Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Plan Seguridad A

    Cargado por

    Abimael Mogollón
    4 vistas5 páginas

    Título original

    Plan Seguridad a

    Derechos de autor

    © Attribution Non-Commercial (BY-NC)

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    4 vistas5 páginas

    Plan Seguridad A

    Cargado por

    Abimael Mogollón

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 5

     

    Plan de Seguridad Informática para una Entidad de Servicios Financieros

    1. El por qué de su necesidad?

    La globalización de los servicios financieros, sinergizada por la creciente sofisticación


    de la tecnología, han generado un marco en el cual las actividades de las entidades
    orientadas a la provisión de estos servicios se hacen cada vez más diversas y
    complejas.

    En otros tiempos no tan lejanos, la seguridad de la información se simplificaba de tal


    manera, que bastaba con resguardar los documentos más importantes bajo llave y
    mantener seguros a los empleados sobre los que recaía el conocimiento poniendo
    guardias de seguridad.

    Los sistemas electrónicos invadieron las oficinas, obligando a los sistemas de


    seguridad a evolucionar para acompañar el despliegue de dichas herramientas. Y la
    irrupción de Internet (una amplia red pública con pocas reglas y casi sin guardianes), a
    la cual acceden millones de usuarios (entre ellos organizaciones aún las más
    pequeñas) completó un cuadro de situación en el que la ausencia de una adecuada
    protección de los activos de la información es el caldo de cultivo ideal para la
    consumación de todo tipo de delitos.

    De manera similar a otro tipo de crímenes, el cuantificar los gastos y pérdidas en


    seguridad de la información y ataques cibernéticos es muy difícil. Existe una marcada
    tendencia a minimizar los incidentes por motivos muchas veces justificables. Basta
    esta introducción para sensibilizar a una entidad a encarar un proyecto?

    Tal vez, no. Veamos un poco datos de la realidad

    2. Impactos concretos del delito informático en el quehacer de las


    organizaciones

    Una reciente encuesta de Kroll, que difundiera el GARP (Global Association of Risk
    Professionals) el 25/9/07 nos indica que:

    EN LOS ULTIMOS TRES AÑOS CUATRO DE CINCO COMPAÑIAS HAN SUFRIDO


    FRAUDE CORPORATIVO.

    Av. Córdoba 1345 | 6º Piso | Oficina C | C1055AAD


    Ciudad Autónoma de Buenos Aires | Argentina
    Tel./Fax.: +54 (011) 5236-0308 | www.dpya-sa.com.ar
     

    MAS DE UNA QUINTA PARTE DE LAS QUE REPORTARON DICHOS FRAUDES,


    SUFRIERON PERDIDAS SUPERIORES AL MILLON DE DOLARES (entre ellas las
    correspondientes a los servicios financieros)

    EL ROBO, LA PÉRDIDA O UN ATAQUE SOBRE LA INFORMACION SON LAS


    MAYORES PREOCUPACIONES DE LAS EMPRESAS DE CARA AL FUTURO
    INMEDIATO. UN 20% DE LAS QUE LO AFIRMAN SE DESCRIBEN A SI MISMAS
    COMO ALTAMENTE VULNERABLES A DICHOS RIESGOS.

    LA ALTA ROTACION DE PERSONAL ES MENCIONADA POR UN 32% DE LOS


    ENCUESTADOS COMO LA FUENTE MÁS IMPORTANTE DEL FRAUDE. CASI
    PEGADO A DICHO RATIO, LA COMPLEJIDAD DE LOS DESARROLLOS
    INFORMATICOS ES CONTRIBUTORIA, SEGÚN LAS EMPRESAS, EN UN 31% DE
    LA CONSUMACION DE LOS FRAUDES.

    Aún después de leer estas noticias, hay quienes aún pueden resistirse a darle
    al tema la importancia y significatividad que realmente reviste. En ese contexto se
    puede soslayar el ingrediente normativo como disparador de la necesidad.

    3. Incidencia del marco normativo

    El Acuerdo de Basilea II tiene un grado dispar de implementación en el mundo.

    Con un fuerte acatamiento en el mercado europeo y un desarrollo avanzado en Asia y


    Norteamérica, se está instalando cada vez con mayor vigor en Latinoamérica.

    Aún con distintos niveles de progreso, el año 2010 se erige como el momento en que
    la gran mayoría de países de nuestro continente (pueden seguramente llegar a ser
    todos) lo habrán adoptado, con su correlato de exigencias en las entidades orientadas
    a los servicios financieros. Y entre las más importantes exigencias está la de
    administrar y gestionar el riesgo de la tecnología de la información, cuya herramienta
    fundamental es el Plan de Seguridad de la Información.

    En general, las normas sobre la gestión del riesgo en tecnología y sistemas ya


    promulgadas en Latinoamérica (Ecuador, Perú, Brasil, Argentina, Uruguay) no
    explicitan otras exigencias que no estén contempladas por los estándares
    internacionales en la materia: ISO 17799, ITIL, COBIT, etc.

