Está en la página 1de 8

Plan de Seguridad Informtica para una Entidad Financiera . Crdova Rodrguez, Norma Edith.

INTRODUCCIN

Los eventos mundiales recientes han generado un mayor sentido de urgencia que antes con respecto a la necesidad de tener mayor seguridad - fsica y de otro tipo. Las empresas pueden haber reforzado las medidas de seguridad, pero nunca se sabe cundo o cmo puede estar expuesta. A fin de brindar la ms completa proteccin empresarial, se requiere de un sistema exhaustivo de seguridad. Es vital implementar un plan de seguridad. Sin embargo, implementar un plan proactivo que indique cmo sobrevivir a los mltiples escenarios tambin preparar a las empresas en el manejo de las amenazas inesperadas que podra afrontar en el futuro. La mayora de las empresas ha invertido tiempo y dinero en la construccin de una infraestructura para la tecnologa de la informacin que soporte su compaa, esa infraestructura de TI podra resultar ser una gran debilidad si se ve comprometida. Para las organizaciones que funcionan en la era de la informtica interconectadas y con comunicacin electrnica, las polticas de informacin bien documentadas que se comunican, entienden e implementen en toda la empresa, son herramientas comerciales esenciales en el entorno actual para minimizar los riesgos de seguridad. Imagine lo que sucedera si:

La informacin esencial fuera robada, se perdiera, estuviera en peligro, fuera alterada o borrada.

Los sistemas de correo electrnico no funcionaran durante un da o ms. Cunto costara esta improductividad?

Los clientes no pudieran enviar rdenes de compra a travs de la red durante un prolongado periodo de tiempo.

Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informtica para una Entidad Financiera . Crdova Rodrguez, Norma Edith.

Prepararse para mltiples escenarios parece ser la tendencia creciente. En un informe publicado por Giga Information Group con respecto a las tendencias de TI estimadas para el ao 2002, se espera que los ejecutivos corporativos se interesen cada vez ms en la prevencin de desastres fsicos, ciberterrorismo y espionaje de libre competencia. Implementar una poltica de seguridad completa le da valor intrnseco a su empresa. Tambin mejorar la credibilidad y reputacin de la empresa y aumentar la confianza de los accionistas principales, lo que le dar a la empresa una ventaja estratgica.

Cmo desarrollar una poltica de seguridad?

Identifique y evale los activos: Qu activos deben protegerse y cmo protegerlos de forma que permitan la prosperidad de la empresa.

Identifique las amenazas: Cules son las causas de los potenciales problemas de seguridad? Considere la posibilidad de violaciones a la seguridad y el impacto que tendran si ocurrieran.

Estas amenazas son externas o internas:


o

Amenazas externas: Se originan fuera de la organizacin y son los virus, gusanos, caballos de Troya, intentos de ataques de los hackers, retaliaciones de ex-empleados o espionaje industrial.

Amenazas internas: Son las amenazas que provienen del interior de la empresa y que pueden ser muy costosas porque el infractor tiene mayor acceso y perspicacia para saber donde reside la informacin sensible e importante. Las amenazas internas tambin incluyen el uso indebido del acceso a Internet por parte de los empleados, as como los problemas que podran

Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informtica para una Entidad Financiera . Crdova Rodrguez, Norma Edith.

ocasionar los empleados al enviar y revisar el material ofensivo a travs de Internet.

Evalu los riesgos: ste puede ser uno de los componentes ms desafiantes del desarrollo de una poltica de seguridad. Debe calcularse la probabilidad de que ocurran ciertos sucesos y determinar cules tiene el potencial para causar mucho dao. El costo puede ser ms que monetario - se debe asignar un valor a la prdida de datos, la privacidad, responsabilidad legal, atencin pblica indeseada, la prdida de clientes o de la confianza de los inversionistas y los costos asociados con las soluciones para las violaciones a la seguridad.

Asigne las responsabilidades: Seleccione un equipo de desarrollo que ayude a identificar las amenazas potenciales en todas las reas de la empresa. Sera ideal la participacin de un representante por cada departamento de la compaa. Los principales integrantes del equipo seran el administrador de redes, un asesor jurdico, un ejecutivo superior y representantes de los departamentos de Recursos Humanos y Relaciones Pblicas.

Establezca polticas de seguridad: Cree una poltica que apunte a los documentos asociados; parmetros y procedimientos, normas, as como los contratos de empleados. Estos documentos deben tener informacin especfica relacionada con las plataformas informticas, las plataformas tecnolgicas, las responsabilidades del usuario y la estructura organizacional. De esta forma, si se hacen cambios futuros, es ms fcil cambiar los documentos subyacentes que la poltica en s misma.

Implemente una poltica en toda la organizacin: La poltica que se escoja debe establecer claramente las responsabilidades en cuanto a la seguridad y reconocer quin es el propietario de los sistemas y datos

Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informtica para una Entidad Financiera . Crdova Rodrguez, Norma Edith.

especficos. Tambin puede requerir que todos los empleados firmen la declaracin; si la firman, debe comunicarse claramente. stas son las tres partes esenciales de cumplimiento que debe incluir la poltica:
o

Cumplimiento: Indique un procedimiento para garantizar el cumplimiento y las consecuencias potenciales por incumplimiento.

Funcionarios de seguridad: Nombre individuos que sean directamente responsables de la seguridad de la informacin. Asegrese de que no es la misma persona que supervisa, implementa o revisa la seguridad para que no haya conflicto de intereses.

Financiacin: Asegrese de que a cada departamento se le haya asignado los fondos necesarios para poder cumplir

adecuadamente con la poltica de seguridad de la compaa.

