Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Villena OK PDF
Villena OK PDF
PRESENTADO POR:
LIMA PER
2006
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 1 de 71
DEDICATORIA
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 2 de 71
AGRADECIMIENTOS
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 3 de 71
TABLA DE CONTENIDOS
RESUMEN ----------------------------------------------------------------------------------------6
I. INTRODUCCION -------------------------------------------------------------------------7
II. OBJETIVOS Y ALCANCE --------------------------------------------------------------8
III. ESTADO DEL ARTE DEL PROBLEMA ---------------------------------------------9
1. JUSTIFICACION ------------------------------------------------------------------------9
2. DEFINICIONES [6] ------------------------------------------------------------------- 10
3. MARCO DE REFERENCIA -------------------------------------------------------- 11
3.1 GOBIERNO DE TI ------------------------------------------------------------------ 11
3.2 BS 7799 ------------------------------------------------------------------------------- 17
3.3 ISO 17799 ---------------------------------------------------------------------------- 19
3.4 COBIT --------------------------------------------------------------------------------- 22
3.5 AS/NZS 4360:2004----------------------------------------------------------------- 25
IV. ANALISIS Y DISCUSION ------------------------------------------------------------- 31
1. Gobierno de Seguridad de Informacin ----------------------------------------- 31
1.1 Estrategia de Seguridad de Informacin: ------------------------------------- 33
1.2 Compromiso de la Administracin Gerencial -------------------------------- 37
1.3 Roles y Responsabilidades ------------------------------------------------------ 38
1.4 Canales de Comunicacin-------------------------------------------------------- 40
1.5 Normas Regulatorias y Legales------------------------------------------------- 41
1.6 Polticas de Seguridad de Informacin ---------------------------------------- 42
1.7 Procedimientos y Guas----------------------------------------------------------- 44
1.8 Anlisis de Valor -------------------------------------------------------------------- 45
2. Administracin de Riesgos --------------------------------------------------------- 47
2.1 Proceso de Administracin de Riesgos --------------------------------------- 50
2.2 Integracin en el Ciclo de Vida de los Procesos ---------------------------- 50
2.3 Identificacin de Riesgos y Mtodos de Anlisis --------------------------- 51
2.4 Mitigacin de Riesgos ------------------------------------------------------------- 52
2.5 Cambios Significativos en los Riesgos ---------------------------------------- 52
3. Administracin de un Programa de Seguridad de Informacin ----------- 54
3.1 Creacin y Mantenimiento de Planes------------------------------------------ 54
3.2 Conceptos Base de Seguridad de Informacin ----------------------------- 56
3.3 Procesos de Negocio -------------------------------------------------------------- 56
3.4 Actividades relacionadas a la infraestructura tecnolgica ---------------- 57
3.5 Actividades en el ciclo de vida de la institucin financiera --------------- 58
3.6 Impacto en los Usuarios Finales ------------------------------------------------ 59
3.7 Responsabilidad -------------------------------------------------------------------- 59
3.8 Mtricas ------------------------------------------------------------------------------- 60
3.9 Recursos Internos y Externos para la Seguridad de Informacin ------ 60
4. Gestin de la Seguridad de Informacin---------------------------------------- 61
4.1 Reglas de uso para los Sistemas de Informacin -------------------------- 61
4.2 Procedimientos Administrativos para Sistemas de Informacin -------- 62
4.3 Proveedores Externos ------------------------------------------------------------- 62
4.4 Uso de mtricas para medir, monitorear y reportar ------------------------ 63
4.5 Gestin de Cambios --------------------------------------------------------------- 63
4.6 Evaluacin de Vulnerabilidades------------------------------------------------- 64
4.7 Aspectos de no cumplimiento --------------------------------------------------- 64
4.8 Cultura, Comportamiento y Educacin en Seguridad de Informacin - 65
5. Administracin de Respuestas a Incidentes ----------------------------------- 65
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 4 de 71
5.1 Procesos para detectar, identificar y analizar eventos de seguridad -- 65
5.2 Desarrollo de Planes de Respuesta y Recuperacin ---------------------- 67
5.3 Documentacin---------------------------------------------------------------------- 68
6. Conclusiones -------------------------------------------------------------------------- 69
REFERENCIAS BIBLIOGRAFICAS ------------------------------------------------------ 70
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 5 de 71
RESUMEN
En la actualidad, las inversiones en seguridad que realizan las empresas se
destinan cada vez menos a la compra de productos, destinando ms bien parte
de su presupuesto a la gestin de la seguridad de la informacin. El concepto
de seguridad ha variado, acundose uno nuevo, el de seguridad gestionada,
que va desplazando poco a poco al de seguridad informtica. Las medidas
que comienzan a tomar las empresas giran entorno al nuevo concepto de
gestin de la seguridad de la informacin. ste tiene tres vertientes: tcnica,
legal y organizativa, es decir, un planteamiento coherente de directivas,
procedimientos y criterios que permiten desde la administracin de las
empresas asegurar la evolucin eficiente de la seguridad de los sistemas de
informacin, la organizacin afn y sus infraestructuras.
