Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Banca
Aplicacin del ISO 27001:2005
Por
Alberto G. Alexander, Ph.D.
Director Centro para la Excelencia Empresarial
www.centrum.pucp.edu.pe/excelencia
aalexan@pucp.edu.pe
Las organizaciones hoy en da, con la sofisticacin tecnolgica y la complejidad en el
manejo de informacin, enfrentan distintas amenazas que muchas veces explotan sus
vulnerabilidades. El riesgo esta siempre presente. La confidencialidad, integridad y
disponibilidad de la informacin en la empresa, es fundamental para el aumento de la
competitividad de la firma. Las organizaciones estn obligadas si desean continuar
operando, de instaurar Sistemas de Gestin de Seguridad de Informacin que
permitan asegurar que tienen identificados sus activos vitales de informacin, que han
determinado de manera sistemtica que activos son los de riesgo y puedan con
precisin instituir los controles pertinentes.
En el presente ensayo, se utiliza un caso real en la Banca Latinoamericana. Se detallan
los pasos metodolgicos seguidos para identificar el alcance para establecer el
estndar ISO 27001:2005 en el proceso de cuentas corrientes. Seguidamente se
presentan los pasos para efectuar el anlisis y evaluacin del riesgo en el referido
proceso.
INTRODUCCIN
La experiencia en implantar el modelo de gestin de seguridad de informacin (SGSI), se
desarroll en un Banco Comercial ubicado en la capital de un pas latinoamericano. La
institucin en el momento de implantar el modelo estaba considerada por sus captaciones
como el tercer Banco del pas. Su fortaleza estaba en la banca comercial.
La alta gerencia del Banco, ante el aumento de fraudes y riesgos en el manejo de la
informacin en la mayora de sus procesos, decidi la implantacin del SGSI ISO
27001:2005. Se decidi implantar el modelo, por razones estratgicas, en el proceso de
cuentas corrientes.
Figura N 1
Modelo Sistema de Gestin de Seguridad de Informacin
PARTES
INTERESADAS
REQUERIMIENTOS Y
EXPECTATIVAS DE LA
SEGURIDAD
DE INFORMACIN
PARTES
INTERESADAS
PLAN
ESTABLECER
EL SGSI 4.2
IMPLEMENTAR
Y OPERAR EL
EL SGSI 4.2.2
DO
Desarrollar,
mantener
y mejorar
el ciclo
MANTENER Y
MEJORAR
EL SGSI 4.2.4
SEGURIDAD
DE
INFORMACIN
MANEJADA
ACT
MONITOREAR
Y REVISAR
EL SGSI 4.2.3
CHECK
modalidades, para as poder realizar un correcto anlisis y evaluacin del riesgo y poder por
lo tanto, establecer adecuadamente el modelo ISO 27001:2005.
Al determinar el alcance, tal como se hizo en el caso del Banco, que se decidi que fuera el
proceso de cuentas corrientes, es recomendable utilizar el mtodo de las elipses. Con lo
cual se trata de visualizar con mucha precisin los distintos subprocesos que componen el
alcance. Esto se determina en la elipse concntrica. (Ver figura N2) Los procesos bsicos
que componen el proceso de cuentas corrientes son: (1) solicitudes, (2) depuracin, (3)
emisin. El paso a seguir sera el de determinar con los usuarios y dueos de esos procesos
cules son los activos de informacin vitales?.
El segundo paso en la metodologa, es el de identificar en la elipse intermedia las distintas
interacciones que los subprocesos de la elipse concntrica, tienen con otros procesos de la
organizacin. Seguidamente, tambin se deben identificar con los dueos de esos procesos,
los activos de informacin involucrados en las interacciones con la elipse concntrica. Las
flechas indican las interacciones.
En la elipse externa, se identifican aquellas organizaciones extrnsecas a la empresa que
tienen cierto tipo de interaccin con los subprocesos identificados en la elipse concntrica.
Las flechas indican la interaccin. Aqu tambin se deben identificar los distintos tipos de
activos de informacin, con miras a averiguar el tipo de memorando de entendimiento que
existe o debiera de elaborarse as como los contratos existentes y los grados de acuerdos
necesarios.