Administre el programa de seguridad: Establezca los procedimientos internos para implementar estos requerimientos y hacer obligatorio su cumplimiento.

Consideraciones importantes A travs del proceso de elaboracin de una poltica de seguridad, es importante asegurarse de que la poltica tenga las siguientes caractersticas:

Se pueda implementar y hacer cumplir Sea concisa y fcil de entender Compense la proteccin con la productividad

Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informtica para una Entidad Financiera . Crdova Rodrguez, Norma Edith.

Una vez la poltica se aprueba totalmente, debe hacerse asequible a todos los empleados porque, en ultima instancia, ellos son responsables de su xito. Las polticas deben actualizarse anualmente (o mejor an cada seis meses) para reflejar los cambios en la organizacin o cultura. Se debe mencionar que no debe haber dos polticas de seguridad iguales puesto que cada empresa es diferente y los detalles de la poltica dependen de las necesidades exclusivas de cada una. Sin embargo, usted puede comenzar con un sistema general de polticas de seguridad y luego personalizarlo de acuerdo con sus requerimientos especficos, limitaciones de financiacin e infraestructura existente. Una poltica completa de seguridad de la informacin es un recurso valioso que amerita la dedicacin de tiempo y esfuerzo. La poltica que adopte su empresa brinda una base slida para respaldar el plan general de seguridad. Y una base slida sirve para respaldar una empresa slida.

BANCO ABC En el presente trabajo desarrollaremos el Plan de Seguridad para una entidad financiera a la cual llamaremos el Banco ABC. El Banco ABC es un banco de capital extranjero, tiene 35 agencias a nivel nacional, ofrece todos los productos financieros conocidos, posee presencia en Internet a travs de su pagina web, es un banco mediano cuenta con 500 empleados y es regulado por la Superintendencia de Banca y Seguros.

A lo largo de todo el desarrollo del trabajo describiremos mas en detalle su estructura interna, evaluaremos los riesgos a los cuales estn expuestos, para lo cual se realizara un diagnostico objetivo de la situacin actual y como se deben contrarrestar, para finalmente terminar diseando el Plan de Seguridad y

Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informtica para una Entidad Financiera . Crdova Rodrguez, Norma Edith.

las principales actividades que deben ejecutarse para la implementacin de las polticas de seguridad.

A continuacin describiremos brevemente la situacin actual de los aspectos ms importantes en la elaboracin del Plan de Seguridad; como son la organizacin, el propio Plan y la adecuacin al Plan. A) Organizacin de seguridad de la informacin

Actualmente el Banco cuenta con un rea de seguridad informtica recientemente constituida, los roles y responsabilidades del rea no han sido formalizados y las tareas desempeadas por el rea se limitan por ahora al control de accesos de la mayora de sistemas del Banco. Algunas tareas correspondientes a la administracin de seguridad son desarrolladas por el rea de sistemas como la administracin de red, firewalls y bases de datos, otras tareas son realizadas directamente por las reas usuarias, y finalmente otras responsabilidades como la elaboracin de las polticas y normas de seguridad, concientizacin de los usuarios, monitoreo de incidentes de seguridad, etc., no han sido asignadas formalmente a ninguna de las reas. En este sentido, en el presente trabajo detallamos los roles y responsabilidades relacionadas a la administracin de seguridad de la informacin que involucra no solamente a miembros de las reas de seguridad informtica y sistemas como administradores de seguridad de informacin y custodios de informacin, sino a los gerentes y jefes de las unidades de negocio como propietarios de informacin, y a los usuarios en general. B) Diseo del plan de seguridad de la informacin

Para el diseo del Plan de seguridad de la informacin se desarrollaran las siguientes etapas:
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informtica para una Entidad Financiera . Crdova Rodrguez, Norma Edith.

Evaluacin de riesgos, amenazas y vulnerabilidades

Para la definicin del alcance de las polticas y estndares y con el propsito de identificar las implicancias de seguridad del uso y estrategia de tecnologa, amenazas y vulnerabilidades y nuevas iniciativas del negocio, se desarrollarn un conjunto de entrevistas con las Gerencias del Banco, personal del rea de sistemas, auditoria interna y el rea de seguridad informtica. Producto de la consolidacin de la informacin obtenida en dichas entrevistas se elaborar unas matrices que se presentarn en el captulo N V del presente documento.

Polticas de seguridad de informacin.

Con el objetivo de contar con una gua para la proteccin de informacin del Banco, se elaborarn las polticas y estndares de seguridad de la informacin, tomando en cuenta el estndar de seguridad de informacin ISO 17799, los requerimientos de la Circular N G-105-2002 publicada por la Superintendencia de Banca y Seguros (SBS) sobre Riesgos de Tecnologa de Informacin y las normas establecidas internamente por el Banco. Diseo de arquitectura de seguridad de red.

Con el objetivo de controlar las conexiones de la red del Banco con entidades externas y monitorear la actividad realizada a travs de dichas conexiones, se elaborar una propuesta de arquitectura de red la cual incluye dispositivos de monitoreo de intrusos y herramientas de inspeccin de contenido.

Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informtica para una Entidad Financiera . Crdova Rodrguez, Norma Edith.

C) Plan de Implementacin

De la identificacin de riesgos amenazas y vulnerabilidades relacionadas con la seguridad de la informacin del Banco, se lograron identificar las actividades ms importantes a ser realizadas por el Banco con el propsito de alinear las medidas de seguridad implementadas para proteger la informacin del Banco, con las Polticas de seguridad y estndares elaborados.

Este plan de alto nivel incluye una descripcin de la actividad a ser realizada, las etapas incluidas en su desarrollo y el tiempo estimado de ejecucin.

El Autor

Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM