Plan de Seguridad Informatica Tes

Plan de Seguridad Informtica para una Entidad Financiera . Crdova Rodrguez, Norma Edith.
INTRODUCCIN
Los eventos mundiales recientes han generado un mayor sentido de urgencia que antes con respecto a la necesidad de tener mayor seguridad - fsica y de otro tipo. Las empresas pueden haber reforzado las medidas de seguridad, pero nunca se sabe cundo o cmo puede estar expuesta. A fin de brindar la ms completa proteccin empresarial, se requiere de un sistema exhaustivo de seguridad. Es vital implementar un plan de seguridad. Sin embargo, implementar un plan proactivo que indique cmo sobrevivir a los mltiples escenarios tambin preparar a las empresas en el manejo de las amenazas inesperadas que podra afrontar en el futuro. La mayora de las empresas ha invertido tiempo y dinero en la construccin de una infraestructura para la tecnologa de la informacin que soporte su compaa, esa infraestructura de TI podra resultar ser una gran debilidad si se ve comprometida. Para las organizaciones que funcionan en la era de la informtica interconectadas y con comunicacin electrnica, las polticas de informacin bien documentadas que se comunican, entienden e implementen en toda la empresa, son herramientas comerciales esenciales en el entorno actual para minimizar los riesgos de seguridad. Imagine lo que sucedera si:
La informacin esencial fuera robada, se perdiera, estuviera en peligro, fuera alterada o borrada.
Los sistemas de correo electrnico no funcionaran durante un da o ms. Cunto costara esta improductividad?
Los clientes no pudieran enviar rdenes de compra a travs de la red durante un prolongado periodo de tiempo.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Prepararse para mltiples escenarios parece ser la tendencia creciente. En un informe publicado por Giga Information Group con respecto a las tendencias de TI estimadas para el ao 2002, se espera que los ejecutivos corporativos se interesen cada vez ms en la prevencin de desastres fsicos, ciberterrorismo y espionaje de libre competencia. Implementar una poltica de seguridad completa le da valor intrnseco a su empresa. Tambin mejorar la credibilidad y reputacin de la empresa y aumentar la confianza de los accionistas principales, lo que le dar a la empresa una ventaja estratgica.
Cmo desarrollar una poltica de seguridad?
Identifique y evale los activos: Qu activos deben protegerse y cmo protegerlos de forma que permitan la prosperidad de la empresa.
Identifique las amenazas: Cules son las causas de los potenciales problemas de seguridad? Considere la posibilidad de violaciones a la seguridad y el impacto que tendran si ocurrieran.
Estas amenazas son externas o internas:

o
Amenazas externas: Se originan fuera de la organizacin y son los virus, gusanos, caballos de Troya, intentos de ataques de los hackers, retaliaciones de ex-empleados o espionaje industrial.
Amenazas internas: Son las amenazas que provienen del interior de la empresa y que pueden ser muy costosas porque el infractor tiene mayor acceso y perspicacia para saber donde reside la informacin sensible e importante. Las amenazas internas tambin incluyen el uso indebido del acceso a Internet por parte de los empleados, as como los problemas que podran
ocasionar los empleados al enviar y revisar el material ofensivo a travs de Internet.
Evalu los riesgos: ste puede ser uno de los componentes ms desafiantes del desarrollo de una poltica de seguridad. Debe calcularse la probabilidad de que ocurran ciertos sucesos y determinar cules tiene el potencial para causar mucho dao. El costo puede ser ms que monetario - se debe asignar un valor a la prdida de datos, la privacidad, responsabilidad legal, atencin pblica indeseada, la prdida de clientes o de la confianza de los inversionistas y los costos asociados con las soluciones para las violaciones a la seguridad.
Asigne las responsabilidades: Seleccione un equipo de desarrollo que ayude a identificar las amenazas potenciales en todas las reas de la empresa. Sera ideal la participacin de un representante por cada departamento de la compaa. Los principales integrantes del equipo seran el administrador de redes, un asesor jurdico, un ejecutivo superior y representantes de los departamentos de Recursos Humanos y Relaciones Pblicas.
Establezca polticas de seguridad: Cree una poltica que apunte a los documentos asociados; parmetros y procedimientos, normas, as como los contratos de empleados. Estos documentos deben tener informacin especfica relacionada con las plataformas informticas, las plataformas tecnolgicas, las responsabilidades del usuario y la estructura organizacional. De esta forma, si se hacen cambios futuros, es ms fcil cambiar los documentos subyacentes que la poltica en s misma.
Implemente una poltica en toda la organizacin: La poltica que se escoja debe establecer claramente las responsabilidades en cuanto a la seguridad y reconocer quin es el propietario de los sistemas y datos
especficos. Tambin puede requerir que todos los empleados firmen la declaracin; si la firman, debe comunicarse claramente. stas son las tres partes esenciales de cumplimiento que debe incluir la poltica:
o
Cumplimiento: Indique un procedimiento para garantizar el cumplimiento y las consecuencias potenciales por incumplimiento.
Funcionarios de seguridad: Nombre individuos que sean directamente responsables de la seguridad de la informacin. Asegrese de que no es la misma persona que supervisa, implementa o revisa la seguridad para que no haya conflicto de intereses.
Financiacin: Asegrese de que a cada departamento se le haya asignado los fondos necesarios para poder cumplir
adecuadamente con la poltica de seguridad de la compaa.
Administre el programa de seguridad: Establezca los procedimientos internos para implementar estos requerimientos y hacer obligatorio su cumplimiento.
Consideraciones importantes A travs del proceso de elaboracin de una poltica de seguridad, es importante asegurarse de que la poltica tenga las siguientes caractersticas:
Se pueda implementar y hacer cumplir Sea concisa y fcil de entender Compense la proteccin con la productividad
Una vez la poltica se aprueba totalmente, debe hacerse asequible a todos los empleados porque, en ultima instancia, ellos son responsables de su xito. Las polticas deben actualizarse anualmente (o mejor an cada seis meses) para reflejar los cambios en la organizacin o cultura. Se debe mencionar que no debe haber dos polticas de seguridad iguales puesto que cada empresa es diferente y los detalles de la poltica dependen de las necesidades exclusivas de cada una. Sin embargo, usted puede comenzar con un sistema general de polticas de seguridad y luego personalizarlo de acuerdo con sus requerimientos especficos, limitaciones de financiacin e infraestructura existente. Una poltica completa de seguridad de la informacin es un recurso valioso que amerita la dedicacin de tiempo y esfuerzo. La poltica que adopte su empresa brinda una base slida para respaldar el plan general de seguridad. Y una base slida sirve para respaldar una empresa slida.
BANCO ABC En el presente trabajo desarrollaremos el Plan de Seguridad para una entidad financiera a la cual llamaremos el Banco ABC. El Banco ABC es un banco de capital extranjero, tiene 35 agencias a nivel nacional, ofrece todos los productos financieros conocidos, posee presencia en Internet a travs de su pagina web, es un banco mediano cuenta con 500 empleados y es regulado por la Superintendencia de Banca y Seguros.
A lo largo de todo el desarrollo del trabajo describiremos mas en detalle su estructura interna, evaluaremos los riesgos a los cuales estn expuestos, para lo cual se realizara un diagnostico objetivo de la situacin actual y como se deben contrarrestar, para finalmente terminar diseando el Plan de Seguridad y
las principales actividades que deben ejecutarse para la implementacin de las polticas de seguridad.
A continuacin describiremos brevemente la situacin actual de los aspectos ms importantes en la elaboracin del Plan de Seguridad; como son la organizacin, el propio Plan y la adecuacin al Plan. A) Organizacin de seguridad de la informacin
Actualmente el Banco cuenta con un rea de seguridad informtica recientemente constituida, los roles y responsabilidades del rea no han sido formalizados y las tareas desempeadas por el rea se limitan por ahora al control de accesos de la mayora de sistemas del Banco. Algunas tareas correspondientes a la administracin de seguridad son desarrolladas por el rea de sistemas como la administracin de red, firewalls y bases de datos, otras tareas son realizadas directamente por las reas usuarias, y finalmente otras responsabilidades como la elaboracin de las polticas y normas de seguridad, concientizacin de los usuarios, monitoreo de incidentes de seguridad, etc., no han sido asignadas formalmente a ninguna de las reas. En este sentido, en el presente trabajo detallamos los roles y responsabilidades relacionadas a la administracin de seguridad de la informacin que involucra no solamente a miembros de las reas de seguridad informtica y sistemas como administradores de seguridad de informacin y custodios de informacin, sino a los gerentes y jefes de las unidades de negocio como propietarios de informacin, y a los usuarios en general. B) Diseo del plan de seguridad de la informacin
Para el diseo del Plan de seguridad de la informacin se desarrollaran las siguientes etapas:
Evaluacin de riesgos, amenazas y vulnerabilidades
Para la definicin del alcance de las polticas y estndares y con el propsito de identificar las implicancias de seguridad del uso y estrategia de tecnologa, amenazas y vulnerabilidades y nuevas iniciativas del negocio, se desarrollarn un conjunto de entrevistas con las Gerencias del Banco, personal del rea de sistemas, auditoria interna y el rea de seguridad informtica. Producto de la consolidacin de la informacin obtenida en dichas entrevistas se elaborar unas matrices que se presentarn en el captulo N V del presente documento.
Polticas de seguridad de informacin.
Con el objetivo de contar con una gua para la proteccin de informacin del Banco, se elaborarn las polticas y estndares de seguridad de la informacin, tomando en cuenta el estndar de seguridad de informacin ISO 17799, los requerimientos de la Circular N G-105-2002 publicada por la Superintendencia de Banca y Seguros (SBS) sobre Riesgos de Tecnologa de Informacin y las normas establecidas internamente por el Banco. Diseo de arquitectura de seguridad de red.
Con el objetivo de controlar las conexiones de la red del Banco con entidades externas y monitorear la actividad realizada a travs de dichas conexiones, se elaborar una propuesta de arquitectura de red la cual incluye dispositivos de monitoreo de intrusos y herramientas de inspeccin de contenido.
C) Plan de Implementacin
De la identificacin de riesgos amenazas y vulnerabilidades relacionadas con la seguridad de la informacin del Banco, se lograron identificar las actividades ms importantes a ser realizadas por el Banco con el propsito de alinear las medidas de seguridad implementadas para proteger la informacin del Banco, con las Polticas de seguridad y estndares elaborados.
Este plan de alto nivel incluye una descripcin de la actividad a ser realizada, las etapas incluidas en su desarrollo y el tiempo estimado de ejecucin.
El Autor
RESUMEN
La liberalizacin y la globalizacin de los servicios financieros, junto con la creciente sofisticacin de la tecnologa financiera, estn haciendo cada vez ms diversas y complejas las actividades de los bancos en trminos de Seguridad.
En otros tiempos la seguridad de la informacin era fcilmente administrable, slo bastaba con resguardar los documentos ms importantes bajo llave y mantener seguros a los empleados que poseen el conocimiento poniendo guardias de seguridad. Hoy en da es ms difcil.
Los sistemas electrnicos entraron en las oficinas y obligaron a los sistemas de seguridad a evolucionar para mantenerse al da con la tecnologa cambiante. Luego, hace unos 5 aos, los negocios, an las empresas ms pequeas, se conectaron a Internet (una amplia red pblica con pocas reglas y sin guardianes).
De manera similar a otro tipo de crmenes, el cuantificar los gastos y prdidas en seguridad de la informacin o crmenes cibernticos es muy difcil. tiende a minimizar los incidentes por motivos muchas veces justificables. Se
Por otro lado el objetivo fundamental de la seguridad no es proteger los sistemas, sino reducir los riesgos y dar soporte a las operaciones del negocio. La computadora ms segura del mundo es aquella que est desconectada de cualquier red, enterrada profundamente en algn oscuro desierto y rodeada de guardias armados, pero es tambin la ms intil.
La seguridad es slo uno de los componentes de la administracin de riesgos minimizar la exposicin de la empresa y dar soporte a su capacidad de lograr su misin. Para ser efectiva, la seguridad debe estar integrada a los procesos del negocio y no delegada a algunas aplicaciones tcnicas.
Los incidentes de seguridad ms devastadores tienden ms a ser internos que externos. Muchos de estos incidentes involucran a alguien llevando a cabo una actividad autorizada de un modo no autorizado. Aunque la tecnologa tiene cierta ingerencia en limitar esta clase de eventos internos, las verificaciones y balances como parte de los procesos del negocio son mucho ms efectivos.
Las computadoras no atacan a las empresas, lo hace la gente. Los empleados bien capacitados tienen mayores oportunidades de detectar y prevenir los incidentes de seguridad antes de que la empresa sufra algn dao. Pero para que los empleados sean activos, se requiere que entiendan como reconocer, responder e informar los problemas lo cual constituye la piedra angular de la empresa con conciencia de seguridad lo que nosotros llamamos cultura de seguridad.
El presente trabajo describe como se define un Plan de Seguridad para una entidad financiera, empieza por definir la estructura organizacional (roles y funciones), despus pasa a definir las polticas para finalmente concluir con un plan de implementacin o adecuacin a las polticas anteriormente definidas.
ABSTRACT
The liberalization and globalization of the financial services with the increasing sophistication of the financial technology are facing more complex banking activities in terms of security.
Long time ago, security information was easily management, just it was enough guard the more important documents under the keys and placed employees; who has the knowledge; safe, just placing bodyguards; nowadays it is harder. The electronics systems got in the office and made systems security evolved to be updated with the technology changes. Then, 5 years ago, the business; even the small companies were connected to Internet (a public network with few rules and without security).
In a similar way of other kind of crimes, measure security IT expenses and lost or cybernetic crimes are very difficult. People tend to minimize incidents for justifying reasons.
By the other hand, the main objective of IT Security is not to protect the systems; it is to reduce risks and to support the business operations. The most secure computer in the world is which is disconnected form the network, placed deeply in any dark desert and be surrounded by armed bodyguards, but it is also the most useless.
Security is just one of the components of risk management - minimize the exposition of the business and support the capacity of meet his mission. To be effective, security must be integrated through the business process and not delegate to some technical applications.
The more destructive security incidents tend mostly to be internal instead of external. Many of these involve someone taking an authorized activity in a way non-authorized. Although technology has some concern in limit these kind of internal events, the verifications and balances as part of the business process are more effective.
Computers does not attack enterprises, people do it. Employees with knowledge have more opportunities to detect and prevent security incidents before the enterprises suffer a damage. But to make employees more concern, we need that they understand, reply and inform security incidents which is the most important thing inside the enterprise with security concern, which is called security culture.
The present work describes how you can define a Security Plan for a financial enterprise, begin defining define the the Organizational policies and structure finally (roles with and the
responsibilities),
then
ends
Implementation Plan which are the activities to meet the policies before mentioned.
Captulo I
OBJETIVOS Y ALCANCES
1.1
Objetivos
El objetivo del presente trabajo es realizar un diagnostico de la situacin actual en cuanto a la seguridad de informacin que el Banco ABC actualmente administra y disear un Plan de Seguridad de la Informacin (PSI) que permita desarrollar operaciones seguras basadas en polticas y estndares claros y conocidos por todo el personal del Banco. Adicionalmente, el presente trabajo contempla la definicin de la estrategia y los proyectos ms importantes que deben ser llevados a cabo para culminar con el Plan de Implementacin.
La
reglamentacin que elabor la SBS con respecto a los riesgos de
tecnologa forma parte de un proceso de controles que se irn implementando, tal como lo muestra el grfico siguiente, los primeros controles fueron enfocados hacia los riesgos propios del negocio (financieros y de capital), y l ultima en ser reglamentado es el que nos aboca hoy, que es el diseo de un Plan de Seguridad Informtica (PSI) para esta entidad financiera.
Grfico de Evolucin de las regulaciones de la Superintendencia de Banca y Seguros
Riesgos Financieros
Riesgos de Negocios
Riesgos de Operaciones
Estructura Rentabilidad Adec. Capital De Crdito De liquidez De Tasa de Inters De Mercado De Moneda
Riesgo de Poltica Riesgo Pas Riesgo Sistmico Riesgo Poltico Riesgo de Crisis Bancarias Otros
Procesos Tecnologa Personas Eventos
1.
Plan de Seguridad Informtica PSI
Captulo II
METODOLOGA Y PROCEDIMIENTOS UTILIZADOS
2.1 Metodologa ESA La estrategia empleada para la planificacin y desarrollo del presente trabajo, est basada en la metodologa Enterprise Security Arquitecture (ESA) para el diseo de un modelo de seguridad, como marco general establece el diseo de polticas, normas y procedimientos de seguridad para el posterior desarrollo de controles sobre la informacin de la empresa.
Visin y Estrategia de Seguridad

Compromis de o la Alta Gerencia
Iniciativas & P r o c e s o s de Negocios Estratega d e Tecnologa & Uso
Amenazas
Evaluacin de Riesgo & Vulnerabilidad
Poltica Modelo de Seguridad

Arquitectura de Seguridad & Estndares Tecnicos Guas y Procedimientos Adminitrativos y de Usuario Final Procesos de Ejecucin Procesos de Monitoreo Procesos de Recuperacon
E s t r u c t u r a de Administracin de S e g u r i d a d de I n f o r m a c i n
En el desarrollo del trabajo se utilizaron los siguientes procedimientos de trabajo:
P r o g r a m de a E n t r e n a m i e ny to Concientizacin
1. Entrevistas para la identificacin de riesgos amenazas y vulnerabilidades de la organizacin con el siguiente personal de la empresa:
Gerente de Divisin de Negocios. Gerente de Divisin de Riesgos Gerente de Divisin de Administracin y Operaciones Gerente de Divisin de Finanzas Gerente de Divisin de Negocios Internacionales Gerente de Negocios Internacionales Gerente de Asesora Legal Auditor de Sistemas Gerente de Sistemas Gerente Adjunto de Seguridad Informtica Asistente de Seguridad Informtica
2. Definicin y discusin de la organizacin del rea de seguridad informtica.
3. Elaboracin de las polticas de seguridad de informacin del Banco tomando como referencia el estndar para seguridad de informacin ISO 17799, los requerimientos de la Circular N G-105-2002 publicada por la Superintendencia de Banca y Seguros (SBS) sobre Riesgos de Tecnologa de Informacin y las normas internas del Banco referidas a la seguridad de informacin.
4. Evaluacin de la arquitectura de red actual y diseo de una propuesta de arquitectura de red.
Captulo III
DIAGNSTICO DE LA SITUACIN ACTUAL DE LA ADMINISTRACIN DE LA SEGURIDAD DE INFORMACIN
3.1
Evaluacin
Efectuada nuestra revisin de la administracin de riesgos de tecnologa de informacin del Banco hemos observado que el Plan de Seguridad de Informacin (PSI) no ha sido desarrollado. Si bien hemos observado la existencia de normas, procedimientos y controles que cubren distintos aspectos de la seguridad de la informacin, se carece en general de una metodologa, gua o marco de trabajo que ayude a la identificacin de riesgos y determinacin de controles para mitigar los mismos.