La metodologa de las elipses, es un mtodo sencillo que permite identificar los distintos
tipos de activos de informacin existentes dentro del alcance del modelo.
Figura N2
Metodologa de las Elipses
Superintendencia
Bancos
Informtica
Servicio
al cliente
Solicitudes
Depura
cin
Y
Negocios
Bur de
Crdito
Emisin
Suministro
Imprenta
chequeras
Identificacin de
Activos
Tasacin de
Activos
Identificacin de
Amenazas
Posibilidad de
Ocurrencia de
Amenazas
Identificacin de
Vulnerabilidades
Posible Explotacin
de Vulnerabilidades
Posibilidad de
Ocurrencia del
Riesgo
Tabla N1
Realizacin del Anlisis y Evaluacin del Riesgo
Tasacin
Activos
Confidencialidad
Integridad
Disponibilidad
Total
2) Factura como
documento
3) Tarifas
4) Servicios
brindados
5) Software de
facturacin
6) Medio de
comunicacin
y/o entrega
Amenazas
Posibilidad
ocurrencia
Vulnerabilidad
Posible
explotacin
de vulnerabilidad
- Plagio
- Falsificacin
- Alteracin
- Privacidad
- Prdida documento
- Retraso en entrega
- Ilegibilidad de datos
- Cargos incorrectos
- Alteracin incorrecta
- Ignorancia cambios
- Ofertas
B
B
B
A
A
A
B
M
B
M
A
- Deficiencia org.
- Deficiencia envio
- Acceso no autorizado
- Control documentos
- Datos incompletos
- Desconocimiento rutas
- Deficiencia impresin
- Errores de procesamiento
- Acceso no autorizado
- Mal entrenamiento
- Falta comunicacin
B
A
A
M
A
A
B
A
M
B
M
- Mala interpretacin
- Poco detalle
- Servicio no
solicitado
- Errores de cdigo
- Cdigos maliciosos
- Fallos tcnicos
- Errores usuario
- Falta seguridad
- Fallas funcionamiento
- Falta seguridad
- Falta personal
M
A
- Personal no calificado
- Reduccin costo
- Error digitacin
M
A
M
- Personal no calificado
- Controles acceso
- Energa elctrica
- Mal entrenamiento
- Falta polticas
- Energa elctrica
- Errores configuracin
- Poca disponibilidad
B
M
A
B
A
A
M
B
M
M
A
M
B
A
A
A
B
Leyenda: AltoA
Mediano..M
Bajo B
Valor
activo
Posible
ocurrencia
Total
En la tabla N 1, se fueron vaciando los resultados del anlisis y evaluacin del riesgo. El
primer paso que se sigui fue la (1) Identificacin de Activos.- Como resultado del uso de
la metodologa de las elipses, se identificaron seis activos de informacin vitales. Luego se
procedi a la (2) Tasacin de Activos.- Para poder identificar la proteccin apropiada a los
activos, es necesario tasar su valor en trminos de la importancia a la gestin comercial, o
dadas ciertas oportunidades determinar su valor potencial .
En el caso de los activos de informacin del proceso de cuentas corrientes, se tas su
impacto en relacin a su confidencialidad, integridad y disponibilidad. Se manej una
escala cualitativa que variaba entre: ALTO, MEDIANO y BAJO.
Una ves realizada la tasacin se efectu la (3) Identificacin de Amenazas.- Una amenaza
tiene el potencial de causar incidentes indeseables, los cuales podran resultar causando
dao al sistema, la organizacin y sus activos. A travs de la dinmica de grupos utilizando
la tcnica de la lluvia de ideas, se hallaron las principales amenazas por cada activo de
informacin.
El paso siguiente fue establecer la (4) Posibilidad de Ocurrencia de Amenazas.- No todas
las amenazas tienen la misma posibilidad de ocurrencia. Habrn algunas que su presencia
es remota y otras su probabilidad de que ocurran podran ser altas. Por cada amenaza, el
comit gestor, basado en su experiencia y conocimiento de los activos y las amenazas,
evalu la posibilidad de ocurrencia para cada amenaza.