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 6 de 71
I. INTRODUCCION
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 7 de 71
II. OBJETIVOS Y ALCANCE
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 8 de 71
le est agregando el aspecto de auditabilidad de la informacin (importante para
la deteccin de accesos no autorizados a ella)
A esto se suman las nuevas leyes y/o normas que van surgiendo (Basilea II1,
Sarbanes Oxley2), las cuales en un futuro cercano, impartirn lineamientos
obligatorios sobre cmo las instituciones financieras del Per debern manejar
su informacin, los controles internos que debern asignarse e implementarse y
el presupuesto que debern destinar a la administracin de los riesgos. [6]
1. JUSTIFICACION
1
Acuerdo de Basilea II establece estndares globales de administracin de riesgos para instituciones financieras [3].
2
Sarbanes Oxley Act del ao 2002 (EEUU), establecido para recobrar la confianza de los inversores. Norma las
certificaciones ejecutivas de los estados financieros como requerimiento permanente aplicable a todas las compaas
que cotizan en la Bolsa de EEUU .[4][5]
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 9 de 71
2. DEFINICIONES [6]
i. Estructuras organizacionales
ii. Procesos sistemticos y recursos asociados
iii. Metodologas de evaluacin y medida.
iv. Revisin de procesos para asegurar que los problemas sean
corregidos y las oportunidades para mejorarlos sean
reconocidas e implementadas cuando sea necesario.
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 10 de 71
f. Objetivos de Control: Declaraciones de resultados deseados o
propsitos a lograr. Proveen los lineamientos necesarios para delinear
las polticas de manera clara y los controles necesarios.
3. MARCO DE REFERENCIA
3.1 GOBIERNO DE TI
3
Se entiende por gobierno corporativo el conjunto de normas y reglas que regulan el proceso de toma de decisiones
en una sociedad, as como tambin la organizacin y el ejercicio del poder en la sociedad annima abierta [7]
4
StakeHolder es usado para indicar cualquier persona que tiene una responsabilidad o una expectativa de las
tecnologas de informacin en una organizacin. [11]
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 11 de 71
Adecuada administracin de los riesgos de tecnologa de
informacin.
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 12 de 71
La infraestructura del gobierno de TI puede ser complementado
de acuerdo a como lo indica la siguiente figura.
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 13 de 71
En la Figura 5 se puede apreciar lo anteriormente expuesto.
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 14 de 71
Es importante mencionar que un gran porcentaje de los valores
de mercado de las empresas est atravesando por una
transicin desde lo tangible (inventarios, instalaciones, etc.)
hacia lo intangible (informacin, conocimiento, experiencia,
reputacin, patentes, etc.). Muchos de estos activos tienen su
soporte en las tecnologas de informacin. De esta manera una
organizacin se vuelve vulnerable y frgil si su valor emana de
aspectos conceptuales distintos de lo fsico. Es as como un
buen gobierno de TI se vuelve muy importante en dar soporte e
implementar los objetivos del negocio.
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 15 de 71
Los procesos de TI generan reportes que permiten medir el
desempeo, riesgos controlados y aceptados, recursos
consumidos. Estos reportes confirmarn si la estrategia est
siendo desarrollada de la manera ms apropiada o brindarn
indicaciones de que la estrategia necesita ser redireccionada.
Estos procesos se pueden apreciar en la Figura 8.