Dentro de los distintos aspectos a considerar en la seguridad de la Informacin, se ha podido observar que se carece de Polticas de seguridad de la Informacin y de una Clasificacin de Seguridad de los activos de Informacin del Banco. Cabe mencionar que se ha observado la existencia de controles, en el caso de la Seguridad Lgica, sobre los accesos a los sistemas de informacin as como procedimientos establecidos para el otorgamiento de dichos accesos. De igual manera se ha observado controles establecidos con respecto a la seguridad fsica y de personal.
Sin embargo, estos controles no obedecen a una definicin previa de una Poltica de Seguridad ni de una evaluacin de riesgos de seguridad de la informacin a nivel de todo el Banco. Los controles establecidos a la fecha son producto de evaluaciones particulares efectuadas por las reas involucradas o bajo cuyo mbito de responsabilidad recae cierto aspecto de la seguridad.
3.2 Alcances El alcance del diagnstico de la situacin de administracin del riesgo de Tecnologa de Informacin, en adelante TI, comprende la revisin de las siguientes funciones al interior del rea de sistemas:
Administracin del rea de Tecnologa de Informacin
- Estructura organizacional Funcin de seguridad a dedicacin exclusiva
- Polticas y procedimientos para administrar los riesgos de TI - Subcontratacin de recursos.

Actividades de desarrollo y mantenimiento de sistemas informticos Seguridad de la Informacin
- Administracin de la Seguridad de la Informacin. - Aspectos de la seguridad de la informacin (lgica, personal y fsica y ambiental) - Inventario peridico de activos asociados a TI
Operaciones computarizadas
- Administracin de las operaciones y comunicaciones - Procedimientos de respaldo - Planeamiento para la continuidad de negocios Prueba del plan de continuidad de negocios
Asimismo, comprende la revisin de los siguientes aspectos:

Cumplimiento normativo Privacidad de la informacin Auditoria de sistemas
El siguiente cuadro muestra el grado de cumplimiento en los aspectos relacionados a la adecuacin del Plan de Seguridad:
Aspectos Evaluados
1 2 2.1 2.1.1.
Grado de Cumplimiento
Estructura de la seguridad de la Informacin Plan de seguridad de la Informacin Polticas, estndares y procedimientos de seguridad. Seguridad Lgica Seguridad de Personal Seguridad Fsica y Ambiental Clasificacin de Seguridad Administracin de las operaciones y comunicaciones Desarrollo y mantenimiento de sistemas informticos Procedimientos de respaldo Plan de continuidad de negocios Planeamiento para la Continuidad de Negocios Criterios para el diseo e implementacin del Plan de continuidad de Negocios
2.1.2 2.1.3
2.1.4 3 4 5 6 6.1
6.2
6.3 7 8 9 10
Prueba del Plan de Continuidad de Negocios Subcontratacin Cumplimiento normativo Privacidad de la informacin Auditoria de Sistemas
Una descripcin mas detallada de los aspectos evaluados pueden ser encontrados en el Anexo C.
Captulo IV
SEGURIDAD DE LA INFORMACIN ROLES Y ESTRUCTURA ORGANIZACIONAL
4.1
Situacin actual
La administracin de seguridad de informacin se encuentra distribuida principalmente entre las reas de sistemas y el rea de seguridad informtica. En algunos casos, la administracin de accesos es realizada por la jefatura o gerencia del rea que utiliza la aplicacin.
Las labores de seguridad realizadas actualmente por el rea de seguridad informtica son las siguientes: Creacin y eliminacin de usuarios Verificacin y asignacin de perfiles en las aplicaciones
Las labores de seguridad realizadas por el rea de sistemas son las siguientes: Control de red Administracin del firewall Administracin de accesos a bases de datos
Las funciones de desarrollo y mantenimiento de polticas y estndares de seguridad no estn definidas dentro de los roles de la organizacin. Cabe mencionar que el acceso con privilegio administrativo al computador central es restringido, el rea de seguridad informtica define una contrasea, la cual es enviada a la oficina de seguridad (Gerencia de Administracin) en un sobre cerrado, en caso de necesitarse acceso con dicho privilegio, la contrasea puede ser obtenida por el gerente de sistemas o el jefe de soporte
tcnico y produccin, solicitando el sobre a la oficina de seguridad. Luego deben realizar un informe sobre la actividad realizada en el computador central. 4.2 ROLES Y RESPONSABILIDADES DE LA ESTRUCTURA ORGANIZACIONAL DE SEGURIDAD DE INFORMACIN El rea organizacional encargada de la administracin de seguridad de informacin debe soportar los objetivos de seguridad de informacin del Banco. Dentro de sus responsabilidades se encuentran la gestin del plan de seguridad de informacin as como la coordinacin de esfuerzos entre el personal de sistemas y los empleados de las reas de negocios, siendo stos ltimos los responsables de la informacin que utilizan. Asimismo, es responsable de promover la seguridad de informacin a lo largo de la organizacin con el fin de incluirla en el planeamiento y ejecucin de los objetivos del negocio.
Es importante mencionar que las responsabilidades referentes a la seguridad de informacin son distribuidas dentro de toda la organizacin y no son de entera responsabilidad del rea de seguridad informtica, en ese sentido existen roles adicionales que recaen en los propietarios de la informacin, los custodios de informacin y el rea de auditoria interna. Los propietarios de la informacin deben verificar la integridad de su informacin y velar por que se mantenga la disponibilidad y confidencialidad de la misma.
Los custodios de informacin tienen la responsabilidad de monitorear el cumplimiento de las actividades encargadas y el rea de auditoria interna debe monitorear el cumplimiento de la poltica de seguridad y el cumplimiento adecuado de los procesos definidos para mantener la seguridad de informacin.
A continuacin presentamos los roles y responsabilidades relacionadas a la administracin de seguridad de informacin: rea de Seguridad Informtica. El rea organizacional encargada de la administracin de seguridad de informacin tiene como responsabilidades:
Establecer y documentar las responsabilidades de la organizacin en cuanto a seguridad de informacin.
Mantener la poltica y estndares de seguridad de informacin de la organizacin.
Identificar objetivos de seguridad y estndares del Banco (prevencin de virus, uso de herramientas de monitoreo, etc.)
Definir metodologas y procesos relacionados a la seguridad de informacin. Comunicar aspectos bsicos de seguridad de informacin a los empleados del Banco. Esto incluye un programa de concientizacin para comunicar aspectos bsicos de seguridad de informacin y de las polticas del Banco.
Desarrollar controles para las tecnologas que utiliza la organizacin. Esto incluye el monitoreo de vulnerabilidades documentadas por los proveedores.
Monitorear el cumplimiento de la poltica de seguridad del Banco. Controlar e investigar incidentes de seguridad o violaciones de seguridad. Realizar una evaluacin peridica de vulnerabilidades de los sistemas que conforman la red de datos del Banco.
Evaluar aspectos de seguridad de productos de tecnologa, sistemas o aplicaciones utilizados en el Banco.
Asistir a las gerencias de divisin en la evaluacin de seguridad de las iniciativas del negocio.
Verificar que cada activo de informacin del Banco haya sido asignado a un propietario el cual debe definir los requerimientos de seguridad como
polticas de proteccin, perfiles de acceso, respuesta ante incidentes y sea responsable final del mismo.
Administrar un programa de clasificacin de activos de informacin, incluyendo la identificacin de los propietarios de las aplicaciones y datos.
Coordinacin de todas las funciones relacionadas a seguridad, como seguridad fsica, seguridad de personal y seguridad de informacin almacenada en medios no electrnicos.
Desarrollar y administrar el presupuesto de seguridad de informacin. Reportar peridicamente a la gerencia de Administracin y Operaciones. Administracin de accesos a las principales aplicaciones del Banco. Elaborar y mantener un registro con la relacin de los accesos de los usuarios sobre los sistemas y aplicaciones del Banco y realizar revisiones peridicas de la configuracin de dichos accesos en los sistemas.
Controlar aspectos de seguridad en el intercambio de informacin con entidades externas.
Monitorear la aplicacin de los controles de seguridad fsica de los principales activos de informacin.
Custodio de Informacin: Es el responsable de la administracin diaria de la seguridad en los sistemas de informacin y el monitoreo del cumplimiento de las polticas de seguridad en los sistemas que se encuentran bajo su administracin. Sus responsabilidades son:

Administrar accesos a nivel de red (sistema operativo). Administrar accesos a nivel de bases de datos. Administrar los accesos a archivos fsicos de informacin almacenada en medios magnticos (diskettes, cintas), pticos (cds) o impresa.
Implementar controles definidos para los sistemas de informacin, incluyendo investigacin e implementacin de actualizaciones de seguridad
de los sistemas (service packs, fixes, etc.) en coordinacin con el rea de seguridad informtica.

Desarrollar procedimientos de autorizacin y autenticacin. Monitorear el cumplimiento de la poltica y procedimientos de seguridad en los activos de informacin que custodia.
Investigar brechas e incidentes de seguridad. Entrenar a los empleados en aspectos de seguridad de informacin en nuevas tecnologas o sistemas implantados bajo su custodia.
Asistir y administrar los procedimientos de backup, recuperacin y plan de continuidad de sistemas.
Usuario: Las responsabilidades de los usuarios finales, es decir, aquellas personas que utilizan informacin del Banco como parte de su trabajo diario estn definidas a continuacin:

Mantener la confidencialidad de las contraseas de aplicaciones y sistemas. Reportar supuestas violaciones de la seguridad de informacin. Asegurarse de ingresar informacin adecuada a los sistemas. Adecuarse a las polticas de seguridad del Banco. Utilizar la informacin del Banco nicamente para los propsitos autorizados.
Propietario de Informacin: Los propietarios de informacin son los gerentes y jefes de las unidades de negocio, los cuales, son responsables de la informacin que se genera y se utiliza en las operaciones de su unidad. Las reas de negocios deben ser conscientes de los riesgos de tal forma que sea posible tomar decisiones para disminuir los mismos. Entre las responsabilidades de los propietarios de informacin se tienen:
Asignar los niveles iniciales de clasificacin de informacin.
Revisin peridica de la clasificacin de la informacin con el propsito de verificar que cumpla con los requerimientos del negocio.
Asegurar que los controles de seguridad aplicados sean consistentes con la clasificacin realizada.
Determinar los criterios y niveles de acceso a la informacin. Revisar peridicamente los niveles de acceso a los sistemas a su cargo. Determinar los requerimientos de copias de respaldo para la informacin que les pertenece.
Tomar las acciones adecuadas en caso de violaciones de seguridad. Verificar peridicamente la integridad y coherencia de la informacin producto de los procesos de su rea.
Auditoria Interna: El personal de auditoria interna es responsable de monitorear el cumplimiento de los estndares y guas definidas en las polticas internas. Una estrecha relacin del rea de auditoria interna con el rea de seguridad informtica es crtica para la proteccin de los activos de informacin. Por lo tanto dentro del plan anual de evaluacin del rea de auditoria interna se debe incluir la evaluacin peridica de los controles de seguridad de informacin definidos por el Banco. Auditoria interna debe colaborar con el rea de seguridad informtica en la identificacin de amenazas y vulnerabilidades referentes a la seguridad de informacin del Banco. 4.3 ORGANIZACIN DEL AREA DE SEGURIDAD INFORMTICA PROPUESTA Dado el volumen de operaciones y la criticidad que presenta la informacin para el negocio del Banco y tomando en cuenta las mejores prcticas de la industria, es necesaria la existencia de un rea organizacional que administre la seguridad informtica. Como requisito indispensable, esta rea debe ser
independiente de la Gerencia de Sistemas, la cual en muchos casos es la ejecutora de las normas y medidas de seguridad elaboradas.
Este proceso de independizacin de la administracin de la seguridad del rea de sistemas ya fue iniciado por el Banco al crear el rea de seguridad informtica, la cual, reporta a la Gerencia de divisin de Administracin y Operaciones.
Considerando la falta de recursos con el perfil requerido que puedan ser rpidamente reasignados, el proceso de entendimiento y asimilacin de las responsabilidades, los roles definidos correspondientes al rea de seguridad informtica, y la necesidad de implementar un esquema adecuado de seguridad, proponemos definir una estructura organizacional de seguridad transitoria en la cual se crear un comit de coordinacin de seguridad de la informacin para la definicin de los objetivos del rea y el monitoreo de las actividades de la misma.
El comit de coordinacin de seguridad de la informacin, estar conformado por las siguientes personas:

Gerente de divisin de Administracin y Operaciones (presidente del
comit). Jefe del rea de seguridad informtica (responsable del comit). Gerente de Sistemas. Auditor de Sistemas. Jefe del departamento de Riesgo Operativo y Tecnolgico.
Comit de Coordinacin de Seguridad de la Informcin
Gerente de Administracin y Operaciones
Seguridad Informtica
Sistemas
Contralora General
Operaciones
Recursos Humanos
Administracin
Fig. 1: Estructura organizacional transitoria propuesta para la administracin de la seguridad de informacin.
Gerente de Divisin de Administracin y Operaciones (Presidente del Comit)
Gerente de Sistemas
Jefe de Departamente de Riesgo Operativo y Tecnolgico
Auditor de Sistemas
Jefe de Seguridad Informtica (Responsable)
Fig. 2: Organizacin del Comit de coordinacin de Seguridad de la Informacin.
Este comit, determinar el gradual traslado de las responsabilidades de seguridad al rea de seguridad informtica, monitorear las labores realizadas por el rea, colaborando a su vez con el entendimiento de la plataforma tecnolgica, los procesos del negocio del Banco y la planificacin inicial de actividades que desarrollar el rea a corto plazo.
El comit de coordinacin deber reunirse con una frecuencia quincenal, con la posibilidad de convocar reuniones de emergencia en caso de existir alguna necesidad que lo amerite.
Es importante resaltar que luego que el rea de seguridad informtica haya logrado una asimilacin de sus funciones, un entendimiento de los procesos del negocio del Banco y una adecuada interrelacin con las gerencias de las distintas divisiones del Banco, el jefe de rea de seguridad informtica debe reportar directamente al Gerente de divisin de Administracin y Operaciones, convirtindose el comit de coordinacin de seguridad informtica, en un ente consultivo, dejando la labor de monitoreo a la gerencia de divisin.
Captulo V
EVALUACIN DE RIESGOS, AMENAZAS Y VULNERABILIDADES
Con el propsito de obtener un adecuado entendimiento de la implicancia que tiene el uso de tecnologa, las amenazas y vulnerabilidades, as como las iniciativas del negocio sobre la seguridad de la informacin del Banco, se efectuaron entrevistas, de las cuales se obtuvo las siguientes tres matrices, que nos muestran la implicancia en seguridad que presentan cada uno de los factores mencionados anteriormente, as como el estndar o medida a aplicar para minimizar los riesgos correspondientes. 5.1 Matriz de uso y estrategia de tecnologa Esta matriz muestra la tecnologa utilizada actualmente por el Banco y los cambios estratgicos planificados que impactan en ella, las implicancias de seguridad asociadas al uso de tecnologa y los estndares o medidas propuestas para minimizar los riesgos generados por la tecnologa empleada.
Tecnologa Actual Windows NT, Windows 2000
Implicancia de seguridad
Estndar o medida de seguridad a aplicar
Se debe contar con controles de acceso adecuados a la data y sistemas soportados por el Sistema Operativo.
Estndar de mejores prcticas de seguridad para Windows NT Estndar de mejores prcticas de seguridad para Windows 2000.
Tecnologa OS/400
Implicancia de seguridad Se debe contar con controles de acceso adecuados a la data y sistemas soportados por el computador Central. Los controles que posee este servidor deben ser lo ms restrictivos posibles pues es el blanco potencial de la mayora de intentos de acceso no autorizado.
Estndar o medida de seguridad a aplicar Estndar de mejores prcticas de seguridad para OS/400.
Base de datos SQL Server
Se debe contar con controles de acceso a informacin de los sistemas que soportan el negocio de la Compaa.
Estndar de mejores prcticas de seguridad para bases de datos SQL Server.
Banca electrnica a travs de Internet.
El servidor Web se encuentra en calidad de "hosting" en Telefnica Data, se debe asegurar que el equipo cuente con las medidas de seguridad necesarias, tanto fsicas como lgicas.
Estndares de encripcin de informacin transmitida.
Clusulas de confidencialidad y delimitacin de responsabilidades en contratos con proveedores.
La transmisin de los datos es realizada a travs de un medio pblico (Internet), se debe contar con medidas adecuadas para mantener
Acuerdos de nivel de servicios con proveedores, en los cuales se detalle el
Tecnologa
Implicancia de seguridad la confidencialidad de la informacin (encripcin de la data). El servidor Web que es accedido por los clientes puede ser blanco potencial de actividad vandlica con el propsito de afectar la imagen del Banco. La disponibilidad del sistema es un factor clave para el xito del servicio. Transmisin de informacin por medios pblicos sin posibilidad de proteccin adicional. Imposibilidad de mantener la confidencialidad de las operaciones con el proveedor del servicio telefnico. Posibilidad de obtencin de nmeros de tarjeta y contraseas del canal de transmisin telefnico.
Estndar o medida de seguridad a aplicar porcentaje mnimo de disponibilidad del sistema. Evaluacin independiente de la seguridad del servidor que brinda el servicio, o acreditacin de la misma por parte del proveedor.
Banca telefnica
Establecimiento de lmites adecuados a las operaciones realizadas por va telefnica. Posibilidad de registrar el nmero telefnico origen de la llamada. Controles en los sistemas de grabacin de llamadas telefnica. Evaluar la posibilidad de notificar al cliente de manera automtica e inmediata luego de realizada la operacin.
Tecnologa Sistema Central Core Bancario
Implicancia de seguridad El sistema central es el sistema que soporta gran parte de los procesos del negocio del Banco, por lo tanto, todo acceso no autorizado al servidor representa un riesgo potencial para el negocio.
Estndar o medida de seguridad a aplicar Estndar de mejores prcticas de seguridad para OS/400. Revisin peridica de los accesos otorgados a los usuarios del sistema. Monitoreo peridico de la actividad realizada en el servidor. Verificacin del control dual de aprobacin en transacciones sensibles.
MIS (Management Information System)
El acceso a repositorios de informacin sensible debe ser restringido adecuadamente.
Estndares de seguridad de Windows 2000, bases de datos.
Adecuados controles de acceso y otorgamiento de perfiles a la aplicacin.
Desarrollo de aplicaciones para las unidades de negocio, en periodos muy cortos.
Los proyectos de desarrollo en periodos muy cortos, comprenden un acelerado desarrollo de sistemas; la aplicacin de medidas de seguridad, debera encontrarse incluida en el desarrollo del proyecto.
Estndar de mejores prcticas de seguridad para Windows 2000, OS/400.
