemas: los principales objetivos de esta seccin son: o Asegurar qu criterios de seguridad se tienen en cuenta al momento del desarrollo de sistemas. o Prevenir la prdida, modificacin o mal uso de la data de los usuarios en las aplicaciones de sistemas. o Proteger la confidencialidad, autenticidad e integridad de la informacin. o Asegurar que los proyectos de TI y sus actividades relacionadas sean conducidas de manera segura. Administracin de Continuidad de Negocios: esta seccin seala las acciones correctivas y preventivas que deben tomarse en cuenta para hacer frente a interrupciones que afecten las actividades de negocio y para proteger los procesos crticos de negocio de los efectos, fallas o desastres mayores. Cumplimiento de requerimientos legales: esta seccin busca reducir las brechas que pudieran existir en cuanto a obligaciones contractuales y regulatorias. Asimismo se busca cumplir con las polticas y estndares previamente establecidos por el ente regulador.
3.4 COBIT
Es una herramienta para la administracin de las tecnologas de informacin. Fue desarrollada por ISACA como un estndar para la seguridad de la tecnologa de informacin y buenas prcticas de control. Est orientado a la gestin, auditoria de sistemas, control y seguridad. Define lo que es necesario hacer para implementar una efectiva estructura de control. Permite atender las brechas entre los riesgos del negocio, necesidades de control y aspectos de tecnologa. Brinda adems, buenas prcticas a travs de una plataforma de dominios y procesos y presenta actividades en una estructura lgica y administrativa. La gestin y administracin de una organizacin debe garantizar que exista una plataforma de control interno que d soporte a los procesos de negocio. COBIT se concentra en los requerimientos del negocio relacionados a efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad de la informacin que fluye en la organizacin.
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 22 de 71
COBIT maneja el control desde el punto de vista de polticas, estructuras organizacionales y procedimientos. En cuanto a la administracin y gestin, estas son manejadas desde la perspectiva del gobierno corporativo, es decir, sealando los lineamientos para que todos los individuos involucrados en la administracin, uso, diseo, desarrollo y mantenimiento de los sistemas de informacin cumplan con los objetivos del negocio. Se maneja tambin, el concepto de objetivo de control el cual estable un propsito a ser cumplido implementando procedimientos de control dentro de una actividad particular de tecnologas de informacin. Existen actualmente otros modelos de control como el COSO (USA), Cadbury (Reino Unido), CoCo (Canada) y King (Sudfrica), los cuales estn concentrados exclusivamente en el control, sin proveer un modelo claro para dar soporte a los procesos de negocio. El propsito de COBIT es cubrir esta brecha brindando una base para el cumplimiento de los objetivos de negocio con la adecuada gestin de la tecnologa de informacin. Su objetivo principal es el desarrollo de polticas claras y buenas prcticas para la seguridad y control de la tecnologa de informacin para organizaciones comerciales, gubernamentales, y financieras entre otras. El desarrollo de COBIT est centrado en objetivos de control desde la perspectiva de los objetivos de negocio. A esto se agregan objetivos de control con fines de auditoria. COBIT se compone de: Guas de Administracin (Management Guidelines): para asegurar una organizacin exitosa, se debe administrar efectivamente la unin entre los procesos de negocios y los sistemas de informacin. Las guas de administracin consisten en: o Modelos de Maduracin (Maturity Models), que ayudan a determinar las fases y niveles esperados de control, comparndolos con normas actuales. o Factores Crticos de xito (Critical Success Factors), para identificar las acciones ms importantes para alcanzar el control sobre los procesos de tecnologa de informacin. o Indicadores Clave de Cumplimiento (Key Goal Indicators), para definir niveles objetivo de desempeo. o Indicadores Clave de Desempeo, para medir si un proceso de control de tecnologa est cumpliendo con su objetivo.
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 23 de 71
Resumen Ejecutivo (Executive Summary): especficamente diseado para ejecutivos y administradores, consiste en una explicacin de los conceptos y principios claves de COBIT. Se incluye una sntesis de la plataforma o Framework, la cual muestra un detalle ms amplio de los conceptos y principios, a la vez que se identifican los dominios (Planeamiento y Organizacin, Adquisicin e Implementacin, Entrega y Soporte, Monitoreo) y procesos de tecnologa. Plataforma (Framework): una organizacin exitosa est construida sobre una slida plataforma de datos e informacin. La plataforma explica cmo los procesos de tecnologa de informacin entregan la informacin que el negocio necesita para cumplir con sus objetivos. Esta entrega es controlada por medio de 34 controles de alto nivel, uno por cada proceso de tecnologa, contenidos en cuatro dominios. La plataforma identifica cual de los siete criterios de informacin (efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y fiabilidad) y cual de los recursos de tecnologa (personas, aplicaciones, tecnologa, instalaciones y datos) son importantes para que los procesos de tecnologa brinden un soporte completo a los objetivos de negocio. Objetivos de Control (Control Objectives): la clave para mantener la rentabilidad en un ambiente tecnolgicamente cambiante es medir qu tan bien se puede mantener el control. Los objetivos de control de COBIT brindan lo necesario para delinear una poltica clara y buenas prcticas para controles de tecnologa de informacin. Se incluyen los aspectos ptimos o resultados deseados que deben alcanzarse, implementando alguno de los 318 objetivos de control especficos detallados, a travs de los 34 procesos de tecnologa de informacin. Guas de Auditoria (Audit Guidelines): para cumplir con los objetivos trazados, peridicamente deben auditarse los procedimientos. Las guas de auditoria sugieren actividades que pueden desarrollarse para cada uno de los 34 objetivos de control de alto nivel, controlando de esta manera el riesgo asociado en caso no se cumpla con alguno. Herramientas de implementacin (Implementation Tool Set): contiene herramientas para diagnstico de controles de tecnologa, aspectos de gestin de conocimiento, guas de implementacin, preguntas frecuentes, casos de estudio de organizaciones que actualmente emplean COBIT, y presentaciones que pueden emplearse para introducir el COBIT en las organizaciones. Estas herramientas estn diseadas para facilitar la implementacin del COBIT, mostrar lecciones aprendidas de organizaciones que rpida y exitosamente aplicaron COBIT en sus ambientes de trabajo.
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 24 de 71
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 25 de 71
Una base confiable y rigurosa para el planeamiento y toma de decisiones. Efectiva identificacin de oportunidades y amenazas. Administracin proactiva antes que reactiva. Mejor distribucin y uso de los recursos. Confianza de los stakeholders. Cumplimiento con aspectos regulatorios cuando esto aplique. Mejor Gobierno Corporativo.
A continuacin se presentan algunas definiciones importantes a tener en cuenta en relacin a la administracin de riesgos, dentro de estas son: Consecuencia: impacto de un evento. Control: proceso, poltica, dispositivo, prctica o cualquier otra accin que acta para minimizar un riesgo o ampliar oportunidades. Evaluacin de controles: revisin sistemtica de los procesos para asegurar que los controles continen siendo efectivos y apropiados. La periodicidad de la evaluacin de los controles la establece cada organizacin de acuerdo a la naturaleza de sus negocios y/o objetivos. Evento: ocurrencia de un conjunto particular de circunstancias. El evento puede tener una sola ocurrencia o convertirse en una cadena. Frecuencia: medida del nmero de ocurrencias por unidad de tiempo. Amenaza: fuente potencial de algn dao o desperfecto. Probabilidad: usada como una descripcin general de la frecuencia de ocurrencia. Puede expresarse cualitativamente o cuantitativamente. Prdida: cualquier consecuencia negativa o efecto adverso, financiero o de otro tipo que daa a la organizacin. El dao a la imagen de la organizacin puede incluirse como una prdida. Monitoreo: consiste en la verificacin, supervisin del progreso de una actividad, accin o sistema con la finalidad de identificar cambios en el desempeo, de acuerdo a los niveles previamente establecidos. Organizacin: grupo de personas e instalaciones, con responsabilidades, autoridad y relaciones. Riesgo: posibilidad de que ocurra algo que pueda tener algn tipo de impacto en los objetivos de una organizacin. Generalmente es expresado en trminos de un evento o circunstancia y las consecuencias que puede producir. Riesgo Residual: es el riesgo que permanece luego de haber implementado un control o tratamiento. Anlisis de Riesgos: proceso sistemtico que consiste en entender la naturaleza de los riesgos y deducir su nivel.