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 16 de 71
Figura 9: Clasificacin de documentos relacionado a seguridad de informacin [15]
3.2 BS 7799
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 17 de 71
Figura 10 Secciones del BS 7799 [16]
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 18 de 71
Figura 11 Grado de exposicin de un sistema de informacin [17]
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 19 de 71
Figura 12. Secciones del ISO 17799 [18]
5
Information Security Management System
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 20 de 71
o Mantener la apropiada proteccin de los activos
corporativos y asegurar que los activos de informacin
reciban el apropiado nivel de proteccin.
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 21 de 71
Desarrollo y Mantenimiento de Sistemas: los principales
objetivos de esta seccin son:
o Asegurar qu criterios de seguridad se tienen en cuenta
al momento del desarrollo de sistemas.
o Prevenir la prdida, modificacin o mal uso de la data de
los usuarios en las aplicaciones de sistemas.
o Proteger la confidencialidad, autenticidad e integridad de
la informacin.
o Asegurar que los proyectos de TI y sus actividades
relacionadas sean conducidas de manera segura.
3.4 COBIT
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 22 de 71
COBIT maneja el control desde el punto de vista de polticas,
estructuras organizacionales y procedimientos. En cuanto a la
administracin y gestin, estas son manejadas desde la
perspectiva del gobierno corporativo, es decir, sealando los
lineamientos para que todos los individuos involucrados en la
administracin, uso, diseo, desarrollo y mantenimiento de los
sistemas de informacin cumplan con los objetivos del negocio. Se
maneja tambin, el concepto de objetivo de control el cual estable
un propsito a ser cumplido implementando procedimientos de
control dentro de una actividad particular de tecnologas de
informacin.
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 23 de 71
Resumen Ejecutivo (Executive Summary):
especficamente diseado para ejecutivos y administradores,
consiste en una explicacin de los conceptos y principios
claves de COBIT. Se incluye una sntesis de la plataforma o
Framework, la cual muestra un detalle ms amplio de los
conceptos y principios, a la vez que se identifican los
dominios (Planeamiento y Organizacin, Adquisicin e
Implementacin, Entrega y Soporte, Monitoreo) y procesos
de tecnologa.
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 24 de 71
Figura 13 Dominios de Cobit [19]
El objetivo del estndar es brindar una gua que permita, tanto a las
organizaciones pblicas o privadas, grupos o individuos, alcanzar lo
siguiente:
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 25 de 71
Una base confiable y rigurosa para el planeamiento y toma
de decisiones.
Efectiva identificacin de oportunidades y amenazas.
Administracin proactiva antes que reactiva.
Mejor distribucin y uso de los recursos.
Confianza de los stakeholders.
Cumplimiento con aspectos regulatorios cuando esto aplique.
Mejor Gobierno Corporativo.
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 26 de 71
Administracin de Riesgos: consiste en el proceso de
identificacin, anlisis y evaluacin de riesgos.
Eliminacin de riesgo: decisin que se toma en funcin a la
situacin que presenta el origen del riesgo.
Criterios para un riesgo: trminos de referencia que son
tomados en cuenta al evaluar un riesgo. Se refiere a costos y
beneficios asociados, requerimientos legales y regulatorios,
requerimientos de usuarios, etc.
Evaluacin de riesgos: proceso de comparar los niveles de
riesgo con los criterios previamente establecidos.
Identificacin de riesgos: proceso para determinar qu,
dnde, cundo, por qu y cmo podra ocurrir algo.
Proceso de Administracin de riesgos: aplicacin sistemtica
de polticas, procedimientos y prcticas en las tareas de
comunicacin, establecimiento del contexto, identificacin,
anlisis, evaluacin, tratamiento, monitoreo y revisin de
riesgos.
Plataforma para la administracin de riesgos: conjunto de
elementos que forman parte del sistema de gestin de una
organizacin en relacin a la administracin de riesgos.
Estos elementos pueden incluir planeamiento estratgico,
estrategias, toma de decisiones y cualquier proceso o
prctica que maneje los riesgos.
Retencin del riesgo: intencionalmente o sin intencin retener
la responsabilidad por las prdidas, o la carga financiera de
las prdidas dentro de la organizacin. La retencin del
riesgo tambin incluye los riesgos que no han sido
identificados.