Metodologa para el desarrollo de aplicaciones.
Procedimientos de
Tecnologa
Implicancia de seguridad El tiempo de pase a produccin de un nuevo sistema que soportar un producto estratgico, es muy importante para el xito del negocio, lo cual puede originar que no se tomen las medidas de seguridad necesarias antes del pase a produccin de los nuevos sistemas.
Estndar o medida de seguridad a aplicar control de cambios. Evaluacin de requerimientos de seguridad de los sistemas antes de su pase a produccin. Estndar de mejores prcticas de seguridad para aplicaciones distribuidas.
Computadoras personales.
Se debe contar con adecuados controles de acceso a informacin existente en computadoras personales.
Concientizacin y entrenamiento de los usuarios en temas de seguridad de la informacin.
Se requieren adecuados controles de accesos a la informacin de los sistemas desde las computadoras personales de usuarios.
Implementacin de mayores controles de seguridad para computadoras personales.
La existencia de diversos sistemas operativos en el parque de computadores personales, tales como, Windows 95, Windows 98, Windows NT, Windows
Finalizacin del proyecto de migracin de la plataforma de computadoras personales al sistema operativo Windows 2000
Tecnologa
Implicancia de seguridad 2000 Professional, Windows XP, impide estandarizar la configuracin de los sistemas. Debe existir un control sobre los dispositivos que pudieran facilitar fuga de informacin (disqueteras, grabadoras de cd's, impresoras personales, etc.) Se debe controlar y monitorear las aplicaciones y sistemas instalados en las PCs
Estndar o medida de seguridad a aplicar y Windows XP. Estndares de mejores prcticas de seguridad para estaciones de trabajo. Actualizacin peridica de inventarios del software instalado. Monitoreo peridico de carpetas compartidas. Monitoreo de actividad de los usuarios, sistemas de deteccin de intrusos.
Correo electrnico
Posibilidad de interceptacin no autorizada de mensajes de correo electrnico.
Se debe contar con estndares de encripcin para los mensajes de correo electrnico que contengan informacin confidencial.
Riesgo de acceso no autorizado a informacin del servidor.
Estndares de mejores prcticas de seguridad para Windows NT y Lotus Notes.
Posibilidad de utilizacin de recursos por parte de personas no autorizadas, para enviar correo
Configuracin de anti-
Tecnologa
Implicancia de seguridad electrnico a terceros (relay no autorizado). Posibilidad de recepcin de correo inservible (SPAM).
Estndar o medida de seguridad a aplicar relay. Implementacin de un sistema de seguridad del contenido SMTP. Polticas de seguridad. Estndares de mejores prcticas de seguridad para servidores Windows NT, Windows 2000, correo electrnico, servidores Web y equipos de comunicaciones. Delimitacin de responsabilidades referentes a la seguridad de informacin en contratos con proveedores. Mejores prcticas de seguridad para configuracin de Firewalls. Diseo e implementacin de una arquitectura de seguridad de
Conexin a Internet y redes pblicas / Firewall.
Riesgos de accesos no autorizados desde Internet y redes externas hacia los sistemas del Banco.
Adecuado uso del acceso a Internet por parte de los usuarios.
Los dispositivos que permiten controlar accesos, tales como, firewalls, servidores proxy, etc. Deben contar con medidas de seguridad adecuadas para evitar su manipulacin por personas no autorizadas.
Riesgo de acceso no autorizado desde socios de negocios hacia los sistemas de La Compaa.
Tecnologa
Implicancia de seguridad
Estndar o medida de seguridad a aplicar red.Utilizacin de sistemas de deteccin de intrusos. Especificacin de acuerdos de nivel de servicio con el proveedor. Controles y filtros para el acceso a Internet.
En Proyecto Cambios en la infraestructura de red. Los cambios en la infraestructura de red pueden generar nuevas puertas de entrada a intrusos si los cambios no son realizados con una adecuada planificacin. Una falla en la configuracin de equipos de comunicaciones puede generar falta de disponibilidad de sistemas. Un diseo de red inadecuado puede facilitar el ingreso no autorizado a la red de datos. Software de Riesgo de acceso no Estndar de seguridad Elaboracin de una arquitectura de red con medidas de seguridad adecuadas. Establecer controles de acceso adecuados a la configuracin de los equipos de comunicaciones. Plan de migracin de infraestructura de red.
Tecnologa administracin remota de PCs y servidores.
Implicancia de seguridad autorizado a las consolas de administracin y agentes de administracin remota.
Estndar o medida de seguridad a aplicar para Windows NT Estndar de seguridad para Windows 2000 Estndar de seguridad para Windows XP Controles de acceso adecuados a las consolas y agentes de administracin remota. Establecimiento de adecuados procedimientos para tomar control remoto de PCs o servidores. Adecuada configuracin del registro (log) de actividad realizada mediante administracin remota.
Migracin de servidores Windows NT Server a Windows 2000 Server.
Posibilidad de error en el traslado de los usuarios y permisos de acceso a los directorios de los nuevos servidores.
Estndares de seguridad para Windows 2000. Procedimientos de control de cambios. Plan de migracin a Windows 2000. Polticas de seguridad.
Posibilidad de existencia de vulnerabilidades no conocidas anteriormente.
Tecnologa Implantacin de Datawarehouse.
Implicancia de seguridad Informacin sensible almacenada en un repositorio centralizado, requiere de controles de acceso adecuados. La disponibilidad del sistema debe ser alta para no afectar las operaciones que soporta.
Estndar o medida de seguridad a aplicar Estndares de Seguridad para Windows 2000. Estndar de seguridad en bases de datos SQL. Plan de implantacin de Datawarehouse. Procedimientos para otorgamiento de perfiles. Polticas de seguridad.
5.2 Matriz de Evaluacin de Amenazas y Vulnerabilidades En esta matriz se muestra los riesgos y amenazas identificadas, las implicancias de seguridad y los estndares o medidas de seguridad necesarias para mitigar dicha amenaza.
Amenaza / Vulnerabilidad Riesgos/ Amenazas Inters en obtener informacin estratgica del Banco, por parte de competidores de negocio.
Implicancia de Seguridad
La existencia de informacin atractiva para competidores de negocio tales como informacin de clientes e informacin de marketing implica la aplicacin de controles adecuados para el
Estndares de seguridad para servidores Windows 2000, Windows NT y OS/400.
Control de acceso a las aplicaciones del Banco. Revisin y depuracin
Amenaza / Vulnerabilidad
Implicancia de Seguridad acceso a informacin.
Estndar o medida de seguridad a aplicar peridica de los accesos otorgados. Restricciones en el manejo de informacin enviada por correo electrnico hacia redes externas, extrada en disquetes o cds e informacin impresa. Verificacin de la informacin impresa en reportes, evitar mostrar informacin innecesaria en ellos. Polticas de seguridad. Estndares de seguridad para Windows NT, Windows 2000, OS/400 y bases de datos SQL. Controles de accesos a los mens de las aplicaciones. Revisiones peridicas de los niveles de accesos de los usuarios. Evaluacin peridica de la integridad de la
Inters en obtener beneficios econmicos mediante actividad fraudulenta.
Debido al volumen de dinero que es administrado por es administrado por una entidad financiera, la amenaza de intento de fraude es una posibilidad muy tentadora tanto para personal interno del
Banco, as como para personal externo.
Estndar o medida de seguridad a aplicar informacin por parte del propietario de la misma. Revisiones peridicas de los registros (logs) de los sistemas y operaciones realizadas. Mejores prcticas para configuracin de firewalls, servidores y equipos de comunicaciones.
Actividad vandlica realizada por hackers o crackers
La actividad desarrollada por hackers o crackers de sistemas, puede afectar la disponibilidad, integridad y confidencialidad de la informacin del negocio. Estos actos vandlicos pueden ser desarrollados por personal interno o externo al Banco.
Estndares de seguridad para servidores Windows 2000.
Estndares de seguridad para servidores Windows NT.
Delimitacin de responsabilidades y sanciones en los contratos con proveedores de servicios en calidad de hosting.
Adicionalmente si dicha actividad es realizada contra equipos que proveen servicios a los clientes (pgina Web del banco) la imagen y
Verificacin de evaluaciones peridicas o certificaciones de la seguridad de los
Implicancia de Seguridad reputacin del Banco se podra ver afectada en un grado muy importante.
Estndar o medida de seguridad a aplicar sistemas en calidad de hosting. Concientizacin y compromiso formal de los usuarios en temas relacionados a la seguridad de informacin. Polticas de Seguridad. Adecuada arquitectura e implementacin del sistema antivirus. Verificacin peridica de la actualizacin del antivirus de computadoras personales y servidores. Generacin peridica de reportes de virus detectados y actualizacin de antivirus.
Prdida de informacin producto de infeccin por virus informtico.
El riesgo de prdida de informacin por virus informtico es alto si no se administra adecuadamente el sistema Antivirus y los usuarios no han sido concientizados en seguridad de informacin
Fuga de informacin a travs del personal que ingresa de manera temporal
Los accesos otorgados al personal temporal deben ser controlados adecuadamente, asimismo la actividad realizada por
Control adecuado de los accesos otorgados. Depuracin peridica de accesos otorgados a los sistemas.
Amenaza / Vulnerabilidad en sustitucin de empleados en vacaciones.
Implicancia de Seguridad los mismos en los sistemas debe ser peridicamente monitoreada. El personal temporal podra realizar actividad no autorizada, la cual podra ser detectada cuando haya finalizado sus labores en el Banco.
Estndar o medida de seguridad a aplicar Restricciones en acceso a correo electrnico y transferencia de archivos hacia Internet. Adecuada configuracin y revisin peridica de los registros (logs) de aplicaciones y sistema operativo.
Vulnerabilidades No se cuenta con un inventario de perfiles de acceso a las aplicaciones. El control sobre la actividad de los usuarios en los sistemas es llevado a cabo en muchos casos, mediante perfiles de usuarios controlando as los privilegios de acceso a los sistemas. Se debe contar con un inventario de los accesos que poseen los usuarios sobre las aplicaciones. Revisiones peridicas de los perfiles y accesos de los usuarios por parte del propietario de la informacin. Exceso de contraseas manejadas por los usuarios. La necesidad de utilizar contraseas distintas para cada sistema o aplicacin del Banco, puede afectar la seguridad en la medida que el usuario no sea capaz de Uniformizar dentro de lo posible la estructura de las contraseas empleadas y sus fechas de renovacin. Implementar un sistema
Implicancia de Seguridad retener en la memoria, la relacin de nombres de usuario y contraseas utilizadas en todos los sistemas. La necesidad de anotar las contraseas por parte de los usuarios, expone las mismas a acceso por parte de personal no autorizado.
Estndar o medida de seguridad a aplicar de Servicio de directorio, el cual permita al usuario identificarse en l, y mediante un proceso automtico, ste lo identifique en los sistemas en los cuales posee acceso.
Existencia de usuarios del rea de desarrollo y personal temporal con acceso al entorno de produccin.
El ambiente de produccin debe contar con controles de acceso adecuados con respecto los usuarios de desarrollo, esto incluye las aplicaciones y bases de datos de las mismas.
Inventario y depuracin de perfiles de acceso que poseen los usuarios de desarrollo en el entorno de produccin.
Adecuada segregacin de funciones del personal del rea de sistemas.
Aplicaciones cuyo acceso no es controlado por el rea de seguridad informtica. El rea de seguridad informtica debe participar en el proceso de asignacin de accesos a las aplicaciones del Banco y verificar que la solicitud de accesos sea coherente con el cargo del
Procedimiento de pase a produccin. Formalizacin de roles y responsabilidades del rea de seguridad informtica. Traslado de la responsabilidad del control de accesos a
Implicancia de Seguridad usuario. El gerente que aprueba la solicitud es el responsable de los accesos que solicita para los usuarios de su rea.
Estndar o medida de seguridad a aplicar aplicaciones al rea de seguridad informtica.
Falta de conciencia en seguridad por parte del personal del Banco.
El personal del Banco es el vnculo entre la poltica de seguridad y su implementacin final para aplicar la poltica de seguridad, se pueden establecer controles y un monitoreo constante, pero la persona es siempre el punto ms dbil de la cadena de seguridad, este riesgo se puede incrementar si el usuario no recibe una adecuada capacitacin y orientacin en seguridad de informacin.
Programa de capacitacin del Banco en temas relacionados a la seguridad de informacin.
Capacitacin mediante charlas, videos, presentaciones, afiches, etc., los cuales recuerden permanentemente al usuario la importancia de la seguridad de informacin.
Falta de personal con conocimientos tcnicos de seguridad informtica.
Para una adecuada administracin de la seguridad informtica se requiere personal capacitado que pueda cumplir las labores de elaboracin de polticas y administracin de seguridad
Capacitacin del personal tcnico en temas de seguridad de informacin o inclusin nuevo de personal con conocimientos de seguridad de
Implicancia de Seguridad en el rea de seguridad informtica, as como implementacin de controles y configuracin de sistemas en el rea de sistemas.
Estndar o medida de seguridad a aplicar informacin para las reas de seguridad informtica y sistemas.
Falta de controles adecuados para la informacin que envan los usuarios hacia Internet.
El acceso hacia Internet por medios como correo electrnico, ftp (file transfer protocol) o incluso web en algunos casos, puede facilitar la fuga de informacin confidencial del Banco. El Banco ha invertido en la implementacin de una herramienta para el filtrado de las pginas web que son accedidas por los usuarios, se debe asegurar que dicho control sea adecuadamente aplicado.
Configuracin adecuada del servidor Proxy y la herramienta Surf Control.
Generacin peridica de reportes de la efectividad de los controles aplicados.
Implementacin de una adecuada arquitectura de red.
Mejores prcticas para la configuracin de Firewalls.
Implementacin y administracin de
Vulnerabilidades: No existen controles adecuados sobre el personal autorizado a enviar correo electrnico al exterior.
herramientas para la inspeccin del contenido de los correos electrnicos enviados.
Implicancia de Seguridad No existen herramientas de inspeccin de contenido para correo electrnico. Se pudo observar que usuarios que no se han identificado en el dominio del Banco, pueden acceder al servicio de navegacin a travs del servidor Proxy.
No existen controles adecuados para la informacin almacenada en las computadoras personales.
Existe informacin almacenada en las computadoras personales de los usuarios que requiere ciertos niveles de seguridad. Los usuarios deben contar con procedimientos para realizar copias de respaldo de su informacin importante. Vulnerabilidades: El sistema operativo Windows 95/98 no permite otorgar niveles apropiados de seguridad a la informacin existente en ellas. No existe un procedimiento para verificacin peridica
Establecimiento de un procedimiento formal que contemple la generacin de copia de respaldo de informacin importante de los usuarios.
Concluir el proceso de migracin del sistema operativo de las computadoras personales a Windows 2000 Professional o Windows XP.
Concientizacin de usuarios en temas relacionados a la seguridad de la
Implicancia de Seguridad de las carpetas compartidas por los usuarios. El procedimiento para realizar copias de respaldo de la informacin importante no es conocido por todos los usuarios.
Estndar o medida de seguridad a aplicar informacin.
Arquitectura de red Posibilidad de acceso no inapropiada para controlar accesos desde redes externas. autorizado a sistemas por parte de personal externo al Banco. Vulnerabilidades: Existencia de redes externas se conectan con la red del Banco sin la proteccin de un firewall. Los servidores de acceso pblico no se encuentran aislados de la red interna. Fuga de informacin estratgica mediante sustraccin de computadores Es posible obtener la informacin existente en las computadoras porttiles de los gerentes del banco mediante el robo de las mismas.
Diseo de arquitectura de seguridad de red. Adecuada configuracin de elementos de control de conexiones (firewalls).
Implementacin y administracin de herramientas de seguridad.
Programas para encripcin de la data confidencial existente en los discos duros de las computadoras porttiles.
Amenaza / Vulnerabilidad porttiles. Acceso no autorizado a travs de enlaces inalmbricos.
El riesgo de contar con segmentos de red inalmbricos sin medidas de seguridad especficas para este tipo de enlaces, radica en que cualquier persona podra conectar un equipo externo al Banco incluso desde un edificio cercano.
Evaluacin del alcance de la red inalmbrica. Separacin del segmento de red inalmbrico mediante un Firewall.
Verificacin peridica de la actividad realizada desde la red inalmbrica.
Controles de acceso hacia Internet desde la red interna.
Utilizacin de encripcin .
Posibilidad de acceso no autorizado desde la red interna de datos hacia equipos de terceros en Internet. Posibilidad de fuga de informacin. Posibilidad de realizacin de actividad ilegal en equipos de terceros a travs de Internet.
Implementacin de una adecuada arquitectura de red.
Configuracin adecuada de servidor Proxy. Mejores prcticas para la configuracin de Firewalls.
Implementacin y administracin de herramientas para la seguridad del contenido de los correos electrnicos enviados.
Estndar o medida de seguridad a aplicar Monitoreo peridico de la actividad, mediante el anlisis de los registros (logs) de los sistemas.
5.3 Matriz de Iniciativas del Negocio / Procesos En esta matriz se muestra las iniciativas y operaciones del negocio que poseen alta implicancia en seguridad y los estndares o medidas de seguridad a ser aplicados para minimizar los riesgos generados por ellas.
Iniciativa del Negocio
Iniciativas del Negocio Implantacin de Datawarehouse. Informacin sensible almacenada en un repositorio centralizado, requiere de controles de acceso adecuados. La disponibilidad del sistema debe ser alta para no afectar las operaciones que soporta. Estndar de mejores prcticas de seguridad para Windows NT Estndar de mejores prcticas de seguridad para Windows Plan de implantacin de Datawarehouse. Procedimientos para otorgamiento de perfiles.
Estndar o medida de seguridad a aplicar Implementacin de una arquitectura de red segura.
Proyecto de tercerizacin del Call Center
Consulta de informacin existente en los sistemas por parte de terceros.
Especificacin de responsabilidades y obligaciones referentes a la seguridad de la informacin del Banco, en los contratos con terceros.
Registro de informacin en los sistemas por parte de terceros.
Especificacin de acuerdos de nivel de servicio.
Adecuados controles de acceso a la informacin registrada en el sistema
Proyecto de comunicacin con Conasev utilizando firmas digitales (Requerimiento de Conasev)
El acceso de personal no autorizado a los medios de almacenamiento de llaves de encripcin (media, smartcards, impresa) debilita todo el sistema de encripcin de la
Estndares de seguridad para la manipulacin y revocacin de llaves de encripcin.
Implementacin de controles de acceso a
Implicancia de Seguridad informacin. Para los procesos de firma y encripcin de la informacin se requiere el ingreso de contraseas, estas contraseas deben ser mantenidas en forma confidencial.
Estndar o medida de seguridad a aplicar dispositivos y llaves de encripcin.
Digitalizacin (scanning) de poderes y firmas.
La disposicin de estos elementos en medios digitales requiere de adecuados niveles de proteccin para evitar su acceso no autorizado y utilizacin con fines ilegales.