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 26 de 71
Administracin de Riesgos: consiste en el proceso de identificacin, anlisis y evaluacin de riesgos. Eliminacin de riesgo: decisin que se toma en funcin a la situacin que presenta el origen del riesgo. Criterios para un riesgo: trminos de referencia que son tomados en cuenta al evaluar un riesgo. Se refiere a costos y beneficios asociados, requerimientos legales y regulatorios, requerimientos de usuarios, etc. Evaluacin de riesgos: proceso de comparar los niveles de riesgo con los criterios previamente establecidos. Identificacin de riesgos: proceso para determinar qu, dnde, cundo, por qu y cmo podra ocurrir algo. Proceso de Administracin de riesgos: aplicacin sistemtica de polticas, procedimientos y prcticas en las tareas de comunicacin, establecimiento del contexto, identificacin, anlisis, evaluacin, tratamiento, monitoreo y revisin de riesgos. Plataforma para la administracin de riesgos: conjunto de elementos que forman parte del sistema de gestin de una organizacin en relacin a la administracin de riesgos. Estos elementos pueden incluir planeamiento estratgico, estrategias, toma de decisiones y cualquier proceso o prctica que maneje los riesgos. Retencin del riesgo: intencionalmente o sin intencin retener la responsabilidad por las prdidas, o la carga financiera de las prdidas dentro de la organizacin. La retencin del riesgo tambin incluye los riesgos que no han sido identificados. Compartir el riesgo: se comparte el riesgo con un tercero fuera de la organizacin. Generalmente se habla de transferir el riesgo, y lo usual es a travs de seguros. Tratamiento de riesgos: proceso de seleccin e implementacin de medidas o controles para atenuar el impacto negativo de un riesgo.
Los principales elementos en el proceso de administracin de riesgos son: Establecer el contexto: referido a la estrategia, organizacin y administracin de riesgos en el cual tendr lugar el resto del proceso. Se deben establecer aquellos criterios o mtricas contra los cuales se evaluarn los riesgos. Identificar riesgos: se deben identificar los riesgos que se pretenda gestionar. Para ello debe efectuarse un anlisis de los principales procesos de negocio de la organizacin, en especial, de aquellos que pueden catalogarse como los ms crticos para el normal funcionamiento de la organizacin. Es importante detectar todas aquellas vulnerabilidades a las que est expuesta la organizacin, para luego identificar aquellas amenazas que pueden aprovecharlas.
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 27 de 71
Analizar los riesgos: se identifican los controles implementados para atenuar los riesgos, con la finalidad de establecer si continan funcionando de manera adecuada. Como parte del anlisis deben evaluarse las probabilidades de ocurrencia y los impactos de cada uno de los riesgos para luego establecer su nivel y esto permita realizar una priorizacin. Evaluar riesgos: se comparan los niveles de riesgo obtenidos contra las mtricas o criterios preestablecidos. Cada organizacin de acuerdo a sus objetivos y polticas decidirn el orden de atencin de los mismos, usando como base el nivel obtenido a partir de las mtricas. Tratar riesgos: en relacin a aquellos riesgos que tengan un nivel bajo o aceptable, estos se atendern con procedimientos de rutina normales dentro de los procesos de negocio de la organizacin. Para los riesgos con un mayor nivel, se deben desarrollar e implementar medidas que logren en lo posible ponerlos en nivel aceptable para la organizacin. Monitoreo y revisin: se debe realizar peridicamente una medicin del desempeo de los controles implementados, pues podra darse el caso que en algn momento stos necesiten ser mejorados, complementados o incluso cambiados. Comunicar y Consultar: se debe mantener una comunicacin constante con los dueos de los procesos de negocio en una organizacin, pues finalmente ellos son los ms indicados para dar un juicio de los controles implementados para tratar los riesgos a los que se ven expuestos.
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 28 de 71
En relacin a la administracin de riesgos se presentan algunos tipos de stos a los que se ven expuestos la mayora de organizaciones. De acuerdo al tipo de organizacin, uno o ms de los siguientes riesgos pueden presentarse: Riesgo Estratgico: Se asocia con la forma en que se administra la organizacin. El manejo del riesgo estratgico se enfoca a asuntos globales relacionados con la misin y el cumplimiento de los objetivos estratgicos, la clara definicin de polticas, diseo y conceptualizacin de la organizacin por parte de la alta gerencia. Riesgos Operativos: Comprende los riesgos relacionados tanto con la parte operativa como tcnica de la organizacin, incluye riesgos provenientes de deficiencias en los sistemas de informacin, en la definicin de los procesos, en la estructura de la organizacin, la desarticulacin entre dependencias lo cual conduce a ineficiencias, oportunidades de corrupcin e incumplimiento de los compromisos institucionales. Riesgos de Control: Estn directamente relacionados con inadecuados o inexistentes puntos de control y en otros casos, con puntos de control obsoletos, inoperantes o poco efectivos. Riesgos Financieros: Se relacionan con el manejo de los recursos de la organizacin que incluye, la ejecucin presupuestal, elaboracin de los estados financieros, pagos, manejos de excedentes de tesorera y el manejo sobre los bienes de cada organizacin. De la eficiencia y transparencia en el manejo de los recursos, as como su interaccin con las dems reas depender en gran parte el xito o fracaso de toda organizacin. Riesgos de Cumplimiento: Se asocian con la capacidad de la organizacin para cumplir con los requisitos legales, contractuales, de tica pblica y en general con su compromiso ante la los entes reguladores. Riesgos de Tecnologa: Se asocia con la capacidad de la organizacin para satisfacer sus necesidades actuales y futuras, as como para soportar el cumplimiento de su misin a travs de su tecnologa disponible.