Compartir el riesgo: se comparte el riesgo con un tercero
fuera de la organizacin. Generalmente se habla de transferir
el riesgo, y lo usual es a travs de seguros.
Tratamiento de riesgos: proceso de seleccin e
implementacin de medidas o controles para atenuar el
impacto negativo de un riesgo.
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 27 de 71
Analizar los riesgos: se identifican los controles
implementados para atenuar los riesgos, con la finalidad de
establecer si continan funcionando de manera adecuada.
Como parte del anlisis deben evaluarse las probabilidades
de ocurrencia y los impactos de cada uno de los riesgos para
luego establecer su nivel y esto permita realizar una
priorizacin.
Evaluar riesgos: se comparan los niveles de riesgo
obtenidos contra las mtricas o criterios preestablecidos.
Cada organizacin de acuerdo a sus objetivos y polticas
decidirn el orden de atencin de los mismos, usando como
base el nivel obtenido a partir de las mtricas.
Tratar riesgos: en relacin a aquellos riesgos que tengan un
nivel bajo o aceptable, estos se atendern con
procedimientos de rutina normales dentro de los procesos de
negocio de la organizacin. Para los riesgos con un mayor
nivel, se deben desarrollar e implementar medidas que
logren en lo posible ponerlos en nivel aceptable para la
organizacin.
Monitoreo y revisin: se debe realizar peridicamente una
medicin del desempeo de los controles implementados,
pues podra darse el caso que en algn momento stos
necesiten ser mejorados, complementados o incluso
cambiados.
Comunicar y Consultar: se debe mantener una
comunicacin constante con los dueos de los procesos de
negocio en una organizacin, pues finalmente ellos son los
ms indicados para dar un juicio de los controles
implementados para tratar los riesgos a los que se ven
expuestos.
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 28 de 71
En relacin a la administracin de riesgos se presentan algunos tipos de stos
a los que se ven expuestos la mayora de organizaciones. De acuerdo al tipo
de organizacin, uno o ms de los siguientes riesgos pueden presentarse:
6
Registro de eventos que produjeron una prdida cuantificable generalmente en trmino monetarios. Se registra el
evento, los activos tangibles o intangibles afectados y las medidas que se adoptaron. [21]
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 29 de 71
Daremos a continuacin algunos lineamientos en relacin a los tipos de anlisis
de riesgos mencionados:
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 30 de 71
IV. ANALISIS Y DISCUSION
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 31 de 71
Elaborar una poltica de seguridad de informacin para la
institucin financiera.
Desarrollo de normas y procedimientos que den soporte a las
polticas de seguridad de informacin.
Desarrollar un anlisis de costo-beneficio adecuado para futuros
programas de inversin en seguridad de informacin.
9 Alineamiento estratgico:
o Requerimientos de seguridad implementados de acuerdo a
las necesidades del negocio, los cuales brindan una gua de
lo que debe realizarse y una medida de cuando se logr.
o Soluciones de seguridad a la medida de los procesos del
negocio, las cuales toman en cuenta la cultura, estilo de
administracin, tecnologa y estructura de la organizacin.
o Inversiones en seguridad de informacin alienadas con la
estrategia del negocio, con un perfil de riesgo bien definido.
9 Entrega de Valor:
o Un conjunto de prcticas estndar de seguridad,
requerimientos base de seguridad que siguen prcticas
adecuadas y proporcionales al riesgo.
o Esfuerzos distribuidos y proporcionales en reas con mayor
impacto y beneficio para el negocio.
o Soluciones completas que abarcan toda la organizacin,
procesos y tecnologa basados en un entendimiento total del
negocio de la organizacin.
o Un continuo mejoramiento de la cultura basado en el
entendimiento de que la seguridad es un proceso, no un
evento.
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 32 de 71
9 Administracin de Riesgos:
o Entendimiento colectivo del perfil de riesgo de la
organizacin en relacin a sus amenazas y vulnerabilidades.
o Conocimiento de las prioridades en la administracin de
riesgos basadas en las consecuencias potenciales.
o Suficiente mitigacin de riesgos, con consecuencias
aceptables del riesgo residual7 resultante.
o Entendimiento del riesgo residual y sus consecuencias.
