Está en la página 1de 14

Gestión de seguridad de la información en HDFC Bank:

Contribución de los siete facilitadores / habilitadores


HDFC Bank fue incorporado en agosto de 1994 y posee una red nacional de 3062 sucursales y 10 743 cajeros
automáticos (automated teller machines, ATM) distribuidos en 1568 ciudades y poblaciones de India.

HDFC Bank opera en un entorno altamente automatizado en términos de sistemas de TI y comunicación.


Todas las sucursales de la entidad bancaria cuentan con conectividad en línea, que permite a sus clientes operar con
transferencias de fondos sin demoras. También se proporciona acceso a múltiples sucursales a clientes minoristas a
través de la red de sucursales y los ATM.

El banco ha priorizado su compromiso con la tecnología e Internet como uno de sus objetivos más importantes
y ha hecho avances significativos en habilitar su núcleo de negocio en la web. En cada uno de sus negocios, el banco
ha logrado aprovechar su posición en el mercado, su experiencia y su tecnología a fin de crear una ventaja competitiva
y obtener participación en el mercado.

Uso de COBIT
Como uno de los primeros en adoptar COBIT 4.1, el HDFC Bank comenzó hace ya casi 6 años el recorrido de
gobierno de TI cuando COBIT 4.1 apenas había salido al mercado. Así fue como la entidad bancaria adoptó casi la
totalidad de los 34 procesos de TI definidos en COBIT 4.1.

Luego de la introducción de COBIT 5 en abril de 2012, HDFC Bank se tomó un tiempo para considerar una
migración. Debido a que la experiencia del banco con la implementación de COBIT 4.1 ha sido muy beneficiosa, no
migrará inmediatamente a COBIT 5. Sin embargo, HDFC Bank adoptó de manera intuitiva los siete facilitadores
/habilitadores introducidos por COBIT 5 incluso antes de que estos adquirieran notoriedad pública en COBIT 5.

COBIT 5 describe siete facilitadores / habilitadores como factores que, de manera individual y colectiva, influyen en
que algo funcione; en este caso, el gobierno y la gestión de TI de la empresa (gobierno y administración de la
tecnología de información empresarial, GEIT):

1. Los principios, las políticas y los marcos son el vehículo para convertir el comportamiento deseado en
orientación práctica para la gestión diaria.
2. Los procesos describen un conjunto organizado de prácticas y actividades para lograr ciertos objetivos y
producir un conjunto de resultados que sustenten el logro de las metas generales relacionadas con TI.
3. Las estructuras organizacionales son las entidades claves de toma de decisiones en una empresa.
4. La cultura, la ética y el comportamiento de individuos y de la empresa son, a menudo, subestimados como
un factor de éxito en las actividades de gobierno y gestión.
5. La información es generalizada en cualquier organización e incluye toda la información producida y utilizada
por la empresa. Se requiere la información para mantener a la organización en funcionamiento y bien
gobernada, pero a nivel operativo, la información es con frecuencia el producto clave de la misma empresa.
6. Los servicios, la infraestructura y las aplicaciones incluyen la infraestructura, la tecnología y las
aplicaciones que brindan a la empresa servicios y procesamientos de TI.
7. Las personas, habilidades y competencias están vinculadas a las personas y son requeridas para la
finalización exitosa de todas las actividades y para tomar decisiones correctas y aplicar medidas correctivas
Estructuras organizacionales
Las estructuras organizacionales son las entidades clave de toma de decisiones en una empresa.

La seguridad de la información en HDFC Bank está impulsada por su grupo de seguridad de la información
(information security group, ISG). El grupo está liderado por el director general de seguridad de la información (chief
information security officer, CISO), que reporta al director ejecutivo del banco. El ISG es principalmente responsable de
identificar, evaluar y proponer la mitigación de cada riesgo relacionado con la seguridad de la información. Esta
responsabilidad se lleva a cabo interactuando con diversos comités y partes interesadas y preparando planes,
propuestas, políticas, procedimientos y guías. La implementación de estas directrices se asigna a los equipos de
implementación de todo el banco.