El anlisis de riesgos se puede desarrollar en distintos niveles de detalle dependiendo del tipo de riesgo, propsito del anlisis, y sobretodo de la disponibilidad de informacin, datos y recursos. El anlisis puede ser cualitativo, semi-cuantitativo, cuantitativo, o una combinacin de estos dependiendo de las circunstancias. El orden de complejidad y costos de anlisis, en orden ascendente, es cualitativo, semi-cuantitativo y cuantitativo. En la prctica el anlisis cualitativo es usado con frecuencia para obtener un esquema general de los riesgos a los que est expuesta una organizacin. A partir de este punto, si se desea entrar en detalles, se utilizar el anlisis cuantitativo, siendo necesario contar con datos histricos correctamente cuantificados. Esto puede lograrse implementando las llamadas base de datos de prdidas.6
Registro de eventos que produjeron una prdida cuantificable generalmente en trmino monetarios. Se registra el evento, los activos tangibles o intangibles afectados y las medidas que se adoptaron. [21]
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 29 de 71
Daremos a continuacin algunos lineamientos en relacin a los tipos de anlisis de riesgos mencionados: Anlisis Cualitativo: emplea palabras para describir la magnitud de las potenciales consecuencias y probabilidad de ocurrencia de las mismas. Las escalas a emplearse pueden ser adaptadas de acuerdo a las circunstancias, y pueden emplearse distintas descripciones segn el tipo de riesgo. Las escalas ms frecuentes en uso son las probabilidades y consecuencias bajos, medios y altos. La combinacin de los pares nos dan como resultado el nivel de riesgo. El anlisis cualitativo puede ser usado como: o Una primera actividad de reconocimiento de riesgos a los que est expuesta una organizacin. Este primer reconocimiento constituir la base para un posterior anlisis ms detallado. o Apoyo en la toma de decisiones o Alternativa cuando no se cuenta con datos numricos histricos o recursos suficientes para un anlisis cuantitativo. Anlisis Semi-Cuantitativo: En este tipo de anlisis se busca ampliar la escala del anlisis cualitativo, asignando valores numricos iniciales, con cierta aproximacin. Esto sentar una mejor base para el anlisis cuantitativo, en el cual los valores numricos sern ms exactos. Es importante asignar con cuidado los valores a las probabilidades de ocurrencia de los eventos de riesgo, pues esto puede dar resultados inexactos, los cuales no reflejen la verdadera situacin de los niveles de riesgo de la organizacin. Anlisis Cualitativo: Este anlisis emplea valores numricos (a diferencia de escalas descriptivas usadas en el anlisis cualitativo y semi-cualitativo) tanto para las probabilidades e impactos, empleando datos de varias fuentes (base de datos de prdida por ejemplo). La precisin del anlisis depender mucho de la exactitud y veracidad de los datos obtenidos de las fuentes que se consulten. Los impactos de los riesgos generalmente se expresarn en trminos monetarios. En algunas oportunidades quizs se obtendrn distintos valores en el anlisis para un slo evento, esto de acuerdo a cmo ha ido variando el tiempo.
La forma en como se expresen las probabilidades e impactos y cmo se combinen para obtener un nivel de riesgo podr variar de acuerdo al tipo de ste y del propsito del anlisis de riesgos. Para obtener un mejor acercamiento a la metodologa de administracin de riesgos expuesta, es importante la lectura detallada del estndar australiano AS/NZS 4360:2004.
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 30 de 71
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 31 de 71
Elaborar una poltica de seguridad de informacin para la institucin financiera. Desarrollo de normas y procedimientos que den soporte a las polticas de seguridad de informacin. Desarrollar un anlisis de costo-beneficio adecuado para futuros programas de inversin en seguridad de informacin.
De esta manera el Gobierno de Seguridad de Informacin se convierte en una serie de actividades que buscan asegurar que los activos de informacin cuenten con un nivel de proteccin acorde con el valor y riesgo que significan para la institucin financiera en caso se vean comprometidos por algn evento. La gestin de seguridad de informacin efectiva abarca aspectos de negocio, legales y normativos no slo de tecnologa. Para que la seguridad de informacin sea efectiva debe direccionar los procesos ntegramente. Es muy poco beneficioso si un sistema seguro es usado para actividades fraudulentas. Para asegurar que todos los elementos relevantes de seguridad sean conducidos en una estrategia de seguridad organizacional, las secciones del ISO 17799 vistas en el marco de referencia pueden ser tiles como plataforma base. Normas y procedimientos se deben desarrollar como ya se mencion, para atender cada punto de este estndar. Cuando un Gobierno de Seguridad de Informacin es apropiadamente implementado debe dar como resultado: 9 Alineamiento estratgico: o Requerimientos de seguridad implementados de acuerdo a las necesidades del negocio, los cuales brindan una gua de lo que debe realizarse y una medida de cuando se logr. o Soluciones de seguridad a la medida de los procesos del negocio, las cuales toman en cuenta la cultura, estilo de administracin, tecnologa y estructura de la organizacin. o Inversiones en seguridad de informacin alienadas con la estrategia del negocio, con un perfil de riesgo bien definido. 9 Entrega de Valor: o Un conjunto de prcticas estndar de seguridad, requerimientos base de seguridad que siguen prcticas adecuadas y proporcionales al riesgo. o Esfuerzos distribuidos y proporcionales en reas con mayor impacto y beneficio para el negocio. o Soluciones completas que abarcan toda la organizacin, procesos y tecnologa basados en un entendimiento total del negocio de la organizacin. o Un continuo mejoramiento de la cultura basado en el entendimiento de que la seguridad es un proceso, no un evento.
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 32 de 71
9 Administracin de Riesgos: o Entendimiento colectivo del perfil de riesgo de la organizacin en relacin a sus amenazas y vulnerabilidades. o Conocimiento de las prioridades en la administracin de riesgos basadas en las consecuencias potenciales. o Suficiente mitigacin de riesgos, con consecuencias aceptables del riesgo residual7 resultante. o Entendimiento del riesgo residual y sus consecuencias. 9 Medida del Desempeo: o Conjunto de mtricas definidas y aceptadas, las cuales se encuentran apropiadamente alineadas con el negocio. o Proceso de medicin que ayudar a identificar brechas y brindar retroalimentacin del progreso que se vaya obteniendo. o Aseguramiento independiente brindado por evaluaciones y auditorias externas. En un nmero creciente de situaciones, los activos digitales comprometen la mayor parte del valor de una organizacin. Debe existir un esfuerzo por reconocer esta situacin y priorizar la proteccin de estos activos. A continuacin se detallan las principales tareas que se deben desarrollar para un gobierno de seguridad de informacin:
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 33 de 71
Adems, una estrategia de seguridad debe combinar, de la mejor manera, prcticas de seguridad en cada proceso y rea de negocio de la institucin financiera. Debe considerar capas de nivel de control. De igual manera, la capacitacin y educacin es primordial en la estrategia, pues la seguridad es a menudo dbil al nivel del usuario final: es en este nivel que se deben desarrollar metodologas y procesos que permitan a las polticas, estndares y procedimientos ser fciles de seguir, implementar y monitorear. Una propuesta de seguridad en capas de nivel de control se presenta en la Figura 15, definindose lo que cada capa busca controlar:
Defensas en contra de compromiso de los sistemas Prevencin Polticas, Estndares, Procedimientos y Tecnologa Autenticacin Autorizacin Encriptamiento Firewalls Etiquetado/ manipuleo/retencin Administracin Seguridad Fsica Prevencin de Intrusos Escaneo permanente de virus Seguridad Personal Capacitacin Autorizacin Privacidad de informacin Firewalls/ seguridad de dominios Segmentacin de redes Seguridad Fsica Monitoreo Mtricas Auditoria Deteccin de intrusos Deteccin de virus Respuesta ante incidentes Poltica/procedimiento de cambios Mecanismos adicionales de seguridad Nuevos/mejores controles Auditoria Monitoreo/ Gestin No Repudio Anlisis Forense Respaldos Continuidad de Negocios/ Plan de Recuperacin de Desastres
Contencin
Deteccin/notificacin
Reaccin
Recuperacin/ Restitucin
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 34 de 71
Los elementos que se pueden incluir en una estrategia de seguridad son: 9 Enlaces con la estrategia de negocio: todas las decisiones deben ser filtradas en el modelo de negocios de la institucin financiera. Si este modelo no existe, se debe desarrollar y validar. De no contarse con los fondos necesarios para desarrollar este modelo, se deben realizar inversiones mnimas aceptables en seguridad, basadas en prcticas que direccionen los riesgos. Es imprescindible la participacin de la administracin a nivel gerencial. 9 Mejores prcticas: pueden no ser proporcionales al riesgo. Para ello debe realizarse una medida apropiada del valor de activos que quiere protegerse, y analizar si las medidas que se tomen no son ms costosas que los mismos activos. 9 Polticas: deben ser formales, mas an siendo esto normado por el ente regulador de instituciones financieras. Todas las polticas y procedimientos deben documentarse, comunicados y actualizados con la regularidad apropiada. Como mnimo una poltica debe contemplar los siguientes aspectos: o o o o o o o o o o o o o o o o o o Poltica de acceso a informacin. Poltica de acceso a aplicaciones. Poltica de acceso a redes. Poltica de software. Poltica de privacidad. Poltica de clasificacin y posesin de informacin. Poltica de manejo de incidentes. Poltica de accesos remotos. Poltica de diseo y desarrollo de sistemas. Poltica de evaluacin y anlisis de riesgos. Poltica de entrenamiento y capacitacin. Poltica respaldos y recuperacin. Poltica de administracin de cambios. Poltica de seguridad personal. Poltica de seguridad fsica. Poltica de marcado, manipuleo y retencin de informacin. Poltica de documentacin. Polticas para estndares, creacin de procedimientos (aprobacin y mantenimiento).