Aplicacin de estndares de seguridad de la plataforma que contiene dicha informacin.
Encripcin de la data digitalizada. Restriccin de accesos a los poderes y firmas tanto a nivel de aplicacin, como a nivel de sistema operativo.
Tercerizacin de operaciones de sistemas y Help Desk.
La administracin de equipos crticos de la red del Banco por parte de terceros representa un
Clusulas de confidencialidad y establecimiento claro de responsabilidades
Implicancia de Seguridad riesgo en especial por la posibilidad de fuga de informacin confidencial.
Estndar o medida de seguridad a aplicar de los proveedores en los contratos, especificacin de penalidades en caso de incumplimiento. Monitoreo peridico de las operaciones realizadas por personal externo, incluyendo la revisin peridica de sus actividades en los registros (logs) de aplicaciones y sistema operativo. Evitar otorgamiento de privilegios administrativos a personal externo, para evitar manipulacin de registros.
Proyecto de interconexin del Sistema Swift a la red de datos del Banco.
El sistema SWIFT se encuentra en un segmento aislado de la red de datos del Banco por razones de seguridad de informacin.
Estndar de mejores prcticas de seguridad para servidores Windows NT
Implicancia de Seguridad Al unir el sistema Swift a la red de datos del Banco, dicho sistema se va a encontrar expuesto a intentos de acceso no autorizados por parte de equipos que comprenden la red de datos.
Estndar o medida de seguridad a aplicar Controles de acceso a la aplicacin SWIFT. Estndares de encripcin de datos entre el sistema Swift y los terminales que se comunican con l.
Operaciones del Negocio Almacenamiento de copias de respaldo realizado por Hermes. Las cintas de backup guardan informacin confidencial del negocio del banco, adicionalmente deben encontrarse disponibles para ser utilizadas en una emergencia y la informacin que guardan debe mantenerse ntegra. Acuerdos de confidencialidad y tiempo de respuesta en los contratos con el proveedor. Pruebas del tiempo de respuesta del proveedor para transportar las cintas de backup en caso de emergencia. Verificacin peridica del estado de las cintas. Procesamiento de transacciones de tarjetas de crdito El almacenamiento de informacin por parte de terceros podra representar Acuerdos de confidencialidad y tiempo de respuesta
Iniciativa del Negocio y dbito realizado por Unibanca.
Implicancia de Seguridad una fuente de divulgacin no autorizada de informacin del Banco y sus clientes. El acceso a los sistemas por parte de terceros debe ser controlado para evitar la realizacin de actividad no autorizada.
Estndar o medida de seguridad a aplicar en contratos con el proveedor. Estndares de encripcin de informacin transmitida.
Almacenamiento de Documentos realizado por terceros File Service
El almacenamiento de informacin por parte de terceros podra representar una fuente de divulgacin no autorizada de informacin del Banco y sus clientes.
Acuerdos de confidencialidad y tiempo de respuesta en contratos con proveedores.
Verificacin peridica del grado de deterioro de la documentacin.
El almacenamiento de informacin debe realizarse de manera adecuada para mantener la disponibilidad de los documentos y evitar su deterioro.
Impresin y ensobrado de estados de cuenta realizado por Napatek
El almacenamiento de informacin por parte de terceros podra representar una fuente de divulgacin no autorizada de
Acuerdos de confidencialidad en contratos con proveedores.
Estndares de
Implicancia de Seguridad informacin del Banco y sus clientes. El envo de informacin sensible al proveedor debe ser realizado por un canal de transmisin seguro, o en su defecto debe contar con medidas de encripcin, que impidan su utilizacin en caso de ser interceptada.
Estndar o medida de seguridad a aplicar encripcin de datos transmitidos por correo electrnico. Verificacin de integridad de la data transmitida.
Envo de informacin sensible a clientes y entidades recaudadoras va correo electrnico
Se debe asegurar que la informacin sensible transmitida a los clientes cuente con medidas de seguridad adecuadas las cuales permitan garantizar el cumplimiento de normas como el secreto bancario.
Estndares de encripcin de datos transmitidos.
Almacenamiento fsico de informacin realizada al interior del Banco.
El Banco almacena documentos importantes de clientes, muchos de ellos con informacin confidencial, asimismo existe informacin en otros medios como discos duros, cintas, etc., que albergan
Clasificacin y etiquetado de la informacin.
Implementacin de controles fsicos de acceso a la informacin de acuerdo a su
Implicancia de Seguridad informacin importante. Se debe asegurar que dicha informacin cuente con medidas de seguridad adecuadas que aseguren la integridad, disponibilidad y confidencialidad de la informacin.
Estndar o medida de seguridad a aplicar clasificacin. Establecimiento de condiciones apropiadas de almacenamiento para evitar su deterioro. Mantenimiento de un registro de entrada y salida de activos de los archivos.
Acceso de personal de Rehder a la red de datos del Banco.
Todo acceso de personal externo a la red de datos del Banco representa un riesgo potencial de acceso no autorizado a los sistemas.
Clusulas de confidencialidad y establecimiento claro de responsabilidades de los proveedores en los contratos, especificacin de penalidades en caso de incumplimiento.
Monitoreo de actividad realizada por personal externo.
Restricciones de acceso a Internet configurados en el firewall.
Centro de
Los sistemas ubicados en
Especificacin de
Iniciativa del Negocio Contingencia ubicado en el TIC de Telefnica Data.
Implicancia de Seguridad Telefnica Data deben encontrarse siempre disponibles para ser utilizados en casos de emergencia. Se debe asegurar la
Estndar o medida de seguridad a aplicar acuerdos de nivel de servicio y penalidades en caso de incumplimiento en contratos con proveedores. Pruebas del centro de contingencia. Verificacin peridica de la disponibilidad de los sistemas y grado de actualizacin de la informacin.
integridad de la informacin existente en los sistemas de respaldo y el grado de actualizacin de la misma con respecto al sistema en produccin.
Atencin en Front Office.
Las aplicaciones y los sistemas de comunicaciones deben encontrarse disponibles en todo momento para no afectar la atencin a los clientes.
Acuerdos de niveles de servicio en contratos con proveedores de comunicaciones.
Verificacin peridica de disponibilidad de los sistemas.
Los periodos de indisponibilidad deben ser medidos.
Implementacin de mtricas de rendimiento y disponibilidad de los sistemas.
Iniciativa del Negocio Soporte de IBM al Servidor AS/400.
Implicancia de Seguridad El servidor AS/400 es el que soporta la mayor cantidad de procesos del negocio del Banco, por lo tanto se debe asegurar que el proveedor debe ser capaz de restaurar los servicios del servidor en el menor tiempo posible. Asimismo dado que el proveedor accede peridicamente al equipo, existe el riesgo de acceso no autorizado a informacin existente en el mismo.
Estndar o medida de seguridad a aplicar Clusulas de confidencialidad y establecimiento claro de responsabilidades de los proveedores en los contratos, especificacin de penalidades en caso de incumplimiento. Asignacin de un usuario distinto al utilizado por personal del Banco con los privilegios mnimos necesarios. Inspeccin del log de actividades del proveedor luego de realizar mantenimiento al equipo.
Captulo VI
POLTICAS DE SEGURIDAD DE LA INFORMACIN
En este capitulo se elaboraran las polticas de seguridad con el propsito de proteger la informacin de la empresa, estas servirn de gua para la implementacin de medidas de seguridad que contribuirn a mantener la integridad, confidencialidad y disponibilidad de los datos dentro de los sistemas de aplicacin, redes, instalaciones de cmputo y procedimientos manuales. El documento de polticas de seguridad ha sido elaborado tomando como base la siguiente documentacin:
Estndar de seguridad de la informacin ISO 17799 Requerimientos de la Circular N G-105-2002 de la Superintendencia de Banca y Seguros (SBS) sobre Riesgos de Tecnologa de Informacin.
6.1
Normas internas del Banco referidas a seguridad de informacin. Definicin
Una Poltica de seguridad de informacin es un conjunto de reglas aplicadas a todas las actividades relacionadas al manejo de la informacin de una entidad, teniendo el propsito de proteger la informacin, los recursos y la reputacin de la misma. Propsito El propsito de las polticas de seguridad de la informacin es proteger la informacin y los activos de datos del Banco. Las polticas son guas para asegurar la proteccin y la integridad de los datos dentro de los sistemas de aplicacin, redes, instalaciones de cmputo y procedimientos manuales.
6.2
CUMPLIMIENTO OBLIGATORIO
El cumplimiento de las polticas y estndares de seguridad de la informacin es obligatorio y debe ser considerado como una condicin en los contratos del personal. El Banco puede obviar algunas de las polticas de seguridad definidas en este documento, nicamente cuando se ha demostrado claramente que el cumplimiento de dichas polticas tendra un impacto significativo e inaceptable para el negocio. Toda excepcin a las polticas debe ser documentada y aprobada por el rea de seguridad informtica y el rea de auditoria interna, detallando el motivo que justifica el no-cumplimiento de la poltica. 6.3 ORGANIZACIN DE LA SEGURIDAD
En esta poltica se definen los roles y responsabilidades a lo largo de la organizacin con respecto a la proteccin de recursos de informacin. Esta poltica se aplica a todos los empleados y otros asociados con el Banco, cada uno de los cuales cumple un rol en la administracin de la seguridad de la informacin. Todos los empleados son responsables de mantener un ambiente seguro, en tanto que el rea de seguridad informtica debe monitorear el cumplimiento de la poltica de seguridad definida y realizar las actualizaciones que sean necesarias, producto de los cambios en el entorno informtico y las necesidades del negocio. 6.3.1 Estructura Organizacional En la administracin de la seguridad de la informacin participan todos los empleados siguiendo uno o ms de los siguientes roles: rea de Seguridad Informtica Usuario Custodio de informacin Propietario de informacin Auditor interno
Los roles y funciones de administracin de la seguridad de la informacin de cada uno de estas personas estn detalladas en el Capitulo IV. 6.3.2 Acceso por parte de terceros El Banco debe establecer para terceros al menos las mismas restricciones de acceso a la informacin que a un usuario interno. Adems, el acceso a la informacin debe limitarse a lo mnimo indispensable para cumplir con el trabajo asignado. Las excepciones deben ser analizadas y aprobadas por el rea de seguridad informtica. Esto incluye tanto acceso fsico como lgico a los recursos de informacin del Banco. Todo acceso por parte de personal externo debe ser autorizado por un responsable interno, quien asume la responsabilidad por las acciones que pueda realizar el mismo. El personal externo debe firmar un acuerdo de no-divulgacin antes de obtener acceso a informacin del Banco. Proveedores que requieran acceso a los sistemas de informacin del Banco deben tener acceso nicamente cuando sea necesario. Todas las conexiones que se originan desde redes o equipos externos al Banco, deben limitarse nicamente a los servidores y aplicaciones necesarios. Si es posible, estos servidores destino de las conexiones deben estar fsicamente o lgicamente separados de la red interna del Banco. Los contratos relacionados a servicios de tecnologas de informacin deben ser aprobados por el rea legal del Banco, y en el caso de que afecten la seguridad o las redes de la organizacin deben ser aprobados adicionalmente por el rea de seguridad informtica. Bajo determinadas condiciones, como en la ejecucin de servicios crticos para el negocio, el Banco debe considerar efectuar una revisin independiente de la estructura de control interno del proveedor.
En los contratos de procesamiento de datos externos se debe especificar los requerimientos de seguridad y acciones a tomar en caso de violacin de los contratos. Todos los contratos deben incluir una clusula donde se establezca el derecho del Banco de nombrar a un representante autorizado para evaluar la estructura de control interna del proveedor. 6.3.3 Outsourcing Todos los contratos de Outsourcing deben incluir lo siguiente: Acuerdos sobre polticas y controles de seguridad. Determinacin de niveles de disponibilidad aceptable. El derecho del Banco de auditar los controles de seguridad de informacin del proveedor. Determinacin de los requerimientos legales del Banco. Metodologa del proveedor para mantener y probar cclicamente la seguridad del sistema. Que el servicio de procesamiento y la informacin del Banco objeto de la subcontratacin estn aislados, en todo momento y bajo cualquier circunstancia. El proveedor es responsable de inmediatamente informar al responsable del contrato de cualquier brecha de seguridad que pueda comprometer informacin del Banco. Cualquier empleado del Banco debe informar de violaciones a la seguridad de la informacin por parte de proveedores al rea de seguridad informtica. 6.4 EVALUACION DE RIESGO El costo de las medidas y controles de seguridad no debe exceder la prdida que se espera evitar. Para la evaluacin del riesgo se deben de seguir los siguientes pasos: Clasificacin del acceso de la informacin
Ejecucin del anlisis del riesgo identificando reas vulnerables, prdida potencial y seleccin de controles y objetivos de control para mitigar los riesgos, de acuerdo a los siguientes estndares. 6.4.1 Inventario de activos Los inventarios de activos ayudan a garantizar la vigencia de una proteccin eficaz de los recursos, y tambin pueden ser necesarios para otros propsitos de la empresa, como los relacionados con sanidad y seguridad, seguros o finanzas (administracin de recursos). El proceso de compilacin de un inventario de activos es un aspecto importante de la administracin de riesgos. Una organizacin debe contar con la capacidad de identificar sus activos y el valor relativo e importancia de los mismos. Sobre la base de esta informacin, la organizacin puede entonces, asignar niveles de proteccin proporcionales al valor e importancia de los activos. Se debe elaborar y mantener un inventario de los activos importantes asociados a cada sistema de informacin. Cada activo debe ser claramente identificado y su propietario y clasificacin en cuanto a seguridad deben ser acordados y documentados, junto con la ubicacin vigente del mismo (importante cuando se emprende una recuperacin posterior a una prdida o dao). Ejemplos de activos asociados a sistemas de informacin son los siguientes: Recursos de informacin: bases de datos y archivos, documentacin de sistemas, manuales de usuario, material de capacitacin, procedimientos operativos o de soporte, planes de continuidad, disposiciones relativas a sistemas de emergencia para la reposicin de informacin perdida (fallback), informacin archivada; Recursos de software: software de aplicaciones, software de sistemas, herramientas de desarrollo y utilitarios; Activos fsicos: equipamiento informtico (procesadores, monitores, computadoras porttiles, mdems), equipos de comunicaciones
(routers, PBXs, mquinas de fax, contestadores automticos), medios magnticos (cintas y discos), otros equipos tcnicos (suministro de electricidad, unidades de aire acondicionado), mobiliario, lugares de emplazamiento; Servicios: servicios informticos y de comunicaciones, utilitarios generales, por Ej. calefaccin, iluminacin, energa elctrica, aire acondicionado. 6.4.2 Clasificacin del acceso de la informacin Toda la informacin debe de ser clasificada como Restringida, Confidencial, Uso Interno o General de acuerdo a lo definido en el capitulo 4.2.1. La clasificacin de informacin debe de ser documentada por el Propietario, aprobada por la gerencia responsable y distribuida a los Custodios durante el proceso de desarrollo de sistemas o antes de la distribucin de los documentos o datos. La clasificacin asignada a un tipo de informacin, solo puede ser cambiada por el propietario de la informacin, luego de justificar formalmente el cambio en dicha clasificacin. La informacin que existe en ms de un medio (por ejemplo, documento fuente, registro electrnico, reporte o red) debe de tener la misma clasificacin sin importar el formato. Frecuentemente, la informacin deja de ser sensible o crtica despus de un cierto perodo de tiempo, verbigracia, cuando la informacin se ha hecho pblica. Este aspecto debe ser tomado en cuenta por el propietario de la informacin, para realizar una reclasificacin de la misma, puesto que la clasificacin por exceso (over- classification) puede traducirse en gastos adicionales innecesarios para la organizacin. La informacin debe de ser examinada para determinar el impacto en el Banco si fuera divulgada o alterada por medios no autorizados. A continuacin detallamos algunos ejemplos de informacin sensible:
Datos de inters para la competencia: - Estrategias de marketing - Listas de clientes - Fechas de renovacin de crditos - Tarifaciones - Datos usados en decisiones de inversin
Datos que proveen acceso a informacin o servicios: - Llaves de encripcin o autenticacin - Contraseas
Datos protegidos por legislacin de privacidad vigente - Registros del personal - Montos de los pasivos de clientes - Datos histricos con 10 aos de antigedad
Datos que tienen un alto riesgo de ser blanco de fraude u otra actividad ilcita: - Datos contables utilizados en sistemas - Sistemas que controlan desembolsos de fondos
6.4.3 Definiciones Restringida: Informacin con mayor grado de sensibilidad; el acceso a esta informacin debe de ser autorizado caso por caso. Confidencial: Informacin sensible que solo debe ser divulgada a aquellas personas que la necesiten para el cumplimiento de sus funciones. Uso Interno: Datos generados para facilitar las operaciones diarias; deben de ser manejados de una manera discreta, pero no requiere de medidas elaboradas de seguridad. General: Informacin que es generada especficamente para su divulgacin a la poblacin general de usuarios.
6.4.4 Aplicacin de controles para la informacin clasificada Las medidas de seguridad a ser aplicadas a los activos de informacin clasificados, incluyen pero no se limitan a las siguientes: 6.4.4.1
Informacin de la Compaa almacenada en formato digital
Todo contenedor de informacin en medio digital (CDs, cintas de backup, diskettes, etc.) debe presentar una etiqueta con la clasificacin correspondiente.
La informacin en formato digital clasificada como de acceso General, puede ser almacenada en cualquier sistema de la Compaa. Sin embargo se deben tomar las medidas necesarias para no mezclar informacin clasificacin. General con informacin correspondiente a otra
Todo usuario, antes de transmitir informacin clasificada como Restringida o Confidencial, debe asegurarse que el destinatario de la informacin est autorizado a recibir dicha informacin. Todo usuario que requiere acceso a informacin clasificada como Restringida o Confidencial, debe ser autorizado por el propietario de la misma. Las autorizaciones de acceso a este tipo de informacin deben ser documentadas. La clasificacin asignada a un tipo de informacin, solo puede ser cambiada por el propietario de la informacin, luego de justificar formalmente el cambio en dicha clasificacin. Informacin en formato digital, clasificada como Restringida, debe ser encriptada con un mtodo aprobado por los encargados de la administracin de seguridad de la informacin, cuando es almacenada en cualquier medio (disco duro, disquetes, cintas, CDs, etc.).
Es recomendable el uso de tcnicas de encripcin para la informacin clasificada como Restringida o Confidencial, transmitida a travs de la red de datos del Banco. Toda transmisin de Informacin clasificada como Restringida, Confidencial o de Uso Interno realizada hacia o a travs de redes externas a la Compaa debe realizarse utilizando un medio de transmisin seguro o utilizando tcnicas de encripcin aprobadas. Todo documento en formato digital, debe presentar la clasificacin correspondiente en la parte superior (cabecera) e inferior (pi de pgina) de cada pgina del documento. Los medios de almacenamiento, incluyendo discos duros de
computadoras, que albergan informacin clasificada como Restringida, deben ser ubicados en ambientes cerrados diseados para el almacenamiento de dicho tipo de informacin. En lugar de proteccin fsica, la informacin clasificada como Restringida, podra ser protegida con tcnicas de encripcin aprobadas por la Compaa.
