BANCO SAN JOSE

CONSULTORIA EN LA ADMINISTRACION DE RIESGOS DE INFORMACION Y DE

TECNOLOGIA DE LA INFORMACION

IDENTIFICACION Y EVALUACION DE RIESGOS DE SEGURIDAD DE LA

INFORMACION Y DE LOS RIESGOS DE TECNOLOGIA DE INFORMACION

SEGURIDAD Y AUDUITORIA DE SISTEMAS DE INFORMACIÓN – Matín figueroa Revilla

 CONTENIDO

Resumen Ejecutivo

I. Objetivo y alcance del trabajo

II. Metodología y procedimientos utilizados

III. Diagnostico de la Situación Actual de la Administración de Riesgos de Información y de Tecnología

de la Información

3.1 Matriz de diagnóstico de la administración de riesgos de Tecnología de Información.

IV. Sub-plan de adecuación

4.1 Desarrollo e implementación del Plan de Seguridad de la Información (PSI)

4.2 Elaboración, prueba y mantenimiento de un Plan de Continuidad de negocios (PCN)
4.3 Proyecto complementario de cumplimiento con la Circular G105-2002

SEGURIDAD Y AUDUITORIA DE SISTEMAS DE INFORMACIÓN – Matín figueroa Revilla

Página 3 Primer entregable

Lima, xx de Junio del xxxx

Señor
xxxxxxxxxxxxxxxxxxxxxxxxxx
Jefe de la Unidad de Riesgos
Banco San José
Presente.-

Estimado Señor xxxx:

En relación a los servicios de consultoría en la administración de riesgos de seguridad de la

información y riesgos de tecnología de información, encargados a nuestra firma mediante el
proceso de Adjudicación Directa Selectiva No 0004-2003 BANCO SAN JOSE., según lo
planteado en nuestra propuesta técnica, especificaciones técnicas del Banco San José, y en base a
las coordinaciones efectuadas con los responsables de su institución, nos es grato adjuntar el
informe relacionado con el mencionado servicio “Fase de Consultoría en la Administración de
Riesgos de Información y de Tecnología de la Información” respectivamente, informe que
presentamos a continuación.

DIAGNÓSTICO DE LA SITUACIÓN ACTUAL DE LA ADMINISTRACIÓN DE RIESGOS

DE INFORMACION Y TECNOLOGÍA DE INFORMACIÓN

Resumen Ejecutivo

Del Plan de Seguridad de Información

De acuerdo al artículo 5 de la Circular G-105-2002 de la Superintendencia de Banca y Seguros, en

adelante SBS, el Banco San José debe contar con un Plan de Seguridad de la Información, en
adelante PSI. Sin embargo, a partir de la información proporcionada por personal del Banco San
José se ha podido establecer que no existe un PSI ni políticas de seguridad de la información.

Si bien existen controles definidos en la Oficina de Sistemas con respecto a la seguridad lógica y
física de los recursos de Tecnología de información (TI) e información en general, estos han sido
establecidos en gran medida por el conocimiento de mejores prácticas de los responsables de cada
una de las plataformas, sin directivas ni guías formales.

Del Plan de Continuidad de Negocios

De acuerdo a los artículos 11, 12 y 13 de la Circular G-105-2002 de la Superintendencia de Banca

y Seguros, el Banco San José debe contar con un Plan de Continuidad de Negocios (PCN) basado
en un análisis de sus procesos críticos de negocio y que contemple procedimientos formales para la
prueba y mantenimiento del mismo. Sin embargo, a partir de la información proporcionada por el
personal del Banco San José indican que no existe un PCN, motivo por el cual en el caso de las
pruebas y mantenimiento de los procesos críticos, no se especifican procedimientos ni responsables
formales para dichas tareas.

SEGURIDAD Y AUDUITORIA DE SISTEMAS DE INFORMACIÓN – Matín figueroa Revilla

Página 4 Primer entregable

El detalle de la evaluación y análisis de brechas se muestra en la siguiente matriz cuyo contenido es

el siguiente:

- Situación actual: Muestra un resumen de la situación encontrada en el Banco San José a partir
de la información relevada durante las entrevistas y de los documentos relevantes entregados a
nuestro equipo.
- Mejores prácticas: Muestra un resumen de nuestras mejores prácticas y los requerimientos
mencionados en la Circular SBS N° G-105-2002 de la SBS motivo del presente proyecto.
- Análisis de brecha: Muestra de manera gráfica la brecha existente entre la situación actual y los
requerimientos de la SBS y nuestras mejores prácticas.