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 35 de 71
9 Estndares: deben desarrollarse para proporcionar las mtricas necesarias que evalen si un procedimiento o prctica particular cumple con las polticas establecidas. Cada poltica puede incluir un nmero determinado de estndares necesarios para varias actividades. A su vez los estndares son importantes para los propsitos de brindar una base para la auditoria de sistemas. 9 Autenticacin: es el proceso de establecer la identidad de un usuario de un sistema de informacin. Existen tres formas de autenticacin: o o o Lo que uno sabe (por ejemplo un password). Lo que uno tiene (por ejemplo un token). Lo que uno es (por ejemplo la biometra).
Algunos mecanismos adoptan o combinan algunos de estos componentes para mejorar la autenticacin. 9 Administracin: gestionar y administrar todas las actividades requieren un esfuerzo significativo. Una funcin efectiva de seguridad requiere una adecuada administracin de sus polticas de privacidad, autenticacin, autorizacin y recuperacin de procesos. La seguridad debe considerarse en distintas fases de tiempo como una herramienta, metodologa, tcnica o proceso. Es por ello la necesidad de desarrollar mtricas que midan la efectividad de los procedimientos administrativos. 9 Recuperacin: Es imperativo que una organizacin no reduzca la efectividad y eficiencia de estrategia de seguridad recortando las inversiones en planeamiento de recuperacin de negocios y sistemas. Es necesario realizar pruebas dos veces al ao, tal como lo norma el ente regulador para todas las instituciones financieras. De estas pruebas se puede comprobar si alguna poltica o procedimiento viene respondiendo de acuerdo a lo esperado. 9 Servicios de Soporte: es complicado contar con un personal de seguridad que cumpla con todos los requerimientos para las numerosas actividades y proyectos. Por esta razn la institucin financiera podra necesitar apoyo externo. Outsourcing en cualquier actividad de negocio, en especial de seguridad, introduce un riesgo adicional que debe ser evaluado durante la decisin previa a tomar personal externo.
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 36 de 71
9 Tecnologa: existen muchas tecnologas con los mecanismos de seguridad necesarios para una estrategia exitosa. Entre ellas se puede citar: o o o o o o o o o o o Tecnologa Firewall. Tecnologa de intrusin y deteccin intrusos. Tecnologa antivirus. Tecnologa biomtrica. Tecnologa de encriptamiento. Tecnologa de acceso remoto. Tecnologa de firmas digitales. Tecnologa EDI y EFT. Tecnologa VPN. Tecnologa SET. Tecnologa forense. de
El uso e interrelacin de mecanismos de seguridad deben ser definidos por una arquitectura de seguridad que implemente los requerimientos de las polticas previamente establecidas.
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 37 de 71
La administracin gerencial debe tener un compromiso en los siguientes aspectos: 9 Implementando altos estndares de gobierno corporativo. 9 Tratando a la seguridad de informacin como un aspecto crtico del negocio y creando un ambiente positivo de seguridad. 9 Demostrando a los agentes externos que la institucin financiera trata a la seguridad de informacin de manera profesional. 9 Implantando principios fundamentales, tales como asumir una importante responsabilidad por la seguridad de informacin, implementando controles que sean proporcionales al riesgo y sealando responsabilidades individuales. La administracin gerencial debe demostrar su compromiso con la seguridad de informacin de la siguiente manera: 9 Involucrndose directamente en decisiones de alto nivel relacionadas a la seguridad de informacin, tal como la poltica de seguridad de informacin de la institucin financiera. 9 Ejerciendo un control a alto nivel. 9 Destinando recursos necesarios para la seguridad de informacin. 9 Revisando peridicamente la efectividad de la seguridad de informacin.
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 38 de 71
9 Trabajo con consultores externos en auditorias externas. 9 Identificacin de objetivos de proteccin consistentes con el plan estratgico institucional. 9 Identificacin de elementos clave de seguridad. 9 Polticas, estndares y procedimientos globales sean desarrollados e implementados para asegurar el mantenimiento de la seguridad. 9 Implementacin de planes para productos de seguridad sean siempre coordinados. 9 Identificacin de controles de seguridad apropiados. 9 Gestin apropiada de incidentes de seguridad. 9 Implementacin coordinada de los controles con el personal de administracin de procesos. 9 Contar con asesora externa para la seguridad fsica. 9 Contar con sitios alternos de negocio, operativos y probados. 9 Inducciones en temas de seguridad para nuevos empleados brindadas por el departamento de. 9 Todos los planes de capacitacin sean implementados de tal forma que incluyan sesiones para todos los niveles del negocio, incluyendo ejecutivos, tcnicos, analistas, consultores, personal de soporte, etc. 9 Desarrollo de procedimientos que integren la seguridad de informacin en cada unidad de negocio. Para el caso de una institucin financiera, cualquiera sea su tamao, es importante contar con un departamento de seguridad de informacin integrado por personal capacitado en las siguientes reas: 9 9 9 9 9 9 Administracin de seguridad lgica. Desarrollo de polticas. Arquitectura de seguridad. Investigacin. Evaluacin Auditoria
Se plantea como mnimo seis personas quienes estaran sujetas a diversos factores, de acuerdo a las posibilidades y polticas de la institucin financiera.
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 39 de 71
Nmero de empleados en un programa de capacitacin Intentos fallidos de acceso a sistemas o archivos electrnicos. Nmero de incidentes de seguridad
Identifica cmo los administradores configuran los sistemas Identifica lo que se ha intentado hacer con la institucin financiera, con alguna informacin referida a la amenaza. Identifica que tan bien los empleados siguen las directivas en el curso de capacitacin. Identifica una potencial amenaza Identifica aspectos seguridad actuales de
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 40 de 71
El reporte de las mtricas debe enfocarse en tendencias, no slo en nmeros. La razn de esto es que el administrador de seguridad de informacin va esquematizando instantneas de la organizacin y su progreso en el tiempo. Lo que debe ser relevante es que el gobierno de seguridad de informacin vaya mejorando su postura dentro de la institucin financiera. Esto no quiere decir que los nmeros sean menos importantes, pues deben leerse y usarse de acuerdo al contexto en el que encuentren. La comunicacin a todo el personal ayuda a asegurar que la seguridad de informacin sea conocida por toda la institucin financiera. Para ello deben implementarse canales de comunicacin, entre los cuales puede incluirse reuniones gerenciales, comits de seguridad de informacin, etc. Este tipo de informacin se puede lograr mediante publicaciones internas, publicaciones por una intranet, capacitacin permanente, clases formales, etc. Finalmente, el administrador de seguridad de informacin debe interactuar con otras instituciones financieras en temas afines a la seguridad de informacin. En la actualidad esto se viene dando a travs de la Asociacin de Bancos del Per (ASBANC), en el comit mensual de riesgo operacional, donde se tratan temas de seguridad de informacin.
La posibilidad de ocurrencia de prdidas financieras por deficiencias o fallas en los procesos internos, en la tecnologa de informacin, en las personas o por ocurrencia de eventos externos adversos. Esta definicin incluye el riesgo legal, pero excluye el riesgo estratgico y el de reputacin.[23]
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 41 de 71
La seguridad de informacin constituye por tanto en uno de los aspectos crticos en la prdida financiera de la institucin, como parte de la definicin de riesgo operacional. Se encuentra inevitablemente interrelacionada con temas de privacidad, propiedad intelectual y leyes contractuales. Cualquier esfuerzo para disear e implementar una efectiva poltica de seguridad de informacin debe realizarse sobre la base de un conocimiento de los requerimientos legales y sus restricciones.
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 42 de 71
Las polticas deben centrarse en las necesidades del negocio y deberan dar respuesta a preguntas clave como: 9 Qu informacin se administrar? 9 Qu tan importante es la informacin para las operaciones crticas? 9 Qu tan confidencial es la informacin? 9 Qu tan importante es la integridad de la informacin? 9 Cmo puede accederse a la informacin? 9 Qu controles deben implementarse para la gestin de la informacin? 9 Cul es el nivel de riesgo aceptable para la institucin? Un programa de seguridad de informacin integral puede incluir los siguientes elementos esenciales: 9 Polticas: Enunciados de alto nivel en concepto y extensin. 9 Estndares: Mtricas o procesos usados para determinar si los procedimientos cumplen con los requerimientos de las polticas. Generalmente un estndar debe brindar los parmetros y lmites suficientes de tal manera que un procedimiento no ambiguo cumpla con los requerimientos de una poltica relevante. Deben cambiar en la medida que los requerimientos y tecnologa lo hagan. 9 Procedimientos: Contienen pasos detallados necesarios para cumplir tareas especficas. Deben contener las salidas esperadas y mostrar las condiciones necesarias para la adecuada ejecucin del procedimiento. Asimismo deben contener los pasos necesarios para resultados inesperados. Deben ser exactos y no ambiguos. 9 Guas: Contienen informacin que ayudarn en la ejecucin de los procedimientos. Pueden incluir sugerencias y ejemplos, explicaciones de los procedimientos, informacin de apoyo, herramientas que se pueden usar, etc. En la Figura 17 se muestra la jerarqua de polticas, estndares y procedimientos.
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 43 de 71
Objetivos de Negocio
Estrategia de Tecnologa
Poltica A
Poltica B
Poltica C
Poltica D
Estndar
Estndar
Procedimiento Procedimiento
Algunos ejemplos de procedimientos tcnicos y guas que pueden desarrollarse son: 9 Respaldo y recuperacin. 9 Administracin de privilegios. 9 Reforzamiento del no cumplimiento con polticas (por ejemplo auditoria e deteccin de intrusos) 9 Monitoreo automatizado del cumplimiento de polticas. 9 Reforzamiento de la seguridad en las redes. 9 Configuracin de sistemas operativos.
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 44 de 71
Algunos ejemplos de procedimientos y guas no tcnicos que pueden desarrollarse son: 9 9 9 9 Procedimientos de revisin. Procedimientos de autorizacin. Procedimientos de aceptacin de riesgos. Procedimientos de respuesta a incidentes.
10 Trmino en ingls para Annual Loss Expectation 11 Trmino en ingls para Return On Investment 12 Trmino en ingls para Return On Security Investment
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 45 de 71
9 Reduccin cuantificable a la exposicin del riesgo. Ejemplos pueden incluir la reduccin de la probabilidad de ciertos tipos de brechas en la seguridad. 9 Beneficios cualitativos que actualmente no son cuantificables en trminos financieros pero que pueden definirse en trminos cualitativos. Como ejemplos se pueden mencionar niveles altos de integridad de la informacin almacenada o circulando por la red, respuesta rpida y efectiva a incidentes de seguridad, o niveles altos de seguridad a travs de capacitacin del personal. Todos estos beneficios tienen consecuencias financieras que podran ser difcilmente cuantificadas. Con el anlisis completo, el costo de implementar los procedimientos de seguridad de informacin, incluyendo la infraestructura que dar el soporte, debe ser cuantificado y revisado. Un ejemplo de ROSI proveniente de los investigadores de Idaho es la frmula para calcular el ROI para deteccin de intrusos en un sistema de defensa: (R-E) + T= ALE T es el costo de una herramienta de deteccin de intrusos E es el dinero que se ahorra por detener las intrusiones a travs del uso de la herramienta. R es el costo anual para la recuperacin de cualquier nmero de intrusiones. Para determinar el ROSI, se debe restar del costo anual de intrusin lo que la institucin financiera espera perder en un ao (ALE). Otro ejemplo para el clculo del ALE es: SLE x ARO= ALE SLE13 es la expectativa nica de prdida ARO14 es el rango de ocurrencia anualizado
13 Trmino en ingls para Single Loss Expectancy 14 Trmino en ingls para Annualized Rate of Ocurrente
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 46 de 71
2. Administracin de Riesgos
De acuerdo a lo expuesto en el marco de referencia, podemos concluir que el objetivo de la administracin de riesgos es identificar, cuantificar y administrar los riesgos asociados a la seguridad de informacin, con el fin de cumplir con los objetivos de negocio. Se puede mencionar cinco tareas principales dentro del proceso de administracin de riesgos: 9 Desarrollo de un proceso sistemtico, analtico y continuo de administracin de riesgos. 9 Garantizar que la identificacin de riesgos, su anlisis y mitigacin, se encuentren integrados al ciclo de vida de los procesos de negocio. 9 Aplicar metodologas de anlisis e identificacin de riesgos. 9 Definicin de estrategias para mitigar los riesgos a niveles aceptables para la institucin financiera. 9 Reportar cambios significativos en el riesgo a la gerencia, para tomar las decisiones que sean necesarias. La administracin de riesgos es un proceso que asegura que el impacto de las amenazas al explotar las distintas vulnerabilidades se encuentren en un nivel aceptado para la organizacin, incluyendo los costos asociados. A este nivel, esto se obtiene balanceando la exposicin al riesgo con la implementacin de controles de distintos tipos, sean por ejemplo administrativos o tecnolgicos. Para el caso de una institucin financiera, generalmente el riesgo es la probabilidad de que un evento o transaccin produzca prdida monetaria, dao a la imagen, su personal y a sus activos. Se puede resumir el concepto en la siguiente ecuacin: Riesgo Total= Amenazas x Vulnerabilidad x Valor del Activo El riesgo es parte de la vida diaria de una institucin financiera y por tanto es poco prctico pretender eliminarlo, por lo que todas poseen un nivel de riesgo que aceptan. Una forma para establecer el nivel aceptable de riesgo es determinando un punto ptimo donde los costos de las prdidas se sopesen con el costo de los controles. Algunas estrategias que pueden adoptar las instituciones financieras para tal fin son: 9 9 9 9 Dar fin a la actividad que origina el riesgo. Transferir el riesgo. Reducir el riesgo empleando mecanismos de control. Aceptar el riesgo.