6.4.4.2
Informacin de la Compaa almacenada en formato no digital
Todo documento o contenedor de informacin debe ser etiquetado como Restringida, Confidencial, de Uso interno o de Acceso General, dependiendo de la clasificacin asignada. Todo documento que presente informacin clasificada como
Confidencial o Restringida, debe ser etiquetado en la parte superior e inferior de cada pgina con la clasificacin correspondiente. Todo documento clasificado como Confidencial o Restringido debe contar con una cartula en la cual se muestre la clasificacin de la informacin que contiene.
Los activos de informacin correspondiente a distintos niveles de clasificacin, deben ser almacenados en distintos contenedores, de no ser posible dicha distincin, se asignar el nivel ms critico de la informacin identificada a todo el contenedor de informacin. El ambiente donde se almacena la informacin clasificada como Restringida, debe contar con adecuados controles de acceso y asegurado cuando se encuentre sin vigilancia. El acceso debe ser permitido solo al personal formalmente autorizado. Personal de limpieza debe ingresar al ambiente acompaado por personal autorizado. Solo el personal formalmente autorizado debe tener acceso a informacin clasificada como Restringida o Confidencial Los usuarios que utilizan documentos con informacin Confidencial o Restringida deben asegurarse de: - Almacenarlos en lugares adecuados - Evitar que usuarios no autorizados accedan a dichos documentos - Destruir los documentos si luego de su utilizacin dejan de ser necesarios
6.4.5 Anlisis de riesgo Los Propietarios de la informacin y custodios son conjuntamente responsables del desarrollo de anlisis de riesgos anual de los sistemas a su cargo. Como parte del anlisis se debe identificar las aplicaciones de alta criticidad como crticas para la recuperacin ante desastres. Es importante identificar: - reas vulnerables - Prdida potencial - Seleccin de controles y objetivos de control para mitigar los riesgos, indicando las razones para su inclusin o exclusin (Seguridad de
datos, Plan de respaldo/recuperacin, Procedimientos estndar de operacin) Adicionalmente, un anlisis de riesgo debe de ser conducido luego de cualquier cambio significativo en los sistemas, en concordancia con el clima cambiante de las operaciones en el negocio del Banco. El anlisis de riesgo debe tener un propsito claramente definido y delimitado, existiendo dos posibilidades: cumplimiento con los controles y/o medidas de proteccin o la aceptacin del riesgo. 6.4.6 Cumplimiento El cumplimiento satisfactorio del proceso de evaluacin del riesgo se caracteriza por:
- Identificacin y clasificacin correcta de los activos a ser protegidos. - Aplicacin consistente y continua de los controles y/o medidas para mitigar el riesgo (seguridad efectiva de datos, recuperacin ante desastres adecuado) - Deteccin temprana de los riesgos, reporte adecuado de prdidas, as como una respuesta oportuna y efectiva ante las perdidas ya materializadas. 6.4.7 Aceptacin de riesgo La gerencia responsable puede obviar algn control o requerimiento de proteccin y aceptar el riesgo identificado solo cuando ha sido claramente demostrado que las opciones disponibles para lograr el cumplimiento han sido identificadas y evaluadas, y que stas tendran un impacto significativo y no aceptable para el negocio. La aceptacin de riesgo por falta de cumplimiento de los controles y/o medidas de proteccin debe ser documentada, revisada por las partes
involucradas, comunicada por escrito y aceptada por las reas responsables de la administracin de la seguridad. 6.5 SEGURIDAD DEL PERSONAL Los estndares relacionados al personal deben ser aplicados para asegurarse que los empleados sean seleccionados adecuadamente antes de ser contratados, puedan ser fcilmente identificados mientras formen parte del Banco y que el acceso sea revocado oportunamente cuando un empleado es despedido o transferido. Deben desarrollarse estndares adicionales para asegurar que el personal sea consciente de todas sus responsabilidades y acciones apropiadas en el reporte de incidentes. Esta poltica se aplica a todos los empleados, personal contratado y proveedores. Los empleados son los activos ms valiosos del Banco. Sin embargo, un gran nmero de problemas de seguridad de cmputo pueden ser causados por descuido o desinformacin. Se deben de implementar procedimientos para manejar estos riesgos y ayudar al personal del Banco a crear un ambiente de trabajo seguro. Medidas de precaucin deben de ser tomadas cuando se contrata, transfiere y despide a los empleados. Deben de establecerse controles para comunicar los cambios del personal y los requerimientos de recursos de cmputo a los responsables de la administracin de la seguridad de la informacin. Es crucial que estos cambios sean atendidos a tiempo. 6.5.1 Seguridad en la definicin de puestos de trabajo y recursos El departamento de Recursos Humanos debe de notificar al rea de seguridad informtica, la renuncia o despido de los empleados as como el inicio y fin de los periodos de vacaciones de los mismos. Cuando se notifique un despido o transferencia, el Custodio de informacin debe de asegurarse que el identificador de usuario sea revocado. Cuando se
notifique una transferencia o despido, el rea de seguridad debe de asegurarse que las fichas o placas sean devueltas al Banco. Cualquier tem entregado al empleado o proveedor como computadoras porttiles, llaves, tarjetas de identificacin, software, datos, documentacin, manuales, etc. deben de ser entregados a su gerente o al rea de Recursos Humanos. La seguridad es responsabilidad de todos los empleados y personas involucradas con el Banco. Por ende, todos los empleados, contratistas, proveedores y personas con acceso a las instalaciones e informacin del Banco deben de acatar los estndares documentados en la poltica de seguridad del Banco e incluir la seguridad como una de sus responsabilidades principales. Todos los dispositivos personales de informacin, como por ejemplo computadoras de propiedad de los empleados o asistentes digitales personales (PDA Personal Digital Assistant), que interacten con los sistemas del Banco, deben ser aprobados y autorizados por la gerencia del Banco. 6.5.2 Capacitacin de usuarios Es responsabilidad del rea de seguridad informtica promover constantemente la importancia de la seguridad a todos los usuarios de los sistemas de informacin. El programa de concientizacin en seguridad debe de contener continuas capacitaciones y charlas, adicionalmente se puede emplear diversos mtodos como afiches, llaveros, mensajes de log-in, etc., los cuales recuerden permanentemente al usuario el papel importante que cumplen en el mantenimiento de la seguridad de la informacin.
Orientacin para los empleados y/o servicios de terceros nuevos Cuando se contrate a un empleado nuevo y/o el servicio de algn tercero, se debe de entregar la poltica de seguridad as como las normas y procedimientos para el uso de las aplicaciones y los sistemas de informacin del Banco. Asimismo se debe entregar un resumen escrito de las medidas bsicas de seguridad de la informacin. El personal de terceros debe recibir una copia del acuerdo de no divulgacin firmado por el Banco y por el proveedor de servicios de terceros as como orientacin con respecto a su responsabilidad en la confidencialidad de la informacin del Banco. Entre otros aspectos se debe considerar: El personal debe de ser comunicado de las implicancias de seguridad en relacin a las responsabilidades de su trabajo Una copia firmada de la poltica de seguridad de informacin debe de ser guardada en el archivo del empleado Concientizacin peridica Estudios muestran que la retencin y el conocimiento aplicable se incrementa considerablemente cuando el tema es sujeto a revisin. Los usuarios deben de ser informados anualmente sobre la importancia de la seguridad de la informacin. Un resumen escrito de la informacin bsica debe de ser entregada nuevamente a cada empleado y una copia firmada debe de ser guardada en sus archivos. La capacitacin en seguridad debe de incluir, pero no estar limitado, a los siguientes aspectos: Requerimientos de identificador de usuario y contrasea Seguridad de PC, incluyendo proteccin de virus Responsabilidades de la organizacin de seguridad de informacin Concientizacin de las tcnicas utilizadas por hackers Programas de cumplimiento
Guas de acceso a Internet Guas de uso del correo electrnico Procesos de monitoreo de seguridad de la informacin utilizados Persona de contacto para informacin adicional
6.5.3 Procedimientos de respuesta ante incidentes de seguridad El personal encargado de la administracin de seguridad debe ser plenamente identificado por todos los empleados del Banco. Si un empleado del Banco detecta o sospecha la ocurrencia de un incidente de seguridad, tiene la obligacin de notificarlo al personal de seguridad informtica. Si se sospecha la presencia de un virus en un sistema, el usuario debe desconectar el equipo de la red de datos, notificar al rea de seguridad informtica quien trabajar en coordinacin con el rea de soporte tcnico, para la eliminacin del virus antes de restablecer la conexin a la red de datos. Es responsabilidad del usuario (con la apropiada asistencia tcnica) asegurarse que el virus haya sido eliminado por completo del sistema antes de conectar nuevamente el equipo a la red de datos. Si un empleado detecta una vulnerabilidad en la seguridad de la informacin debe notificarlo al personal encargado de la administracin de la seguridad, asimismo, est prohibido para el empleado realizar pruebas de dicha vulnerabilidad o aprovechar sta para propsito alguno. El rea de seguridad informtica debe documentar todos los reportes de incidentes de seguridad. Cualquier error o falla en los sistemas debe ser notificado a soporte tcnico, quin determinar si el error es indicativo de una vulnerabilidad en la seguridad. Las acciones disciplinarias tomadas contra socios de negocio o proveedores por la ocurrencia de una violacin de seguridad, deben ser
consistentes con la magnitud de la falta, ellas deben ser coordinadas con el rea de Recursos Humanos. 6.5.3.1 Registro de fallas
El personal encargado de operar los sistemas de informacin debe registrar todos lo errores y fallas que ocurren en el procesamiento de informacin o en los sistemas de comunicaciones. Estos registros deben incluir lo siguiente: Nombre de la persona que reporta la falla Hora y fecha de ocurrencia de la falla Descripcin del error o problema Responsable de solucionar el problema Descripcin de la respuesta inicial ante el problema Descripcin de la solucin al problema Hora y fecha en la que se solucion el problema
Los registros de fallas deben ser revisados semanalmente. Los registros de errores no solucionados deben permanecer abiertos hasta que se encuentre una solucin al problema. Adems, estos registros deben ser almacenados para una posterior verificacin independiente. 6.5.3.2 Intercambios de informacin y correo electrnico
Los mensajes de correo electrnico deben ser considerados de igual manera que un memorndum formal, son considerados como parte de los registros del Banco y estn sujetos a monitoreo y auditoria. Los sistemas de correo electrnico no deben ser utilizados para lo siguiente: Enviar cadenas de mensajes Enviar mensajes relacionados a seguridad, exceptuando al personal encargado de la administracin de la seguridad de la informacin Enviar propaganda de candidatos polticos
Actividades ilegales, no ticas o impropias Actividades no relacionadas con el negocio del Banco Diseminar direcciones de correo electrnico a listas pblicas
No deben utilizarse reglas de reenvo automtico a direcciones que no pertenecen a la organizacin. No existe control sobre los mensajes de correo electrnico una vez que estos se encuentran fuera de la red del Banco. Deben establecerse controles sobre el intercambio de informacin del Banco con terceros para asegurar la confidencialidad e integridad de la informacin, y que se respete la propiedad intelectual de la misma. Debe tomarse en consideracin: Acuerdos para el intercambio de software Seguridad de media en trnsito Controles sobre la transmisin mediante redes
Debe establecerse un proceso formal para aprobar la publicacin de informacin del Banco. El desarrollo de pginas Web programables o inteligentes (utilizando tecnologas como CGI o ASP) debe considerarse como desarrollo de software y debe estar sujeto a los mismos controles. La informacin contenida en sistemas pblicos no debe contener informacin restringida, confidencial o de uso interno. De igual manera, los equipos que brindan servicios Web, correo electrnico, comercio electrnico u otros servicios pblicos no deben almacenar informacin restringida, confidencial o de uso interno. Antes que un empleado del Banco libere informacin que no sea de uso general debe verificarse la identidad del individuo u organizacin recipiente utilizando firmas digitales, referencias de terceros, conversaciones telefnicas u otros mecanismos similares. Debe establecerse controles sobre equipos de oficina como telfonos, faxes e impresoras que procesan informacin sensible del Banco.
Informacin restringida o confidencial solo debe imprimirse en equipos especficamente designados para esta tarea. 6.5.3.3 Seguridad para media en trnsito
La informacin a ser transferida en media digital o impresa debe ser etiquetada con la clasificacin de informacin respectiva y detallando claramente el remitente y recipiente del mismo. La informacin enviada por servicios postales debe ser protegida de accesos no autorizados mediante la utilizacin de: 6.6 Paquetes sellados o lacrados Entrega en persona Firmado y sellado de un cargo SEGURIDAD FSICA DE LAS INSTALACIONES DE
PROCESAMIENTO DE DATOS Se deben implementar medidas de seguridad fsica para asegurar la integridad de las instalaciones y centros de cmputo. Las medidas de proteccin deben ser consistentes con el nivel de clasificacin de los activos y el valor de la informacin procesada y almacenada en las instalaciones. 6.6.1 Proteccin de las instalaciones de los centros de datos Un centro de procesamiento de datos o de cmputo es definido como cualquier edificio o ambiente dentro de un edificio que contenga equipos de almacenamiento, proceso o transmisin de informacin. Estos incluyen pero no se limitan a los siguientes: Mainframe, servidores, computadoras personales y perifricos Consolas de administracin Libreras de cassettes o DASD Equipos de telecomunicaciones
Centrales telefnicas, PBX Armarios de alambrado elctrico o cables
Los controles deben de ser evaluados anualmente para compensar cualquier cambio con relacin a los riesgos fsicos. Los gerentes que estn planeando o revisando cualquier ambiente automatizado, incluyendo el uso de las computadoras personales, deben contactarse con el personal encargado de la administracin de la seguridad de la informacin para asistencia en el diseo de los controles fsicos de seguridad.
6.6.2 Control de acceso a las instalaciones de cmputo El acceso a cualquier instalacin de cmputo debe estar restringido nicamente al personal autorizado. Todas las visitas deben ser identificadas y se debe mantener un registro escrito de las mismas. Estas visitas deben ser en compaa de un empleado durante la permanencia en las instalaciones de computo. Si bien es recomendable que los proveedores de mantenimiento, a quienes se les otorga acceso continuo a las reas sensibles, estn siempre acompaados por un empleado autorizado de la empresa, puede resultar poco prctico en algunos casos. Todo el personal en las instalaciones de cmputo deben de portar un carn, placa o ficha de identificacin. Sistemas automatizados de seguridad para acceso fsico deben de ser instalados en centros de cmputo principales. Centros pequeos pueden controlar el acceso fsico mediante el uso de candados de combinacin o llaves. Medidas apropiadas como guardias o puertas con alarmas, deben de ser utilizadas para proteger las instalaciones durante las horas no laborables. El retiro de cualquier equipo o medio electrnico de las instalaciones de cmputo debe de ser aprobado por escrito por personal autorizado.
6.6.3 Acuerdo con regulaciones y leyes Los controles de seguridad fsica deben de estar en acuerdo con las regulaciones existentes de fuego y seguridad, as como con los requerimientos contractuales de los seguros contratados.
6.7 ADMINISTRACIN DE COMUNICACIONES Y OPERACIONES La administracin de las comunicaciones y operaciones del Banco, son esenciales para mantener un adecuado nivel de servicio a los clientes. Los requerimientos de seguridad deben ser desarrollados e implementados para mantener el control sobre las comunicaciones y las operaciones. Los procedimientos operacionales y las responsabilidades para mantener accesos adecuados a los sistemas, as como el control y la disponibilidad de los mismos, deben ser incluidas en las funciones operativas del Banco. Todas las comunicaciones e intercambios de informacin, tanto dentro de las instalaciones y sistemas del Banco como externas a ella, deben ser aseguradas, de acuerdo al valor de la informacin protegida. 6.7.1 Procedimientos y Responsabilidades Operacionales 6.7.1.1 Procedimientos operativos documentados
Todos los procedimientos de operacin de los sistemas deben ser documentados y los cambios realizados a dichos procedimientos deben ser autorizados por la gerencia respectiva. Todos los procedimientos de encendido y apagado de los equipos deben ser documentados; dichos procedimientos deben incluir el detalle de personal clave a ser contactado en caso de fallas no contempladas en el procedimiento regular documentado. Todas las tareas programadas en los sistemas para su realizacin peridica, deben ser documentadas. Este documento debe incluir tiempo
de inicio, tiempo de duracin de la tarea, procedimientos en caso de falla, entre otros. Los procedimientos para resolucin de errores deben ser documentados, entre ellos se debe incluir: Errores en la ejecucin de procesos por lotes Fallas o apagado de los sistemas Cdigos de error en la ejecucin de procesos por lotes Informacin de los contactos que podran colaborar con la resolucin de errores. 6.7.1.2 Administracin de operaciones realizadas por terceros
Todos los procesos de operacin realizados por terceros deben ser sujetos a una evaluacin de riesgos de seguridad y se debe desarrollar procedimientos para administrar estos riesgos. Asignacin actividades Determinar si se procesar informacin crtica. Determinar los controles de seguridad a implementar Evaluar el cumplimiento de los estndares de seguridad del Banco. Evaluar la implicancia de dichas tareas en los planes de contingencia del negocio Procedimientos de respuesta ante incidentes de seguridad Evaluar el cumplimiento de los estndares del Banco referentes a contratos con terceros. 6.7.1.3 Control de cambios operacionales de responsables para la supervisin de dichas
Todos los cambios realizados en los sistemas del Banco, a excepcin de los cambios de emergencia, deben seguir los procedimientos de cambios establecidos.
Solo el personal encargado de la administracin de la seguridad puede realizar o aprobar un cambio de emergencia. Dicho cambio debe ser documentado y aprobado en un periodo mximo de 24 horas luego de haberse producido el cambio. Los roles del personal involucrado en la ejecucin de los cambios en los sistemas deben encontrarse debidamente especificados. Los cambios deben ser aprobados por la gerencia del rea usuaria, el personal encargado de la administracin de la seguridad de la informacin y el encargado del rea de sistemas. Todos los requerimientos de cambios deben ser debidamente documentados, siguiendo los procedimientos para cambios existentes en el Banco. Antes de la realizacin de cualquier cambio a los sistemas se debe generar copias de respaldo de dichos sistemas. 6.7.1.4 Administracin de incidentes de seguridad
Luego de reportado el incidente de seguridad, ste debe ser investigado por el rea de seguridad informtica. Se debe identificar la severidad del incidente para la toma de medidas correctivas. El personal encargado de la administracin de la seguridad debe realizar la investigacin de los incidentes de forma rpida y confidencial. Se debe mantener una documentacin de todos los incidentes de seguridad ocurridos en el Banco. Se debe mantener intacta la evidencia que prueba la ocurrencia de una violacin de seguridad producida tanto por entes internos o externos, para su posterior utilizacin en procesos legales en caso de ser necesario.