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 33 de 71
Adems, una estrategia de seguridad debe combinar, de la mejor
manera, prcticas de seguridad en cada proceso y rea de negocio
de la institucin financiera. Debe considerar capas de nivel de
control. De igual manera, la capacitacin y educacin es primordial
en la estrategia, pues la seguridad es a menudo dbil al nivel del
usuario final: es en este nivel que se deben desarrollar
metodologas y procesos que permitan a las polticas, estndares y
procedimientos ser fciles de seguir, implementar y monitorear.
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 34 de 71
Los elementos que se pueden incluir en una estrategia de seguridad
son:
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 35 de 71
9 Estndares: deben desarrollarse para proporcionar las
mtricas necesarias que evalen si un procedimiento o
prctica particular cumple con las polticas establecidas.
Cada poltica puede incluir un nmero determinado de
estndares necesarios para varias actividades. A su vez los
estndares son importantes para los propsitos de brindar
una base para la auditoria de sistemas.
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 36 de 71
9 Tecnologa: existen muchas tecnologas con los mecanismos
de seguridad necesarios para una estrategia exitosa. Entre
ellas se puede citar:
o Tecnologa Firewall.
o Tecnologa de intrusin y deteccin de
intrusos.
o Tecnologa antivirus.
o Tecnologa biomtrica.
o Tecnologa de encriptamiento.
o Tecnologa de acceso remoto.
o Tecnologa de firmas digitales.
o Tecnologa EDI y EFT.
o Tecnologa VPN.
o Tecnologa SET.
o Tecnologa forense.
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 37 de 71
La administracin gerencial debe tener un compromiso en los
siguientes aspectos:
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 38 de 71
9 Trabajo con consultores externos en auditorias externas.
9 Identificacin de objetivos de proteccin consistentes con
el plan estratgico institucional.
9 Identificacin de elementos clave de seguridad.
9 Polticas, estndares y procedimientos globales sean
desarrollados e implementados para asegurar el
mantenimiento de la seguridad.
9 Implementacin de planes para productos de seguridad
sean siempre coordinados.
9 Identificacin de controles de seguridad apropiados.
9 Gestin apropiada de incidentes de seguridad.
9 Implementacin coordinada de los controles con el
personal de administracin de procesos.
9 Contar con asesora externa para la seguridad fsica.
9 Contar con sitios alternos de negocio, operativos y
probados.
9 Inducciones en temas de seguridad para nuevos
empleados brindadas por el departamento de.
9 Todos los planes de capacitacin sean implementados
de tal forma que incluyan sesiones para todos los niveles
del negocio, incluyendo ejecutivos, tcnicos, analistas,
consultores, personal de soporte, etc.
9 Desarrollo de procedimientos que integren la seguridad
de informacin en cada unidad de negocio.
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 39 de 71
1.4 Canales de Comunicacin
8
IDS: Sistema de Deteccin de Intrusos
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 40 de 71
El reporte de las mtricas debe enfocarse en tendencias, no slo
en nmeros. La razn de esto es que el administrador de seguridad
de informacin va esquematizando instantneas de la
organizacin y su progreso en el tiempo. Lo que debe ser relevante
es que el gobierno de seguridad de informacin vaya mejorando su
postura dentro de la institucin financiera. Esto no quiere decir que
los nmeros sean menos importantes, pues deben leerse y usarse
de acuerdo al contexto en el que encuentren.
9
La posibilidad de ocurrencia de prdidas financieras por deficiencias o fallas en los procesos internos, en la tecnologa
de informacin, en las personas o por ocurrencia de eventos externos adversos. Esta definicin incluye el riesgo legal,
pero excluye el riesgo estratgico y el de reputacin.[23]
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 41 de 71
La seguridad de informacin constituye por tanto en uno de los
aspectos crticos en la prdida financiera de la institucin, como
parte de la definicin de riesgo operacional. Se encuentra
inevitablemente interrelacionada con temas de privacidad,
propiedad intelectual y leyes contractuales. Cualquier esfuerzo para
disear e implementar una efectiva poltica de seguridad de
informacin debe realizarse sobre la base de un conocimiento de los
requerimientos legales y sus restricciones.