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 47 de 71
Es importante que una institucin financiera cuente con un perfil de riesgo de su negocio. No existen modelos completos pero el dividir de manera lgica las reas de riesgo de la organizacin, facilita el poder concentrarse en estrategias y decisiones para administrarlos. Asimismo permite desarrollar e implementar medidas que sean relevantes y econmicamente convenientes. Para desarrollar un programa de administracin de riesgos, se debe emplear y adaptar un modelo referencial. En el marco de referencia se expone el estndar australiano AS/NZS 4360:2004, el cual en la actualidad es el ms conocido y difundido en administracin de riesgos. Empleando COBIT y su plataforma para el anlisis de riesgos, se puede valorar los activos, evaluar sus vulnerabilidades, amenazas, riesgos, para luego aplicar medidas de control que dejen un riesgo residual, al cual luego se le puede aplicar un plan de accin. La valoracin de los activos suele ser compleja, por tanto debe realizarse de manera cuidadosa, pues a partir de ella se determinarn las medidas de control para cada activo en particular. El primer paso de este proceso suele ser la identificacin y clasificacin de los recursos de informacin. La clasificacin busca obtener el nivel de sensibilidad de los activos, siendo generalmente una tarea compleja. Se puede emplear como criterio de clasificacin el costo de reemplazo de un activo: esto se aplica especialmente a los activos tangibles (hardware por lo general). La valoracin de datos e informacin se convierte en un aspecto bastante subjetivo. Por tanto es importante que la valoracin incluya siempre como criterio el dao producto de la exposicin de informacin a riesgos con niveles no aceptables para la institucin financiera. Algunos ejemplos tpicos de activos asociados con informacin y tecnologa son: 9 9 9 9 9 9 Informacin y datos. Hardware. Software. Servicios. Documentos. Personal.
Algunos ejemplos tpicos de amenazas son: 9 9 9 9 9 9 9 9 Errores. Accidentes. Dao malicioso. Eventos naturales (terremotos por ejemplo). Fraude. Robo. Fallas de equipos y/o software. Prdida de servicios (energa elctrica por ejemplo).
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 48 de 71
Mientras que algunos ejemplos de vulnerabilidades son: 9 9 9 9 9 9 Software defectuoso. Equipos configurados errneamente. Diseo de red equivocado. Personal insuficiente. Tecnologa no probada. Transmisin de informacin en medios inseguros.
El punto clave en la administracin de riesgos es la mitigacin o proceso de tratamiento (cmo el riesgo evaluado es tratado en la organizacin) En la Figura 18 se muestra el proceso de tratamiento de riesgos sugerido por el estndar AS/NZS 4360:2004:
Los elementos de control que deben ser considerados pueden ser preventivos o detectivos, manuales o automatizados. En resumen, el proceso de administracin de riesgos consiste en tomar decisiones de negocio. El impacto de ataques y el nivel de riesgo aceptable para situaciones especficas, se convierten en una decisin fundamental de acuerdo a polticas de la organizacin.
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 49 de 71
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 50 de 71
Integrando la identificacin de riesgos, anlisis y actividades de mitigacin en ciclo de vida de los procesos, se estar asegurando que la informacin crtica sea adecuadamente protegida. Este es un aspecto proactivo, que permitir planear e implementar polticas de seguridad y procedimientos alineados con los objetivos de negocio y objetivos de la institucin financiera. Debido a que la administracin de riesgos es un proceso continuo, ste debe ser visto como un ciclo de vida. Al aplicar una administracin de riesgos basada en ciclos de vida, se optimizan costos, lo que una evaluacin total de riesgos no permitira. Por el contrario, las actualizaciones permiten la evaluacin de riesgos y su administracin, como un proceso peridico.
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 51 de 71
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 52 de 71
Especficamente en cada etapa del proceso, la documentacin debe incluir: 9 9 9 9 Objetivos. Audiencia. Recursos de Informacin. Decisiones.
El documento de polticas de administracin de riesgos puede incluir informacin como: 9 Objetivos de la poltica para administrar los riesgos. 9 Relacin entre la poltica de administracin de riesgos, la estrategia de la institucin financiera y los planes de negocio. 9 Extensin y rango de aspectos a los cuales aplica la poltica. 9 Gua para catalogar riesgos aceptables para la institucin financiera. 9 Responsables de la administracin de riesgos. 9 Nivel de documentacin requerido. 9 Plan de revisin de la poltica de administracin de riesgos. Una documentacin tpica de administracin de riesgos debe incluir como mnimo lo siguiente: 9 Un registro por riesgo: asimismo, para cada riesgo identificado registrar lo siguiente: o o o o o o Fuente de origen del riesgo. Naturaleza del riesgo. Controles existentes. Consecuencias y probabilidad de ocurrencia. Nivel de riesgo inicial. Vulnerabilidad a factores internos y externos.
9 Un plan de mitigacin y acciones para los riesgos, detallando lo siguiente: o o o o o o Identificacin del responsable de la implementacin del plan. Recursos a utilizarse. Presupuesto asignado. Cronograma de implementacin. Detalle de controles. Frecuencia de revisin.
9 Documentos de monitoreo y auditoria, que deben incluir: o o Resultados de revisiones y auditorias, y otros procedimientos de revisin. Seguimiento a recomendaciones e implementaciones.
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 53 de 71
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 54 de 71
El plan debe especificar las responsabilidades en las tareas y establecer un cronograma para completarlas. Dependiendo del tamao de la institucin financiera, el administrador de seguridad de informacin puede ser el responsable de la gran mayora de las tareas. En instituciones financieras ms grandes, el administrador de seguridad de informacin puede delegar algunas de ellas. El administrador de seguridad de informacin debe conducir primeramente un anlisis de riesgos que identifique los niveles crticos de los recursos de informacin, as como las amenazas y vulnerabilidades relevantes de cada uno. Debe desarrollarse una matriz para establecer los recursos de informacin a proteger. Esto permitir tener un plan ms completo y actualizable. Los cambios realizados durante la etapa de desarrollo e implementacin son menos costosos y ms efectivos que los que se realizan despus que el programa de seguridad est en funcionamiento. Desarrollar e implementar un plan de seguridad implica distintas variables, grupos participantes y variadas tareas. Consecuentemente, es indispensable contar con habilidades de gestin de proyectos y herramientas efectivas para el xito del programa. Si una institucin financiera no cuenta con un puesto que d soporte a la administracin de proyectos, se deben emplear tcnicas generales de administracin de proyectos, tales como establecer objetivos, medir los progresos, hacer seguimiento a las fechas lmite, y asignar responsabilidades. La implementacin de un programa de seguridad debe ser analizada para estimar los niveles de esfuerzo necesarios y recursos requeridos para desarrollar cada tarea. Como mnimo, para cada tarea debe considerarse lo siguiente: 9 Horas hombre de acuerdo a la especialidad (por ejemplo analistas, programadores, etc.). 9 Equipamiento necesario (por ejemplo luces adicionales, puertas de seguridad, lector de tarjetas, etc.) 9 Requerimientos de hardware y software (por ejemplo firewalls, sistemas de deteccin de intrusos, pruebas de penetracin, herramientas de monitoreo, etc.). 9 Requerimientos de capacitacin. Habiendo establecido un cronograma de trabajo estimado para todas las tareas, se debe plantear un presupuesto, el cual consistir en: 9 Obtencin de un nivel estimado de esfuerzo necesario fase a fase, as como los recursos necesarios para cada una. 9 Expresar de manera aproximada el esfuerzo en horas hombre.
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 55 de 71
Lo que sigue es la programacin de tareas, las cuales pueden organizarse de acuerdo a lo siguiente: 9 Fecha ms temprana de inicio: considerando la secuencia lgica entre tareas, tratando en lo posible de llevar a cabo tareas paralelas. 9 Fecha ms tarda de conclusin: considerando las horas estimadas por tarea, disponibilidad de personal, y dems recursos, permitiendo fechas no operativas (feriados, fines de semana, etc.).
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 56 de 71
El administrador de seguridad de informacin puede cumplir todo lo sealado, teniendo reuniones peridicas con los dueos de negocio de la institucin financiera, y documentando esto en las guas de seguridad de informacin, que luego sern aceptadas y respaldadas por la alta gerencia.
