Plan Seguridad Informatica

UNIVERSIDAD NACIONAL MAYOR DE SAN MARCOS
Fundada en 1551
FACULTAD DE CIENCIAS MATEMTICAS
E.A.P. DE COMPUTACIN
PLAN DE SEGURIDAD INFORMTICA PARA UNA ENTIDAD FINANCIERA
TRABAJO MONOGRFICO
Para optar el Ttulo Profesional de:
LICENCIADA
AUTORA
NORMA EDITH CRDOVA RODRGUEZ
LIMA PER
2003
DEDICATORIA DEDICATORIA
Estetrabajo va dedicado a la Universidad
Nacional Mayor deSan Marcos, a la quele
debo mi formacin profesional y los xitos
quehealcanzado.
I N D I C E
INTRODUCCION
CAPITULO I.
OBJETIVOS Y ALCANCES
1.1 Objetivos................................................................................................................. 1
CAPITULO II
METODOLOGA Y PROCEDIMIENTOS UTILIZADO
2.1 Metodologa ESA....................................................................................................3
CAPITULO III
DIAGNSTICO DE LA SITUACIN ACTUAL DE LA ADMINISTRACIN DE
LA SEGURIDAD DE INFORMACIN
3.1 Evaluacin ............................................................................................................5
3.2 Alcances ............................................................................................................6
CAPITULO IV
SEGURIDAD DE LA INFORMACIN ROLES Y ESTRUCTURA
ORGANIZACIONAL
4.1 Situacin actual.....................................................................................................8
4.2 Roles y responsabilidades de la estructura organizacional de seguridad de
informacin.....................................................................................................9
4.3 Organizacin del area de seguridad informtica propuesta ............. 13
CAPITULO V
EVALUACIN DE RIESGOS, AMENAZAS Y VULNERABILIDADES
5.1 Matriz de uso y estrategia de tecnologa ....................................................... 16
5.2 Matriz de evaluacin de amenazas y vulnerabilidades............................... 26
5.3 Matriz de iniciativas del negocio / procesos.................................................. 38
CAPITULO VI
POLTICAS DE SEGURIDAD DE LA INFORMACIN
6.1 Definicin..............................................................................................................48
6.2 Cumplimiento obligatorio...................................................................................49
6.3 Organizacin de la Seguridad ..........................................................................49
6.3.1 Estructura organizacional................................................................. 49
6.3.2 Acceso por parte de terceros........................................................... 50
6.3.3 Outsourcing......................................................................................... 51
6.4 Evaluacion de riesgo..........................................................................................51
6.4.1 Inventario de activos.......................................................................... 52
6.4.2 Clasificacin del acceso de la informacin.................................... 53
6.4.3 Definiciones........................................................................................ 54
6.4.4 Aplicacin de controles para la informacin clasificada.............. 54
6.4.5 Anlisis de riesgo............................................................................... 57
6.4.6 Cumplimiento...................................................................................... 57
6.4.7 Aceptacin de riesgo......................................................................... 58
6.5 Seguridad del personal......................................................................................58
6.5.1 Seguridad en la definicin de puestos de trabajo y recursos..... 59
6.5.2 Capacitacin de usuarios ................................................................. 60
6.5.3 Procedimientos de respuesta ante incidentes de seguridad..... 61
6.5.3.1 Registro de fallas ............................................................................. 62
6.5.3.2 Intercambios de informacin y correo electrnico...................... 62
6.5.3.3 Seguridad para media en trnsito ................................................. 64
6.6 Seguridad fsica de las instalaciones de procesamiento de datos.............64
6.6.1 Proteccin de las instalaciones de los centros de datos............. 64
6.6.2 Control de acceso a las instalaciones de cmputo ...................... 65
6.6.3 Acuerdo con regulaciones y leyes................................................... 66
6.7 Administracin de comunicaciones y operaciones........................................66
6.7.1 Procedimientos y responsabilidades operacionales .................... 66
6.7.1.1 Procedimientos operativos documentados.................................. 66
6.7.1.2 Administracin de operaciones realizadas por terceros............ 67
6.7.1.3 Control de cambios operacionales................................................ 67
6.7.1.4 Administracin de incidentes de seguridad................................. 68
6.7.1.5 Separacin de funciones de operaciones y desarrollo.............. 68
6.7.2 Proteccin contra virus...................................................................... 69
6.7.3 Copias de respaldo............................................................................ 70
6.8 Control de acceso de datos...............................................................................71
6.8.1 Identificacin de usuarios................................................................. 71
6.8.2 Seguridad de contraseas................................................................ 72
6.8.2.1 Estructura.......................................................................................... 72
6.8.2.2 Vigencia............................................................................................. 73
6.8.2.3 Reutilizacin de contraseas......................................................... 73
6.8.2.4 Intentos fallidos de ingreso............................................................. 73
6.8.2.5 Seguridad de contraseas ............................................................. 74
6.8.3 Control de transacciones.................................................................. 74
6.8.4 Control de produccin y prueba ...................................................... 75
6.8.5 Controles de acceso de programas................................................ 76
6.8.6 Administracin de acceso de usuarios........................................... 76
6.8.7 Responsabilidades del usuario........................................................ 78
6.8.8 Seguridad de computadoras............................................................ 79
6.8.9 Control de acceso a redes................................................................ 80
6.8.9.1 Conexiones con redes externas.................................................... 80
6.8.9.2 Estndares generales ..................................................................... 81
6.8.9.3 Poltica del uso de servicio de redes............................................ 82
6.8.9.4 Segmentacin de redes.................................................................. 83
6.8.9.5 Anlisis de riesgo de red ................................................................ 83
6.8.9.6 Acceso remoto(dial-in) .................................................................... 83
6.8.9.7 Encripcin de los datos................................................................... 84
6.8.10 Control de acceso al sistema operativo ......................................... 84
6.8.10.1 Estndares generales................................................................... 84
6.8.10.2 Limitaciones de horario................................................................. 84
6.8.10.3 Administracin de contraseas................................................... 85
6.8.10.4 Inactividad del sistema.................................................................. 85
6.8.10.5 Estndares de autenticacin en los sistemas........................... 85
6.8.11 Control de acceso de aplicacin...................................................... 85
6.8.11.1 Restricciones de acceso a informacin...................................... 86
6.8.11.2 Aislamiento de sistemas crticos................................................. 86
6.8.12 Monitoreo del acceso y uso de los sistemas................................. 86
6.8.12.1 Sincronizacin del reloj................................................................. 86
6.8.12.2 Responsabilidades generales...................................................... 87
6.8.12.3 Registro de eventos del sistema................................................. 87
6.8.13 Computacin mvil y teletrabajo ..................................................... 87
6.8.13.1 Responsabilidades generales...................................................... 87
6.8.13.2 Acceso remoto ............................................................................... 88
6.9 Desarrollo y mantenimiento de los sistemas..................................................89
6.9.1 Requerimientos de seguridad de sistemas.................................... 89
6.9.1.1 Control de cambios.......................................................................... 89
6.9.1.2 Anlisis y especificacin de los requerimientos de seguridad . 90
6.9.2 Seguridad en sistemas de aplicacin............................................. 90
6.9.2.1 Desarrollo y prueba de aplicaciones............................................. 90
6.10 Cumplimiento normativo ...................................................................................91
6.10.1 Registros ............................................................................................. 91
6.10.2 Revisin de la poltica de seguridad y cumplimiento tcnico ..... 92
6.10.3 Propiedad de los programas............................................................ 92
6.10.4 Copiado de software adquirido y alquilado.................................... 92
6.11 Consideraciones de auditoria de sistemas.....................................................93
6.11.1 Proteccin de las herramientas de auditoria................................. 93
6.11.2 Controles de auditoria de sistemas................................................. 93
6.12 Poltica de Comercio Electrnico .....................................................................94
6.12.1 Trminos e informacin de comercio electrnico......................... 95
6.12.1.1 Recoleccin de informacin y privacidad.................................. 95
6.12.1.2 Divulgacin..................................................................................... 95
6.12.2 Transferencia electrnica de fondos............................................... 96
6.13 Informacin almacenada en medios digitales y fsicos ................................97
6.13.1 Etiquetado de la informacin............................................................ 97
6.13.2 Copiado de la informacin................................................................ 97
6.13.3 Distribucin de la informacin.......................................................... 98
6.13.4 Almacenamiento de la informacin................................................. 98
6.13.5 Eliminacin de la informacin.......................................................... 99
CAPITULO VII
PLAN DE IMPLEMENTACIN DE ALTO NIVEL
7.1 Clasificacin de informacin........................................................................... 102
7.2 Seguridad de red y comunicaciones............................................................. 103
7.3 Inventario de accesos a los sistemas........................................................... 106
7.4 Adaptacin de contratos con proveedores .................................................. 107
7.5 Campaa de concientizacin de usuarios. .................................................. 108
7.6 Verificacin y adaptacin de los sistemas del banco................................. 109
7.7 Estandarizacin de la configuracin del software base............................. 110
7.8 Revisin, y adaptacin de procedimientos complementarios................... 111
7.9 Cronograma tentativo de implementacin................................................... 113
CONCLUSIONES Y RECOMENDACIONES........................................................114
ANEXOS
A. Diseo de arquitectura de seguridad de red ................................................118
B. Circular n g-105-2002 publicada por la Superintendencia de Banca y
Seguros (SBS) sobre riesgos de tecnologa de informacin.....................121
C. Detalle: Diagnostico de la Situacion Actual de la Administracin de los riesgos
de tecnologia de la informacion......................................................................132
BIBLIOGRAFA.. ..............................................................................................154
Plan de Seguridad Informtica para una Entidad Financiera.
Crdova Rodrguez, Norma Edith.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
RESUMEN
La liberalizacin y la globalizacin de los servicios financieros, junto con la
creciente sofisticacin de la tecnologa financiera, estn haciendo cada vez
ms diversas y complejas las actividades de los bancos en trminos de
Seguridad.
En otros tiempos la seguridad de la informacin era fcilmente administrable,
slo bastaba con resguardar los documentos ms importantes bajo llave y
mantener seguros a los empleados que poseen el conocimiento poniendo
guardias de seguridad. Hoy en da es ms difcil.
Los sistemas electrnicos entraron en las oficinas y obligaron a los sistemas de
seguridad a evolucionar para mantenerse al da con la tecnologa cambiante.
Luego, hace unos 5 aos, los negocios, an las empresas ms pequeas, se
conectaron a Internet (una amplia red pblica con pocas reglas y sin
guardianes).
De manera similar a otro tipo de crmenes, el cuantificar los gastos y prdidas
en seguridad de la informacin o crmenes cibernticos es muy difcil. Se
tiende a minimizar los incidentes por motivos muchas veces justificables.
Por otro lado el objetivo fundamental de la seguridad no es proteger los
sistemas, sino reducir los riesgos y dar soporte a las operaciones del negocio.
La computadora ms segura del mundo es aquella que est desconectada de
cualquier red, enterrada profundamente en algn oscuro desierto y rodeada de
guardias armados, pero es tambin la ms intil.
La seguridad es slo uno de los componentes de la administracin de riesgos
minimizar la exposicin de la empresa y dar soporte a su capacidad de lograr
su misin. Para ser efectiva, la seguridad debe estar integrada a los procesos
del negocio y no delegada a algunas aplicaciones tcnicas.
Los incidentes de seguridad ms devastadores tienden ms a ser internos que
externos. Muchos de estos incidentes involucran a alguien llevando a cabo una
actividad autorizada de un modo no autorizado. Aunque la tecnologa tiene
cierta ingerencia en limitar esta clase de eventos internos, las verificaciones y
balances como parte de los procesos del negocio son mucho ms efectivos.
Las computadoras no atacan a las empresas, lo hace la gente. Los empleados
bien capacitados tienen mayores oportunidades de detectar y prevenir los
incidentes de seguridad antes de que la empresa sufra algn dao. Pero para
que los empleados sean activos, se requiere que entiendan como reconocer,
responder e informar los problemas lo cual constituye la piedra angular de la
empresa con conciencia de seguridad lo que nosotros llamamos cultura de
seguridad.
El presente trabajo describe como se define un Plan de Seguridad para una
entidad financiera, empieza por definir la estructura organizacional (roles y
funciones), despus pasa a definir las polticas para finalmente concluir con un
plan de implementacin o adecuacin a las polticas anteriormente definidas.
ABSTRACT