Continuando con la metodologa, se procedi a la (5) Identificacin de Vulnerabilidades.Las vulnerabilidades son debilidades asociadas con cada activo de informacin. Son
condiciones que pueden permitir que las amenazas las exploten y causen dao. Aqu el
comit gestor, a travs de la dinmica de grupos, estableci por cada amenaza las
vulnerabilidades relacionadas con cada activo de informacin. Seguidamente se identific,
la (6) Posible Explotacin de Vulnerabilidades.- Tambin a travs de la dinmica de
grupos el comit gestor, evalu la posible explotacin de vulnerabilidades por cada
amenaza.
El paso siguiente de la metodologa es el de evaluar el riesgo. El riesgo se evala
contemplando dos elementos bsicos: (7) Estimado del Valor de los Activos en Riesgo.Este elemento es fundamental para evaluar el riesgo. Aqu lo que se pretende es determinar
el dao econmico que el riesgo pudiera causar a los activos de informacin. En el caso de
cuentas corrientes el comit gestor estableci el estimado. (8) Posibilidad de
Ocurrencia del Riesgo.- Aqu el comit gestor, visualizando por cada activo sus
impactos, amenazas y posibilidad de ocurrencia as como las vulnerabilidades y su
posibilidad de ser explotadas, determin la posibilidad de ocurrencia del riesgo por cada
activo de informacin.
Finalmente se estableci el (9) Valor del Riesgo de los Activos.- Se concluy siguiendo de
manera sistemtica la metodologa, que los activos de informacin: a) Software de
Informacin y b) Medio de Comunicacin y/o Entrega eran los activos de informacin
considerados de riesgo, y por lo tanto seran aquellos a los cuales habra que identificar del
Anexo A sus respectivos controles.
ENUNCIADO DE APLICABILIDAD
En la clusula 4.2.1 (h) se exige que se documente un enunciado de
aplicabilidad. En la clusula 4.3.1 (g) se hace mencin tambin al enunciado de
aplicabilidad, considerndolo un documento importante del SGSI.
Un enunciado de aplicabilidad es:
Un documento en el cual deben documentarse los objetivos de control y los
controles seleccionados, as como las razones para su seleccin. Tambin debe
registrarse la exclusin de cualquier objetivo de control y controles enumerados
en el anexo A.
Tabla N2
Enunciado de Aplicabilidad Cuentas Corrientes
Activo de Informacin
Software de Facturacin
Objetivo de Control
A.3.1
Control
Justificacin
A.3.1.1
A.3.1.2
de informacin.
A.6.1.1
A.6.1
A.6.1.2
A.6.1.3
informacin.
A.6.1.4
A.6.2
A.6.2.1
A.6.3.1
A.6.3.2
A.6.3
A.6.3.3
A.6.3.4
A.6.3.5
A.7.1
A.7.2
A.9.1
A.9.5
A.7.1.2
A.7.2.1
A.7.2.2
servicio.
A.9.1.1
A.9.5.2
A.9.5.3
computadora.
10
Activo de Informacin
Medio de Comunicacin y/o Entrega
Objetivo de Control
A.3.1
Control
Justificacin
A.3.1.1
A.3.1.2
informacin.
A.6.1.1
A.6.1
A.6.1.2
A.6.1.3
informacin.
A.6.1.4
A.6.2
A.6.2.1
A.6.3.1
A.6.3.2
A.6.3
A.6.3.3
A.6.3.4
A.6.3.5
A.7.2
A.7.2.2
A.8.1
A.8.1.2
NOTA: Las clusulas de control A.11 y A.12 no se han incluido en la ilustracin de enunciado de aplicabilidad. En
un caso real habra que aadirlos.
11
CONCLUSIONES
Siempre se debe tener claro, que no existe un mtodo "bueno" o "malo" para
calcular los riesgos. El nico requisito es que los conceptos de determinar los
activos de informacin, su tasacin, la identificacin de amenazas y
vulnerabilidades se cumplan.
12