En el siguiente cuadro se detalla la descripción de los gráficos:

Razonablemente Los requerimientos de la Circular G-105-2002 de la SBS están

cubierto razonablemente cubiertos.
Sustancialmente Faltan realizar algunas actividades para cubrir razonablemente los
cubierto requerimientos de la Circular G-105-2002 de la SBS
Parcialmente Se han realizado actividades que cubren parcialmente los
cubierto requerimientos de la Circular G-105-2002 de la SBS.
Limitadamente Se han realizado algunas actividades para cubrir los
Cubierto requerimientos de la Circular G-105-2002 de la SBS.
No cubierto No se ha realizado ninguna actividad relacionada con los
requerimientos de la Circular G-105-2002 de la SBS.

Análisis
Área Evaluada
de Brecha

1. Plan de seguridad de la Información

1.1 Políticas, estándares y procedimientos de seguridad.

1.1.1 Seguridad Lógica

1.1.2 Seguridad de Personal

1.1.3 Seguridad Física y Ambiental

SEGURIDAD Y AUDUITORIA DE SISTEMAS DE INFORMACIÓN – Matín figueroa Revilla

Página 5 Primer entregable

Informe Detallado

El detalle de los proyectos definidos en el Sub-Plan de Adecuación se muestra en el informe

detallado y anexos adjuntos al presente resumen.

En dicho informe se presenta:

- Objetivo y alcance del trabajo.

- Metodología y procedimientos utilizados

- Diagnóstico de la situación actual de la administración de los riesgos de información y

Tecnología de Información

Este informe es para uso exclusivo del Directorio y la Gerencia Mancomunada del Banco San José,
y no debe ser usado con ningún otro propósito.

De usted muy atentamente,

-------------------------------------------
Ing. Jorge Martín Figueroa Revilla

SEGURIDAD Y AUDUITORIA DE SISTEMAS DE INFORMACIÓN – Matín figueroa Revilla

 Página 6 Primer entregable

BANCO SAN JOSE

CONSULTORIA EN LA ADMINISTRACION DE RIESGOS DE INFORMACION Y DE

TECNOLOGIA DE INFORMACION

IDENTIFICACION Y EVALUACION DE RIESGOS DE SEGURIDAD DE LA INFORMACION Y

DE LOS RIESGOS DE TECNOLOGIA DE INFORMACION

I. OBJETIVO Y ALCANCE DEL TRABAJO

El objetivo del trabajo esta dirigido a asesorar al Banco San José en el desarrollo de un Plan de
Acción que les permita contar con una infraestructura para administrar los riesgos de información y
de tecnología de información de acuerdo con las mejores prácticas y cumplir con la normatividad
del organismo regulador.

Es necesario indicar que el Diagnóstico preliminar y el Plan detallado en el presente informe,

deberán ser revisados y evaluados por el Banco San José, así como los esfuerzos que deberá
desplegar para la ejecución de las actividades detalladas en el mismo, y servirán de base para el
informe que el Banco San José presentará a la Superintendencia de Banca y Seguros.

El trabajo implica fundamentalmente una consultoría en la administración de los riesgos de

información y de tecnología de información y esta dirigido a revisar en forma independiente y
objetiva la situación existente relacionada con la administración de los riesgos de información y de
tecnología de información, asimismo la documentación requerida para una adecuada
administración del riesgo, tales como políticas, procedimientos y planes de continuidad del
negocio, entre otros, definidos en la circular G-105-2002 de la SBS, compararla con lo requerido
por la circular y desarrollar el plan para adecuarse a la norma del organismo regulador.