The liberalization and globalization of the financial services with the increasing
sophistication of the financial technology are facing more complex banking
activities in terms of security.
Long time ago, security information was easily management, just it was enough
guard the more important documents under the keys and placed employees;
who has the knowledge; safe, just placing bodyguards; nowadays it is harder.
The electronics systems got in the office and made systems security evolved to
be updated with the technology changes. Then, 5 years ago, the business; even
the small companies were connected to Internet (a public network with few
rules and without security).
In a similar way of other kind of crimes, measure security IT expenses and lost
or cybernetic crimes are very difficult. People tend to minimize incidents for
justifying reasons.
By the other hand, the main objective of IT Security is not to protect the
systems; it is to reduce risks and to support the business operations. The most
secure computer in the world is which is disconnected form the network, placed
deeply in any dark desert and be surrounded by armed bodyguards, but it is
also the most useless.
Security is just one of the components of risk management - minimize the
exposition of the business and support the capacity of meet his mission. To be
effective, security must be integrated through the business process and not
delegate to some technical applications.
The more destructive security incidents tend mostly to be internal instead of
external. Many of these involve someone taking an authorized activity in a way
non-authorized. Although technology has some concern in limit these kind of
internal events, the verifications and balances as part of the business process
are more effective.
Computers does not attack enterprises, people do it. Employees with
knowledge have more opportunities to detect and prevent security incidents
before the enterprises suffer a damage. But to make employees more concern,
we need that they understand, reply and inform security incidents which is the
most important thing inside the enterprise with security concern, which is called
security culture.
The present work describes how you can define a Security Plan for a financial
enterprise, begin defining the Organizational structure (roles and
responsibilities), then define the policies and finally ends with the
Implementation Plan which are the activities to meet the policies before
mentioned.
INTRODUCCIN
Los eventos mundiales recientes han generado un mayor sentido de urgencia
que antes con respecto a la necesidad de tener mayor seguridad - fsica y de
otro tipo. Las empresas pueden haber reforzado las medidas de seguridad,
pero nunca se sabe cundo o cmo puede estar expuesta. A fin de brindar la
ms completa proteccin empresarial, se requiere de un sistema exhaustivo de
seguridad. Es vital implementar un plan de seguridad. Sin embargo,
implementar un plan proactivo que indique cmo sobrevivir a los mltiples
escenarios tambin preparar a las empresas en el manejo de las amenazas
inesperadas que podra afrontar en el futuro.
La mayora de las empresas ha invertido tiempo y dinero en la construccin de
una infraestructura para la tecnologa de la informacin que soporte su
compaa, esa infraestructura de TI podra resultar ser una gran debilidad si se
ve comprometida. Para las organizaciones que funcionan en la era de la
informtica interconectadas y con comunicacin electrnica, las polticas de
informacin bien documentadas que se comunican, entienden e implementen
en toda la empresa, son herramientas comerciales esenciales en el entorno
actual para minimizar los riesgos de seguridad.
Imagine lo que sucedera si:
La informacin esencial fuera robada, se perdiera, estuviera en peligro,
fuera alterada o borrada.
Los sistemas de correo electrnico no funcionaran durante un da o ms.
Cunto costara esta improductividad?
Los clientes no pudieran enviar rdenes de compra a travs de la red
durante un prolongado periodo de tiempo.
Prepararse para mltiples escenarios parece ser la tendencia creciente. En un
informe publicado por Giga Information Group con respecto a las tendencias de
TI estimadas para el ao 2002, se espera que los ejecutivos corporativos se
interesen cada vez ms en la prevencin de desastres fsicos, ciberterrorismo y
espionaje de libre competencia. Implementar una poltica de seguridad
completa le da valor intrnseco a su empresa. Tambin mejorar la credibilidad
y reputacin de la empresa y aumentar la confianza de los accionistas
principales, lo que le dar a la empresa una ventaja estratgica.
Cmo desarrollar una poltica de seguridad?
Identifique y evale los activos: Qu activos deben protegerse y cmo
protegerlos de forma que permitan la prosperidad de la empresa.
Identifique las amenazas: Cules son las causas de los potenciales
problemas de seguridad? Considere la posibilidad de violaciones a la
seguridad y el impacto que tendran si ocurrieran.
Estas amenazas son externas o internas:
o Amenazas externas: Se originan fuera de la organizacin y son
los virus, gusanos, caballos de Troya, intentos de ataques de los
hackers, retaliaciones de ex-empleados o espionaje industrial.
o Amenazas internas: Son las amenazas que provienen del
interior de la empresa y que pueden ser muy costosas porque el
infractor tiene mayor acceso y perspicacia para saber donde
reside la informacin sensible e importante. Las amenazas
internas tambin incluyen el uso indebido del acceso a Internet
por parte de los empleados, as como los problemas que podran
ocasionar los empleados al enviar y revisar el material ofensivo a
travs de Internet.
Evalu los riesgos: ste puede ser uno de los componentes ms
desafiantes del desarrollo de una poltica de seguridad. Debe calcularse
la probabilidad de que ocurran ciertos sucesos y determinar cules tiene
el potencial para causar mucho dao. El costo puede ser ms que
monetario - se debe asignar un valor a la prdida de datos, la privacidad,
responsabilidad legal, atencin pblica indeseada, la prdida de clientes
o de la confianza de los inversionistas y los costos asociados con las
soluciones para las violaciones a la seguridad.
Asigne las responsabilidades: Seleccione un equipo de desarrollo que
ayude a identificar las amenazas potenciales en todas las reas de la
empresa. Sera ideal la participacin de un representante por cada
departamento de la compaa. Los principales integrantes del equipo
seran el administrador de redes, un asesor jurdico, un ejecutivo
superior y representantes de los departamentos de Recursos Humanos
y Relaciones Pblicas.
Establezca polticas de seguridad: Cree una poltica que apunte a los
documentos asociados; parmetros y procedimientos, normas, as como
los contratos de empleados. Estos documentos deben tener informacin
especfica relacionada con las plataformas informticas, las plataformas
tecnolgicas, las responsabilidades del usuario y la estructura
organizacional. De esta forma, si se hacen cambios futuros, es ms fcil
cambiar los documentos subyacentes que la poltica en s misma.
Implemente una poltica en toda la organizacin: La poltica que se
escoja debe establecer claramente las responsabilidades en cuanto a la
seguridad y reconocer quin es el propietario de los sistemas y datos
especficos. Tambin puede requerir que todos los empleados firmen la
declaracin; si la firman, debe comunicarse claramente. stas son las
tres partes esenciales de cumplimiento que debe incluir la poltica:
o Cumplimiento: Indique un procedimiento para garantizar el
cumplimiento y las consecuencias potenciales por incumplimiento.
o Funcionarios de seguridad: Nombre individuos que sean
directamente responsables de la seguridad de la informacin.
Asegrese de que no es la misma persona que supervisa,
implementa o revisa la seguridad para que no haya conflicto de
intereses.
o Financiacin: Asegrese de que a cada departamento se le haya
asignado los fondos necesarios para poder cumplir
adecuadamente con la poltica de seguridad de la compaa.
Administre el programa de seguridad: Establezca los procedimientos
internos para implementar estos requerimientos y hacer obligatorio su
cumplimiento.
Consideraciones importantes
A travs del proceso de elaboracin de una poltica de seguridad, es importante
asegurarse de que la poltica tenga las siguientes caractersticas:
Se pueda implementar y hacer cumplir
Sea concisa y fcil de entender
Compense la proteccin con la productividad
Una vez la poltica se aprueba totalmente, debe hacerse asequible a todos los
empleados porque, en ultima instancia, ellos son responsables de su xito. Las
polticas deben actualizarse anualmente (o mejor an cada seis meses) para
reflejar los cambios en la organizacin o cultura.
Se debe mencionar que no debe haber dos polticas de seguridad iguales
puesto que cada empresa es diferente y los detalles de la poltica dependen de
las necesidades exclusivas de cada una. Sin embargo, usted puede comenzar
con un sistema general de polticas de seguridad y luego personalizarlo de
acuerdo con sus requerimientos especficos, limitaciones de financiacin e
infraestructura existente.
Una poltica completa de seguridad de la informacin es un recurso valioso que
amerita la dedicacin de tiempo y esfuerzo. La poltica que adopte su empresa
brinda una base slida para respaldar el plan general de seguridad. Y una base
slida sirve para respaldar una empresa slida.
BANCO ABC
En el presente trabajo desarrollaremos el Plan de Seguridad para una entidad
financiera a la cual llamaremos el Banco ABC.
El Banco ABC es un banco de capital extranjero, tiene 35 agencias a nivel
nacional, ofrece todos los productos financieros conocidos, posee presencia en
Internet a travs de su pagina web, es un banco mediano cuenta con 500
empleados y es regulado por la Superintendencia de Banca y Seguros.
A lo largo de todo el desarrollo del trabajo describiremos mas en detalle su
estructura interna, evaluaremos los riesgos a los cuales estn expuestos, para
lo cual se realizara un diagnostico objetivo de la situacin actual y como se
deben contrarrestar, para finalmente terminar diseando el Plan de Seguridad y
las principales actividades que deben ejecutarse para la implementacin de las
polticas de seguridad.
A continuacin describiremos brevemente la situacin actual de los aspectos
ms importantes en la elaboracin del Plan de Seguridad; como son la
organizacin, el propio Plan y la adecuacin al Plan.
A) Organizacin de seguridad de la informacin
Actualmente el Banco cuenta con un rea de seguridad informtica
recientemente constituida, los roles y responsabilidades del rea no han sido
formalizados y las tareas desempeadas por el rea se limitan por ahora al
control de accesos de la mayora de sistemas del Banco. Algunas tareas
correspondientes a la administracin de seguridad son desarrolladas por el
rea de sistemas como la administracin de red, firewalls y bases de datos,
otras tareas son realizadas directamente por las reas usuarias, y finalmente
otras responsabilidades como la elaboracin de las polticas y normas de
seguridad, concientizacin de los usuarios, monitoreo de incidentes de
seguridad, etc., no han sido asignadas formalmente a ninguna de las reas.
En este sentido, en el presente trabajo detallamos los roles y responsabilidades
relacionadas a la administracin de seguridad de la informacin que involucra
no solamente a miembros de las reas de seguridad informtica y sistemas
como administradores de seguridad de informacin y custodios de informacin,
sino a los gerentes y jefes de las unidades de negocio como propietarios de
informacin, y a los usuarios en general.
B) Diseo del plan de seguridad de la informacin
Para el diseo del Plan de seguridad de la informacin se desarrollaran las
siguientes etapas:
- Evaluacin de riesgos, amenazas y vulnerabilidades
Para la definicin del alcance de las polticas y estndares y con el propsito de
identificar las implicancias de seguridad del uso y estrategia de tecnologa,
amenazas y vulnerabilidades y nuevas iniciativas del negocio, se desarrollarn
un conjunto de entrevistas con las Gerencias del Banco, personal del rea de
sistemas, auditoria interna y el rea de seguridad informtica. Producto de la
consolidacin de la informacin obtenida en dichas entrevistas se elaborar
unas matrices que se presentarn en el captulo N V del presente documento.
- Polticas de seguridad de informacin.
Con el objetivo de contar con una gua para la proteccin de informacin del
Banco, se elaborarn las polticas y estndares de seguridad de la informacin,
tomando en cuenta el estndar de seguridad de informacin ISO 17799, los
requerimientos de la Circular N G-105-2002 publicada por la Superintendencia
de Banca y Seguros (SBS) sobre Riesgos de Tecnologa de Informacin y las
normas establecidas internamente por el Banco.
- Diseo de arquitectura de seguridad de red.
Con el objetivo de controlar las conexiones de la red del Banco con
entidades externas y monitorear la actividad realizada a travs de dichas
conexiones, se elaborar una propuesta de arquitectura de red la cual
incluye dispositivos de monitoreo de intrusos y herramientas de inspeccin
de contenido.
C) Plan de Implementacin
De la identificacin de riesgos amenazas y vulnerabilidades relacionadas
con la seguridad de la informacin del Banco, se lograron identificar las
actividades ms importantes a ser realizadas por el Banco con el propsito
de alinear las medidas de seguridad implementadas para proteger la
informacin del Banco, con las Polticas de seguridad y estndares
elaborados.
Este plan de alto nivel incluye una descripcin de la actividad a ser
realizada, las etapas incluidas en su desarrollo y el tiempo estimado de
ejecucin.
El Autor
Captulo I
OBJETIVOS Y ALCANCES
1.1 Objetivos
El objetivo del presente trabajo es realizar un diagnostico de la situacin actual
en cuanto a la seguridad de informacin que el Banco ABC actualmente
administra y disear un Plan de Seguridad de la Informacin (PSI) que permita
desarrollar operaciones seguras basadas en polticas y estndares claros y
conocidos por todo el personal del Banco. Adicionalmente, el presente trabajo
contempla la definicin de la estrategia y los proyectos ms importantes que
deben ser llevados a cabo para culminar con el Plan de Implementacin.
La reglamentacin que elabor la SBS con respecto a los riesgos de
tecnologa forma parte de un proceso de controles que se irn implementando,
tal como lo muestra el grfico siguiente, los primeros controles fueron
enfocados hacia los riesgos propios del negocio (financieros y de capital), y l
ultima en ser reglamentado es el que nos aboca hoy, que es el diseo de un
Plan de Seguridad Informtica (PSI) para esta entidad financiera.
Grfico de Evolucin de las regulaciones de la Superintendencia de
Banca y Seguros
Riesgos
Financieros
Riesgos de
Negocios
Riesgos de
Operaciones
Estructura
Rentabilidad
Adec. Capital
De Crdito
De liquidez
De Tasa de
Inters
De Mercado
De Moneda
Riesgo de
Poltica
Riesgo Pas
Riesgo
Sistmico
Riesgo
Poltico
Riesgo de
Crisis
Bancarias
Otros
Procesos
Tecnologa
Personas
Eventos
1. Plan de Seguridad Informtica PSI
Captulo II
METODOLOGA Y PROCEDIMIENTOS UTILIZADOS
2.1 Metodologa ESA
La estrategia empleada para la planificacin y desarrollo del presente trabajo,
est basada en la metodologa Enterprise Security Arquitecture (ESA) para el
diseo de un modelo de seguridad, como marco general establece el diseo de
polticas, normas y procedimientos de seguridad para el posterior desarrollo de
controles sobre la informacin de la empresa.
Eval uaci n de Ri esgo
& Vul ner abi l i dad
Est r at eg a de
Tecnol og a & Us o
Pol t i ca
Ar qui t ect ur a de Segur i dad
& Est ndar es Tecni cos
Model o d e Segur i dad
Gu as y Pr ocedi mi ent os
Admi ni t r at i vos y de Usuar i o Fi nal
Pr ocesos de
Recuper ac on
Pr ocesos de
Ej ecuci n
Pr ocesos de
Moni t or eo
I ni ci at i vas & Pr ocesos
de Negoci os
C
o
m
p
r
o
m
i
s
o