    En consecuencia, la norma puede actuar como detonador, pero no va a aportar


    elementos que constituyan una innovación en la materia. Se puede afirmar, por lo
    tanto, que la estrategia de abordaje al tema está difundida a nivel mundial y que no es
    un obstáculo para empezar ya a tratar el tema con el rigor que lo amerita.

    Av. Córdoba 1345 | 6º Piso | Oficina C | C1055AAD


    Ciudad Autónoma de Buenos Aires | Argentina
    Tel./Fax.: +54 (011) 5236-0308 | www.dpya-sa.com.ar
     

    Habiendo analizado todos estos emergentes de la realidad, es conveniente o deseable


    esperar a que se publique la norma de implementación en cada país para encarar el
    tema?

    La respuesta es: DEFINITIVAMENTE NO.

    Av. Córdoba 1345 | 6º Piso | Oficina C | C1055AAD


    Ciudad Autónoma de Buenos Aires | Argentina
    Tel./Fax.: +54 (011) 5236-0308 | www.dpya-sa.com.ar
     

    4. Por qué las organizaciones necesitan un Plan de Seguridad de la


    Información?

    La necesidad de proteger la información no es académica, ni es “creada” por los


    genios técnicos que buscan justificar su existencia en el mercado.

    En el caso de las empresas, especialmente las que cotizan en Bolsa, los funcionarios
    deben ser diligentes en sus operaciones y tener responsabilidad solidaria ante los
    accionistas. Sobre esta base argumental, la organización debe PROTEGER SI O SI la
    información que utiliza, a la que tiene acceso o a la que genera para que la compañía
    opere con eficiencia y rentabilidad.

    5. Proteger la información siempre requiere inversión adicional?

    Un Plan de Seguridad de la Información exige que todos en la organización protejan la


    información para que la empresa pueda cumplir con sus responsabilidades
    reglamentarias, jurídicas y fiduciarias. La inversión adicional no siempre garantiza el
    éxito.

    Pero sí es recomendable tener un presupuesto asignado para cumplir con estos fines.
    Para evaluar las necesidades de inversión, se deben consultar estas reglas en forma
    secuencial

    Nro. 1: Saber qué información tiene y donde se encuentra

    Nro. 2: Saber el valor de la información que se posee y la dificultad de volverla a


    crear si se daña o se pierde

    Nro. 3: Saber quiénes están autorizados para acceder a la información y qué pueden
    hacer con ella

    Nro. 4: Saber la velocidad con que puede acceder a la información si no está


    disponible por alguna razón (pérdida, modificación no autorizada, etc.)

    Las respuestas a estas cuatro simples preguntas permitirán el diseño e


    implementación de un programa de protección de la información. No toda la
    información tiene el mismo valor y por lo tanto no se requiere el mismo nivel de
    protección (con el costo que implica)

    6. Cómo diseñar un Plan de Seguridad de la Información?

    Av. Córdoba 1345 | 6º Piso | Oficina C | C1055AAD


    Ciudad Autónoma de Buenos Aires | Argentina
    Tel./Fax.: +54 (011) 5236-0308 | www.dpya-sa.com.ar
     

    Identifique y evalúe los activos informáticos de los que dispone la organización


    (personal, datos, equipamiento, sistemas, servicios, comunicaciones, etc.)

    Identifique las amenazas que pueden llegar a concretarse sobre dichos activos

    - externas (virus, espionaje industrial, intentos de hackers, etc.)


    - internas (uso indebido de la información, divulgación a terceros, etc.)

    Evalúe los riesgos, calculando la probabilidad de concreción de las amenazas sobre


    los activos identificados y el costo asociado al impacto que resulte de la concesión de
    la amenaza, que no solamente puede tener un valor económico, sino que debe
    considerar otros factores como pérdida de clientes o de confianza de los
    inversionistas.

    Establezca Políticas de Seguridad que apunte a los documentos asociados,


    parámetros y procedimientos, normas, como así también los contratos de los
    Empleados.

    Implemente dicha Política en toda la organización, estableciendo claramente


    responsabilidades en cuanto a la seguridad y reconocer quién es el propietario
    de los sistemas y los datos

    Administre y gestione la Política, estableciendo procedimientos internos para


    hacer obligatorio su cumplimiento.

    7. Conclusión

    Un Plan de Seguridad de la Información es un recurso valioso que amerita la


    dedicación de tiempo y esfuerzo. La Política que adopte la organización brinda una
    base sólida para respaldar el Plan de Seguridad y una base sólida sirve para respaldar
    empresas sólidas.

    Av. Córdoba 1345 | 6º Piso | Oficina C | C1055AAD


    Ciudad Autónoma de Buenos Aires | Argentina
    Tel./Fax.: +54 (011) 5236-0308 | www.dpya-sa.com.ar

    También podría gustarte