El alcance de esta fase de nuestro trabajo comprende:

- Entendimiento de la situación actual de las siguientes funciones al interior del Área de

Tecnología de Información, en adelante TI:
- Administración del área de TI
- Estructura organizacional
- Políticas y procedimientos para administrar los riesgos de TI
- Subcontratación de recursos.
- Actividades de desarrollo y mantenimiento de sistemas informáticos
- Seguridad de la Información
- Administración de la Seguridad de la Información.
- Aspectos de la seguridad de la información (lógica, personal, física y ambiental)
- Inventario periódico de activos asociados a TI
- Operaciones computarizadas
- Administración de las operaciones y comunicaciones
- Procedimientos de respaldo
- Planeamiento para la continuidad de negocios

SEGURIDAD Y AUDUITORIA DE SISTEMAS DE INFORMACIÓN – Matín figueroa Revilla

 Página 7 Primer entregable

- Prueba del plan de continuidad de negocios

- Entendimiento de la situación actual de los siguientes aspectos:
- Cumplimiento normativo
- Privacidad de la información
- Auditoria de sistemas
- Identificación de las brechas entre la situación actual y lo normado.
- Definición de las actividades necesarias para el cumplimiento de la Circular, el desarrollo
del cronograma y la definición de los funcionarios responsables

La revisión no tiene como objetivo la detección de errores, fraudes, desfalcos u otras

irregularidades que pudieran existir; la Gerencia Mancomunada es la responsable de establecer y
mantener un sistema de control interno adecuado, así como de prevenir y detectar irregularidades y
fraudes.

II. METODOLOGIA

Durante la ejecución del proyecto se utilizó una metodología específica para cada una de las
diferentes fases y etapas del mismo, las cuales aseguran que se contemple la totalidad de los
aspectos relevantes para cada componente de revisión.

La relación de metodología utilizada y el alcance de las mismas se resumen a continuación:

Nombre Alcance
ESA/MAGERIT Metodología para el desarrollo de un modelo de seguridad, que
involucra el diseño de políticas y normas de seguridad.
Metodología utilizada para definir el proyecto del Plan de
Seguridad de la Información.
SMM / BCP Metodología para el desarrollo e implementación de un Plan de
Business Continuity continuidad de negocios utilizada como base para definir el
Planning proyecto de PCN.

La aplicación de estas metodologías permitió desarrollar un trabajo “a la medida” de las

características y necesidades del Banco San José, concentrando esfuerzos en los temas más
significativos.

Nuestras metodologías se basan en un marco global e

integrado definido en los principios Objectives, Risk,
Controls and Alignment (ORCA). ORCA ayuda a las
organizaciones a alinear sus objetivos estratégicos con
sus propios riesgos y controles.

El enfoque ORCA está basado en las recomendaciones

del Informe COSO (Committee of Sponsoring
Organisations of the Treadway Commission) y, en el

SEGURIDAD Y AUDUITORIA DE SISTEMAS DE INFORMACIÓN – Matín figueroa Revilla

 Página 8 Primer entregable

caso de entidades financieras, en los principios de GARP (Generally Accepted Risk Principles).

En el presente capítulo se describen los componentes principales de ORCA.

ORCA se centra en la manera en que las organizaciones, las unidades operativas, los procesos de
negocios o las personas, describen y dan prioridad a sus estrategias y objetivos. ORCA también
está basada en la premisa de que se deben asumir riesgos en la búsqueda de oportunidades y ayuda
a las compañías a planificar los procesos de administración y control de riesgos en respuesta a las
potenciales amenazas y oportunidades. Finalmente, ORCA ayuda a las organizaciones a alinear sus
objetivos estratégicos con sus propios riesgos y controles/procesos.

La implantación de una arquitectura de administración de riesgos representa un cambio rotundo en

la cultura y en la estructura de la organización. Como tal, se debe reconocer que la organización
debe atravesar un proceso típico de administración del cambio. Este proceso incluye ocho
componentes críticos:

• Compromiso de la alta gerencia

• Lenguaje y proceso común
• Un propietario o “sponsor” del proceso de gestión del cambio
• Establecimiento de un proceso para la administración continua del riesgo
• Comunicación, aprendizaje y educación eficaces
• Medición del riesgo
• Refuerzo del proceso de administración de riesgos a través de los mecanismos de recursos
humanos y
• Monitoreo del proceso de administración del riesgo.

III. PROCEDIMIENTOS UTILIZADOS

Durante el desarrollo del trabajo se utilizaron los siguientes procedimientos de trabajo:

• Entrevistas con las siguientes personas del Banco San José:

- Enrique Castillo Jefe de Planeamiento

- Antonio Dávila Jefe de Créditos
- Francisco Vargas Jefe de Operaciones
- José Seminario Jefe de Sistemas

• Revisión y análisis de la información y documentación proporcionada por el personal del Banco

San José.