d
e

l
a

A
l
t
a

G
e
r
e
n
c
i
a
Est ruct ura de Admi ni st raci n de Seguri dad de Inf ormaci n
P
r
o
g
r
a
m
a

d
e

E
n
t
r
e
n
a
m
i
e
n
t
o

y

C
o
n
c
i
e
n
t
i
z
a
c
i
n
Vi si n y Es t rat egi a de Seguri dad
Ame na z a s
En el desarrollo del trabajo se utilizaron los siguientes procedimientos de
trabajo:
1. Entrevistas para la identificacin de riesgos amenazas y vulnerabilidades de
la organizacin con el siguiente personal de la empresa:
- Gerente de Divisin de Negocios.
- Gerente de Divisin de Riesgos
- Gerente de Divisin de Administracin y Operaciones
- Gerente de Divisin de Finanzas
- Gerente de Divisin de Negocios Internacionales
- Gerente de Negocios Internacionales
- Gerente de Asesora Legal
- Auditor de Sistemas
- Gerente de Sistemas
- Gerente Adjunto de Seguridad Informtica
- Asistente de Seguridad Informtica
2. Definicin y discusin de la organizacin del rea de seguridad informtica.
3. Elaboracin de las polticas de seguridad de informacin del Banco
tomando como referencia el estndar para seguridad de informacin ISO
17799, los requerimientos de la Circular N G-105-2002 publicada por la
Superintendencia de Banca y Seguros (SBS) sobre Riesgos de Tecnologa
de Informacin y las normas internas del Banco referidas a la seguridad de
informacin.
4. Evaluacin de la arquitectura de red actual y diseo de una propuesta de
arquitectura de red.
Captulo III
DIAGNSTICO DE LA SITUACIN ACTUAL DE LA ADMINISTRACIN DE LA
SEGURIDAD DE INFORMACIN
3.1 Evaluacin
Efectuada nuestra revisin de la administracin de riesgos de tecnologa de
informacin del Banco hemos observado que el Plan de Seguridad de
Informacin (PSI) no ha sido desarrollado. Si bien hemos observado la
existencia de normas, procedimientos y controles que cubren distintos aspectos
de la seguridad de la informacin, se carece en general de una metodologa,
gua o marco de trabajo que ayude a la identificacin de riesgos y
determinacin de controles para mitigar los mismos.
Dentro de los distintos aspectos a considerar en la seguridad de la Informacin,
se ha podido observar que se carece de Polticas de seguridad de la
Informacin y de una Clasificacin de Seguridad de los activos de Informacin
del Banco. Cabe mencionar que se ha observado la existencia de controles, en
el caso de la Seguridad Lgica, sobre los accesos a los sistemas de
informacin as como procedimientos establecidos para el otorgamiento de
dichos accesos. De igual manera se ha observado controles establecidos con
respecto a la seguridad fsica y de personal.
Sin embargo, estos controles no obedecen a una definicin previa de una
Poltica de Seguridad ni de una evaluacin de riesgos de seguridad de la
informacin a nivel de todo el Banco. Los controles establecidos a la fecha son
producto de evaluaciones particulares efectuadas por las reas involucradas o
bajo cuyo mbito de responsabilidad recae cierto aspecto de la seguridad.
3.2 Alcances
El alcance del diagnstico de la situacin de administracin del riesgo de
Tecnologa de Informacin, en adelante TI, comprende la revisin de las
siguientes funciones al interior del rea de sistemas:
Administracin del rea de Tecnologa de Informacin
- Estructura organizacional
- Funcin de seguridad a dedicacin exclusiva
- Polticas y procedimientos para administrar los riesgos de TI
- Subcontratacin de recursos.
Actividades de desarrollo y mantenimiento de sistemas informticos
Seguridad de la Informacin
- Administracin de la Seguridad de la Informacin.
- Aspectos de la seguridad de la informacin (lgica, personal y fsica y
ambiental)
- Inventario peridico de activos asociados a TI
Operaciones computarizadas
- Administracin de las operaciones y comunicaciones
- Procedimientos de respaldo
- Planeamiento para la continuidad de negocios
- Prueba del plan de continuidad de negocios
Asimismo, comprende la revisin de los siguientes aspectos:
Cumplimiento normativo
Privacidad de la informacin
Auditoria de sistemas
El siguiente cuadro muestra el grado de cumplimiento en los aspectos
relacionados a la adecuacin del Plan de Seguridad:
Aspectos Evaluados
Grado de
Cumplimiento
1 Estructura de la seguridad de la Informacin
2 Plan de seguridad de la Informacin
2.1 Polticas, estndares y procedimientos de seguridad.
2.1.1. Seguridad Lgica
2.1.2 Seguridad de Personal
2.1.3 Seguridad Fsica y Ambiental
2.1.4 Clasificacin de Seguridad

3 Administracin de las operaciones y comunicaciones
4 Desarrollo y mantenimiento de sistemas informticos
5 Procedimientos de respaldo
6 Plan de continuidad de negocios
6.1 Planeamiento para la Continuidad de Negocios
6.2
Criterios para el diseo e implementacin del Plan de
continuidad de Negocios
6.3 Prueba del Plan de Continuidad de Negocios
7 Subcontratacin
8 Cumplimiento normativo
9 Privacidad de la informacin
10 Auditoria de Sistemas
Una descripcin mas detallada de los aspectos evaluados pueden ser
encontrados en el Anexo C.
Captulo IV
SEGURIDAD DE LA INFORMACIN ROLES Y ESTRUCTURA
ORGANIZACIONAL
4.1 Situacin actual
La administracin de seguridad de informacin se encuentra distribuida
principalmente entre las reas de sistemas y el rea de seguridad informtica.
En algunos casos, la administracin de accesos es realizada por la jefatura o
gerencia del rea que utiliza la aplicacin.
Las labores de seguridad realizadas actualmente por el rea de seguridad
informtica son las siguientes:
- Creacin y eliminacin de usuarios
- Verificacin y asignacin de perfiles en las aplicaciones
Las labores de seguridad realizadas por el rea de sistemas son las siguientes:
- Control de red
- Administracin del firewall
- Administracin de accesos a bases de datos
Las funciones de desarrollo y mantenimiento de polticas y estndares de
seguridad no estn definidas dentro de los roles de la organizacin.
Cabe mencionar que el acceso con privilegio administrativo al computador
central es restringido, el rea de seguridad informtica define una contrasea,
la cual es enviada a la oficina de seguridad (Gerencia de Administracin) en un
sobre cerrado, en caso de necesitarse acceso con dicho privilegio, la
contrasea puede ser obtenida por el gerente de sistemas o el jefe de soporte
tcnico y produccin, solicitando el sobre a la oficina de seguridad. Luego
deben realizar un informe sobre la actividad realizada en el computador central.
4.2 ROLES Y RESPONSABILIDADES DE LA ESTRUCTURA
ORGANIZACIONAL DE SEGURIDAD DE INFORMACIN
El rea organizacional encargada de la administracin de seguridad de
informacin debe soportar los objetivos de seguridad de informacin del Banco.
Dentro de sus responsabilidades se encuentran la gestin del plan de
seguridad de informacin as como la coordinacin de esfuerzos entre el
personal de sistemas y los empleados de las reas de negocios, siendo stos
ltimos los responsables de la informacin que utilizan. Asimismo, es
responsable de promover la seguridad de informacin a lo largo de la
organizacin con el fin de incluirla en el planeamiento y ejecucin de los
objetivos del negocio.
Es importante mencionar que las responsabilidades referentes a la seguridad
de informacin son distribuidas dentro de toda la organizacin y no son de
entera responsabilidad del rea de seguridad informtica, en ese sentido
existen roles adicionales que recaen en los propietarios de la informacin, los
custodios de informacin y el rea de auditoria interna.
Los propietarios de la informacin deben verificar la integridad de su
informacin y velar por que se mantenga la disponibilidad y confidencialidad de
la misma.
Los custodios de informacin tienen la responsabilidad de monitorear el
cumplimiento de las actividades encargadas y el rea de auditoria interna debe
monitorear el cumplimiento de la poltica de seguridad y el cumplimiento
adecuado de los procesos definidos para mantener la seguridad de
informacin.
A continuacin presentamos los roles y responsabilidades relacionadas a la
administracin de seguridad de informacin:
rea de Seguridad Informtica.
El rea organizacional encargada de la administracin de seguridad de
informacin tiene como responsabilidades:
Establecer y documentar las responsabilidades de la organizacin en
cuanto a seguridad de informacin.
Mantener la poltica y estndares de seguridad de informacin de la
organizacin.
Identificar objetivos de seguridad y estndares del Banco (prevencin de
virus, uso de herramientas de monitoreo, etc.)
Definir metodologas y procesos relacionados a la seguridad de informacin.
Comunicar aspectos bsicos de seguridad de informacin a los empleados
del Banco. Esto incluye un programa de concientizacin para comunicar
aspectos bsicos de seguridad de informacin y de las polticas del Banco.
Desarrollar controles para las tecnologas que utiliza la organizacin. Esto
incluye el monitoreo de vulnerabilidades documentadas por los
proveedores.
Monitorear el cumplimiento de la poltica de seguridad del Banco.
Controlar e investigar incidentes de seguridad o violaciones de seguridad.
Realizar una evaluacin peridica de vulnerabilidades de los sistemas que
conforman la red de datos del Banco.
Evaluar aspectos de seguridad de productos de tecnologa, sistemas o
aplicaciones utilizados en el Banco.
Asistir a las gerencias de divisin en la evaluacin de seguridad de las
iniciativas del negocio.
Verificar que cada activo de informacin del Banco haya sido asignado a un
propietario el cual debe definir los requerimientos de seguridad como
polticas de proteccin, perfiles de acceso, respuesta ante incidentes y sea
responsable final del mismo.
Administrar un programa de clasificacin de activos de informacin,
incluyendo la identificacin de los propietarios de las aplicaciones y datos.
Coordinacin de todas las funciones relacionadas a seguridad, como
seguridad fsica, seguridad de personal y seguridad de informacin
almacenada en medios no electrnicos.
Desarrollar y administrar el presupuesto de seguridad de informacin.
Reportar peridicamente a la gerencia de Administracin y Operaciones.
Administracin de accesos a las principales aplicaciones del Banco.
Elaborar y mantener un registro con la relacin de los accesos de los
usuarios sobre los sistemas y aplicaciones del Banco y realizar revisiones
peridicas de la configuracin de dichos accesos en los sistemas.
Controlar aspectos de seguridad en el intercambio de informacin con
entidades externas.
Monitorear la aplicacin de los controles de seguridad fsica de los
principales activos de informacin.
Custodio de Informacin:
Es el responsable de la administracin diaria de la seguridad en los sistemas
de informacin y el monitoreo del cumplimiento de las polticas de seguridad en
los sistemas que se encuentran bajo su administracin. Sus responsabilidades
son:
Administrar accesos a nivel de red (sistema operativo).
Administrar accesos a nivel de bases de datos.
Administrar los accesos a archivos fsicos de informacin almacenada en
medios magnticos (diskettes, cintas), pticos (cds) o impresa.
Implementar controles definidos para los sistemas de informacin,
incluyendo investigacin e implementacin de actualizaciones de seguridad
de los sistemas (service packs, fixes, etc.) en coordinacin con el rea de
seguridad informtica.
Desarrollar procedimientos de autorizacin y autenticacin.
Monitorear el cumplimiento de la poltica y procedimientos de seguridad en
los activos de informacin que custodia.
Investigar brechas e incidentes de seguridad.
Entrenar a los empleados en aspectos de seguridad de informacin en
nuevas tecnologas o sistemas implantados bajo su custodia.
Asistir y administrar los procedimientos de backup, recuperacin y plan de
continuidad de sistemas.
Usuario:
Las responsabilidades de los usuarios finales, es decir, aquellas personas que
utilizan informacin del Banco como parte de su trabajo diario estn definidas a
continuacin:
Mantener la confidencialidad de las contraseas de aplicaciones y sistemas.
Reportar supuestas violaciones de la seguridad de informacin.
Asegurarse de ingresar informacin adecuada a los sistemas.
Adecuarse a las polticas de seguridad del Banco.
Utilizar la informacin del Banco nicamente para los propsitos
autorizados.
Propietario de Informacin:
Los propietarios de informacin son los gerentes y jefes de las unidades de
negocio, los cuales, son responsables de la informacin que se genera y se
utiliza en las operaciones de su unidad. Las reas de negocios deben ser
conscientes de los riesgos de tal forma que sea posible tomar decisiones para
disminuir los mismos.
Entre las responsabilidades de los propietarios de informacin se tienen:
Asignar los niveles iniciales de clasificacin de informacin.
Revisin peridica de la clasificacin de la informacin con el propsito de
verificar que cumpla con los requerimientos del negocio.
Asegurar que los controles de seguridad aplicados sean consistentes con la
clasificacin realizada.
Determinar los criterios y niveles de acceso a la informacin.
Revisar peridicamente los niveles de acceso a los sistemas a su cargo.
Determinar los requerimientos de copias de respaldo para la informacin
que les pertenece.
Tomar las acciones adecuadas en caso de violaciones de seguridad.
Verificar peridicamente la integridad y coherencia de la informacin
producto de los procesos de su rea.
Auditoria Interna:
El personal de auditoria interna es responsable de monitorear el cumplimiento
de los estndares y guas definidas en las polticas internas. Una estrecha
relacin del rea de auditoria interna con el rea de seguridad informtica es
crtica para la proteccin de los activos de informacin. Por lo tanto dentro del
plan anual de evaluacin del rea de auditoria interna se debe incluir la
evaluacin peridica de los controles de seguridad de informacin definidos por
el Banco.
Auditoria interna debe colaborar con el rea de seguridad informtica en la
identificacin de amenazas y vulnerabilidades referentes a la seguridad de
informacin del Banco.
4.3 ORGANIZACIN DEL AREA DE SEGURIDAD INFORMTICA
PROPUESTA
Dado el volumen de operaciones y la criticidad que presenta la informacin
para el negocio del Banco y tomando en cuenta las mejores prcticas de la
industria, es necesaria la existencia de un rea organizacional que administre
la seguridad informtica. Como requisito indispensable, esta rea debe ser
independiente de la Gerencia de Sistemas, la cual en muchos casos es la
ejecutora de las normas y medidas de seguridad elaboradas.
Este proceso de independizacin de la administracin de la seguridad del rea
de sistemas ya fue iniciado por el Banco al crear el rea de seguridad
informtica, la cual, reporta a la Gerencia de divisin de Administracin y
Operaciones.
Considerando la falta de recursos con el perfil requerido que puedan ser
rpidamente reasignados, el proceso de entendimiento y asimilacin de las
responsabilidades, los roles definidos correspondientes al rea de seguridad
informtica, y la necesidad de implementar un esquema adecuado de
seguridad, proponemos definir una estructura organizacional de seguridad
transitoria en la cual se crear un comit de coordinacin de seguridad de la
informacin para la definicin de los objetivos del rea y el monitoreo de las
actividades de la misma.
El comit de coordinacin de seguridad de la informacin, estar conformado
por las siguientes personas:
Gerente de divisin de Administracin y Operaciones (presidente del
comit).
Jefe del rea de seguridad informtica (responsable del comit).
Gerente de Sistemas.
Auditor de Sistemas.
Jefe del departamento de Riesgo Operativo y Tecnolgico.
Gerente de
Administracin y
Operaciones
Sistemas
Contralora
General
Operaciones
Recursos
Humanos
Administracin
Seguridad
Informtica
Comit de
Coordinacin de
Seguridad de la
Informcin
Fig. 1: Estructura organizacional transitoria propuesta para la
administracin de la seguridad de informacin.
Gerente de
Sistemas
Jefe de
Departamente de
Riesgo Operativo y
Tecnolgico
Auditor de
Sistemas
Jefe de Seguridad
Informtica
(Responsable)
Gerente de Divisin de
Administracin y
Operaciones
(Presidente del Comit)
Fig. 2: Organizacin del Comit de coordinacin de Seguridad de la
Informacin.
Este comit, determinar el gradual traslado de las responsabilidades de
seguridad al rea de seguridad informtica, monitorear las labores realizadas
por el rea, colaborando a su vez con el entendimiento de la plataforma
tecnolgica, los procesos del negocio del Banco y la planificacin inicial de
actividades que desarrollar el rea a corto plazo.
El comit de coordinacin deber reunirse con una frecuencia quincenal, con la
posibilidad de convocar reuniones de emergencia en caso de existir alguna
necesidad que lo amerite.
Es importante resaltar que luego que el rea de seguridad informtica haya
logrado una asimilacin de sus funciones, un entendimiento de los procesos del
negocio del Banco y una adecuada interrelacin con las gerencias de las
distintas divisiones del Banco, el jefe de rea de seguridad informtica debe
reportar directamente al Gerente de divisin de Administracin y Operaciones,
convirtindose el comit de coordinacin de seguridad informtica, en un ente
consultivo, dejando la labor de monitoreo a la gerencia de divisin.
Captulo V
EVALUACIN DE RIESGOS, AMENAZAS Y VULNERABILIDADES
Con el propsito de obtener un adecuado entendimiento de la implicancia que
tiene el uso de tecnologa, las amenazas y vulnerabilidades, as como las
iniciativas del negocio sobre la seguridad de la informacin del Banco, se
efectuaron entrevistas, de las cuales se obtuvo las siguientes tres matrices, que
nos muestran la implicancia en seguridad que presentan cada uno de los
factores mencionados anteriormente, as como el estndar o medida a aplicar
para minimizar los riesgos correspondientes.
5.1 Matriz de uso y estrategia de tecnologa
Esta matriz muestra la tecnologa utilizada actualmente por el Banco y los
cambios estratgicos planificados que impactan en ella, las implicancias de
seguridad asociadas al uso de tecnologa y los estndares o medidas
propuestas para minimizar los riesgos generados por la tecnologa empleada.
Tecnologa Implicancia de seguridad
Estndar o medida de
seguridad a aplicar
Actual
Windows NT,
Windows 2000
Se debe contar con controles
de acceso adecuados a la data
y sistemas soportados por el
Sistema Operativo.
Estndar de mejores
prcticas de seguridad para
Windows NT
Estndar de mejores
Windows 2000.
Estndar o medida de
seguridad a aplicar
OS/400 Se debe contar con controles
de acceso adecuados a la data
y sistemas soportados por el
computador Central. Los
controles que posee este
servidor deben ser lo ms
restrictivos posibles pues es el
blanco potencial de la mayora
de intentos de acceso no
autorizado.
Estndar de mejores
OS/400.
Base de datos
SQL Server
Se debe contar con controles
de acceso a informacin de los
sistemas que soportan el
negocio de la Compaa.
Estndar de mejores
bases de datos SQL Server.
Banca electrnica
a travs de
Internet.
El servidor Web se
encuentra en calidad de
"hosting" en Telefnica
Data, se debe asegurar
que el equipo cuente con
las medidas de seguridad
necesarias, tanto fsicas
como lgicas.
La transmisin de los datos
es realizada a travs de un
medio pblico (Internet), se
debe contar con medidas
adecuadas para mantener
Estndares de
encripcin de
informacin transmitida.
Clusulas de
confidencialidad y
delimitacin de
responsabilidades en
contratos con
proveedores.
Acuerdos de nivel de
servicios con
proveedores, en los
cuales se detalle el
Estndar o medida de
seguridad a aplicar
la confidencialidad de la
informacin (encripcin de
la data).
El servidor Web que es
accedido por los clientes
puede ser blanco potencial
de actividad vandlica con
el propsito de afectar la
imagen del Banco.
La disponibilidad del
sistema es un factor clave
para el xito del servicio.
porcentaje mnimo de
disponibilidad del
sistema.
Evaluacin
independiente de la
seguridad del servidor
que brinda el servicio, o
acreditacin de la misma
por parte del proveedor.
Banca telefnica
Transmisin de informacin
por medios pblicos sin
posibilidad de proteccin
adicional.
Imposibilidad de mantener
la confidencialidad de las
operaciones con el
proveedor del servicio
telefnico.
Posibilidad de obtencin de
nmeros de tarjeta y
contraseas del canal de
transmisin telefnico.
Establecimiento de
lmites adecuados a las
operaciones realizadas
por va telefnica.
Posibilidad de registrar
el nmero telefnico
origen de la llamada.
Controles en los
sistemas de grabacin
de llamadas telefnica.
Evaluar la posibilidad de
notificar al cliente de
manera automtica e
inmediata luego de
realizada la operacin.
Estndar o medida de
seguridad a aplicar
Sistema Central
Core Bancario
El sistema central es el
sistema que soporta gran
parte de los procesos del
negocio del Banco, por lo
tanto, todo acceso no
autorizado al servidor
representa un riesgo
potencial para el negocio.
Estndar de mejores
prcticas de seguridad
para OS/400.
Revisin peridica de los
accesos otorgados a los
usuarios del sistema.
Monitoreo peridico de
la actividad realizada en
el servidor.
Verificacin del control
dual de aprobacin en
transacciones sensibles.
MIS (Management
Information
System)
El acceso a repositorios de
informacin sensible debe
ser restringido
adecuadamente.
Estndares de seguridad
de Windows 2000, bases
de datos.
Adecuados controles de
acceso y otorgamiento
de perfiles a la
aplicacin.
Desarrollo de
aplicaciones para
las unidades de
negocio, en
periodos muy
cortos.
Los proyectos de desarrollo
en periodos muy cortos,
comprenden un acelerado
desarrollo de sistemas; la
aplicacin de medidas de
seguridad, debera
encontrarse incluida en el
desarrollo del proyecto.
Estndar de mejores
para Windows 2000,
OS/400.
Metodologa para el
desarrollo de
aplicaciones.
Procedimientos de
Estndar o medida de
seguridad a aplicar
El tiempo de pase a
produccin de un nuevo
sistema que soportar un
producto estratgico, es
muy importante para el
xito del negocio, lo cual
puede originar que no se
tomen las medidas de
seguridad necesarias antes
del pase a produccin de
los nuevos sistemas.
control de cambios.
Evaluacin de
requerimientos de
seguridad de los
sistemas antes de su
pase a produccin.
Estndar de mejores
para aplicaciones
distribuidas.
Computadoras
personales.
Se debe contar con
adecuados controles de
acceso a informacin
existente en computadoras
personales.
Se requieren adecuados
controles de accesos a la
informacin de los sistemas
desde las computadoras
personales de usuarios.
La existencia de diversos
sistemas operativos en el
parque de computadores
personales, tales como,
Windows 95, Windows 98,
Windows NT, Windows
Concientizacin y
entrenamiento de los
usuarios en temas de
seguridad de la
informacin.
Implementacin de
mayores controles de
seguridad para
computadoras
personales.
Finalizacin del proyecto
de migracin de la
plataforma de
computadoras
personales al sistema
operativo Windows 2000
Estndar o medida de
seguridad a aplicar
2000 Professional,
Windows XP, impide
estandarizar la
configuracin de los
sistemas.
Debe existir un control
sobre los dispositivos que
pudieran facilitar fuga de
informacin (disqueteras,
grabadoras de cd's,
impresoras personales,
etc.)
Se debe controlar y
monitorear las aplicaciones
y sistemas instalados en
las PCs
y Windows XP.
Estndares de mejores
para estaciones de
trabajo.
Actualizacin peridica
de inventarios del
software instalado.
carpetas compartidas.
Monitoreo de actividad
de los usuarios,
sistemas de deteccin
de intrusos.
Correo electrnico Posibilidad de
interceptacin no
autorizada de mensajes de
correo electrnico.
Riesgo de acceso no
autorizado a informacin
del servidor.
Posibilidad de utilizacin de
recursos por parte de
personas no autorizadas,
para enviar correo
Se debe contar con
estndares de encripcin
para los mensajes de
correo electrnico que
contengan informacin
confidencial.
para Windows NT y
Lotus Notes.
Configuracin de anti-
Estndar o medida de
seguridad a aplicar
electrnico a terceros (relay
no autorizado).
Posibilidad de recepcin de
correo inservible (SPAM).
relay.
Implementacin de un
sistema de seguridad del
contenido SMTP.
Conexin a
Internet y redes
pblicas / Firewall.
Riesgos de accesos no
autorizados desde Internet
y redes externas hacia los
sistemas del Banco.
Adecuado uso del acceso a
Internet por parte de los
usuarios.
Los dispositivos que
permiten controlar accesos,
tales como, firewalls,
servidores proxy, etc.
Deben contar con medidas
de seguridad adecuadas
para evitar su manipulacin
por personas no
autorizadas.
Riesgo de acceso no
autorizado desde socios de
negocios hacia los
sistemas de La Compaa.
Polticas de seguridad.
para servidores
Windows NT, Windows
2000, correo electrnico,
servidores Web y
equipos de
comunicaciones.
Delimitacin de
responsabilidades
referentes a la seguridad
de informacin en
contratos con
proveedores.
Mejores prcticas de
seguridad para
configuracin de
Firewalls.
Diseo e
implementacin de una
arquitectura de
seguridad de
Estndar o medida de
seguridad a aplicar
red.Utilizacin de
sistemas de deteccin
de intrusos.
Especificacin de
acuerdos de nivel de
servicio con el
proveedor.
Controles y filtros para el
acceso a Internet.
En Proyecto
Cambios en la
infraestructura de
red.
Los cambios en la
infraestructura de red
pueden generar nuevas
puertas de entrada a
intrusos si los cambios no
son realizados con una
adecuada planificacin.
Una falla en la
configuracin de equipos
de comunicaciones puede
generar falta de
disponibilidad de sistemas.
Un diseo de red
inadecuado puede facilitar
el ingreso no autorizado a
la red de datos.
Elaboracin de una
arquitectura de red con
medidas de seguridad
adecuadas.
Establecer controles de
acceso adecuados a la
configuracin de los
equipos de
comunicaciones.
Plan de migracin de
infraestructura de red.
Software de Riesgo de acceso no Estndar de seguridad
Estndar o medida de
seguridad a aplicar
administracin
remota de PCs y
servidores.
autorizado a las consolas de
administracin y agentes de
administracin remota.
para Windows NT
Estndar de seguridad
para Windows 2000
para Windows XP
Controles de acceso
adecuados a las
consolas y agentes de
administracin remota.
Establecimiento de
adecuados
procedimientos para
tomar control remoto de
PCs o servidores.
Adecuada configuracin
del registro (log) de
actividad realizada
mediante administracin
remota.
Migracin de
servidores
Windows NT
Server a Windows
2000 Server.
Posibilidad de error en el
traslado de los usuarios y
permisos de acceso a los
directorios de los nuevos
servidores.
Posibilidad de existencia de
vulnerabilidades no
conocidas anteriormente.
para Windows 2000.
Procedimientos de
control de cambios.
Plan de migracin a
Windows 2000.
Estndar o medida de
seguridad a aplicar
Implantacin de
Datawarehouse.
Informacin sensible
almacenada en un
repositorio centralizado,
requiere de controles de
acceso adecuados.
sistema debe ser alta para
no afectar las operaciones
que soporta.
Estndares de
Seguridad para Windows
2000.
en bases de datos SQL.
Plan de implantacin de
Datawarehouse.
Procedimientos para
otorgamiento de perfiles.
5.2 Matriz de Evaluacin de Amenazas y Vulnerabilidades
En esta matriz se muestra los riesgos y amenazas identificadas, las
implicancias de seguridad y los estndares o medidas de seguridad necesarias
para mitigar dicha amenaza.
Amenaza /
Vulnerabilidad
Implicancia de Seguridad
Estndar o medida de
seguridad a aplicar
Riesgos/ Amenazas
Inters en obtener
informacin
estratgica del
Banco, por parte
de competidores
de negocio.
La existencia de informacin
atractiva para competidores de
negocio tales como
informacin de clientes e
informacin de marketing
implica la aplicacin de
controles adecuados para el
para servidores
Windows 2000,
Windows NT y OS/400.
Control de acceso a las
aplicaciones del Banco.
Revisin y depuracin
Amenaza /
Vulnerabilidad
Estndar o medida de
seguridad a aplicar
acceso a informacin. peridica de los accesos
otorgados.
Restricciones en el
manejo de informacin
enviada por correo
electrnico hacia redes
externas, extrada en
disquetes o cds e
informacin impresa.
Verificacin de la
informacin impresa en
reportes, evitar mostrar
informacin innecesaria
en ellos.
Inters en obtener
beneficios
econmicos
mediante actividad
fraudulenta.
Debido al volumen de dinero
que es administrado por es
administrado por una entidad
financiera, la amenaza de
intento de fraude es una
posibilidad muy tentadora
tanto para personal interno del
Banco, as como para personal
externo.
para Windows NT,
Windows 2000, OS/400
y bases de datos SQL.
Controles de accesos a
los mens de las
aplicaciones.
Revisiones peridicas de
los niveles de accesos
de los usuarios.
Evaluacin peridica de
la integridad de la
Amenaza /
Vulnerabilidad
Estndar o medida de
seguridad a aplicar
informacin por parte del
propietario de la misma.
los registros (logs) de los
sistemas y operaciones
realizadas.
Mejores prcticas para
configuracin de
firewalls, servidores y
equipos de
comunicaciones.
Actividad
vandlica
realizada por
hackers o
crackers
La actividad desarrollada
por hackers o crackers
de sistemas, puede afectar
la disponibilidad, integridad
y confidencialidad de la
informacin del negocio.
Estos actos vandlicos
pueden ser desarrollados
por personal interno o
externo al Banco.
Adicionalmente si dicha
actividad es realizada
contra equipos que
proveen servicios a los
clientes (pgina Web del
banco) la imagen y
para servidores
Windows 2000.
para servidores
Windows NT.
Delimitacin de
responsabilidades y
sanciones en los
contratos con
proveedores de servicios
en calidad de hosting.
Verificacin de
evaluaciones peridicas
o certificaciones de la
seguridad de los
Amenaza /
Vulnerabilidad
Estndar o medida de
seguridad a aplicar
reputacin del Banco se
podra ver afectada en un
grado muy importante.
sistemas en calidad de
hosting.
Concientizacin y
compromiso formal de
los usuarios en temas
relacionados a la
seguridad de
informacin.
Polticas de Seguridad.
Prdida de
informacin
producto de
infeccin por virus
informtico.
El riesgo de prdida de
informacin por virus
informtico es alto si no se
administra adecuadamente
el sistema Antivirus y los
usuarios no han sido
concientizados en
seguridad de informacin
Adecuada arquitectura e
implementacin del
sistema antivirus.
Verificacin peridica de
la actualizacin del
antivirus de
computadoras
personales y servidores.
Generacin peridica de
reportes de virus
detectados y
actualizacin de
antivirus.
Fuga de
informacin a
travs del personal
que ingresa de
manera temporal
Los accesos otorgados al
personal temporal deben
ser controlados
adecuadamente, asimismo
la actividad realizada por
Control adecuado de los
accesos otorgados.
Depuracin peridica de
accesos otorgados a los
sistemas.
Amenaza /
Vulnerabilidad
Estndar o medida de
seguridad a aplicar
en sustitucin de
empleados en
vacaciones.
los mismos en los sistemas
debe ser peridicamente
monitoreada.
El personal temporal podra
realizar actividad no
autorizada, la cual podra
ser detectada cuando haya
finalizado sus labores en el
Banco.
Restricciones en acceso
a correo electrnico y
transferencia de
archivos hacia Internet.
y revisin peridica de
los registros (logs) de
aplicaciones y sistema
operativo.
Vulnerabilidades
No se cuenta con
un inventario de
perfiles de acceso
a las aplicaciones.
El control sobre la actividad de
los usuarios en los sistemas es
llevado a cabo en muchos
casos, mediante perfiles de
usuarios controlando as los
privilegios de acceso a los
sistemas.
Se debe contar con un
inventario de los
accesos que poseen los
usuarios sobre las
aplicaciones.
los perfiles y accesos de
los usuarios por parte
del propietario de la
informacin.
Exceso de
contraseas
manejadas por los
usuarios.
La necesidad de utilizar
contraseas distintas para
cada sistema o aplicacin del
Banco, puede afectar la
seguridad en la medida que el
usuario no sea capaz de
Uniformizar dentro de lo
posible la estructura de
las contraseas
empleadas y sus fechas
de renovacin.
Implementar un sistema
Amenaza /
Vulnerabilidad
Estndar o medida de
seguridad a aplicar
retener en la memoria, la
relacin de nombres de
usuario y contraseas
utilizadas en todos los
sistemas. La necesidad de
anotar las contraseas por
parte de los usuarios, expone
las mismas a acceso por parte
de personal no autorizado.
de Servicio de directorio,
el cual permita al usuario
identificarse en l, y
mediante un proceso
automtico, ste lo
identifique en los
sistemas en los cuales
posee acceso.
Existencia de
usuarios del rea
de desarrollo y
personal temporal
con acceso al
entorno de
produccin.
El ambiente de produccin
debe contar con controles de
acceso adecuados con
respecto los usuarios de
desarrollo, esto incluye las
aplicaciones y bases de datos
de las mismas.
Inventario y depuracin
de perfiles de acceso
que poseen los usuarios
de desarrollo en el
entorno de produccin.
Adecuada segregacin
de funciones del
personal del rea de
sistemas.
Procedimiento de pase a
produccin.
Aplicaciones cuyo
acceso no es
controlado por el
rea de seguridad
informtica.
El rea de seguridad
informtica debe participar en
el proceso de asignacin de
accesos a las aplicaciones del
Banco y verificar que la
solicitud de accesos sea
coherente con el cargo del
Formalizacin de roles y
responsabilidades del
rea de seguridad
informtica.
Traslado de la
responsabilidad del
control de accesos a
Amenaza /
Vulnerabilidad
Estndar o medida de
seguridad a aplicar
usuario.
El gerente que aprueba la
solicitud es el responsable de
los accesos que solicita para
los usuarios de su rea.
aplicaciones al rea de
seguridad informtica.
Falta de
conciencia en
seguridad por
parte del personal
del Banco.
El personal del Banco es el
vnculo entre la poltica de
seguridad y su implementacin
final para aplicar la poltica de
seguridad, se pueden
establecer controles y un
monitoreo constante, pero la
persona es siempre el punto
ms dbil de la cadena de
seguridad, este riesgo se
puede incrementar si el
usuario no recibe una
adecuada capacitacin y
orientacin en seguridad de
informacin.
Programa de
capacitacin del Banco
en temas relacionados a
la seguridad de
informacin.
Capacitacin mediante
charlas, videos,
presentaciones, afiches,
etc., los cuales
recuerden
permanentemente al
usuario la importancia
de la seguridad de
informacin.
Falta de personal
con conocimientos
tcnicos de
seguridad
informtica.
Para una adecuada
administracin de la seguridad
informtica se requiere
personal capacitado que
pueda cumplir las labores de
elaboracin de polticas y
administracin de seguridad
Capacitacin del
personal tcnico en
temas de seguridad de
informacin o inclusin
nuevo de personal con
conocimientos de
seguridad de
Amenaza /
Vulnerabilidad
Estndar o medida de
seguridad a aplicar
en el rea de seguridad
informtica, as como
implementacin de controles y
configuracin de sistemas en
el rea de sistemas.
informacin para las
reas de seguridad
informtica y sistemas.
Falta de controles
adecuados para la
informacin que
envan los
usuarios hacia
Internet.
El acceso hacia Internet por
medios como correo
electrnico, ftp (file transfer
protocol) o incluso web en
algunos casos, puede facilitar
la fuga de informacin
confidencial del Banco.
El Banco ha invertido en la
implementacin de una
herramienta para el filtrado de
las pginas web que son
accedidas por los usuarios, se
debe asegurar que dicho
control sea adecuadamente
aplicado.
Vulnerabilidades:
No existen controles
adecuados sobre el
personal autorizado a
enviar correo electrnico al
exterior.
Configuracin adecuada
del servidor Proxy y la
herramienta Surf
Control.
Generacin peridica de
reportes de la
efectividad de los
controles aplicados.
Implementacin de una
adecuada arquitectura
de red.
la configuracin de
Firewalls.
Implementacin y
administracin de
herramientas para la
inspeccin del contenido
de los correos
electrnicos enviados.
Amenaza /
Vulnerabilidad
Estndar o medida de
seguridad a aplicar
No existen herramientas de
inspeccin de contenido
para correo electrnico.
Se pudo observar que
usuarios que no se han
identificado en el dominio
del Banco, pueden acceder
al servicio de navegacin a
travs del servidor Proxy.
No existen
controles
adecuados para la
informacin
almacenada en las
computadoras
personales.
Existe informacin
almacenada en las
computadoras personales de
los usuarios que requiere
ciertos niveles de seguridad.
Los usuarios deben contar con
procedimientos para realizar
copias de respaldo de su
informacin importante.
Vulnerabilidades:
El sistema operativo
Windows 95/98 no permite
otorgar niveles apropiados
de seguridad a la
informacin existente en
ellas.
No existe un procedimiento
para verificacin peridica
Establecimiento de un
procedimiento formal
que contemple la
generacin de copia de
respaldo de informacin
importante de los
usuarios.
Concluir el proceso de
migracin del sistema
operativo de las
computadoras
personales a Windows
2000 Professional o
Windows XP.
Concientizacin de
usuarios en temas
relacionados a la
seguridad de la
Amenaza /
Vulnerabilidad
Estndar o medida de
seguridad a aplicar
de las carpetas
compartidas por los
usuarios.
El procedimiento para
realizar copias de respaldo
de la informacin
importante no es conocido