6.7.1.5
Separacin de funciones de operaciones y desarrollo
El ambiente de prueba debe de mantenerse siempre separado del ambiente de produccin, debiendo existir controles de acceso adecuados para cada uno de ellos. El ambiente de produccin es aquel en el cual residen los programas ejecutables de produccin y los datos necesarios para el funcionamiento de los mismos. Solo el personal autorizado a efectuar los cambios en los sistemas debe contar con privilegios de escritura en los mismos. Los programas compiladores no deben ser instalados en los sistemas en produccin, todo el cdigo debe ser compilado antes de ser transferido al ambiente de produccin. Las pruebas deben de realizarse utilizando datos de prueba. Sin embargo, copias de datos de produccin pueden ser usadas para las pruebas, siempre y cuando los datos sean autorizados por el propietario y manejados de manera confidencial. El personal de desarrollo puede tener acceso de solo lectura a los datos de produccin. La actualizacin de los permisos de acceso a los datos de produccin debe de ser autorizada por el propietario de informacin y otorgada por un periodo limitado. Se deben utilizar estndares de nombres para distinguir el conjunto de nombres de las tareas y de los datos, del modelo y de los ambientes de produccin. Un procedimiento de control de cambio debe de asegurar que todos los cambios del modelo y ambientes de produccin hayan sido revisados y aprobados por el (los) gerente(s) apropiados. 6.7.2 Proteccin contra virus El rea de seguridad informtica debe realizar esfuerzos para determinar el origen de la infeccin por virus informtico, para evitar la reinfeccin de los equipos del Banco.
La posesin de virus o cualquier programa malicioso est prohibida a todos los usuarios. Se tomarn medidas disciplinarias en caso se encuentren dichos programas en computadoras personales de usuarios. Todos los archivos adjuntos recibidos a travs del correo electrnico desde Internet deben ser revisados por un antivirus antes de ejecutarlos. Asimismo est prohibido el uso de diskettes y discos compactos provenientes de otra fuente que no sea la del mismo BANCO ABC, a excepcin de los provenientes de las interfaces con organismos reguladores, proveedores y clientes, los cuales necesariamente deben pasar por un proceso de verificacin y control en el rea de Sistemas (Help Desk), antes de ser ledos. El programa antivirus debe encontrarse habilitado en todos las computadoras del Banco y debe ser actualizado peridicamente. En caso de detectar fallas en el funcionamiento de dichos programas stas deben ser comunicadas al rea de soporte tcnico. El programa antivirus debe ser configurado para realizar revisiones peridicas para la deteccin de virus en los medios de almacenamiento de las computadoras del Banco. Debe contarse con un procedimiento para la actualizacin peridica de los programas antivirus y el monitoreo de los virus detectados. Es obligacin del personal del Banco, emplear slo los programas cuyas licencias han sido obtenidas por el Banco y forman parte de su plataforma estndar. Asimismo, se debe evitar compartir directorios o archivos con otros usuarios; en caso de ser absolutamente necesario, coordinar con la Gerencia respectiva y habilitar el acceso slo a nivel de lectura, informando al Departamento de Produccin y Soporte Tcnico. Todo el personal del Banco debe utilizar los protectores de pantalla y/o papel tapiz autorizados por la Institucin; el estndar es: Papel Tapiz: BANCO ABC Protector de Pantalla: BANCO ABC.
6.7.3 Copias de respaldo Los Custodios de informacin deben definir un cronograma para la retencin y rotacin de las copias de respaldo, basado en los requerimientos establecidos por los Propietarios de informacin,
incluyendo el almacenamiento en uno o ms ubicaciones distintos a las del centro de cmputo. Los Custodios de informacin son tambin responsables de asegurar que se generen copias de respaldo del software de los servidores del Banco, y que las polticas de manipulacin de informacin se ejercen para las copias de respaldo trasladadas o almacenadas fuera de los locales del Banco. Debe formalmente definirse procedimientos para la creacin y recuperacin de copias de respaldo.
Trimestralmente deben efectuarse pruebas para probar la capacidad de restaurar informacin en caso sea necesario. Estas pruebas deben efectuarse en un ambiente distinto al ambiente de produccin. Los usuarios deben generar copias de respaldo de informacin crtica transfiriendo o duplicando archivos a la carpeta personal establecida para dicho fin por la Gerencia de Sistemas, la cual se encuentra ubicada en uno de los servidores del Banco. Deben generarse copias de respaldo de estos servidores segn un cronograma definido por los Custodios de informacin.
Las cintas con copias de respaldo deben ser enviadas a un local remoto peridicamente, basndose en un cronograma determinado por la gerencia del Banco. Los mensajes electrnicos, as como cualquier informacin considerada importante, deben ser guardados en copias de respaldo y retenidos por dispositivos automticos.
6.8 CONTROL DE ACCESO DE DATOS La informacin manejada por los sistemas de informacin y las redes asociadas debe estar adecuadamente protegida contra modificaciones no autorizadas, divulgacin o destruccin. El uso inteligente de controles de acceso previene errores o negligencias del personal, as como reduce la posibilidad del acceso no autorizado. 6.8.1 Identificacin de Usuarios Cada usuario de un sistema automatizado debe de ser identificado de manera nica, y el acceso del usuario as como su actividad en los sistemas debe de ser controlado, monitoreado y revisado. Cada usuario de un sistema debe tener un cdigo de identificacin que no sea compartido con otro usuario. Para lograr el acceso a los sistemas automatizados, se requiere que el usuario provea una clave que solo sea conocida por l. Debe establecerse un procedimiento para asegurar que el cdigo de identificacin de un usuario sea retirado de todos los sistemas cuando un empleado es despedido o transferido. Los terminales y computadoras personales deben bloquearse luego de quince (15) minutos de inactividad. El usuario tendr que autenticarse antes de reanudar su actividad. El usuario debe ser instruido en el uso correcto de las caractersticas de seguridad del terminal y funciones de todas las plataformas, estaciones de trabajo, terminales, computadoras personales, etc., y debe cerrar la sesin o bloquear la estacin de trabajo cuando se encuentre desatendida. Todos los consultores, contratistas, proveedores y personal temporal deben tener los derechos de acceso cuidadosamente controlados. El acceso solo debe ser vlido hasta el final del trimestre o incluso antes, dependiendo de la terminacin del contrato.
Todos los sistemas deben proveer pistas de auditoria del ingreso a los sistemas y violaciones de los mismos. A partir de estos datos, los custodios de los sistemas deben elaborar reportes peridicos los cuales deben ser revisados por el rea de seguridad informtica. Estos reportes tambin deben incluir la identidad del usuario, y la fecha y hora del evento. Si es apropiado, las violaciones deben ser reportadas al gerente del individuo. Violaciones repetitivas o significantes o atentados de accesos deben ser reportados al gerente a cargo de la persona y al rea de seguridad de la informacin.
6.8.2 Seguridad de contraseas 6.8.2.1 Estructura
Todas las contraseas deben tener una longitud mnima de ocho (8) caracteres y no deben contener espacios en blanco. Las contraseas deben ser difciles de adivinar. Palabras de diccionario, identificadores de usuario y secuencias comunes de caracteres, como por ejemplo 12345678 o QWERTY, no deben ser empleadas. As mismo, detalles personales como los nombres de familiares, nmero de documento de identidad, nmero de telfono o fechas de cumpleaos no deben ser usadas salvo acompaados con otros caracteres adicionales que no tengan relacin directa. Las contraseas deben incluir al menos un carcter no alfanumrico. Las contraseas deben contener al menos un carcter alfabtico en mayscula y uno en minscula. 6.8.2.2 Vigencia
Todas las contraseas deben expirar dentro de un periodo que no exceda los noventa (90) das. Cada gerente debe determinar un mximo periodo de vigencia de las contraseas, el cual es recomendable no sea menos de (30) das.
6.8.2.3
Reutilizacin de contraseas
No debe permitirse la reutilizacin de ninguna de las 5 ltimas contraseas. Esto asegura que los usuarios no utilicen las mismas contraseas en intervalos regulares. Los usuarios no deben poder cambiar sus contraseas ms de una vez al da. A los usuarios con privilegios administrativos, no se les debe permitir la reutilizacin de las ltimas 13 contraseas. 6.8.2.4 Intentos fallidos de ingreso
Todos los sistemas deben estar configurados para deshabilitar los identificadores de los usuarios en caso de ocurrir (3) intentos fallidos de autenticacin. En los casos que los sistemas utilizados no soporten controles para las caractersticas establecidas para la estructura, vigencia, reutilizacin e intentos fallidos de ingreso, se debe documentar la excepcin a la poltica, detallando la viabilidad de modificar la aplicacin para soportar las caractersticas establecidas para las contraseas. 6.8.2.5 Seguridad de contraseas
Es importante que todos los empleados protejan sus contraseas, debindose seguir las siguientes regulaciones: Bajo ninguna circunstancia, se debe escribir las contraseas en papel, o almacenarlas en medios digitales no encriptados. Las contraseas no deben ser divulgadas a ningn otro usuario salvo bajo el pedido de un gerente, con autorizacin del rea de seguridad informtica y auditoria interna. Si se divulga la contrasea, esta debe ser cambiada durante el prximo ingreso. El usuario autorizado es responsable de todas las acciones realizadas por alguna persona a quin se le ha comunicado la contrasea o identificador de usuario.
Los sistemas no deben mostrar la contrasea en pantalla o en impresiones, recuperadas. para prevenir que stas sean observadas o
Las contraseas deben estar siempre encriptadas cuando se encuentren almacenadas o cuando sean transmitidas a travs de redes.
El control de acceso a archivos, bases de datos, computadoras y otros sistemas de recursos mediante contraseas compartidas est prohibido.
6.8.3 Control de transacciones Los empleados deben tener acceso nicamente al conjunto de transacciones en lnea requeridas para ejecutar sus tareas asignadas. Este conjunto de transacciones debe estar claramente definido para prevenir alguna ocurrencia de fraude y malversacin. El conjunto de transacciones debe ser definido durante el proceso de desarrollo de sistemas, revisado peridicamente y mantenido por la gerencia Propietaria. El acceso para la ejecucin de transacciones sensibles debe ser controlado mediante una adecuada segregacin de tareas. Por ejemplo, los usuarios que tengan permiso para registrar instrucciones de pago no deben poder verificar o aprobar su propio trabajo. Toda operacin realizada en los sistemas que afecten informacin sensible como saldos operativos contables, deben contar con controles duales de aprobacin, dichos controles de aprobacin deben ser asignados con una adecuada segregacin de funciones. Reportes de auditoria de transacciones sensibles o de alto valor deben ser revisadas por la gerencia usuaria responsable en intervalos regulares apropiados. Los reportes deben incluir la identidad del usuario, la fecha y la hora del evento.
6.8.4 Control de produccin y prueba El ambiente de prueba debe mantenerse siempre separado del ambiente de produccin, se deben implementar controles de acceso adecuados en ambos ambientes. Las pruebas deben realizarse utilizando datos de prueba. Sin embargo, copias de datos de produccin pueden ser usadas para las pruebas, siempre y cuando los datos sean autorizados por el Propietario y manejados de manera confidencial. El personal de desarrollo puede tener acceso de slo lectura a los datos de produccin. La actualizacin de los permisos de acceso a los datos de produccin debe ser autorizada por el propietario y otorgada por un periodo limitado. Estndares de nombres deben ser utilizados para distinguir los datos y programas de desarrollo y produccin. Un procedimiento de control de cambios debe asegurar que todos los cambios del modelo y ambientes de produccin hayan sido revisados y aprobados por el (los) gerente(s) apropiados, y el personal encargado de la administracin de la seguridad de la informacin. Los programas de produccin, sistemas operativos y libreras de documentacin deben ser considerados datos confidenciales y ser protegidos. Debe realizarse una adecuada segregacin de tareas dentro del rea de procesamiento de datos o sistemas. Las tareas del personal de soporte de aplicacin, soporte tcnico, y operadores del centro de datos deben estar claramente definidas y sus permisos de acceso a los datos deben basarse en los requerimientos especficos de su trabajo. 6.8.5 Controles de acceso de programas Los controles de acceso de programas deben asegurar que los usuarios no puedan acceder a la informacin sin autorizacin.
Los programas deben poder generar una pista de auditoria de todos los accesos y violaciones. Las violaciones de los controles de acceso deben ser registradas y revisadas por el propietario o por el personal del rea de sistemas custodio de los datos. Las violaciones de seguridad deben ser reportadas al gerente del empleado y al rea responsable de la administracin de la seguridad de la informacin. Se debe tener cuidado particular en todos los ambientes para asegurar que ninguna persona tenga control absoluto. Los operadores de sistemas, por ejemplo, no deben tener acceso ilimitado a los identificadores de superusuario. Dichos identificadores de usuario, son solo necesarios durante una emergencia y deben ser cuidadosamente controlados por la gerencia usuaria, quien debe realizar un monitoreo peridico de su utilizacin.
6.8.6 Administracin de acceso de usuarios La asignacin de identificadores de usuario especiales o privilegiados (como cuentas administrativas y supervisores) debe ser revisada cada 3 meses. Los propietarios de la informacin son responsables de revisar los privilegios de los sistemas peridicamente y de retirar todos aquellos que ya no sean requeridos por los usuarios. Es recomendable realizar revisiones trimestralmente debido al continuo cambio de los ambientes de trabajo y la importancia de los datos. Es responsabilidad del propietario de la informacin y de los administradores de sistemas ver que los privilegios de acceso estn alineados con las necesidades del negocio, sean asignados basndose en requerimientos y que se comunique la lista correcta de accesos al rea de sistemas de informacin.
En las situaciones donde los usuarios con accesos a informacin altamente sensible sean despedidos, los supervisores deben coordinar directamente con el rea de seguridad informtica para eliminar el acceso de ese usuario. Se debe buscar el desarrollo de soluciones tcnicas para evitar el uso de accesos privilegiados innecesarios. Luego del despido o renuncia de algn empleado, es responsabilidad del jefe del empleado revisar cualquier archivo fsico o digital elaborado o modificado por el usuario. El gerente debe tambin asignar la propiedad de dicha informacin a la persona relevante as como determinar la destruccin de los archivos innecesarios. Todos los usuarios que tienen acceso a las cuentas privilegiadas deben tener sus propias cuentas personales para uso del negocio. Por ende, los administradores de sistemas y empleados con acceso a cuentas privilegiadas deben usar sus cuentas personales para realizar actividades de tipo no privilegiadas. Cuentas de usuario que no son utilizadas por noventa (90) das deben ser automticamente deshabilitadas. Las cuentas que no han sido utilizadas por un periodo largo demuestran que el acceso de informacin de ese sistema no es necesario. Los custodios de la informacin deben informar al propietario de la informacin la existencia de las cuentas inactivas. Todos los accesos a los sistemas de informacin deben estar controlados mediante un mtodo de autenticacin incluyendo una combinacin mnima de identificador de usuario/contrasea. Dicha combinacin debe proveer la verificacin de la identidad del usuario. Para los usuarios con tareas similares, se debe utilizar grupos o controles de acceso relacionados a roles para asignar permisos y accesos a las cuentas del individuo. Todos los usuarios de los sistemas de informacin deben de tener un identificador de usuario nico que sea vlido durante el perodo laboral del
usuario. Los identificadores de usuarios no deben de ser utilizados por otros individuos incluso luego de que el usuario original haya renunciado o haya sido despedido. Los sistemas no deben permitir que los usuarios puedan tener sesiones mltiples para un mismo sistema, salvo bajo autorizacin especfica del propietario de la informacin. 6.8.7 Responsabilidades del usuario Todo equipo de cmputo, alquilado o de propiedad del Banco, as como los servicios compartidos facturados a cada unidad de negocio sern usados solo para actividades relacionadas al negocio del Banco. Los sistemas del Banco no pueden ser usados para desarrollar software para negocios personales o externos al Banco. Los equipos no deben ser usados para preparar documentos para uso externo, salvo bajo la aprobacin escrita del gerente del rea usuaria.
Se debe implementar protectores de pantallas en todas las computadoras personales y servidores, activndose luego de cinco (5) minutos de inactividad. Toda la actividad realizada utilizando un identificador de usuario determinado, es de responsabilidad del empleado a quin le fue asignado. Por consiguiente, los usuarios no deben compartir la informacin de su identificador con otros o permitir que otros empleados utilicen su identificador de usuario para realizar cualquier accin. Tambin, los usuarios estn prohibidos de realizar cualquier accin utilizando un identificador que no sea el propio. 6.8.8 Seguridad de computadoras Se debe mantener un inventario actualizado de todo el software y hardware existente en el Banco, la responsabilidad del mantenimiento del
inventario es del jefe de produccin de la gerencia de sistemas. Todo traslado o asignacin de equipos debe ser requerida por el gerente del rea usuaria, es de responsabilidad del jefe de produccin de la gerencia de sistemas, la verificacin y realizacin del requerimiento. Es de responsabilidad del usuario, efectuar un correcto uso del equipo de cmputo que le fue asignado, as como de los programas en l instalados; cualquier cambio y/o traslado deber ser solicitado con anticipacin por su respectiva Gerencia. Asimismo el usuario debe verificar que cualquier cambio y/o traslado del Equipo de Cmputo que le fue asignado, se realice por personal de Soporte Tcnico, as como tambin la instalacin o retiro de software. Cualquier microcomputador, computadora personal o porttil / notebook perteneciente al Banco debe ser nicamente utilizada para propsitos de negocios. Estas computadoras pueden ser utilizadas de las siguientes maneras: - Como un terminal comunicndose con otra computadora - Como una computadora aislada que realice su propio procesamiento sin comunicacin con ninguna otra computadora Medidas apropiadas de seguridad de computadoras personales, como los programas de seguridad de computadoras personales o los candados fsicos, deben ser utilizados en relacin con los datos y aplicaciones en ejecucin. Sin importar su uso, las medidas de seguridad deben ser implementadas en todas las microcomputadoras y computadoras personales: - Una vez habilitada la computadora, sta no debe dejarse desatendida, incluso por un periodo corto. - Todo los disquetes, cintas, CDs y otros dispositivos de
almacenamiento de informacin incluyendo informacin impresa, que contengan datos sensibles deben ser guardados en un ambiente seguro cuando no sean utilizados.
- El acceso a los datos almacenados en un microcomputador debe ser limitado a los usuarios apropiados.