SEGURIDAD Y AUDUITORIA DE SISTEMAS DE INFORMACIÓN – Matín figueroa Revilla

 Página 9 Primer entregable

IV. DIAGNOSTICO DE LA SITUACION ACTUAL DE LA ADMINISTRACIÓN DE

RIESGOS DE INFORMACION Y DE TECNOLOGIA DE LA INFORMACION

La evaluación de la situación actual de la Administración de riesgos de información y de tecnología

de información, contemplará los siguientes aspectos:

4.1 Plan de seguridad de la información

4.1.1 Políticas, estándares y procedimientos de seguridad
4.1.1.1 Seguridad lógica
4.1.1.2 Seguridad de Personal
4.1.1.3 Seguridad física y ambiental

El detalle de la evaluación y análisis de brechas se mostrará en una matriz, cuyo contenido es el

siguiente:

- Situación actual: Muestra un resumen de la situación encontrada en el Banco San José a partir
de la información relevada durante las entrevistas y de los documentos relevantes entregados a
nuestro equipo.
- Mejores prácticas: Muestra un resumen de nuestras mejores prácticas y los requerimientos
mencionados en la Circular G-105-2002 de la SBS motivo del presente proyecto.
- Análisis de brecha: Muestra de manera gráfica la brecha existente entre la situación actual y los
requerimientos de la SBS y nuestras mejores prácticas.

En el siguiente cuadro se detalla la descripción de los gráficos:

Razonablemente Los requerimientos de la Circular G-105-2002 de la SBS están

cubierto razonablemente cubiertos.
Sustancialmente Faltan realizar algunas actividades para cubrir razonablemente los
cubierto requerimientos de la Circular G-105-2002 de la SBS
Parcialmente Se han realizado actividades que cubren parcialmente los
cubierto requerimientos de la Circular G-105-2002 de la SBS.
Limitadamente Se han realizado algunas actividades para cubrir los
Cubierto requerimientos de la de la Circular G-105-2002 de la SBS.
No cubierto No se ha realizado ninguna actividad relacionada con los
requerimientos de la Circular G-105-2002 de la SBS.

SEGURIDAD Y AUDUITORIA DE SISTEMAS DE INFORMACIÓN – Matín figueroa Revilla

 Página 10 Primer entregable

4.1 PLAN DE SEGURIDAD DE LA INFORMACIÓN

4.1 El Banco San José : Se deberían contemplar los siguientes aspectos:
- Carece de una política de seguridad. - Definición de una política de seguridad.
- No dispone de una evaluación de riesgos ni - Evaluación de riesgos de seguridad a los que
inventario asociado a riesgos de seguridad de la está expuesta la información.
información.
- Inventario de riesgos de seguridad de la
- Existen criterios, procedimientos y acciones información.
específicas no integradas para evitar los riesgos
de información.
- Selección de controles y objetivos de control
para reducir, eliminar y evitar los riesgos
- No cuenta con una selección de controles y identificados, indicando las razones de su
objetivos de control destinados a mitigar dichos inclusión o exclusión
riesgos.
- Plan de implementación de los controles y
- No cuentan con un plan de implementación de procedimientos de revisión periódicos.
los controles y procedimientos de revisión
periódica.
- Mantenimiento de registros adecuados que
permitan verificar el cumplimiento de las
normas, estándares, políticas, procedimientos
y otros definidos por la empresa, así como
mantener pistas de auditoría.

4.1.1 POLÍTICAS, ESTÁNDARES Y PROCEDIMIENTOS DE SEGURIDAD

4.1.1 El Banco San José no cuenta con políticas de La definición de una política de seguridad debería
seguridad formales que indiquen los procedimientos contemplar:
de seguridad a ser adoptados para salvaguardar la
información de posibles pérdidas en la integridad,
- Declaración escrita de la política.
disponibilidad y confidencialidad. - Definición de la propiedad de la Política.

Sin embargo, se ha observado la existencia de algunas

- Políticas debidamente comunicadas.
políticas y controles específicos en distintos aspectos - Autoridad definida para realizar cambios en la
de la seguridad de la Información, los cuales Política.
referenciamos en los siguientes ítems. - Aprobación por el área legal.
- Alineamiento de la política con la
organización.
- Definición de responsabilidades de la
seguridad.
- Confirmación de usuarios de conocimiento de
la política.