por todos los usuarios.
informacin.
Arquitectura de red
inapropiada para
controlar accesos
desde redes
externas.
Posibilidad de acceso no
autorizado a sistemas por
parte de personal externo al
Banco.
Vulnerabilidades:
Existencia de redes
externas se conectan con
la red del Banco sin la
proteccin de un firewall.
Los servidores de acceso
pblico no se encuentran
aislados de la red interna.
Diseo de arquitectura
de seguridad de red.
de elementos de control
de conexiones
(firewalls).
Implementacin y
administracin de
herramientas de
seguridad.
Fuga de
informacin
estratgica
mediante
sustraccin de
computadores
Es posible obtener la
informacin existente en las
computadoras porttiles de los
gerentes del banco mediante
el robo de las mismas.
Programas para
encripcin de la data
confidencial existente en
los discos duros de las
computadoras porttiles.
Amenaza /
Vulnerabilidad
Estndar o medida de
seguridad a aplicar
porttiles.
Acceso no
autorizado a travs
de enlaces
inalmbricos.
El riesgo de contar con
segmentos de red
inalmbricos sin medidas
de seguridad especficas
para este tipo de enlaces,
radica en que cualquier
persona podra conectar un
equipo externo al Banco
incluso desde un edificio
cercano.
Evaluacin del alcance
de la red inalmbrica.
Separacin del
segmento de red
inalmbrico mediante un
Firewall.
Verificacin peridica de
la actividad realizada
desde la red
inalmbrica.
Utilizacin de encripcin
.
Controles de
acceso hacia
Internet desde la
red interna.
Posibilidad de acceso no
autorizado desde la red
interna de datos hacia
equipos de terceros en
Internet.
Posibilidad de fuga de
informacin.
Posibilidad de realizacin
de actividad ilegal en
equipos de terceros a
travs de Internet.
Implementacin de una
adecuada arquitectura
de red.
Configuracin adecuada
de servidor Proxy.
la configuracin de
Firewalls.
Implementacin y
administracin de
herramientas para la
seguridad del contenido
de los correos
electrnicos enviados.
Amenaza /
Vulnerabilidad
Estndar o medida de
seguridad a aplicar
la actividad, mediante el
anlisis de los registros
(logs) de los sistemas.
5.3 Matriz de Iniciativas del Negocio / Procesos
En esta matriz se muestra las iniciativas y operaciones del negocio que poseen
alta implicancia en seguridad y los estndares o medidas de seguridad a ser
aplicados para minimizar los riesgos generados por ellas.
Iniciativa del
Negocio
Estndar o medida de
seguridad a aplicar
Iniciativas del Negocio
Implantacin de
Datawarehouse.
Informacin sensible
almacenada en un
repositorio centralizado,
requiere de controles de
acceso adecuados.
sistema debe ser alta para
no afectar las operaciones
que soporta.
Estndar de mejores
prcticas de
seguridad para
Windows NT
Estndar de mejores
prcticas de
seguridad para
Windows
Plan de implantacin
de Datawarehouse.
Procedimientos para
otorgamiento de
perfiles.
Iniciativa del
Negocio
Estndar o medida de
seguridad a aplicar
Implementacin de
una arquitectura de
red segura.
Proyecto de
tercerizacin del
Call Center
Consulta de informacin
existente en los sistemas
por parte de terceros.
Registro de informacin en
los sistemas por parte de
terceros.
Especificacin de
responsabilidades y
obligaciones
referentes a la
seguridad de la
informacin del
Banco, en los
contratos con
terceros.
Especificacin de
servicio.
Adecuados controles
de acceso a la
informacin
registrada en el
sistema
Proyecto de
comunicacin con
Conasev utilizando
firmas digitales
(Requerimiento de
Conasev)
El acceso de personal no
autorizado a los medios de
almacenamiento de llaves
de encripcin (media,
smartcards, impresa)
debilita todo el sistema de
encripcin de la
Estndares de
seguridad para la
manipulacin y
revocacin de llaves
de encripcin.
Implementacin de
controles de acceso a
Iniciativa del
Negocio
Estndar o medida de
seguridad a aplicar
informacin.
Para los procesos de firma
y encripcin de la
informacin se requiere el
ingreso de contraseas,
estas contraseas deben
ser mantenidas en forma
confidencial.
dispositivos y llaves
de encripcin.
Digitalizacin
(scanning) de
poderes y firmas.
La disposicin de estos
elementos en medios
digitales requiere de
adecuados niveles de
proteccin para evitar su
acceso no autorizado y
utilizacin con fines
ilegales.
Aplicacin de
estndares de
seguridad de la
plataforma que
contiene dicha
informacin.
Encripcin de la data
digitalizada.
Restriccin de
accesos a los
poderes y firmas
tanto a nivel de
aplicacin, como a
nivel de sistema
operativo.
Tercerizacin de
operaciones de
sistemas y Help
Desk.
La administracin de
equipos crticos de la red
del Banco por parte de
terceros representa un
Clusulas de
confidencialidad y
establecimiento claro
de responsabilidades
Iniciativa del
Negocio
Estndar o medida de
seguridad a aplicar
riesgo en especial por la
posibilidad de fuga de
informacin confidencial.
de los proveedores
en los contratos,
especificacin de
penalidades en caso
de incumplimiento.
Monitoreo peridico
de las operaciones
realizadas por
personal externo,
incluyendo la revisin
peridica de sus
actividades en los
registros (logs) de
aplicaciones y
sistema operativo.
Evitar otorgamiento
de privilegios
administrativos a
personal externo,
para evitar
manipulacin de
registros.
Proyecto de
interconexin del
Sistema Swift a la
red de datos del
Banco.
El sistema SWIFT se
encuentra en un segmento
aislado de la red de datos
del Banco por razones de
seguridad de informacin.
Estndar de mejores
prcticas de
seguridad para
servidores Windows
NT
Iniciativa del
Negocio
Estndar o medida de
seguridad a aplicar
Al unir el sistema Swift a la
red de datos del Banco,
dicho sistema se va a
encontrar expuesto a
intentos de acceso no
autorizados por parte de
equipos que comprenden
la red de datos.
Controles de acceso
a la aplicacin
SWIFT.
Estndares de
encripcin de datos
entre el sistema Swift
y los terminales que
se comunican con l.
Operaciones del Negocio
Almacenamiento
de copias de
respaldo realizado
por Hermes.
Las cintas de backup
guardan informacin
confidencial del negocio del
banco, adicionalmente
deben encontrarse
disponibles para ser
utilizadas en una
emergencia y la
informacin que guardan
debe mantenerse ntegra.
Acuerdos de
confidencialidad y
tiempo de respuesta
en los contratos con
el proveedor.
Pruebas del tiempo
de respuesta del
proveedor para
transportar las cintas
de backup en caso de
emergencia.
Verificacin peridica
del estado de las
cintas.
Procesamiento de
transacciones de
tarjetas de crdito
El almacenamiento de
informacin por parte de
terceros podra representar
Acuerdos de
confidencialidad y
tiempo de respuesta
Iniciativa del
Negocio
Estndar o medida de
seguridad a aplicar
y dbito realizado
por Unibanca.
una fuente de divulgacin
no autorizada de
informacin del Banco y
sus clientes.
El acceso a los sistemas
por parte de terceros debe
ser controlado para evitar
la realizacin de actividad
no autorizada.
en contratos con el
proveedor.
Estndares de
encripcin de
informacin
transmitida.
Almacenamiento
de Documentos
realizado por
terceros File
Service
no autorizada de
sus clientes.
informacin debe realizarse
de manera adecuada para
mantener la disponibilidad
de los documentos y evitar
su deterioro.
Acuerdos de
confidencialidad y
tiempo de respuesta
en contratos con
proveedores.
del grado de deterioro
de la documentacin.
Impresin y
ensobrado de
estados de cuenta
realizado por
Napatek
no autorizada de
Acuerdos de
confidencialidad en
contratos con
proveedores.
Estndares de
Iniciativa del
Negocio
Estndar o medida de
seguridad a aplicar
sus clientes.
El envo de informacin
sensible al proveedor debe
ser realizado por un canal
de transmisin seguro, o
en su defecto debe contar
con medidas de encripcin,
que impidan su utilizacin
en caso de ser
interceptada.
encripcin de datos
transmitidos por
correo electrnico.
Verificacin de
integridad de la data
transmitida.
Envo de
informacin
sensible a clientes
y entidades
recaudadoras va
correo electrnico
Se debe asegurar que la
informacin sensible
transmitida a los clientes
cuente con medidas de
seguridad adecuadas las
cuales permitan garantizar
el cumplimiento de normas
como el secreto bancario.
Estndares de
encripcin de datos
transmitidos.
Almacenamiento
fsico de
informacin
realizada al interior
del Banco.
El Banco almacena
documentos importantes
de clientes, muchos de
ellos con informacin
confidencial, asimismo
existe informacin en otros
medios como discos duros,
cintas, etc., que albergan
Clasificacin y
etiquetado de la
informacin.
Implementacin de
controles fsicos de
acceso a la
informacin de
acuerdo a su
Iniciativa del
Negocio
Estndar o medida de
seguridad a aplicar
informacin importante. Se
debe asegurar que dicha
informacin cuente con
medidas de seguridad
adecuadas que aseguren
la integridad, disponibilidad
y confidencialidad de la
informacin.
clasificacin.
Establecimiento de
condiciones
apropiadas de
almacenamiento para
evitar su deterioro.
Mantenimiento de un
registro de entrada y
salida de activos de
los archivos.
Acceso de
personal de
Rehder a la red de
datos del Banco.
Todo acceso de personal
externo a la red de datos
del Banco representa un
riesgo potencial de acceso
no autorizado a los
sistemas.
Clusulas de
confidencialidad y
de los proveedores
en los contratos,
especificacin de
penalidades en caso
de incumplimiento.
Monitoreo de
actividad realizada
por personal externo.
Restricciones de
acceso a Internet
configurados en el
firewall.
Centro de Los sistemas ubicados en Especificacin de
Iniciativa del
Negocio
Estndar o medida de
seguridad a aplicar
Contingencia
ubicado en el TIC
de Telefnica
Data.
Telefnica Data deben
encontrarse siempre
disponibles para ser
utilizados en casos de
emergencia.
Se debe asegurar la
integridad de la informacin
existente en los sistemas
de respaldo y el grado de
actualizacin de la misma
con respecto al sistema en
produccin.
servicio y
penalidades en caso
de incumplimiento en
contratos con
proveedores.
Pruebas del centro de
contingencia.
de la disponibilidad
de los sistemas y
grado de
actualizacin de la
informacin.
Atencin en Front
Office.
Las aplicaciones y los
sistemas de
comunicaciones deben
encontrarse disponibles en
todo momento para no
afectar la atencin a los
clientes.
Los periodos de
indisponibilidad deben ser
medidos.
Acuerdos de niveles
de servicio en
contratos con
proveedores de
comunicaciones.
de disponibilidad de
los sistemas.
Implementacin de
mtricas de
rendimiento y
disponibilidad de los
sistemas.
Iniciativa del
Negocio
Estndar o medida de
seguridad a aplicar
Soporte de IBM al
Servidor AS/400.
El servidor AS/400 es el
que soporta la mayor
cantidad de procesos del
negocio del Banco, por lo
tanto se debe asegurar que
el proveedor debe ser
capaz de restaurar los
servicios del servidor en el
menor tiempo posible.
Asimismo dado que el
proveedor accede
peridicamente al equipo,
existe el riesgo de acceso
no autorizado a
informacin existente en el
mismo.
Clusulas de
confidencialidad y
de los proveedores
en los contratos,
especificacin de
penalidades en caso
de incumplimiento.
Asignacin de un
usuario distinto al
utilizado por personal
del Banco con los
privilegios mnimos
necesarios.
Inspeccin del log de
actividades del
proveedor luego de
realizar
mantenimiento al
equipo.
Captulo VI
POLTICAS DE SEGURIDAD DE LA INFORMACIN
En este capitulo se elaboraran las polticas de seguridad con el propsito de
proteger la informacin de la empresa, estas servirn de gua para la
implementacin de medidas de seguridad que contribuirn a mantener la
integridad, confidencialidad y disponibilidad de los datos dentro de los sistemas
de aplicacin, redes, instalaciones de cmputo y procedimientos manuales.
El documento de polticas de seguridad ha sido elaborado tomando como base
la siguiente documentacin:
- Estndar de seguridad de la informacin ISO 17799
- Requerimientos de la Circular N G-105-2002 de la Superintendencia
de Banca y Seguros (SBS) sobre Riesgos de Tecnologa de Informacin.
- Normas internas del Banco referidas a seguridad de informacin.
6.1 Definicin
Una Poltica de seguridad de informacin es un conjunto de reglas aplicadas a
todas las actividades relacionadas al manejo de la informacin de una entidad,
teniendo el propsito de proteger la informacin, los recursos y la reputacin de
la misma.
Propsito
El propsito de las polticas de seguridad de la informacin es proteger la
informacin y los activos de datos del Banco. Las polticas son guas para
asegurar la proteccin y la integridad de los datos dentro de los sistemas de
aplicacin, redes, instalaciones de cmputo y procedimientos manuales.
6.2 CUMPLIMIENTO OBLIGATORIO
El cumplimiento de las polticas y estndares de seguridad de la informacin es
obligatorio y debe ser considerado como una condicin en los contratos del
personal.
El Banco puede obviar algunas de las polticas de seguridad definidas en este
documento, nicamente cuando se ha demostrado claramente que el
cumplimiento de dichas polticas tendra un impacto significativo e inaceptable
para el negocio. Toda excepcin a las polticas debe ser documentada y
aprobada por el rea de seguridad informtica y el rea de auditoria interna,
detallando el motivo que justifica el no-cumplimiento de la poltica.
6.3 ORGANIZACIN DE LA SEGURIDAD
En esta poltica se definen los roles y responsabilidades a lo largo de la
organizacin con respecto a la proteccin de recursos de informacin. Esta
poltica se aplica a todos los empleados y otros asociados con el Banco, cada
uno de los cuales cumple un rol en la administracin de la seguridad de la
informacin. Todos los empleados son responsables de mantener un ambiente
seguro, en tanto que el rea de seguridad informtica debe monitorear el
cumplimiento de la poltica de seguridad definida y realizar las actualizaciones
que sean necesarias, producto de los cambios en el entorno informtico y las
necesidades del negocio.
6.3.1 Estructura Organizacional
En la administracin de la seguridad de la informacin participan todos los
empleados siguiendo uno o ms de los siguientes roles:
- rea de Seguridad Informtica
- Usuario
- Custodio de informacin
- Propietario de informacin
- Auditor interno
Los roles y funciones de administracin de la seguridad de la informacin de
cada uno de estas personas estn detalladas en el Capitulo IV.
6.3.2 Acceso por parte de terceros
El Banco debe establecer para terceros al menos las mismas
restricciones de acceso a la informacin que a un usuario interno.
Adems, el acceso a la informacin debe limitarse a lo mnimo
indispensable para cumplir con el trabajo asignado. Las excepciones
deben ser analizadas y aprobadas por el rea de seguridad informtica.
Esto incluye tanto acceso fsico como lgico a los recursos de informacin
del Banco.
Todo acceso por parte de personal externo debe ser autorizado por un
responsable interno, quien asume la responsabilidad por las acciones que
pueda realizar el mismo. El personal externo debe firmar un acuerdo de
no-divulgacin antes de obtener acceso a informacin del Banco.
Proveedores que requieran acceso a los sistemas de informacin del
Banco deben tener acceso nicamente cuando sea necesario.
Todas las conexiones que se originan desde redes o equipos externos al
Banco, deben limitarse nicamente a los servidores y aplicaciones
necesarios. Si es posible, estos servidores destino de las conexiones
deben estar fsicamente o lgicamente separados de la red interna del
Banco.
Los contratos relacionados a servicios de tecnologas de informacin
deben ser aprobados por el rea legal del Banco, y en el caso de que
afecten la seguridad o las redes de la organizacin deben ser aprobados
adicionalmente por el rea de seguridad informtica. Bajo determinadas
condiciones, como en la ejecucin de servicios crticos para el negocio, el
Banco debe considerar efectuar una revisin independiente de la
estructura de control interno del proveedor.
En los contratos de procesamiento de datos externos se debe especificar
los requerimientos de seguridad y acciones a tomar en caso de violacin
de los contratos. Todos los contratos deben incluir una clusula donde se
establezca el derecho del Banco de nombrar a un representante
autorizado para evaluar la estructura de control interna del proveedor.
6.3.3 Outsourcing
Todos los contratos de Outsourcing deben incluir lo siguiente:
- Acuerdos sobre polticas y controles de seguridad.
- Determinacin de niveles de disponibilidad aceptable.