Cada componente tiene requerimientos de confidencialidad, integridad, disponibilidad y auditabilidad. El administrador de seguridad de informacin debe considerar estos requerimientos para cada componente, no slo individualmente, sino de manera colectiva, usndolos para determinar los controles que sean necesarios, adecuando las polticas de seguridad para proteger la informacin de la institucin financiera. A continuacin se presentan los controles mnimos necesarios para cumplir con una poltica bsica de seguridad de informacin: 9 Control de procesos: Las polticas de seguridad de informacin y la administracin de seguridad de informacin son controles esenciales para los procesos. Son la base para un programa de seguridad de informacin, y crticos para la infraestructura de tecnologa. 9 Control de instalaciones: Tienen por finalidad restringir el acceso a las reas donde se procesa informacin confidencial y otros recursos tangibles de informacin, como por ejemplo el hardware. Entre los mtodos para mantener al personal no autorizado lejos de reas restringidas se incluyen el uso de diferentes dispositivos electrnicos (smart cards, cmaras de seguridad, sensores, etc.). Estos controles igualmente tienen por finalidad prevenir y/o mitigar daos a las instalaciones u otros recursos tangibles, causados por eventos naturales o tecnolgicos.
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 57 de 71
9 Control de personal: Se basan en las personas midiendo el nivel de confianza e integridad de quienes se encuentran ubicados en puestos claves dentro de la institucin financiera, en especial el nuevo personal. 9 Control en las plataformas: Se basa en la tecnologa que incluye caractersticas de seguridad implementadas en los sistemas operativos, las aplicaciones, sistemas de deteccin de intrusos, etc. 9 Control en la red: Se centran en dispositivos de seguridad tales como firewalls, ruteadores, switches, acceso remoto, y cualquier otro dispositivo que monitorea y restringe la informacin que viaja por las redes.
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 58 de 71
9 Diseo: En base a los requerimientos definidos, se establecern especificaciones que describan las partes del nuevo sistema y la forma como interactuarn, se implementarn, qu hardware y software se necesitar, requerimientos de red, etc. Adems se establecer un proceso formal de control de cambios para tomar en cuenta nuevos requerimientos que pudieran darse a lo largo del proceso de desarrollo. 9 Desarrollo: Empleando las especificaciones del diseo, se empezar con la programacin y formalizacin del soporte operacional de los procesos del sistema. En esta etapa ocurren distintos niveles de prueba, para validar y verificar lo que se viene desarrollando. 9 Implementacin: Se establecer la operacin del nuevo sistema con la aprobacin de los usuarios finales. El sistema puede pasar por un proceso de certificacin y acreditacin para evaluar su efectividad en la mitigacin de riesgos a un nivel aceptable. De la misma manera se evaluar si el sistema cumple con los objetivos previamente establecidos y si cuenta con un nivel apropiado de control. Es imprescindible que el administrador de seguridad de informacin participe en todas las fases descritas para identificar los requerimientos de seguridad a fin de mantener los riesgos a un nivel aceptable.
3.7 Responsabilidad
Promover la responsabilidad de los dueos de procesos de negocios y dems usuarios en la administracin de los riesgos de seguridad de informacin es un desafo para la gestin de seguridad de informacin. Los dueos de los procesos de negocios son los que mejor entienden las necesidades de la institucin, y adems son los que mejor pueden evaluar el impacto en la misma, pues finalmente son los responsables de cumplir los objetivos de negocio. El administrador de seguridad de informacin debe reunirse con los dueos de los procesos de negocios para discutir su responsabilidad en los riesgos de seguridad de informacin.
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 59 de 71
Esto un proceso de educacin; el administrador de seguridad de informacin comunica cmo la seguridad de la institucin financiera puede asistir a un dueo de procesos de negocio en la administracin de los riesgos de seguridad de informacin. Adicionalmente si alguno de los dueos de procesos de negocio no desea realizar cambios en los sistemas o aplicaciones para reforzar la seguridad, es imperativo que firmen la aceptacin de los riesgos implicados, aceptando las consecuencias de los mismos.
3.8 Mtricas
Establecer mtricas para administrar la plataforma de seguridad de informacin permite gestionar adecuadamente la seguridad, midiendo de manera ms precisa el desempeo de la misma. El administrador de seguridad de informacin debe saber como medir el nivel de riesgo de los sistemas y redes, para a partir de ello implementar los controles ms adecuados. El mayor problema muchas veces es qu debe ser medido y cmo medirlo. Las mtricas, tales como el nmero de ataques en contra de un sistema, o el nmero de virus que infectan un servidor, son algunos ejemplos. Se puede tomar como modelo en el establecimiento de mtricas el SSE-CMM16, para medir la evolucin de los procesos de la organizacin.
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 60 de 71
Se vuelve de vital importancia contar con un proceso de administracin de incidentes, el cual entre a tallar ante cualquier evento de seguridad, para atenderlo rpidamente, brindando la proteccin de los recursos de informacin de la institucin financiera.
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 61 de 71
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 62 de 71
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 63 de 71
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 64 de 71
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 65 de 71
Se define un incidente como un evento que causa algn nivel de interrupcin a los procesos normales de negocio, y que es precipitado generalmente por un individuo, de manera maliciosa o accidental. Dada esta definicin, algunos incidentes categorizarse como de seguridad son: que pueden
9 Intrusiones en las computadoras o intentos de intrusin. 9 Ataques de denegacin de servicio. 9 Acceso a informacin de manera no autorizada. Algunos incidentes son muy obvios. Pero desafortunadamente no todos los incidentes son fcilmente identificables. Por ello usualmente existen indicios caractersticos cuando un verdadero incidente de seguridad ha ocurrido. Estos indicios pueden encontrarse en: 9 Archivos de Log (de firewalls, ruteadores, sistemas, IDS17, etc.). 9 Trfico de red. 9 Configuraciones del sistema. Los sistemas en s son a menudo la mejor fuente para obtener informacin acerca de un potencial incidente de seguridad. Es complicado poder ocultar por completo la evidencia de una intrusin de un sistema comprometido. El atacante usualmente har cambios al sistema que de alguna manera puede ser detectado. Por lo general un incidente de seguridad ser identificado por los usuarios finales. En ese caso, el primer llamado es al rea de help desk de la institucin financiera (la gran mayora de instituciones cuentan con esta rea): si el personal de dicha rea est capacitado en incidentes de seguridad, podrn asistir al administrador de seguridad de informacin en la identificacin de estos incidentes. Por lo anterior es importante que el personal de sta rea este debidamente capacitado. En caso sea necesaria ayuda ms especializada, el personal de help desk debe recabar la siguiente informacin:
17
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 66 de 71
9 9 9 9 9 9 9 9 9
Nombre del usuario que report el incidente. Fecha y hora del reporte de incidente: Fecha y hora en la que inici con las indicaciones. Tipo de indicaciones que se brind. Tipo de sistemas afectados (incluidos los sistemas operativos y hardware relacionado). Ubicacin del sistema (si es posible la direccin IP). Informar si el evento sigue en curso o tuvo una actuacin momentnea. Acciones que tom el usuario previo al reporte del incidente. Acciones que tom el rea help desk al tomar conocimiento del incidente.
Si se sospecha de un incidente de seguridad, el rea de help desk debe recomendar al usuario final dejar el sistema y esperar por indicaciones. Luego se comunica al administrador de seguridad de informacin para que tomen las medidas necesarias de acuerdo al tipo de evento.
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 67 de 71
9 Contar con una matriz documentada con los sistemas crticos para los procesos de negocios y sus tiempos mnimos permitidos para estar fuera de funcionamiento. 9 Contar con una matriz con los desastres potenciales, su impacto, y su probabilidad aproximada de ocurrencia. 9 Contar con los costos de varias alternativas de recuperacin para los procesos de negocios ms crticos. 9 Contar con un conjunto de recomendaciones que pueden ser presentadas a la alta gerencia para gestionar de la mejor manera la recuperacin de un desastre. 9 Contar con equipos de recuperacin de desastre, divididos de acuerdo a los procesos de negocio e infraestructura tecnolgica ms crticos. 9 Establecer las responsabilidades de cada miembro de los equipos de recuperacin. 9 Contar con procedimientos documentados y actualizados para la recuperacin de desastres. 9 Contar con centros de procesamiento alternos y ubicaciones alternativas para continuar con los procesos de negocios ms crticos. 9 Realizar frecuentemente pruebas de los planes, para medir su efectividad y detectar cualquier cambio o actualizacin necesaria.
5.3 Documentacin
La documentacin es vital para la respuesta a incidentes. Esto significa que en la medida que se documente los procedimientos y polticas antes de un incidente, durante y despus, se podr manejar y atender de la mejor manera a un incidente. Las medidas a tomar se mencionan a continuacin: 9 Antes del incidente: es claro que no se puede documentar los detalles de un incidente antes que ocurra. Pero se puede documentar los criterios que permitan manejar un incidente, as como las polticas y procedimientos que ayudarn cuando la institucin financiera enfrente el inicio de un incidente. 9 Durante un incidente: cuando un incidente est ocurriendo, lo primero es informarlo al administrador de seguridad de informacin, quien de acuerdo a la naturaleza del incidente lo reportar a la alta gerencia, o aplicar las medidas necesarias para contrarrestarlo, informando posteriormente de su ocurrencia. Es un momento importante para mantener una adecuada documentacin del incidente, tomando nota de cada paso que se dio para su resolucin. Esta documentacin posteriormente sirve de base para la elaboracin de reportes que detallen el incidente.
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 68 de 71
9 Despus del incidente: cuando el incidente ha terminado, se elabora un reporte o reportes con detalles del mismo. El propsito de estos reportes es mostrar lo que pas y como se puede prevenir que no ocurra nuevamente en el futuro. Esto significa la mayora de veces la actualizacin y/o cambio de controles de seguridad. Adems se muestran por lo general conclusiones, teniendo claro que jams se nombran las personas que tienen la responsabilidad de la ocurrencia del incidente, para no perder indicios importantes en un posterior anlisis forense.
6. Conclusiones
De acuerdo a lo expuesto en la presente tesis, para implantar una adecuada gestin de seguridad de informacin en una institucin financiera, el primer paso es obtener el apoyo y soporte de la alta gerencia, hacindolos participes activos de lo que significa mantener adecuadamente protegida la informacin de la institucin financiera. Al demostrarles lo importante que es la proteccin de la informacin para los procesos de negocio, se debe esperar de la alta gerencia su participacin continua. Contando con el apoyo de la alta gerencia se ha dado el primer gran paso. Este apoyo luego se debe transmitir a los dueos de procesos de negocio ms importantes de la institucin financiera, que generalmente son jefes de reas. Dndoles a conocer la importancia de la seguridad de informacin en los procesos que manejan, se espera el apoyo de todo el personal a su cargo. Es recin en este punto donde entran a tallar todos los lineamientos del modelo de gestin expuesto, el cual se reflejar en las polticas, normas, estndares y procedimientos de seguridad, soportados por la tecnologa de informacin de la institucin. No necesariamente la tecnologa de informacin por s sola garantiza la seguridad de informacin. Se vuelve imperativo gestionarla de acuerdo siempre a los objetivos de negocio.De nada sirve contar con los ltimos adelantos tecnolgicos, si no se da la importancia debida a la proteccin de la informacin, la cual se ver reflejada en el cumplimiento de todas las polticas de seguridad de informacin, siempre actualizadas de acuerdo a los cambios constantes en los negocios propios de una institucin financiera.
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 69 de 71
REFERENCIAS BIBLIOGRAFICAS
[1] D. Sullivan The Definite Guide to Security Management. Computer Associates pp 1, 2004. [2] La Seguridad de Informacin, publicacin editada por el Grupo Ibermtica, N 93, pp. 5 Abril 2000. [3] Sound Practices for the Management and Supervision of Operational Risk, Basel Committee on Banking Supervision, pp 1, 2003 [4] The Impact of Sarbanes-Oxley on IT and Corporate Governance, Whitepaper 2005, www.serena.com [5] Sarbanes-Oxley and IT Management de Marvin Waschke, Whitepaper Computer Associates, 2004 [6] ISO/IEC 17799 Code of Practice for Information Security Management, Primera Edicin 2000 www.isostandards.com [7] IT Governance Regulation A Latin American Perspective de Leonidas Anzola, Information Systems Control Journal, Volume 2, pp. 21, 2005. [8] Enterprise Governance and the Role of IT, de Stacey Hamaker, Information Systems Control Journal, Volume 6, pp 27, 2005. [9] Board Briefing on IT Governance Second Edition, pp 10-11, 2003. [10] IT and Enterprise Governance, de Michael J.A. Parkinson y Nicolas J. Baker, Information Systems Control Journal, Volume 3, pp 17, 2005. [11] Una propuesta para mejorar las prcticas de Gobierno Corporativo en el Per, de Alejandro Indacochea, CENTRUM, Pontificia Universidad Catlica Del Per., http://centrum.pucp.edu.pe/docentes/AIndacochea_Libros/documentos_publicados/ Gobierno_Corporativo.pdf. [12] Board Briefing on IT Governance Second Edition, pp 12, 2003 http://www.itgi.org/template_ITGI.cfm?Section=Recent_Publications&Template=/Ta ggedPage/TaggedPageDisplay.cfm&TPLID=43&ContentID=10617 [13] IT Governance Executive Summary, Whitepaper IT Governance Institute, 2004 http://www.itgi.org/template_ITGI.cfm?Section=Recent_Publications&Template=/Ta ggedPage/TaggedPageDisplay.cfm&TPLID=43&ContentID=10617 [14] Board Briefing on IT Governance Second Edition, pp 20-21, 2003 http://www.itgi.org/template_ITGI.cfm?Section=Recent_Publications&Template=/Ta ggedPage/TaggedPageDisplay.cfm&TPLID=43&ContentID=10617 [15] Information Security Harmonisation - Clasification of Global Guidance-IT Governance Institute ISBN 1-933284-05-6 2005
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 70 de 71
[16] BS7799-ISO 17799 Security Standards for a better Information Security Management http://www.bs7799-iso17799.com/whatis7799.html [17] BS7799-ISO 17799 Security Standards for a better Information Security Management http://www.bs7799-iso17799.com/whobs-7799.html [18] Leveraging ISO 17799 to Achieve Security Management Best Practices de Evan Tegethoff http://www.forsythe.com/Forsythe/itriskman/security/security_leveragingiso.jsp [19] Cobit Control Objectives 3erd Edition, ISACA 2000 http://www.isaca.org/Template.cfm?Section=Downloads5&Template=/TaggedPage/ TaggedPageDisplay.cfm&TPLID=63&ContentID=13742#COBIT [20] AS/NZS 4360:2004 Estndar Australiano para Administracin de Riesgos pp 9 2004 http://www.standards.com.au/shop/Script/Details.asp?DocN=AS564557616854 [21] Glosario de Trminos Tcnicos-Bradesco, pp1 http://200.189.182.180/uploads/conteudo/4105/11_Glossario.pdf [22] AS/NZS 4360:2004 Estndar Australiano para Administracin de Riesgos pp 5 2004 http://www.standards.com.au/shop/Script/Details.asp?DocN=AS564557616854 [23] Superintendencia de Banca, Seguros y AFP http://www.sbs.gob.pe/PortalSBS/Normatividad/CompendioNormas.asp?s=1 [24] AS/NZS 4360:2004 Estndar Australiano para Administracin de Riesgos pp 17 2004 http://www.standards.com.au/shop/Script/Details.asp?DocN=AS564557616854
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 71 de 71