SEGURIDAD Y AUDUITORIA DE SISTEMAS DE INFORMACIÓN – Matín figueroa Revilla

 Página 11 Primer entregable

4.1.1.1 SEGURIDAD LÓGICA

4.1.1.1 El Banco San José presenta lo siguiente: La Seguridad Lógica debería contemplar los
siguientes aspectos:
- Carece de procedimientos formales para la - Definición de procedimientos formales para la
administración de perfiles, pero tiene administración de perfiles y usuarios, así
implementado formatos y estándares para la como la revocación de usuarios y
creación de cuentas de nuevos usuarios. procedimientos de revisiones periódicas sobre
los concedidos.
- Cuenta con seguridad de acceso a nivel de los
Sistemas Operativos (Novell y Windows 9X.) y - Identificación única de usuarios.
aplicaciones
- Controles sobre el uso de herramientas de
- Carece de herramientas de auditoria y control de auditoria y utilidades sensibles del sistema.
accesos a nivel de plataforma, base de datos.
- Controles sobre el acceso y uso de los
- Al área de informática solo puede acceder con sistemas y otras instalaciones físicas.
clave personal que labora en ella.
- Controles sobre usuarios remotos y
- Existen conexiones remotas los cuales son computación móvil.
registrados en la red a través de código y clave.
- Administración restringida de los equipos de
acceso remoto y configuración de seguridad
del mismo.

4.2.1.2 SEGURIDAD DE PERSONAL

4.2.1.2 El CMAC Maynas presenta lo siguiente: Se debería considerar:
- Toda selección de personal se realiza por - Procedimientos de revisión de datos en el
concurso, el proceso incluye consulta infocorp, proceso de selección de personal previo a su
examen psicológico y solicitud escrita de contratación (Ex. Referencias de carácter,
antecedentes a anteriores empleadores. No verificación de estudios, revisión de crédito –
incluye verificación de diplomas. si aplica- y revisión independiente de
identidad)
- Se hace entrega al nuevo empleado de el RIT, - Entrega formal de las políticas de manejo de
MOF, Manual de Prevención de lavado de información confidencial a los nuevos
dinero, Código de conducta y 10 reglas de oro. integrantes del CMAC Maynas.

- Carece de documentación formal al respecto. - Definición apropiada de responsabilidad sobre

la seguridad es parte de los términos y
condiciones de la aceptación del empleo
- En opinión del Area de Personal no existe un
(Términos en el contrato).
plan de monitoreo, paralelo a ello los accesos a
la red se dan sin cruce de horarios autorizados. - Difusión de las políticas con respecto al
monitoreo de actividades en la red y sistemas
de información, antes entregar IDs a usuarios.

SEGURIDAD Y AUDUITORIA DE SISTEMAS DE INFORMACIÓN – Matín figueroa Revilla

 Página 12 Primer entregable

4.1.1.2 SEGURIDAD FÍSICA Y AMBIENTAL

4.1.1.2 Adicionalmente se puede mencionar: Se debería considerar los siguientes aspectos:

Áreas seguras Áreas seguras

- Cuenta con controles de acceso a activos físicos - Procedimientos de reubicación de empleados
e instalaciones
- Controles de áreas de carga y descarga.
- Tienen instalado monitoreo del Área de
- Controles físicos de entrada.
Plataforma.
- El movimiento de activos es primero autorizado,
- Seguridad del perímetro físico de las
instalaciones.
luego se comunica al área de logística y
contabilidad. - Procedimientos de Remoción o reubicación de
activos.
- Aseguramiento de oficinas, áreas de trabajo y
facilidades.
Seguridad de equipos Seguridad de Equipos
- Se cumple con un cronograma de prueba de - Aseguramiento de Cableado
alarmas y equipos de control ambiental.
- Se deshabilita puerto Ethernet y cableado
- Acciones y planes de mantenimiento de
equipos
cuando este vacante.

Protección de equipos Protección de equipos

- Cuentan con controles ambientales así como - Normas de seguridad para laptops.
medidas preventivas y correctivas ante
incendios. - Fuentes de poder redundantes.
- Existen conocimientos de las precauciones a - Procedimientos de eliminación o uso reiterado
tomar del personal que trabaja con laptops, pero seguro de equipos de manera segura
no esta formalizado.

Controles generales
Controles generales
- Implantación de protectores de pantalla con
contraseña manual. No está estandarizado. - Política de “mesa limpia”
- Política de “pantallas limpias”

SEGURIDAD Y AUDUITORIA DE SISTEMAS DE INFORMACIÓN – Matín figueroa Revilla