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 42 de 71
Las polticas deben centrarse en las necesidades del negocio y
deberan dar respuesta a preguntas clave como:
9 Qu informacin se administrar?
9 Qu tan importante es la informacin para las
operaciones crticas?
9 Qu tan confidencial es la informacin?
9 Qu tan importante es la integridad de la informacin?
9 Cmo puede accederse a la informacin?
9 Qu controles deben implementarse para la gestin de
la informacin?
9 Cul es el nivel de riesgo aceptable para la institucin?
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 43 de 71
Objetivos de
Negocio
Riesgos y
Estrategia de
amenazas
Tecnologa
evaluados
Estrategia de
Seguridad de
Informacin
Polticas de
Seguridad de
Informacin
Estndar
Estndar
Procedimiento
Procedimiento
9 Estndares de passwords.
9 Estndares de encriptacin.
9 Estndares de respaldos y retencin.
9 Estndares de polticas y procedimientos.
9 Estndares de configuracin de firewalls.
9 Estndares de dominios de seguridad.
9 Respaldo y recuperacin.
9 Administracin de privilegios.
9 Reforzamiento del no cumplimiento con polticas (por
ejemplo auditoria e deteccin de intrusos)
9 Monitoreo automatizado del cumplimiento de polticas.
9 Reforzamiento de la seguridad en las redes.
9 Configuracin de sistemas operativos.
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 44 de 71
Algunos ejemplos de procedimientos y guas no tcnicos que
pueden desarrollarse son:
9 Procedimientos de revisin.
9 Procedimientos de autorizacin.
9 Procedimientos de aceptacin de riesgos.
9 Procedimientos de respuesta a incidentes.
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 45 de 71
9 Reduccin cuantificable a la exposicin del riesgo. Ejemplos
pueden incluir la reduccin de la probabilidad de ciertos tipos
de brechas en la seguridad.
(R-E) + T= ALE
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 46 de 71
2. Administracin de Riesgos
De acuerdo a lo expuesto en el marco de referencia, podemos concluir
que el objetivo de la administracin de riesgos es identificar, cuantificar y
administrar los riesgos asociados a la seguridad de informacin, con el fin
de cumplir con los objetivos de negocio.
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 47 de 71
Es importante que una institucin financiera cuente con un perfil de riesgo
de su negocio. No existen modelos completos pero el dividir de manera
lgica las reas de riesgo de la organizacin, facilita el poder
concentrarse en estrategias y decisiones para administrarlos. Asimismo
permite desarrollar e implementar medidas que sean relevantes y
econmicamente convenientes.
La valoracin de los activos suele ser compleja, por tanto debe realizarse
de manera cuidadosa, pues a partir de ella se determinarn las medidas
de control para cada activo en particular.
9 Informacin y datos.
9 Hardware.
9 Software.
9 Servicios.
9 Documentos.
9 Personal.
9 Errores.
9 Accidentes.
9 Dao malicioso.
9 Eventos naturales (terremotos por ejemplo).
9 Fraude.
9 Robo.
9 Fallas de equipos y/o software.
9 Prdida de servicios (energa elctrica por ejemplo).
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 48 de 71
Mientras que algunos ejemplos de vulnerabilidades son:
9 Software defectuoso.
9 Equipos configurados errneamente.
9 Diseo de red equivocado.
9 Personal insuficiente.
9 Tecnologa no probada.
9 Transmisin de informacin en medios inseguros.
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 49 de 71
2.1 Proceso de Administracin de Riesgos
Los procesos deben ser diseados de tal manera que puedan ser
monitoreados en cuanto a su seguridad.
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 50 de 71
Integrando la identificacin de riesgos, anlisis y actividades de
mitigacin en ciclo de vida de los procesos, se estar asegurando
que la informacin crtica sea adecuadamente protegida. Este es un
aspecto proactivo, que permitir planear e implementar polticas de
seguridad y procedimientos alineados con los objetivos de negocio y
objetivos de la institucin financiera.
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 51 de 71
2.4 Mitigacin de Riesgos
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 52 de 71
Especficamente en cada etapa del proceso, la documentacin debe
incluir:
9 Objetivos.
9 Audiencia.
9 Recursos de Informacin.
9 Decisiones.
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 53 de 71
3. Administracin de un Programa de Seguridad de
Informacin
El objetivo en la administracin de un programa de seguridad de
informacin es disear, desarrollar y gestionar lo necesario para
implementar una plataforma de gobierno de seguridad de informacin.
9 Definir la plataforma.
9 Obtener la aprobacin de la plataforma de la alta
gerencia.
9 Implementar la plataforma de gobierno de seguridad de
informacin.
9 Monitorear el progreso y realizar los cambios que sean
necesarios.
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 54 de 71
El plan debe especificar las responsabilidades en las tareas y
establecer un cronograma para completarlas. Dependiendo del
tamao de la institucin financiera, el administrador de
seguridad de informacin puede ser el responsable de la gran
mayora de las tareas. En instituciones financieras ms grandes,
el administrador de seguridad de informacin puede delegar
algunas de ellas.
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 55 de 71
Lo que sigue es la programacin de tareas, las cuales pueden
organizarse de acuerdo a lo siguiente:
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 56 de 71
El administrador de seguridad de informacin puede cumplir
todo lo sealado, teniendo reuniones peridicas con los dueos
de negocio de la institucin financiera, y documentando esto en
las guas de seguridad de informacin, que luego sern
aceptadas y respaldadas por la alta gerencia.
9 Procesos
9 Infraestructura
9 Plataforma
9 Red
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 57 de 71
9 Control de personal: Se basan en las personas midiendo
el nivel de confianza e integridad de quienes se
encuentran ubicados en puestos claves dentro de la
institucin financiera, en especial el nuevo personal.
9 Control en las plataformas: Se basa en la tecnologa que
incluye caractersticas de seguridad implementadas en
los sistemas operativos, las aplicaciones, sistemas de
deteccin de intrusos, etc.
9 Control en la red: Se centran en dispositivos de
seguridad tales como firewalls, ruteadores, switches,
acceso remoto, y cualquier otro dispositivo que
monitorea y restringe la informacin que viaja por las
redes.
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 58 de 71
9 Diseo: En base a los requerimientos definidos, se
establecern especificaciones que describan las partes
del nuevo sistema y la forma como interactuarn, se
implementarn, qu hardware y software se necesitar,
requerimientos de red, etc. Adems se establecer un
proceso formal de control de cambios para tomar en
cuenta nuevos requerimientos que pudieran darse a lo
largo del proceso de desarrollo.
9 Desarrollo: Empleando las especificaciones del diseo,
se empezar con la programacin y formalizacin del
soporte operacional de los procesos del sistema. En esta
etapa ocurren distintos niveles de prueba, para validar y
verificar lo que se viene desarrollando.
9 Implementacin: Se establecer la operacin del nuevo
sistema con la aprobacin de los usuarios finales. El
sistema puede pasar por un proceso de certificacin y
acreditacin para evaluar su efectividad en la mitigacin
de riesgos a un nivel aceptable. De la misma manera se
evaluar si el sistema cumple con los objetivos
previamente establecidos y si cuenta con un nivel
apropiado de control.
3.7 Responsabilidad
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 59 de 71
Esto un proceso de educacin; el administrador de seguridad de
informacin comunica cmo la seguridad de la institucin
financiera puede asistir a un dueo de procesos de negocio en
la administracin de los riesgos de seguridad de informacin.
3.8 Mtricas
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 60 de 71
Se vuelve de vital importancia contar con un proceso de
administracin de incidentes, el cual entre a tallar ante cualquier
evento de seguridad, para atenderlo rpidamente, brindando la
proteccin de los recursos de informacin de la institucin
financiera.
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 61 de 71
4.2 Procedimientos Administrativos para Sistemas de
Informacin
Al contar con una poltica aprobada por la alta gerencia, con los
roles y responsabilidades asignados, se torna imprescindible
contar con procedimientos y estndares de gestin.
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 62 de 71
4.4 Uso de mtricas para medir, monitorear y reportar
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 63 de 71
4.6 Evaluacin de Vulnerabilidades
9 Monitoreo.
9 Reportes de auditoria.
9 Revisiones de seguridad.
9 Escaneo de vulnerabilidades.
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 64 de 71
4.8 Cultura, Comportamiento y Educacin en Seguridad
de Informacin
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 65 de 71
Se define un incidente como un evento que causa algn nivel de
interrupcin a los procesos normales de negocio, y que es
precipitado generalmente por un individuo, de manera maliciosa
o accidental.