El marco de gobierno en HDFC Bank está impulsado por una gran cantidad de comités de alto nivel (figura 1).
La importancia que se le da a la seguridad de la información es notoria puesto que una gran cantidad de comités de alto
nivel han colocado a la seguridad de la información en sus agendas.

La definición de responsabilidades para el ISG han sido bien definidas a través de una matriz RACI (figura 2).
Uno de los puntos principales que se deben destacar es que, si bien la responsabilidad de la gestión de la seguridad de
la información radica en el ISG, la rendición de cuentas recae marcadamente en los dirigentes funcionales. De igual
modo, si bien es cierto que el ISG rinde cuentas por la definición de la evaluación de riesgos, los dirigentes funcionales
lo son de la ejecución de esta evaluación. Esta división de responsabilidades y rendición de cuentas determina la
propiedad de la mitigación del riesgo y la gestión de seguridad de la información en los dirigentes funcionales.

En la figura 3, se proporciona el marco general de gobierno para la implementación..


Los 21 componentes se monitorean permanentemente hasta alcanzar un nivel de madurez. La asignación de trabajo a
los integrantes del ISG se basa en estos controles.

Principios, políticas y marcos


Los principios, las políticas y los marcos son el vehículo para convertir el comportamiento deseado
en guía práctica para la gestión diaria.

HDFC Bank ha diseñado un documento de una política integral de unas 100 páginas. La versión
actual es 3.x y se encuentra en proceso de revisión hasta diseñar la versión 4.0. Este documento
abarca los 11 dominios de seguridad de la información, según se especifica en la norma ISO 27001
de una manera agnóstica considerando plataforma – y - tecnología, y está modelada sobre la Norma
de Buenas Prácticas del Foro de Seguridad de la Información (Information Security Forum, ISF).

Debido a que el banco emplea entre 30 y 40 tecnologías diferentes, se crean políticas más detalladas
para cada tecnología. Se trata de políticas minuciosas específicas de las tecnologías para que el
equipo técnico responsable de implementarlas las tenga a modo de referencia.

Estas políticas se subdividen aún más en registros para cruzarlas con varios estándares/marcos
rectores, por ejemplo, las normas ISO 27001, COBIT y las guías del Banco de Reservas de la India
(Reserve Bank of India, RBI). Estos registros se introducen en una herramienta de gobierno, riesgo y
cumplimiento (governance, risk and compliance, GRC) que proporciona el marco de control
unificado (unified control framework, UCF) interno del banco. De esta manera, se logra identificar el
nivel de cumplimiento adquirido de manera automática. La herramienta proporciona casi 40 fuentes
autorizadas que ya se han cruzado a través del UCF. Por lo tanto, resulta fácil encontrar el
cumplimiento con cualquier fuente.

El equipo del ISG utiliza la metodología de Análisis por factores del riesgo de la información
(Factored Analysis of Information Risk, FAIR) para calcular el riesgo probable mediante la captura de
la frecuencia de eventos de amenazas y la frecuencia de eventos de pérdida, dando el peso
adecuado a cada factor y la creación de una clasificación de riesgo para dar prioridad y tomar
decisiones. El equipo del ISG también revisó la norma ISO 27005 y diseñó un enfoque sólido para la
gestión de riesgos con la ayuda de estos estándares.

Se ha creado una versión corta del documento de la política en una guía del usuario de 20 páginas
sustentada por una lista de 10 reglas principales para la seguridad de la información.

Hay una gran cantidad de proveedores que prestan servicio a HDFC Bank. La seguridad de la cadena
de suministros queda garantizada por revisiones periódicas de terceros a los proveedores las cuales
son llevadas a cabo por firmas de auditoría externa.

HDFC Bank cuenta con las certificaciones ISO 27001 y BS 25999, planea obtener el certificado ISO
22301 y ha alcanzado el 92 % de cumplimiento de las guías RBI.

En la actualidad, el ISG se centra en la creación de un sistema sólido de gestión de incidentes,


proveer una protección adecuada de los datos, garantizar la implementación apropiada del BYOD -
"trae tu propio dispositivo" (bring your own device) y detectar, contener y remover amenazas
persistentes avanzadas oportunamente.

Procesos
Los procesos describen un conjunto organizado de prácticas y actividades para lograr ciertos
objetivos y producir un conjunto de resultados respaldando el logro de las metas generales
relacionadas con TI. El ISG sigue un modelo de proceso de seguridad de la información basado en
21 componentes:
1. Seguridad de la aplicación
2. Criptografía
3. Monitoreo
4. Gestión de incidentes
5. Seguridad bancaria en línea
6. Gestión de software malicioso (malware)
7. Protección de datos
8. Ciclo de vida del desarrollo de software
seguro
9. Gestión de proveedores (terceros)
10. Planificación de continuidad del negocio
11. Privacidad
12. Gestión de identidades y acceso
13. Gestión de riesgos
14. Seguridad física
15. Concientización
16. Gobierno
17. Política
18. Gestión del ciclo de vida de los activos
19. Rendición de cuentas y propiedad
20. Configuración del sistema
21. Seguridad de la red.

Se efectúa la planificación, diseño, implementación y monitoreo de la seguridad de la información para estos


componentes individuales. Este enfoque hace que los equipos se mantengan centrados. Se desarrollan
políticas, procedimientos, guías, estándares, tecnologías y herramientas para estos componentes. Este
enfoque proporciona granularidad a la hora de gestionar cada área de enfoque y también conduce a una
arquitectura de defensa en profundidad.

Cada uno de los componentes contribuye con la creación de estándares y procedimientos de control que
satisfacen los requerimientos de políticas de alto nivel. Este es un enfoque de abajo hacia arriba que
permite mitigar las inquietudes de seguridad de nivel superior para procesos de negocio proporcionando
seguridad adecuada para los activos que son utilizados por estos procesos.

Actualmente, se está llevando a cabo la tarea de cruzar todos los procesos de negocio con los activos. Los
procesos de negocio se están clasificando en función de la criticidad y el impacto que puedan tener en el
negocio. Si un activo, por ejemplo un servidor, aloja múltiples procesos de TI que sustentan múltiples
procesos de negocio, esto hace que la clasificación se atribuya al proceso de negocio más crítico.

El enfoque que adoptó el ISG de HDFC Bank está íntimamente alineado con la cascada de metas de COBIT
5 (figura 4).

En la figura 5, se muestran los motivadores o factores conductores de las partes interesadas que identificó
HDFC Bank.
Niveles de madurez de la seguridad de la información
El ISG ha creado un modelo de madurez de seguridad de la información. Este modelo ha definido
cinco niveles de madurez, tal como se muestra en la figura 6. El ISG ha definido ocho atributos deseables
para los componentes de la seguridad de la información. Estos se detallan en la columna 1. En las
columnas subsiguientes, se definen los requerimientos necesarios para alcanzar el atributo de cada nivel.
Por ejemplo, el atributo de política estará en el nivel 1 si no se ha definido una política para un componente
en particular y en el nivel 5, es decir, en un nivel optimizado, si la política se revisa y mejora
continuamente.

Niveles de madurez de la seguridad de la información


El ISG ha creado un modelo de madurez de seguridad de la información. Este modelo ha definido cinco
niveles de madurez, tal como se muestra en la figura 6. El ISG ha definido ocho atributos deseables para
los componentes de la seguridad de la información. Estos se detallan en la columna 1. En las columnas
subsiguientes, se definen los requerimientos necesarios para alcanzar el atributo de cada nivel. Por
ejemplo, el atributo de política estará en el nivel 1 si no se ha definido una política para un componente en
particular y en el nivel 5, es decir, en un nivel optimizado, si la política se revisa y mejora continuamente.
El seguimiento de cada uno de los 21 componentes se basa en este modelo. HDFC Bank ha
utilizado el modelo de madurez con muy buenos resultados para construir un concepto
de benchmarking dentro de la organización. Este modelo permite detectar áreas que requieren mejoras y
los ejercicios de evaluación se realizan en el marco de un taller. Existe una comunicación saludable de
dos canales que deriva en un sentido de participación y transparencia respecto de la estrategia y la visión
de la empresa. El modelo se utiliza estrictamente para análisis de brechas internas y para identificar
áreas de mejora. No ha sido pensado para proporcionar aseguramiento a un tercero.

El modelo de madurez que se presenta a continuación fue creado por el ISG para satisfacer sus
necesidades exclusivas de definición de planes de mejoras específicas. Este modelo de madurez se basa
ligeramente en el modelo definido en COBIT 4.1. Una de las críticas al modelo de madurez de COBIT 4.1
fue que los criterios usados para definir los niveles eran subjetivos. En estos momentos, HDFC Bank está
considerando la posibilidad de corresponder los procesos actuales con el modelo de evaluación de
procesos (Process Assessment Model, PAM) de COBIT 5, que se basa en la norma ISO 15504.

Servicios, infraestructura y aplicaciones


Los servicios, la infraestructura y las aplicaciones incluyen la infraestructura, la tecnología y las
aplicaciones que brindan a la empresa servicios y procesamientos de TI.

HDFC Bank emplea casi 40 tecnologías diferentes. Alrededor de estas tecnologías se desarrollan
distintos servicios, infraestructuras y aplicaciones. Como se describió en la sección sobre el facilitador /
habilitador de procesos, cada uno de estos servicios está cruzado con el nivel de madurez de la
seguridad de la información. Una actualización continua del nivel de madurez, que tenga en cuenta
atributos tales como la automatización, la eficacia, la gestión de incidentes y la medición, garantiza un
monitoreo muy pormenorizado de estos servicios. Todos los proyectos que pretenden mejorar los
servicios se basan en el nivel de madurez pensado para cada servicio en particular.

Información
La información es generalizada en cualquier organización e incluye toda la información producida
y utilizada por la empresa. Se requiere la información para mantener a la organización en funcionamiento
y bien gobernada, pero a nivel operativo, la información es con frecuencia el producto clave de la misma
empresa.

La información confiable es un factor clave para la gestión de la seguridad. Habitualmente, la información


se presenta por medio de documentación del Consejo en términos de estrategia, presupuesto, plan y
políticas. Los requerimientos de seguridad de la información se obtienen por medio de un formulario de
aceptación de riesgos (risk acceptance form, RAF) y son sometidos a una revisión a cargo del comité de
gestión de riesgos de la seguridad de la información (information security risk management committee,
ISRMC). El ISG también prepara varios informes de revisión de seguridad de la información, que incluyen
hallazgos de auditoría, informes de madurez, análisis de amenazas, informes de evaluación de
vulnerabilidades, registros de riesgo de la información, informes de brechas y pérdidas, e informes de
incidentes y problemas relacionados con la seguridad de la información.

El modelo de madurez proporciona entradas adicionales para información de buena calidad. Se han
creado varias métricas y mediciones de seguridad de la información basadas en el marco de la norma
ISO 27004, que se presentan a modo de tablero de mando (dashboard). En la actualidad, se está
trabajando para implementar una herramienta GRC de TI que permita captar toda la información en la
fuente y demostrar cumplimiento de numerosos requerimientos, que incluyen las guías de RBI, PCI DSS
y Basilea II. Además, la herramienta permite el cruce con diferentes controles de COBIT 4.1.

Personas, habilidades y competencias


Las personas, habilidades y competencias están vinculadas a las personas y son requeridas para la
finalización exitosa de todas las actividades y para tomar decisiones correctas y aplicar medidas
correctivas.

HDFC Bank ha empleado una serie de técnicas para crear conciencia sobre la seguridad y desarrollar
habilidades y competencias adecuadas. A continuación se incluye una lista de las iniciativas:

 Película sobre la seguridad de la información: Una película de 20 minutos de duración


creada y presentada con todas las atracciones propias de una experiencia cinematográfica
verdadera (p. ej., boletos y palomitas de maíz). La película ya ha adquirido una enorme
notoriedad y, hasta el momento, la han visto 40 000 empleados. Cada programa de
capacitación comienza con esta película.
 Tira cómica sobre seguridad de la información: Se creó una tira cómica con dos
personajes: uno llamadoSloppy ("Descuidado") y el otro Sly ("Astucia"). Sus hazañas
entretienen a los lectores y también transmiten un mensaje muy poderoso sobre la
seguridad. Ahora, se está planeando imprimir esta tira cómica con formato de calendario.
 Red de seguridad: La red de seguridad (una Intranet) alberga todo el material relevante,
como políticas, estándares, guías, listas de contactos, planes de continuidad del negocio y
notas sobre el enfoque.
 Correo electrónico y campaña de imágenes: Se envían mensajes por correo electrónico
advirtiendo a todos para que se mantengan alerta, por ejemplo, se envían mensajes a
modo de recordatorio para evitar correosphishing después de que se haya producido un
intento de ataque phishing exitoso.
 Diez mandamientos de seguridad: El documento sobre la política del usuario se ha
resumido en reglas clave de seguridad de la información fáciles de leer y recordar (figura
7).
Curso La seguridad primero: Todos los empleados deben participar en este curso de una hora de
duración cada dos años. Es obligatorio tomar el curso y obtener buenas calificaciones. Todos los
candidatos que hayan obtenido buenas calificaciones en el examen recibirán un certificado. El certificado
es un reconocimiento de carácter oficial. Además del certificado, los mejores promedios serán reconocidos
en comunicaciones globales enviadas a todos los empleados del banco, y también recibirán una
compensación económica.

Taller de un día: Se realiza periódicamente un taller de un día de duración destinado a la alta


dirección, en el que el CISO explica la importancia de la seguridad de la información para el banco y las
medidas específicas adoptadas para su implementación.
Cultura, ética y comportamiento

La cultura, la ética y el comportamiento de individuos y de la empresa son, a menudo,


subestimados como un factor de éxito en las actividades de gobierno y gestión. No obstante, son factores
importantes para el éxito de una empresa.

COBIT 5 ha identificado ocho clases de comportamientos que contribuyen con el desarrollo de una
cultura de seguridad en una organización. Varias iniciativas tomadas por HDFC Bank dieron lugar a la
creación del tipo correcto de comportamientos de seguridad. HDFC Bank ha utilizado muchos canales de
comunicación, cumplimiento, políticas claras, reglas y normas. El comportamiento seguro también se
fomenta a través del reconocimiento, por ejemplo, por medio de un certificado, y a través de mensajes
contundentes a quienes no demuestren tal conducta. El comportamiento seguro está fuertemente
influenciado por la concientización.

Las ocho clases de comportamientos se indican a continuación a modo de referencia junto con las
medidas específicas adoptadas por HDFC Bank para arraigar estas conductas a la práctica diaria de los
empleados del banco:

La seguridad de la información se practica en las operaciones diarias. La dirección de HDFC


Bank ha transmitido sus expectativas hacia los empleados destacando el principio de tolerancia cero en lo
que respecta a comportamientos inaceptables relacionados con la seguridad de la información, premio al
buen comportamiento, reconocimiento y recompensa para las personas que trabajan correctamente en la
gestión de riesgos, y recordatorios permanentes del lema “Security is incomplete without U” (La segUridad
está incompleta sin Usted). De esta manera, se ha garantizado la práctica de seguridad de la información
en las operaciones diarias.

Las personas respetan la importancia de las políticas y los principios de seguridad de la


información. La cultura de la seguridad se ha gestado a través de constantes esfuerzos por crear
conciencia al respecto. Ahora los empleados comprenden la importancia de la seguridad de la información
y toman las iniciativas afines con absoluta seriedad. La auditoría también ha tenido un rol importante para
hacer cumplir las políticas y los principios de seguridad.
Las personas reciben guías suficientes y pormenorizadas de seguridad de la información
y se les motiva a participar y retar la situación actual de la seguridad de la información.  HDFC Bank
cree que todas las partes interesadas deben comprometerse con los esfuerzos de seguridad. La
introducción de cualquier proceso nuevo implica asegurar una interacción abierta con todas las partes
afectadas. Los temas se debaten en talleres y la aprobación se obtiene por medio de un diálogo de dos
canales, de modo que todos tengan la posibilidad de aclarar las dudas que surjan. Se proporciona
capacitación extensiva para cada iniciativa nueva de seguridad de la información, no exclusivamente al
grupo que trabaja con la seguridad de la información, sino a todas las partes interesadas.

Todos deben rendir cuentas sobre la protección de la información dentro de la empresa. El


grupo de seguridad de la información es responsable de identificar y gestionar el riesgo, mientras que los
directores del negocio son quienes en última instancia deben rendir cuentas. Esto se ha documentado con
claridad en la matriz RACI analizada previamente. De esta forma, todas las partes interesadas se sienten
responsables así como también sienten que deben rendir cuentas sobre la protección de la información
dentro de la empresa.

Las partes interesadas son conscientes de cómo identificar y responder a amenazas a la


empresa. La identificación de amenazas forma parte del entrenamiento que se les da a las partes
interesadas. Se las alienta a comunicar incidentes, por ejemplo, enviar un mensaje por correo electrónico al
ISG sobre correo basura o mal intencionado (phishing) que hayan recibido. La respuesta recibida a diario
por el ISG da cuenta de la enorme conciencia que todos han desarrollado para identificar y comunicar
incidentes.

La dirección respalda y anticipa proactivamente innovaciones en cuanto a seguridad de la


información y comunica esto a la empresa. La empresa es receptiva para dar cuenta de los nuevos
desafíos en materia de seguridad de la información y abordarlos. El ISG está permanentemente
comprometido con la introducción de innovaciones para abordar los desafíos de seguridad de la
información. La dirección brinda su respaldo completo para interactuar con la industria y compartir sus
conocimientos y experiencia con una audiencia mayor, así como para aprender de otros. Este caso de
estudio es un ejemplo de esta apertura.
La dirección del negocio se compromete en una colaboración multifuncional continua a fin
de fomentar la puesta en marcha de programas de seguridad de la información eficientes y
eficaces. La estructura de varios comités es un ejemplo de colaboración multifuncional continua.
Independizar a la seguridad de la información de la función de TI ha ampliado en mayor medida el alcance y
el acceso directo a varios grupos de negocios en toda la organización.

La dirección ejecutiva reconoce el valor de la seguridad de la información para el


negocio. El CISO trabaja en un nivel estratégico y reporta a una persona del banco que tiene un cargo más
jerárquico. Esto ha facultado al CISO a impulsar varias iniciativas de seguridad de la información con una
gran cuota de libertad. Planteado de esta forma, es un buen indicador de reconocimiento de la dirección en
lo que respecta al valor de la seguridad de la información para el negocio.

El liderazgo como factor influyente

Además, el liderazgo en HDFC Bank tiene un rol preponderante en el desarrollo de la cultura de la


seguridad. La participación activa de la dirección ejecutiva y la gestión de las unidades de negocio en los
distintos comités de alto nivel, donde la seguridad de la información es un tema importante de la agenda,
demuestra el compromiso en los niveles gerenciales. La participación de los dirigentes en los ejercicios de
planificación de continuidad del negocio para analizar diferentes escenarios de desastre también
demuestra un profundo compromiso.