- El derecho del Banco de auditar los controles de seguridad de
informacin del proveedor.
- Determinacin de los requerimientos legales del Banco.
- Metodologa del proveedor para mantener y probar cclicamente la
seguridad del sistema.
- Que el servicio de procesamiento y la informacin del Banco objeto
de la subcontratacin estn aislados, en todo momento y bajo
cualquier circunstancia.
El proveedor es responsable de inmediatamente informar al responsable
del contrato de cualquier brecha de seguridad que pueda comprometer
informacin del Banco. Cualquier empleado del Banco debe informar de
violaciones a la seguridad de la informacin por parte de proveedores al
rea de seguridad informtica.
6.4 EVALUACION DE RIESGO
El costo de las medidas y controles de seguridad no debe exceder la
prdida que se espera evitar. Para la evaluacin del riesgo se deben de
seguir los siguientes pasos:
- Clasificacin del acceso de la informacin
- Ejecucin del anlisis del riesgo identificando reas vulnerables, prdida
potencial y seleccin de controles y objetivos de control para mitigar los
riesgos, de acuerdo a los siguientes estndares.
6.4.1 Inventario de activos
Los inventarios de activos ayudan a garantizar la vigencia de una
proteccin eficaz de los recursos, y tambin pueden ser necesarios para
otros propsitos de la empresa, como los relacionados con sanidad y
seguridad, seguros o finanzas (administracin de recursos). El proceso de
compilacin de un inventario de activos es un aspecto importante de la
administracin de riesgos. Una organizacin debe contar con la capacidad
de identificar sus activos y el valor relativo e importancia de los mismos.
Sobre la base de esta informacin, la organizacin puede entonces,
asignar niveles de proteccin proporcionales al valor e importancia de los
activos. Se debe elaborar y mantener un inventario de los activos
importantes asociados a cada sistema de informacin. Cada activo debe
ser claramente identificado y su propietario y clasificacin en cuanto a
seguridad deben ser acordados y documentados, junto con la ubicacin
vigente del mismo (importante cuando se emprende una recuperacin
posterior a una prdida o dao). Ejemplos de activos asociados a
sistemas de informacin son los siguientes:
- Recursos de informacin: bases de datos y archivos, documentacin
de sistemas, manuales de usuario, material de capacitacin,
procedimientos operativos o de soporte, planes de continuidad,
disposiciones relativas a sistemas de emergencia para la reposicin de
informacin perdida (fallback), informacin archivada;
- Recursos de software: software de aplicaciones, software de sistemas,
herramientas de desarrollo y utilitarios;
- Activos fsicos: equipamiento informtico (procesadores, monitores,
computadoras porttiles, mdems), equipos de comunicaciones
(routers, PBXs, mquinas de fax, contestadores automticos), medios
magnticos (cintas y discos), otros equipos tcnicos (suministro de
electricidad, unidades de aire acondicionado), mobiliario, lugares de
emplazamiento;
- Servicios: servicios informticos y de comunicaciones, utilitarios
generales, por Ej. calefaccin, iluminacin, energa elctrica, aire
acondicionado.
6.4.2 Clasificacin del acceso de la informacin
Toda la informacin debe de ser clasificada como Restringida,
Confidencial, Uso Interno o General de acuerdo a lo definido en el capitulo
4.2.1. La clasificacin de informacin debe de ser documentada por el
Propietario, aprobada por la gerencia responsable y distribuida a los
Custodios durante el proceso de desarrollo de sistemas o antes de la
distribucin de los documentos o datos.
La clasificacin asignada a un tipo de informacin, solo puede ser
cambiada por el propietario de la informacin, luego de justificar
formalmente el cambio en dicha clasificacin.
La informacin que existe en ms de un medio (por ejemplo, documento
fuente, registro electrnico, reporte o red) debe de tener la misma
clasificacin sin importar el formato.
Frecuentemente, la informacin deja de ser sensible o crtica despus de
un cierto perodo de tiempo, verbigracia, cuando la informacin se ha
hecho pblica. Este aspecto debe ser tomado en cuenta por el propietario
de la informacin, para realizar una reclasificacin de la misma, puesto
que la clasificacin por exceso (over- classification) puede traducirse en
gastos adicionales innecesarios para la organizacin.
La informacin debe de ser examinada para determinar el impacto en el
Banco si fuera divulgada o alterada por medios no autorizados. A
continuacin detallamos algunos ejemplos de informacin sensible:
q Datos de inters para la competencia:
- Estrategias de marketing
- Listas de clientes
- Fechas de renovacin de crditos
- Tarifaciones
- Datos usados en decisiones de inversin
q Datos que proveen acceso a informacin o servicios:
- Llaves de encripcin o autenticacin
- Contraseas
q Datos protegidos por legislacin de privacidad vigente
- Registros del personal
- Montos de los pasivos de clientes
- Datos histricos con 10 aos de antigedad
q Datos que tienen un alto riesgo de ser blanco de fraude u otra actividad
ilcita:
- Datos contables utilizados en sistemas
- Sistemas que controlan desembolsos de fondos
6.4.3 Definiciones
Restringida: Informacin con mayor grado de sensibilidad; el acceso a
esta informacin debe de ser autorizado caso por caso.
Confidencial: Informacin sensible que solo debe ser divulgada a
aquellas personas que la necesiten para el cumplimiento de sus
funciones.
Uso Interno: Datos generados para facilitar las operaciones diarias;
deben de ser manejados de una manera discreta, pero no requiere de
medidas elaboradas de seguridad.
General: Informacin que es generada especficamente para su
divulgacin a la poblacin general de usuarios.
6.4.4 Aplicacin de controles para la informacin clasificada
Las medidas de seguridad a ser aplicadas a los activos de informacin
clasificados, incluyen pero no se limitan a las siguientes:
6.4.4.1 Informacin de la Compaa almacenada en formato digital
Todo contenedor de informacin en medio digital (CDs, cintas de
backup, diskettes, etc.) debe presentar una etiqueta con la clasificacin
correspondiente.
La informacin en formato digital clasificada como de acceso General,
puede ser almacenada en cualquier sistema de la Compaa. Sin
embargo se deben tomar las medidas necesarias para no mezclar
informacin General con informacin correspondiente a otra
clasificacin.
Todo usuario, antes de transmitir informacin clasificada como
Restringida o Confidencial, debe asegurarse que el destinatario de la
informacin est autorizado a recibir dicha informacin.
Todo usuario que requiere acceso a informacin clasificada como
Restringida o Confidencial, debe ser autorizado por el propietario de
la misma. Las autorizaciones de acceso a este tipo de informacin
deben ser documentadas.
La clasificacin asignada a un tipo de informacin, solo puede ser
cambiada por el propietario de la informacin, luego de justificar
formalmente el cambio en dicha clasificacin.
Informacin en formato digital, clasificada como Restringida, debe ser
encriptada con un mtodo aprobado por los encargados de la
administracin de seguridad de la informacin, cuando es almacenada
en cualquier medio (disco duro, disquetes, cintas, CDs, etc.).
Es recomendable el uso de tcnicas de encripcin para la informacin
clasificada como Restringida o Confidencial, transmitida a travs de la
red de datos del Banco.
Toda transmisin de Informacin clasificada como Restringida,
Confidencial o de Uso Interno realizada hacia o a travs de redes
externas a la Compaa debe realizarse utilizando un medio de
transmisin seguro o utilizando tcnicas de encripcin aprobadas.
Todo documento en formato digital, debe presentar la clasificacin
correspondiente en la parte superior (cabecera) e inferior (pi de pgina)
de cada pgina del documento.
Los medios de almacenamiento, incluyendo discos duros de
computadoras, que albergan informacin clasificada como Restringida,
deben ser ubicados en ambientes cerrados diseados para el
almacenamiento de dicho tipo de informacin. En lugar de proteccin
fsica, la informacin clasificada como Restringida, podra ser protegida
con tcnicas de encripcin aprobadas por la Compaa.
6.4.4.2 Informacin de la Compaa almacenada en formato no
digital
Todo documento o contenedor de informacin debe ser etiquetado como
Restringida, Confidencial, de Uso interno o de Acceso General,
dependiendo de la clasificacin asignada.
Todo documento que presente informacin clasificada como
Confidencial o Restringida, debe ser etiquetado en la parte superior e
inferior de cada pgina con la clasificacin correspondiente.
Todo documento clasificado como Confidencial o Restringido debe
contar con una cartula en la cual se muestre la clasificacin de la
informacin que contiene.
Los activos de informacin correspondiente a distintos niveles de
clasificacin, deben ser almacenados en distintos contenedores, de no ser
posible dicha distincin, se asignar el nivel ms critico de la informacin
identificada a todo el contenedor de informacin.
El ambiente donde se almacena la informacin clasificada como
Restringida, debe contar con adecuados controles de acceso y
asegurado cuando se encuentre sin vigilancia. El acceso debe ser
permitido solo al personal formalmente autorizado. Personal de limpieza
debe ingresar al ambiente acompaado por personal autorizado.
Solo el personal formalmente autorizado debe tener acceso a informacin
clasificada como Restringida o Confidencial
Los usuarios que utilizan documentos con informacin Confidencial o
Restringida deben asegurarse de:
- Almacenarlos en lugares adecuados
- Evitar que usuarios no autorizados accedan a dichos documentos
- Destruir los documentos si luego de su utilizacin dejan de ser
necesarios
6.4.5 Anlisis de riesgo
Los Propietarios de la informacin y custodios son conjuntamente
responsables del desarrollo de anlisis de riesgos anual de los sistemas a
su cargo. Como parte del anlisis se debe identificar las aplicaciones de
alta criticidad como crticas para la recuperacin ante desastres. Es
importante identificar:
- reas vulnerables
- Prdida potencial
- Seleccin de controles y objetivos de control para mitigar los riesgos,
indicando las razones para su inclusin o exclusin (Seguridad de
datos, Plan de respaldo/recuperacin, Procedimientos estndar de
operacin)
Adicionalmente, un anlisis de riesgo debe de ser conducido luego de
cualquier cambio significativo en los sistemas, en concordancia con el
clima cambiante de las operaciones en el negocio del Banco.
El anlisis de riesgo debe tener un propsito claramente definido y
delimitado, existiendo dos posibilidades: cumplimiento con los controles
y/o medidas de proteccin o la aceptacin del riesgo.
6.4.6 Cumplimiento
El cumplimiento satisfactorio del proceso de evaluacin del riesgo se
caracteriza por:
- Identificacin y clasificacin correcta de los activos a ser protegidos.
- Aplicacin consistente y continua de los controles y/o medidas para
mitigar el riesgo (seguridad efectiva de datos, recuperacin ante
desastres adecuado)
- Deteccin temprana de los riesgos, reporte adecuado de prdidas, as
como una respuesta oportuna y efectiva ante las perdidas ya
materializadas.
6.4.7 Aceptacin de riesgo
La gerencia responsable puede obviar algn control o requerimiento de
proteccin y aceptar el riesgo identificado solo cuando ha sido
claramente demostrado que las opciones disponibles para lograr el
cumplimiento han sido identificadas y evaluadas, y que stas tendran un
impacto significativo y no aceptable para el negocio.
La aceptacin de riesgo por falta de cumplimiento de los controles y/o
medidas de proteccin debe ser documentada, revisada por las partes
involucradas, comunicada por escrito y aceptada por las reas
responsables de la administracin de la seguridad.
6.5 SEGURIDAD DEL PERSONAL
Los estndares relacionados al personal deben ser aplicados para asegurarse
que los empleados sean seleccionados adecuadamente antes de ser
contratados, puedan ser fcilmente identificados mientras formen parte del
Banco y que el acceso sea revocado oportunamente cuando un empleado es
despedido o transferido. Deben desarrollarse estndares adicionales para
asegurar que el personal sea consciente de todas sus responsabilidades y
acciones apropiadas en el reporte de incidentes.
Esta poltica se aplica a todos los empleados, personal contratado y
proveedores.
Los empleados son los activos ms valiosos del Banco. Sin embargo, un
gran nmero de problemas de seguridad de cmputo pueden ser causados
por descuido o desinformacin. Se deben de implementar procedimientos
para manejar estos riesgos y ayudar al personal del Banco a crear un
ambiente de trabajo seguro.
Medidas de precaucin deben de ser tomadas cuando se contrata,
transfiere y despide a los empleados. Deben de establecerse controles
para comunicar los cambios del personal y los requerimientos de recursos
de cmputo a los responsables de la administracin de la seguridad de la
informacin. Es crucial que estos cambios sean atendidos a tiempo.
6.5.1 Seguridad en la definicin de puestos de trabajo y recursos
El departamento de Recursos Humanos debe de notificar al rea de
seguridad informtica, la renuncia o despido de los empleados as como
el inicio y fin de los periodos de vacaciones de los mismos. Cuando se
notifique un despido o transferencia, el Custodio de informacin debe de
asegurarse que el identificador de usuario sea revocado. Cuando se
notifique una transferencia o despido, el rea de seguridad debe de
asegurarse que las fichas o placas sean devueltas al Banco. Cualquier
tem entregado al empleado o proveedor como computadoras porttiles,
llaves, tarjetas de identificacin, software, datos, documentacin,
manuales, etc. deben de ser entregados a su gerente o al rea de
Recursos Humanos.
La seguridad es responsabilidad de todos los empleados y personas
involucradas con el Banco. Por ende, todos los empleados, contratistas,
proveedores y personas con acceso a las instalaciones e informacin del
Banco deben de acatar los estndares documentados en la poltica de
seguridad del Banco e incluir la seguridad como una de sus
responsabilidades principales.
Todos los dispositivos personales de informacin, como por ejemplo
computadoras de propiedad de los empleados o asistentes digitales
personales (PDA Personal Digital Assistant), que interacten con los
sistemas del Banco, deben ser aprobados y autorizados por la gerencia
del Banco.
6.5.2 Capacitacin de usuarios
Es responsabilidad del rea de seguridad informtica promover
constantemente la importancia de la seguridad a todos los usuarios de los
sistemas de informacin. El programa de concientizacin en seguridad
debe de contener continuas capacitaciones y charlas, adicionalmente se
puede emplear diversos mtodos como afiches, llaveros, mensajes de
log-in, etc., los cuales recuerden permanentemente al usuario el papel
importante que cumplen en el mantenimiento de la seguridad de la
informacin.
Orientacin para los empleados y/o servicios de terceros nuevos
Cuando se contrate a un empleado nuevo y/o el servicio de algn tercero,
se debe de entregar la poltica de seguridad as como las normas y
procedimientos para el uso de las aplicaciones y los sistemas de
informacin del Banco. Asimismo se debe entregar un resumen escrito de
las medidas bsicas de seguridad de la informacin.
El personal de terceros debe recibir una copia del acuerdo de no
divulgacin firmado por el Banco y por el proveedor de servicios de
terceros as como orientacin con respecto a su responsabilidad en la
confidencialidad de la informacin del Banco.
Entre otros aspectos se debe considerar:
- El personal debe de ser comunicado de las implicancias de seguridad
en relacin a las responsabilidades de su trabajo
- Una copia firmada de la poltica de seguridad de informacin debe de
ser guardada en el archivo del empleado
Concientizacin peridica
Estudios muestran que la retencin y el conocimiento aplicable se
incrementa considerablemente cuando el tema es sujeto a revisin. Los
usuarios deben de ser informados anualmente sobre la importancia de la
seguridad de la informacin. Un resumen escrito de la informacin bsica
debe de ser entregada nuevamente a cada empleado y una copia firmada
debe de ser guardada en sus archivos.
La capacitacin en seguridad debe de incluir, pero no estar limitado, a los
siguientes aspectos:
- Requerimientos de identificador de usuario y contrasea
- Seguridad de PC, incluyendo proteccin de virus
- Responsabilidades de la organizacin de seguridad de informacin
- Concientizacin de las tcnicas utilizadas por hackers
- Programas de cumplimiento
- Guas de acceso a Internet
- Guas de uso del correo electrnico
- Procesos de monitoreo de seguridad de la informacin utilizados
- Persona de contacto para informacin adicional
6.5.3 Procedimientos de respuesta ante incidentes de seguridad
El personal encargado de la administracin de seguridad debe ser
plenamente identificado por todos los empleados del Banco.
Si un empleado del Banco detecta o sospecha la ocurrencia de un
incidente de seguridad, tiene la obligacin de notificarlo al personal de
seguridad informtica. Si se sospecha la presencia de un virus en un
sistema, el usuario debe desconectar el equipo de la red de datos,
notificar al rea de seguridad informtica quien trabajar en coordinacin
con el rea de soporte tcnico, para la eliminacin del virus antes de
restablecer la conexin a la red de datos. Es responsabilidad del usuario
(con la apropiada asistencia tcnica) asegurarse que el virus haya sido
eliminado por completo del sistema antes de conectar nuevamente el
equipo a la red de datos.
Si un empleado detecta una vulnerabilidad en la seguridad de la
informacin debe notificarlo al personal encargado de la administracin de
la seguridad, asimismo, est prohibido para el empleado realizar pruebas
de dicha vulnerabilidad o aprovechar sta para propsito alguno.
El rea de seguridad informtica debe documentar todos los reportes de
incidentes de seguridad.
Cualquier error o falla en los sistemas debe ser notificado a soporte
tcnico, quin determinar si el error es indicativo de una vulnerabilidad
en la seguridad.
Las acciones disciplinarias tomadas contra socios de negocio o
proveedores por la ocurrencia de una violacin de seguridad, deben ser
consistentes con la magnitud de la falta, ellas deben ser coordinadas con
el rea de Recursos Humanos.
6.5.3.1 Registro de fallas
El personal encargado de operar los sistemas de informacin debe
registrar todos lo errores y fallas que ocurren en el procesamiento de
informacin o en los sistemas de comunicaciones. Estos registros deben
incluir lo siguiente:
- Nombre de la persona que reporta la falla
- Hora y fecha de ocurrencia de la falla
- Descripcin del error o problema
- Responsable de solucionar el problema
- Descripcin de la respuesta inicial ante el problema
- Descripcin de la solucin al problema
- Hora y fecha en la que se solucion el problema
Los registros de fallas deben ser revisados semanalmente. Los registros
de errores no solucionados deben permanecer abiertos hasta que se
encuentre una solucin al problema. Adems, estos registros deben ser
almacenados para una posterior verificacin independiente.
6.5.3.2 Intercambios de informacin y correo electrnico
Los mensajes de correo electrnico deben ser considerados de igual
manera que un memorndum formal, son considerados como parte de
los registros del Banco y estn sujetos a monitoreo y auditoria. Los
sistemas de correo electrnico no deben ser utilizados para lo siguiente:
- Enviar cadenas de mensajes
- Enviar mensajes relacionados a seguridad, exceptuando al personal
encargado de la administracin de la seguridad de la informacin
- Enviar propaganda de candidatos polticos
- Actividades ilegales, no ticas o impropias
- Actividades no relacionadas con el negocio del Banco
- Diseminar direcciones de correo electrnico a listas pblicas
No deben utilizarse reglas de reenvo automtico a direcciones que no
pertenecen a la organizacin. No existe control sobre los mensajes de
correo electrnico una vez que estos se encuentran fuera de la red del
Banco.
Deben establecerse controles sobre el intercambio de informacin del
Banco con terceros para asegurar la confidencialidad e integridad de la
informacin, y que se respete la propiedad intelectual de la misma. Debe
tomarse en consideracin:
- Acuerdos para el intercambio de software
- Seguridad de media en trnsito
- Controles sobre la transmisin mediante redes
Debe establecerse un proceso formal para aprobar la publicacin de
informacin del Banco. El desarrollo de pginas Web programables o
inteligentes (utilizando tecnologas como CGI o ASP) debe considerarse
como desarrollo de software y debe estar sujeto a los mismos controles.
La informacin contenida en sistemas pblicos no debe contener
informacin restringida, confidencial o de uso interno. De igual manera,
los equipos que brindan servicios Web, correo electrnico, comercio
electrnico u otros servicios pblicos no deben almacenar informacin
restringida, confidencial o de uso interno. Antes que un empleado del
Banco libere informacin que no sea de uso general debe verificarse la
identidad del individuo u organizacin recipiente utilizando firmas
digitales, referencias de terceros, conversaciones telefnicas u otros
mecanismos similares.
Debe establecerse controles sobre equipos de oficina como telfonos,
faxes e impresoras que procesan informacin sensible del Banco.
Informacin restringida o confidencial solo debe imprimirse en equipos
especficamente designados para esta tarea.
6.5.3.3 Seguridad para media en trnsito
La informacin a ser transferida en media digital o impresa debe ser
etiquetada con la clasificacin de informacin respectiva y detallando
claramente el remitente y recipiente del mismo. La informacin enviada
por servicios postales debe ser protegida de accesos no autorizados
mediante la utilizacin de:
- Paquetes sellados o lacrados
- Entrega en persona
- Firmado y sellado de un cargo
6.6 SEGURIDAD FSICA DE LAS INSTALACIONES DE
PROCESAMIENTO DE DATOS
Se deben implementar medidas de seguridad fsica para asegurar la
integridad de las instalaciones y centros de cmputo. Las medidas de
proteccin deben ser consistentes con el nivel de clasificacin de los
activos y el valor de la informacin procesada y almacenada en las
instalaciones.
6.6.1 Proteccin de las instalaciones de los centros de datos
Un centro de procesamiento de datos o de cmputo es definido como
cualquier edificio o ambiente dentro de un edificio que contenga equipos
de almacenamiento, proceso o transmisin de informacin. Estos incluyen
pero no se limitan a los siguientes:
- Mainframe, servidores, computadoras personales y perifricos
- Consolas de administracin
- Libreras de cassettes o DASD
- Equipos de telecomunicaciones
- Centrales telefnicas, PBX
- Armarios de alambrado elctrico o cables
Los controles deben de ser evaluados anualmente para compensar
cualquier cambio con relacin a los riesgos fsicos.
Los gerentes que estn planeando o revisando cualquier ambiente
automatizado, incluyendo el uso de las computadoras personales, deben
contactarse con el personal encargado de la administracin de la
seguridad de la informacin para asistencia en el diseo de los controles
fsicos de seguridad.
6.6.2 Control de acceso a las instalaciones de cmputo
El acceso a cualquier instalacin de cmputo debe estar restringido
nicamente al personal autorizado.
Todas las visitas deben ser identificadas y se debe mantener un registro
escrito de las mismas. Estas visitas deben ser en compaa de un
empleado durante la permanencia en las instalaciones de computo.
Si bien es recomendable que los proveedores de mantenimiento, a
quienes se les otorga acceso continuo a las reas sensibles, estn
siempre acompaados por un empleado autorizado de la empresa, puede
resultar poco prctico en algunos casos.
Todo el personal en las instalaciones de cmputo deben de portar un
carn, placa o ficha de identificacin. Sistemas automatizados de
seguridad para acceso fsico deben de ser instalados en centros de
cmputo principales. Centros pequeos pueden controlar el acceso fsico
mediante el uso de candados de combinacin o llaves.
Medidas apropiadas como guardias o puertas con alarmas, deben de ser
utilizadas para proteger las instalaciones durante las horas no laborables.
El retiro de cualquier equipo o medio electrnico de las instalaciones de
cmputo debe de ser aprobado por escrito por personal autorizado.
6.6.3 Acuerdo con regulaciones y leyes
Los controles de seguridad fsica deben de estar en acuerdo con las
regulaciones existentes de fuego y seguridad, as como con los
requerimientos contractuales de los seguros contratados.
6.7 ADMINISTRACIN DE COMUNICACIONES Y OPERACIONES
La administracin de las comunicaciones y operaciones del Banco, son
esenciales para mantener un adecuado nivel de servicio a los clientes. Los
requerimientos de seguridad deben ser desarrollados e implementados
para mantener el control sobre las comunicaciones y las operaciones.
Los procedimientos operacionales y las responsabilidades para mantener
accesos adecuados a los sistemas, as como el control y la disponibilidad
de los mismos, deben ser incluidas en las funciones operativas del Banco.
Todas las comunicaciones e intercambios de informacin, tanto dentro de
las instalaciones y sistemas del Banco como externas a ella, deben ser
aseguradas, de acuerdo al valor de la informacin protegida.
6.7.1 Procedimientos y Responsabilidades Operacionales
6.7.1.1 Procedimientos operativos documentados
Todos los procedimientos de operacin de los sistemas deben ser
documentados y los cambios realizados a dichos procedimientos deben
ser autorizados por la gerencia respectiva.
Todos los procedimientos de encendido y apagado de los equipos deben
ser documentados; dichos procedimientos deben incluir el detalle de
personal clave a ser contactado en caso de fallas no contempladas en el
procedimiento regular documentado.
Todas las tareas programadas en los sistemas para su realizacin
peridica, deben ser documentadas. Este documento debe incluir tiempo
de inicio, tiempo de duracin de la tarea, procedimientos en caso de
falla, entre otros.
Los procedimientos para resolucin de errores deben ser documentados,
entre ellos se debe incluir:
Errores en la ejecucin de procesos por lotes
Fallas o apagado de los sistemas
Cdigos de error en la ejecucin de procesos por lotes
Informacin de los contactos que podran colaborar con la resolucin
de errores.
6.7.1.2 Administracin de operaciones realizadas por terceros
Todos los procesos de operacin realizados por terceros deben ser
sujetos a una evaluacin de riesgos de seguridad y se debe desarrollar
procedimientos para administrar estos riesgos.
- Asignacin de responsables para la supervisin de dichas
actividades
- Determinar si se procesar informacin crtica.
- Determinar los controles de seguridad a implementar
- Evaluar el cumplimiento de los estndares de seguridad del Banco.
- Evaluar la implicancia de dichas tareas en los planes de contingencia
del negocio
- Procedimientos de respuesta ante incidentes de seguridad
- Evaluar el cumplimiento de los estndares del Banco referentes a
contratos con terceros.
6.7.1.3 Control de cambios operacionales
Todos los cambios realizados en los sistemas del Banco, a excepcin de
los cambios de emergencia, deben seguir los procedimientos de
cambios establecidos.
Solo el personal encargado de la administracin de la seguridad puede
realizar o aprobar un cambio de emergencia. Dicho cambio debe ser
documentado y aprobado en un periodo mximo de 24 horas luego de
haberse producido el cambio.
Los roles del personal involucrado en la ejecucin de los cambios en los
sistemas deben encontrarse debidamente especificados.
Los cambios deben ser aprobados por la gerencia del rea usuaria, el
personal encargado de la administracin de la seguridad de la
informacin y el encargado del rea de sistemas. Todos los
requerimientos de cambios deben ser debidamente documentados,
siguiendo los procedimientos para cambios existentes en el Banco.
Antes de la realizacin de cualquier cambio a los sistemas se debe
generar copias de respaldo de dichos sistemas.
6.7.1.4 Administracin de incidentes de seguridad
Luego de reportado el incidente de seguridad, ste debe ser investigado
por el rea de seguridad informtica. Se debe identificar la severidad del
incidente para la toma de medidas correctivas.
El personal encargado de la administracin de la seguridad debe realizar
la investigacin de los incidentes de forma rpida y confidencial.
Se debe mantener una documentacin de todos los incidentes de
seguridad ocurridos en el Banco.
Se debe mantener intacta la evidencia que prueba la ocurrencia de una
violacin de seguridad producida tanto por entes internos o externos,
para su posterior utilizacin en procesos legales en caso de ser
necesario.
6.7.1.5 Separacin de funciones de operaciones y desarrollo
El ambiente de prueba debe de mantenerse siempre separado del
ambiente de produccin, debiendo existir controles de acceso
adecuados para cada uno de ellos.
El ambiente de produccin es aquel en el cual residen los programas
ejecutables de produccin y los datos necesarios para el funcionamiento
de los mismos. Solo el personal autorizado a efectuar los cambios en los
sistemas debe contar con privilegios de escritura en los mismos.
Los programas compiladores no deben ser instalados en los sistemas en
produccin, todo el cdigo debe ser compilado antes de ser transferido
al ambiente de produccin.
Las pruebas deben de realizarse utilizando datos de prueba. Sin
embargo, copias de datos de produccin pueden ser usadas para las
pruebas, siempre y cuando los datos sean autorizados por el propietario
y manejados de manera confidencial.
El personal de desarrollo puede tener acceso de solo lectura a los datos
de produccin. La actualizacin de los permisos de acceso a los datos
de produccin debe de ser autorizada por el propietario de informacin y
otorgada por un periodo limitado.
Se deben utilizar estndares de nombres para distinguir el conjunto de
nombres de las tareas y de los datos, del modelo y de los ambientes de
produccin.
Un procedimiento de control de cambio debe de asegurar que todos los
cambios del modelo y ambientes de produccin hayan sido revisados y
aprobados por el (los) gerente(s) apropiados.
6.7.2 Proteccin contra virus
El rea de seguridad informtica debe realizar esfuerzos para determinar
el origen de la infeccin por virus informtico, para evitar la reinfeccin de
los equipos del Banco.
La posesin de virus o cualquier programa malicioso est prohibida a
todos los usuarios. Se tomarn medidas disciplinarias en caso se
encuentren dichos programas en computadoras personales de usuarios.
Todos los archivos adjuntos recibidos a travs del correo electrnico
desde Internet deben ser revisados por un antivirus antes de ejecutarlos.
Asimismo est prohibido el uso de diskettes y discos compactos
provenientes de otra fuente que no sea la del mismo BANCO ABC, a
excepcin de los provenientes de las interfaces con organismos
reguladores, proveedores y clientes, los cuales necesariamente deben
pasar por un proceso de verificacin y control en el rea de Sistemas
(Help Desk), antes de ser ledos.
El programa antivirus debe encontrarse habilitado en todos las
computadoras del Banco y debe ser actualizado peridicamente. En caso
de detectar fallas en el funcionamiento de dichos programas stas deben
ser comunicadas al rea de soporte tcnico. El programa antivirus debe
ser configurado para realizar revisiones peridicas para la deteccin de
virus en los medios de almacenamiento de las computadoras del Banco.
Debe contarse con un procedimiento para la actualizacin peridica de los
programas antivirus y el monitoreo de los virus detectados.
Es obligacin del personal del Banco, emplear slo los programas cuyas
licencias han sido obtenidas por el Banco y forman parte de su plataforma
estndar. Asimismo, se debe evitar compartir directorios o archivos con
otros usuarios; en caso de ser absolutamente necesario, coordinar con la
Gerencia respectiva y habilitar el acceso slo a nivel de lectura,
informando al Departamento de Produccin y Soporte Tcnico.
Todo el personal del Banco debe utilizar los protectores de pantalla y/o
papel tapiz autorizados por la Institucin; el estndar es:
Papel Tapiz: BANCO ABC
Protector de Pantalla: BANCO ABC.

Plan Seguridad Informatica

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Plan Seguridad Informatica

Cargado por

Copyright:

Formatos disponibles

UNIVERSIDAD NACIONAL MAYOR DE SAN MARCOS

También podría gustarte