17
Del ingles Intrusion Detection System
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 66 de 71
9 Nombre del usuario que report el incidente.
9 Fecha y hora del reporte de incidente:
9 Fecha y hora en la que inici con las indicaciones.
9 Tipo de indicaciones que se brind.
9 Tipo de sistemas afectados (incluidos los sistemas
operativos y hardware relacionado).
9 Ubicacin del sistema (si es posible la direccin IP).
9 Informar si el evento sigue en curso o tuvo una actuacin
momentnea.
9 Acciones que tom el usuario previo al reporte del
incidente.
9 Acciones que tom el rea help desk al tomar
conocimiento del incidente.
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 67 de 71
9 Contar con una matriz documentada con los sistemas
crticos para los procesos de negocios y sus tiempos
mnimos permitidos para estar fuera de funcionamiento.
9 Contar con una matriz con los desastres potenciales, su
impacto, y su probabilidad aproximada de ocurrencia.
9 Contar con los costos de varias alternativas de
recuperacin para los procesos de negocios ms crticos.
9 Contar con un conjunto de recomendaciones que pueden
ser presentadas a la alta gerencia para gestionar de la
mejor manera la recuperacin de un desastre.
9 Contar con equipos de recuperacin de desastre,
divididos de acuerdo a los procesos de negocio e
infraestructura tecnolgica ms crticos.
9 Establecer las responsabilidades de cada miembro de los
equipos de recuperacin.
9 Contar con procedimientos documentados y actualizados
para la recuperacin de desastres.
9 Contar con centros de procesamiento alternos y
ubicaciones alternativas para continuar con los procesos
de negocios ms crticos.
9 Realizar frecuentemente pruebas de los planes, para
medir su efectividad y detectar cualquier cambio o
actualizacin necesaria.
5.3 Documentacin
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 68 de 71
9 Despus del incidente: cuando el incidente ha
terminado, se elabora un reporte o reportes con detalles
del mismo. El propsito de estos reportes es mostrar lo
que pas y como se puede prevenir que no ocurra
nuevamente en el futuro. Esto significa la mayora de
veces la actualizacin y/o cambio de controles de
seguridad. Adems se muestran por lo general
conclusiones, teniendo claro que jams se nombran las
personas que tienen la responsabilidad de la ocurrencia
del incidente, para no perder indicios importantes en un
posterior anlisis forense.
6. Conclusiones
De acuerdo a lo expuesto en la presente tesis, para implantar una
adecuada gestin de seguridad de informacin en una institucin
financiera, el primer paso es obtener el apoyo y soporte de la alta
gerencia, hacindolos participes activos de lo que significa mantener
adecuadamente protegida la informacin de la institucin financiera. Al
demostrarles lo importante que es la proteccin de la informacin para los
procesos de negocio, se debe esperar de la alta gerencia su participacin
continua.
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 69 de 71
REFERENCIAS BIBLIOGRAFICAS
[1] D. Sullivan The Definite Guide to Security Management. Computer Associates
pp 1, 2004.
[3] Sound Practices for the Management and Supervision of Operational Risk,
Basel Committee on Banking Supervision, pp 1, 2003
[6] ISO/IEC 17799 Code of Practice for Information Security Management, Primera
Edicin 2000 www.isostandards.com
[8] Enterprise Governance and the Role of IT, de Stacey Hamaker, Information
Systems Control Journal, Volume 6, pp 27, 2005.
[11] Una propuesta para mejorar las prcticas de Gobierno Corporativo en el Per,
de Alejandro Indacochea, CENTRUM, Pontificia Universidad Catlica Del Per.,
http://centrum.pucp.edu.pe/docentes/AIndacochea_Libros/documentos_publicados/
Gobierno_Corporativo.pdf.
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 70 de 71
[16] BS7799-ISO 17799 Security Standards for a better Information Security
Management
http://www.bs7799-iso17799.com/whatis7799.html
______________________________________________________________________
Sistema de Gestin de Seguridad de Informacin Pgina 71 de 71