Los discos duros no deben contener datos sensibles salvo en las computadoras cuyo acceso fsico sea restringido o que tengan instalados un programa de seguridad y que los accesos a la computadora y a sus archivos sean controlados adecuadamente. Los disquetes no deben ser expuestos a temperaturas altas o a elementos altamente magnticos. Deben generarse copias de respaldo de documentos y datos de manera peridica, asimismo, deben desarrollarse procedimientos para su adecuada restauracin en el caso de prdida. Todos los programas instalados en las computadoras deben ser legales, aprobados y peridicamente inventariados. Solo los programas adquiridos o aprobados por el Banco, sern instalados en las computadoras del Banco. El uso de programas de juegos, de distribucin gratuita (freeware o shareware) o de propiedad personal est prohibido, salvo que ste sea aprobado por la gerencia y se haya revisado la ausencia de virus en el mismo. 6.8.9 Control de acceso a redes 6.8.9.1 Conexiones con redes externas
Los sistemas de red son vulnerables y presentan riesgos inherentes a su naturaleza y complejidad. Los accesos remotos ( dial-in) y conexiones con redes externas, exponen a los sistemas del Banco a niveles mayores de riesgo. Asegurando que todos los enlaces de una red cuenten con adecuados niveles de seguridad, se logra que los activos ms valiosos de las unidades de negocio estn protegidos de un ataque directo o indirecto.
Todas las conexiones realizadas entre la red interna del Banco e Internet, deben ser controladas por un firewall para prevenir accesos no autorizados. El rea de seguridad de informacin debe aprobar todas las conexiones con redes o dispositivos externos. El acceso desde Internet hacia la red interna del Banco no debe ser permitido sin un dispositivo de fuerte autenticacin o certificado basado en utilizacin de contraseas dinmicas. El esquema de direccionamiento interno de la red no debe ser visible desde redes o equipos externos. Esto evita que hackers u otras personas pueden obtener fcilmente informacin sobre la estructura de red del Banco y computadoras internas. Para eliminar las vulnerabilidades inherentes al protocolo TCP/IP, ruteadores y firewalls deben rechazar conexiones externas que parecieran originarias de direcciones internas (ip spoofing).
6.8.9.2
Estndares generales
Los accesos a los recursos de informacin deben solicitar como mnimo uno de los tres factores de autenticacin: Factor de conocimiento: algo que solo el usuario conoce. Por ejemplo: contrasea o PIN. Factor de posesin: algo que solo el usuario posee. Por ejemplo: smartcard o token. Factor biomtrico: algo propio de las caractersticas biolgicas del usuario. Por ejemplo: lectores de retina o identificadores de voz. La posibilidad de efectuar encaminamiento y re-direccionamiento de paquetes, debe ser configurada estrictamente en los equipos que necesiten realizar dicha funcin. Todos los componentes de la red deben mostrar el siguiente mensaje de alerta en el acceso inicial.
Aviso de alerta: Estos sistemas son de uso exclusivo del personal y agentes autorizados del Banco. El uso no autorizado est prohibido y sujeto a penalidades legales. Todos los componentes de la red de datos deben ser identificados de manera nica y su uso restringido. Esto incluye la proteccin fsica de todos los puntos vulnerables de una red. Las estaciones de trabajo y computadoras personales deben ser bloqueadas mediante la facilidad del sistema operativo, mientras se encuentren desatendidas. Todos los dispositivos de red, as como el cableado deben ser ubicado de manera segura. Cualquier unidad de control, concentrador, multiplexor o procesador de comunicacin ubicado fuera de una rea con seguridad fsica, debe estar protegido de un acceso no autorizado.
6.8.9.3
Poltica del uso de servicio de redes
Todas las conexiones de red internas y externas deben cumplir con las polticas del Banco sobre servicios de red y control de acceso. Es responsabilidad del rea de sistemas de informacin y seguridad de informacin determinar lo siguiente: - Elementos de la red que pueden ser accedidos - El procedimiento de autorizacin para la obtencin de acceso - Controles para la proteccin de la red. Todos los servicios habilitados en los sistemas deben contar con una justificacin coherente con las necesidades del negocio. Los riesgos asociados a los servicios de red deben determinarse y ser resueltos antes de la implementacin del servicio. Algunos servicios estrictamente prohibidos incluyen TFTP e IRC/Chat.
6.8.9.4
Segmentacin de redes
La arquitectura de red del Banco debe considerar la separacin de redes que requieran distintos niveles de seguridad. Esta separacin debe realizarse de acuerdo a la clase de informacin albergada en los sistemas que constituyen dichas redes. Esto debe incluir equipos de acceso pblico. 6.8.9.5 Anlisis de riesgo de red
Cualquier nodo de la red de datos, debe asumir el nivel de sensibilidad de la informacin o actividad de procesamiento de datos ms sensible al que tenga acceso. Se deben implementar controles que compensen los riesgos ms altos. 6.8.9.6 Acceso remoto(dial-in )
Los usuarios que ingresen a los sistemas del Banco mediante acceso remoto (dial-in) deben ser identificados antes de obtener acceso a los sistemas. Por lo tanto, dicho acceso debe ser controlado por un equipo que permita la autenticacin de los usuarios al conectarse a la red de datos. Tcnicas y productos apropiadas para el control de los accesos remotos (dial-in) incluyen: Tcnicas de identificacin de usuarios: Tcnicas que permitan identificar de manera unvoca al usuario que inicia la conexin, es recomendable que la tcnica elegida utilice por lo menos 2 de los factores de autenticacin definidos anteriormente. Ejemplo: tokens (dispositivos generadores de contraseas dinmicas). Tcnicas de identificacin de terminales: Tcnicas que permiten identificar unvocamente al terminal remoto que realiza la conexin. Ejemplo: callback (tcnica que permite asegurar que el nmero telefnico fuente de la conexin sea autorizado)
6.8.9.7
Encripcin de los datos
Los algoritmos de encripcin DES, 3DES y RSA son tcnicas de encripcin aceptables para las necesidades de los negocios de hoy. Estas pueden ser empleadas para satisfacer los requerimientos de encripcin de datos del Banco. Las contraseas, los cdigos o nmeros de identificacin personal y los identificadores de terminales de acceso remoto deben encontrarse encriptados durante la transmisin y en su medio de almacenamiento. La encripcin de datos ofrece proteccin ante accesos no autorizados a la misma; debe ser utilizada si luego de una evaluacin de riesgo se concluye que es necesaria. 6.8.10 Control de acceso al sistema operativo 6.8.10.1 Estndares generales Los usuarios que posean privilegios de superusuario, deben utilizar el mismo identificador con el que se autentican normalmente en los sistemas. Los administradores deben otorgarle los privilegios especiales a los identificadores de los usuarios que lo necesiten. Todos los usuarios deben poseer un nico identificador. El uso de identificadores de usuario compartidos debe estar sujeto a autorizacin. Cada cuenta de usuario debe poseer una contrasea asociada, la cual solo debe ser conocida por el dueo del identificador de usuario. Seguridad adicional puede ser aadida al proceso, como identificadores biomtricos o generadores de contraseas dinmicas.
6.8.10.2 Limitaciones de horario Las aplicaciones crticas deben estar sujetas a periodos de acceso restringidos, el acceso a los sistemas en un horario distinto debe ser deshabilitado o suspendido.
6.8.10.3 Administracin de contraseas Los administradores de seguridad deben realizar pruebas mensuales sobre la calidad de las contraseas que son empleadas por los usuarios, esta actividad puede involucrar el uso de herramientas para obtencin de contraseas. Todas las bases de datos o aplicaciones que almacenen contraseas deben ser aseguradas, de tal manera, que solo los administradores de los sistemas tengan acceso a ellas. 6.8.10.4 Inactividad del sistema Las sesiones en los sistemas que no se encuentren activas por mas de 30 minutos deben ser concluidas de manera automtica. Las computadoras personales, laptops y servidores, deben ser
configurados con un protector de pantalla con contrasea, cuando sea aplicable. El periodo de inactividad para la activacin del protector de pantalla debe ser de 5 minutos. Los sistemas deben forzar la reautenticacin de los usuarios luego de 2 horas de inactividad. 6.8.10.5 Estndares de autenticacin en los sistemas Los sistemas, durante el proceso de autenticacin, deben mostrar avisos preventivos sobre los accesos no autorizados a los sistemas. Los identificadores de los usuarios deben ser bloqueados luego de 3 intentos fallidos de autenticacin en los sistemas, el desbloqueo de la cuenta debe ser realizado manualmente por el administrador del sistema. Los sistemas deben ser configurados para no mostrar ninguna informacin que pueda facilitar el acceso a los mismos, luego de intentos fallidos de autenticacin.
6.8.11 Control de acceso de aplicacin 6.8.11.1 Restricciones de acceso a informacin Para la generacin de cuentas de usuario en los sistemas as como para la asignacin de perfiles, el gerente del rea usuaria es el responsable de presentar la Solicitud de Usuarios y/o Perfiles de Acceso a los Sistemas de Cmputo, al rea de Seguridad Informtica, quien generar los Usuarios y Contraseas correspondientes, para luego remitirlas al Departamento de Recursos Humanos, para que ste a su vez los entregue al Usuario Final, con la confidencialidad requerida. Se debe otorgar a los usuarios acceso solamente a la informacin mnima necesaria para la realizacin de sus labores. Esta tarea puede ser realizada utilizando una combinacin de: - Seguridad lgica de la aplicacin. - Ocultar opciones no autorizadas en los sistemas - Restringir el acceso a lnea de comando - Limitar los permisos a los archivos de los sistemas (solo lectura) - Controles sobre la informacin de salida de los sistemas (reportes, consultas en lnea, etc.) 6.8.11.2 Aislamiento de sistemas crticos Basados en el tipo de informacin, las redes pueden requerir separacin. Los sistemas que procesan informacin muy crtica deben ser aislados fsicamente de sistemas que procesan informacin menos crtica. 6.8.12 Monitoreo del acceso y uso de los sistemas 6.8.12.1 Sincronizacin del reloj Los relojes de todos los sistemas deben ser sincronizados para asegurar la consistencia de todos los registros de auditoria. Debe desarrollarse un
procedimiento para el ajuste de cualquier desvo en la sincronizacin de los sistemas. 6.8.12.2 Responsabilidades generales Los administradores de los sistemas deben realizar monitoreo peridico de los sistemas como parte de su rutina diaria de trabajo, este monitoreo no debe estar limitado solamente a la utilizacin y performance del sistema sino debe incluir el monitoreo del acceso de los usuarios a los sistemas.
6.8.12.3 Registro de eventos del sistema La actividad de los usuarios vinculada al acceso a informacin clasificada como confidencial o restringida debe ser registrada para su posterior inspeccin. El propietario de la informacin debe revisar dicho registro mensualmente.
Todos los eventos de seguridad relevantes de una computadora que alberga informacin confidencial, deben ser registrados en un log de eventos de seguridad. Esto incluye errores en autenticacin,
modificaciones de datos, utilizacin de cuentas privilegiadas, cambios en la configuracin de acceso a archivos, modificacin a los programas o sistema operativo instalados, cambios en los privilegios o permisos de los usuarios o el uso de cualquier funcin privilegiada del sistema.
Los logs (bitcoras) de seguridad deben ser almacenados por un periodo mnimo de 3 meses. Acceso a dichos logs debe ser permitido solo a personal autorizado. En la medida de lo posible, los logs deben ser almacenados en medios de solo lectura.
6.8.13 Computacin mvil y teletrabajo 6.8.13.1 Responsabilidades generales Los usuarios que realizan trabajo en casa con informacin del Banco, pueden tener el concepto errado de que la seguridad de informacin solo es aplicable en el trabajo en oficina, sin tomar en cuenta que algunas amenazas de seguridad son comunes en ambos entornos de trabajo y que incluso existen algunas nuevas amenazas en el trabajo en casa. El personal que realiza trabajo en casa debe tener en cuenta las amenazas de seguridad que existen en dicho entorno laboral y tomar las medidas apropiadas para mantener la seguridad de informacin.
La utilizacin de programas para el control remoto de equipos como PCAnywhere est prohibida a menos que se cuente con el consentimiento formal del administrador de seguridad. La utilizacin inapropiada de este tipo de programas puede facilitar el acceso de un intruso a los sistemas de informacin del Banco. 6.8.13.2 Acceso remoto Medidas de seguridad adicionales deben ser implementadas para proteger la informacin almacenada en dispositivos mviles. Entre las medidas a tomarse se deben incluir: - Encripcin de los datos - Contraseas de encendido - Concientizacin de usuarios - Proteccin de la data transmitida hacia y desde dispositivos mviles. Ej. VPN, SSL o PGP. - Medidas de autenticacin adicionales para obtener acceso a la red de datos. Ej. SecureID tokens.
Con el propsito de evitar los problemas relacionados a virus informticos y propiedad de los datos existentes en computadoras externas, solamente equipos del Banco deben ser utilizados para ser conectados a su red de datos. La nica excepcin a este punto es la conexin hacia el servidor de correo electrnico para recepcin y envo del correo electrnico.
Todos los accesos dial-in/dial-out deben contar con autorizacin del rea de seguridad informtica y deben contar con la autorizacin respectiva que justifique su necesidad para el desenvolvimiento del negocio. 6.9 DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS El diseo de la infraestructura del Banco, las aplicaciones de negocio y las aplicaciones del usuario final deben soportar los requerimientos generales de seguridad documentados en la poltica de seguridad del Banco. Estos requerimientos deben ser incorporados en cada paso del ciclo de desarrollo de los sistemas, incluyendo todas las fases de diseo, desarrollo, mantenimiento y produccin. Los requerimientos de seguridad y control deben estar: - determinados durante cualquier diseo de sistemas, - desarrollados dentro de la arquitectura del sistema - implementados en la instalacin final del sistema. Adicionalmente, todo los procesos de desarrollo y soporte a estos sistemas deben seguir los requerimientos de seguridad incluidos en esta poltica de seguridad. 6.9.1 Requerimientos de seguridad de sistemas 6.9.1.1 Control de cambios
El rea responsable de la administracin de cambios debe retener todos los formularios de solicitud de cambio, planes de cambio de programa y
resultados de pruebas de acuerdo con los estndares de retencin de registros del Banco. Los gerentes tcnicos de las reas son responsables de retener una copia de la documentacin de solicitud de cambio pertinente a su respectiva rea.
Los procedimientos de prueba deben estar documentados en los formularios de solicitud de cambio. Si se notara problemas durante el proceso de prueba, el proveedor debe documentar el problema, realizar las modificaciones apropiadas en el ambiente de desarrollo y entregarlo para que se vuelva a probar. 6.9.1.2 Anlisis y especificacin de los requerimientos de seguridad Para todos los sistemas desarrollados por o para el Banco, se debe determinar los requerimientos de seguridad antes de comenzar la fase de desarrollo de la aplicacin. Durante la fase de diseo del sistema, los propietarios de la informacin, el rea de sistemas y el rea de seguridad de la informacin deben determinar un control adecuado para el ambiente de la aplicacin. Estos requerimientos deben incluir, pero no estn limitadas a: - Control de acceso - Autorizacin - Criticidad del sistema - Clasificacin de la informacin - Niveles de disponibilidad requeridos - Confidencialidad e integridad de la informacin
6.9.2 Seguridad en sistemas de aplicacin 6.9.2.1 Los Desarrollo y prueba de aplicaciones de prueba deben estar adecuadamente
procedimientos
documentados en los formularios de solicitud de cambio. El gerente del desarrollador debe efectuar una revisin independiente de los resultados de la unidad de prueba. Como resultado, se debe evidenciar una aprobacin formal por parte del gerente del desarrollador en el formulario de solicitud de cambio.
Durante la prueba de integracin, restricciones de acceso lgico deben asegurar que los desarrolladores no tengan accesos de actualizacin y que el cdigo siendo probado no sea modificado sin consentimiento del usuario. Copias de los datos de produccin o conjuntos prediseados de datos de prueba deben ser usados para propsitos de prueba.
Todas las modificaciones significativas, mejoras grandes y sistemas nuevos deben ser probados por los usuarios del sistema antes de la instalacin del software en el ambiente de produccin. El plan de aceptacin del usuario debe incluir pruebas de todas las funciones principales, procesos y sistemas de interfaces. Los procedimientos de prueba deben ser adecuadamente documentados en los formularios de solicitud de cambio.
Durante las pruebas de aceptacin, restricciones lgicas de acceso deben asegurar que los desarrolladores no tengan acceso de actualizacin y que el cdigo fuente siendo probado no pueda ser modificado sin consentimiento escrito por el usuario. Si se notara problemas, el usuario debe documentar el problema, el desarrollador debe realizar las modificaciones apropiadas en el ambiente de desarrollo y lo entregar para volver a probarlo.
6.10
CUMPLIMIENTO NORMATIVO
Toda ley, norma, regulacin o acuerdo contractual debe ser documentado y revisado por el rea legal del Banco. Requerimientos especficos para controles y otras actividades relacionadas a estas regulaciones legales deben ser delegados al rea organizacional respectiva, la cual es responsable por el cumplimiento de la norma en cuestin. Los recursos informticos del Banco deben ser empleados exclusivamente para tareas vinculadas al negocio. 6.10.1 Registros Deben desarrollarse estndares de retencin, almacenamiento, manejo y eliminacin de registros que son requeridos por normas legales u otras regulaciones. Debe definirse un cronograma de retencin para estos registros que debe incluir: - Tipo de informacin - Regulaciones o leyes aplicables - Fuentes de este tipo de informacin - Tiempos de retencin requeridos - Requerimientos de traslado y almacenamiento - Procedimientos de eliminacin - Requerimientos de control especficos estipulados en la norma relacionada 6.10.2 Revisin de la poltica de seguridad y cumplimiento tcnico Los gerentes y jefes deben asegurarse que las responsabilidades de seguridad sean cumplidas y las funciones relacionadas se ejecuten apropiadamente. Es responsabilidad del personal encargado de la administracin de la seguridad y de auditoria interna verificar el cumplimiento de las polticas
de seguridad. Las excepciones deben ser reportadas a la gerencia apropiada. 6.10.3 Propiedad de los programas Cualquier programa escrito por algn empleado del Banco dentro del alcance de su trabajo as como aquellos adquiridos por el Banco son de propiedad del Banco. Los contratos para desarrollo externo deben acordarse por escrito y deben sealar claramente el propietario de los derechos del programa. En la mayora de circunstancias, el Banco debera ser propietaria de todos los programas de cmputo desarrollados, debiendo pagar los costos de desarrollo. Cada programa elaborado por desarrolladores propios del Banco o por desarrolladores externos contratados por el Banco, debe contener la informacin de derecho de autor correspondiente. Generalmente, el aviso debe aparecer en cuando el usuario inicie la aplicacin. Un aviso legible tambin debe estar anexado a las copias de los programas almacenados en dispositivos como cartuchos, cassettes, discos o disquetes. 6.10.4 Copiado de software adquirido y alquilado Los contratos con proveedores y paquetes propietarios de software deben definir claramente los lmites de su uso. Los empleados estn prohibidos de copiar o utilizar dicho software de manera contraria a la provisin del contrato. Toda infraccin de los derechos de autor del software constituye robo.
Los productos adquiridos o alquilados para ejecutarse en una unidad de procesamiento o en un sitio particular no deben ser copiados y ejecutados en procesadores adicionales sin algn acuerdo por parte del proveedor.
Los programas no pueden ser copiados salvo dentro del lmite acordado con el proveedor (por ejemplo, copias de respaldo para proteccin). Los empleados o contratistas que realicen copias adicionales para evitar el costo de adquisicin de otro paquete sern hechos responsables de sus acciones. 6.11 CONSIDERACIONES DE AUDITORIA DE SISTEMAS
6.11.1 Proteccin de las herramientas de auditoria Todas las herramientas, incluyendo programas, aplicaciones,
documentacin y papeles de trabajo, requeridos para la auditoria de sistemas deben protegerse de amenazas posibles como se indica en esta poltica de seguridad. 6.11.2 Controles de auditoria de sistemas Todas las actividades de auditoria deben ser revisadas para el planeamiento y la ejecucin correcta de la auditoria. Esto incluye, pero no se limita a lo siguiente: - minimizar cualquier interrupcin de las operaciones del negocio - acuerdo de todas las actividades y objetivos de auditoria con la gerencia - lmite del alcance de la evaluacin de un ambiente controlado, asegurando que no se brinde accesos impropios para la realizacin de las tareas de auditoria - identificacin de los recursos y habilidades necesarias para cualquier tarea tcnica - registro de todas las actividades y desarrollo de la documentacin de las tareas realizadas, procedimientos de auditoria, hallazgos y recomendaciones.
6.12
POLTICA DE COMERCIO ELECTRNICO
El propsito de esta poltica es presentar un esquema para el comportamiento aceptable cuando se realizan actividades de comercio electrnico (e-commerce). Los controles definidos, tienen el propsito de proteger el comercio electrnico de numerosas amenazas de red que puedan resultar en actividad fraudulenta y divulgacin o modificacin de la informacin.
Esta poltica se aplica a todos los empleados del Banco involucrados con comercio electrnico y a los socios de comercio electrnico del Banco. Los socios de comercio electrnico del Banco incluyen las unidades de negocio de la organizacin, los clientes, socios comerciales y otros terceros.
El Banco debe asegurar la claridad de toda la informacin documentada y divulgar la informacin necesaria para asegurar el uso apropiado del comercio electrnico. El Banco y los socios de comercio electrnico deben de someterse a la legislacin nacional sobre el uso de la informacin de clientes y las estadsticas derivadas.
Los documentos y transacciones electrnicas usadas en el comercio electrnico deben ser legalmente admisibles. Las unidades de negocio afiliadas del Banco deben demostrar que sus sistemas de cmputo funcionan adecuadamente para establecer la autenticacin de los documentos y transacciones legales. Los sistemas de informacin usados deben estar de acuerdo con los estndares de seguridad corporativos antes de estar disponibles en produccin.
Los sistemas de comercio electrnico deben publicar sus trminos de negocios a los clientes. El uso de autoridades de certificacin y archivos
confiables de terceros deben estar documentados, de acuerdo con la poltica de seguridad de informacin del Banco.
Actividades de roles y responsabilidades entre el Banco y los socios de comercio electrnico deben de establecerse, documentarse y ser soportadas por un acuerdo documentado que comprometa a ambos al acuerdo de los trminos de transacciones. 6.12.1 Trminos e informacin de comercio electrnico 6.12.1.1 Recoleccin de informacin y privacidad El Banco debe utilizar niveles apropiados de seguridad segn el tipo de informacin recolectada, mantenida y transferida a terceros debiendo asegurarse de: - Aplicar estndares corporativos de encripcin y autenticacin para la transferencia de informacin sensible. - Aplicar controles corporativos tcnicos de seguridad para proteger los datos mantenidos por computadoras; y - Considerar la necesidad de que los terceros involucrados en las transacciones de clientes, tambin mantengan niveles apropiados de seguridad.
El Banco debe adoptar prcticas de informacin que
manejen
cuidadosamente la informacin personal de los clientes. Todos los sistemas de comercio electrnico del Banco deben seguir una poltica de privacidad basada en principios de informacin, deben tomar medidas apropiadas para proveer seguridad adecuada y respetar las preferencias de los clientes con respecto al envo de mensajes de correo electrnico no solicitados.
6.12.1.2 Divulgacin El Banco debe proveer suficiente informacin sobre la propia transaccin en lnea, para permitir que los clientes tomen una decisin informada sobre si ejecutar las transacciones en lnea. Informacin divulgada debe incluir, pero no estar limitada a: - Trminos de transaccin; - Disponibilidad de producto e informacin de envo; y - Precios y costos. El Banco debe tambin brindar al cliente las opciones de: - Revisin y aprobacin de la transaccin; y - Recepcin de una confirmacin. 6.12.2 Transferencia electrnica de fondos Transacciones de valor, sobre redes de telecomunicacin, que resulten de movimientos de fondos, deben estar protegidas con medidas que sean proporcionales a la prdida potencial debido a error o fraude. En sistemas donde el valor promedio de transaccin excede los $50,000 o en los
cuales transacciones sobre los $100,000 sean frecuentes, se debe verificar el origen de la transaccin as como el contenido de la misma de acuerdo a los estndares definidos por el Banco.
Para todos los casos en que un mensaje de transferencia electrnica de fondos sea enviado sobre un circuito por lo menos se debe verificar el origen del mensaje mediante un mtodo apropiado considerando el riesgo involucrado.
Algunas circunstancias requieren de la verificacin de la ubicacin fsica del terminal que origina la transaccin, mientras que en otras una adecuada tcnica usada para identificar el usuario del terminal es suficiente.
Los sistemas que utilicen soluciones de encripcin o autenticacin deben usar los estndares de ANSI aceptados. La encripcin de la informacin transmitida es necesaria cuando el origen y el destino se encuentran conectados por un enlace fsico de comunicacin que pueda ser accedido por un tercero. Las soluciones de punto a punto son preferibles para redes multi-nodos.
Los datos de identificacin personal como PINs, PICs y contraseas no deben ser transmitidas o almacenadas sin proteccin en cualquier medio. Los sistemas nuevos que involucren el movimiento de fondos o transacciones de valor sobre redes de telecomunicaciones debe incorporar estos controles en su diseo.
Cualquier cambio en los sistemas o redes existentes, deben respetar dichos controles. 6.13 INFORMACIN ALMACENADA EN MEDIOS DIGITALES Y
FSICOS Toda informacin almacenada en cualquier dispositivo o medio del Banco, incluyendo disquetes, reportes, cdigos fuentes de programas de computadora, correo electrnico y datos confidenciales de los clientes, es propiedad del Banco. Las prcticas de seguridad de datos deben ser consistentes para ser efectivas. Los datos sensibles deben ser protegidos, sin importar la forma en que sean almacenados. 6.13.1 Etiquetado de la informacin Toda informacin impresa o almacenada en medios fsicos transportables (cintas de backup, cds, etc.) que sean confidenciales o restringidas,
deben estar claramente etiquetadas como tal, con letras grandes que sean legibles sin la necesidad de un lector especial. Todo documento o contenedor de informacin debe ser etiquetado como Restringida, Confidencial, de Uso interno o de Acceso General, dependiendo de la clasificacin asignada. Todo documento en formato digital o impreso, debe presentar una etiqueta en la parte superior e inferior de cada pgina, con la clasificacin correspondiente. Todo documento clasificado como Confidencial o Restringido debe contar con una cartula en la cual se muestre la clasificacin de la informacin que contiene. 6.13.2 Copiado de la informacin Reportes confidenciales y restringidos no deben ser copiados sin la autorizacin del propietario de la informacin. Reportes confidenciales pueden ser copiados slo para los individuos autorizados a conocer su contenido. Los gerentes son los responsables de determinar dicha necesidad, para cada persona a la cual le sea distribuido dicho reporte. Los reportes restringidos deben ser controlados por un solo custodio, quin es responsable de registrar los individuos autorizados que soliciten el documento. El copiado de cualquier dato restringido o confidencial almacenado en un medio magntico debe ser aprobado por el propietario y clasificado al igual que el original. 6.13.3 Distribucin de la informacin La informacin confidencial y restringida debe ser controlada cuando es trasmitida por correo electrnico interno, externo o por courier. Si el
servicio de courier o correo externo es usado, se debe solicitar una confirmacin de entrega al receptor. Los reportes confidenciales y otros documentos sensibles deben usarse en conjunto con sobres confidenciales y estos ltimos tambin ser sellados. Materiales restringidos de alta sensibilidad deben enviarse con un sobre etiquetado Solo a ser abierto por el destinatario. La entrega personal es requisito para la informacin extremadamente sensible. Los datos sensibles de la empresa que sean transportados a otra instalacin deben ser transportados en contenedores apropiados. Todo usuario, antes de transmitir informacin clasificada como
Restringida o Confidencial, debe asegurarse que el destinatario de la informacin est autorizado a recibir dicha informacin. La transmisin de informacin clasificada como Restringida o
Confidencial, transmitida desde o hacia el Banco a travs de redes externas, debe realizarse utilizando un medio de transmisin seguro, es recomendable el uso de tcnicas de encripcin para la informacin transmitida. 6.13.4 Almacenamiento de la informacin Los activos de informacin correspondiente a distintos niveles de clasificacin, deben ser almacenados en distintos contenedores. La informacin etiquetada como de uso interno debe ser guardada de manera que sea inaccesible a personas ajenas a la empresa. La informacin Confidencial o Restringida debe ser asegurada para que est slo disponible a los individuos especficamente autorizados para acceder a ella.
El ambiente donde se almacena la informacin clasificada como Restringida, debe contar con adecuados controles de acceso y asegurado cuando se encuentre sin vigilancia. El acceso debe ser
permitido solo al personal formalmente autorizado. Personal de limpieza debe ingresar al ambiente acompaado por personal autorizado.
La informacin en formato digital clasificada como de acceso General, puede ser almacenada en cualquier sistema del Banco. Sin embargo se deben tomar las medidas necesarias para no mezclar informacin General con informacin correspondiente a otra clasificacin.
Informacin en Formato digital, clasificada como Restringida, debe ser encriptada con un mtodo aprobado por el rea de seguridad informtica, cuando es almacenada en cualquier medio (disco duro, disquetes, cintas, CDs, etc.).
Los
medios
de
almacenamiento,
incluyendo
discos
duros
de
computadoras, que albergan informacin clasificada como Restringida, deben ser ubicados en ambientes cerrados diseados para el almacenamiento de dicho tipo de informacin. Cuando informacin clasificada como de uso Interno, Confidencial o Restringida se guarde fuera del Banco, debe ser almacenada en instalaciones que cuenten con adecuados controles de acceso. El envo y recepcin de medios magnticos para ser almacenados en instalaciones alternas debe ser autorizado por el personal responsable de los mismos y registrado en bitcoras apropiadas. 6.13.5 Eliminacin de la informacin La eliminacin de documentos y otras formas de informacin deben asegurar la confidencialidad de la informacin de las unidades de negocio.
Se debe borrar los datos de los medios magnticos, como cassettes, disquetes, discos duros, DASD, que se dejen de usar en el Banco debido a dao u obsolencia, antes de que estos sean eliminados.
En el caso de los equipos daados, la empresa de reparacin o destruccin del equipo debe certificar que los datos hayan sido destruidos o borrados.
Captulo VII
PLAN DE IMPLEMENTACIN DE ALTO NIVEL
Luego de la identificacin de riesgos amenazas y vulnerabilidades se pudo determinar el conjunto de actividades ms importantes a ser realizadas por el Banco, las cuales permitan alinear las medidas de seguridad existentes con las exigidas por las Polticas de Seguridad elaboradas.
Estas actividades han sido agrupadas en un plan de implementacin, el cual contiene los objetivos de cada actividad, el tiempo estimado de ejecucin y las etapas a ser cubiertas en cada actividad identificada.
Las actividades a ser realizadas por el Banco son las siguientes: Clasificacin de la Informacin Seguridad de red y comunicaciones Inventario de accesos a los sistemas Adaptacin de contratos con proveedores Campaa de concientizacin de usuarios Verificacin y adaptacin de los sistemas del Banco Estandarizacin de la configuracin del software base Revisin y adaptacin de procedimientos complementarios.
Para cada actividad se ha elaborado una breve descripcin (objetivo), las tareas a ser desarrolladas (etapas), la relacin de precedencia que presenta con otras actividades y un tiempo estimado de duracin. El tiempo estimado para el desarrollo de cada etapa debe ser revisado antes de iniciar la misma y puede sufrir variaciones de acuerdo a dicha evaluacin final.
7.1
Clasificacin de Informacin Ninguna 16 22 semanas Con el objetivo de proteger los activos de informacin de manera adecuada, se debe realizar un proyecto para la clasificacin de la informacin utilizada por las distintas unidades de negocio, mediante la cual se podrn definir los recursos apropiados y necesarios para proteger los activos de informacin. El objetivo de la clasificacin es priorizar la utilizacin de recursos para aquella informacin que requiere de mayores niveles de proteccin. Los criterios a ser empleados para la clasificacin de la informacin son los siguientes: - Informacin Restringida (R): Informacin con mayor grado de sensibilidad; el acceso a esta informacin debe de ser autorizado caso por caso. - Informacin Confidencial (C): Informacin sensible que solo debe ser divulgada a aquellas personas que la necesiten para el cumplimiento de sus funciones. - Informacin de Uso Interno (I): Datos generados para facilitar las operaciones diarias; deben de ser manejados de una manera discreta, pero no requiere de medidas elaboradas de seguridad. - Informacin General (G): Informacin que es generada especficamente para su divulgacin al pblico en general.
Dependencia Tiempo estimado Objetivo
Etapas
Elaboracin de un inventario de activos de informacin incluyendo informacin almacenada en medios digitales e informacin impresa.
Definicin de responsables por activos identificados Clasificacin de la informacin por parte de los responsables definidos.
Consolidacin de los activos de informacin clasificados.
Determinacin de las medidas de seguridad a ser aplicados para cada activo clasificado.
- Implementacin de las medidas de seguridad determinadas previamente.
7.2
Seguridad de red y comunicaciones
Ninguna 11 17 semanas
Para
evitar
manipulacin
de
los
equipos
de
comunicaciones por personal no autorizado y garantizar que la configuracin que poseen brinde mayor seguridad y eficiencia a las comunicaciones, se requiere que los equipos que soportan dicho servicio, se encuentren adecuadamente configurados. Etapas A. Adaptacin de sistemas de comunicaciones a polticas de seguridad. (Tiempo estimado: 3-5 semanas) Elaboracin de un inventario de equipos de
comunicaciones (routers, switches, firewalls, etc)
Elaboracin de estndares de configuracin para los equipos de comunicaciones (basarse en la poltica de seguridad definida, documentacin de proveedores, etc.)
Evaluacin de equipos identificados. Adaptacin de los equipos a la poltica de seguridad.
B. Adaptacin a la arquitectura de red propuesta. (Tiempo estimado: 6-8 semanas)
B.1. Creacin de la Extranet: Controlar mediante un firewall la comunicacin entre la red del Banco y redes externas como Banca Red y Reuters, para evitar actividad no autorizada desde dichas redes hacia los equipos de la red del Banco.
B.2. Implementar una red DMZ para evitar el ingreso de conexiones desde Internet hacia la red interna de datos. Adicionalmente implementar un sistema de inspeccin de contenido con el propsito de monitorear la informacin que es transmitida va correo electrnico entre el Banco e Internet. En la red DMZ se debe ubicar un servidor de inspeccin de contenido, el cual trabajara de la siguiente manera:
a) Ingreso de correo electrnico: El servidor de inspeccin de contenido, recibir todos los correos enviados desde Internet, revisar su contenido y
los enviar al servidor Lotus Notes, quin los entregar a su destinatario final. b) Salida de correo electrnico: El Servidor Lotus Notes enviar el correo electrnico al servidor de inspeccin de contenido, quin revisar el
contenido del mensaje, para transmitirlo a travs de Internet a su destino final. Esta nueva red DMZ puede ser empleada para ubicar nuevos equipos que brindarn servicios a travs de Internet en el futuro tales como FTP, Web, etc.
B.3. Implementar servicios de
un
sistema
de
Antivirus FTP,
para
Internet
(SMTP,
HTTP).
Implementar un gateway antivirus de servicios de Internet, a travs del cual pasarn las
comunicaciones establecidas entre la red interna del Banco e Internet. (duracin aproximada: 1 semana)
B.4. Implementar un sistema de Alta Disponibilidad de firewalls en las crtica conexiones y se donde una fluye alta
informacin
requiera
disponibilidad de las comunicaciones. (duracin aproximada: 2 semanas)
B.5. Implementar un sistema de monitoreo de Intrusos para detectar los intentos de intrusin o ataque desde redes externas hacia la red de datos del Banco. Asimismo se recomienda la
implementacin del sistema en la red interna del Banco donde se ubican servidores crticos para detectar intentos de intrusin o ataque realizados desde la red interna del Banco hacia los servidores. (duracin aproximada: 2 semanas)
C.
Proyectos complementarios (tiempo estimado 2-4 semanas) Evaluacin de seguridad de la red inalmbrica y aplicacin de controles de ser necesarios. Verificacin de la configuracin de: Servidor Proxy, Surf Control Firewall Servidor de correo electrnico
7.3
Inventario de accesos a los sistemas
Ninguna 9 - 12 semanas
Con el propsito de obtener un control adecuado sobre el acceso de los usuarios a los sistemas del Banco, se debe realizar un inventario de todos los accesos que poseen ellos sobre cada uno de los sistemas. Este inventario debe ser actualizado al modificar el perfil de acceso de algn usuario y ser utilizado para realizar revisiones peridicas de los accesos otorgados en los sistemas.
Etapas
- Elaboracin de un inventario de las aplicaciones y
sistemas del Banco - Elaboracin de un inventario de los perfiles de acceso de cada sistema - Verificacin de los perfiles definidos en los sistemas para cada usuario - Revisin y aprobacin de los accesos por parte de las gerencias respectivas - Depurar los perfiles accesos de los usuarios a los sistemas. - Mantenimiento peridico del inventario. 7.4 Adaptacin de contratos con proveedores Ninguna 24 semanas (tiempo parcial)
Con el objetivo de asegurar el cumplimiento de las polticas de seguridad del Banco en el servicio brindado por los proveedores, es necesario realizar una revisin de los mismos y su grado de cumplimiento respecto a las polticas de seguridad definidas, de ser necesario dichos contratos deben ser modificados para el cumplimiento de la poltica de seguridad del Banco.
Etapas
- Elaboracin de clusulas estndar referidas a seguridad de informacin, para ser incluidas en los contratos con proveedores - Elaboracin de un inventario de los contratos existentes con proveedores - Revisin de los contratos y analizar el grado de
cumplimiento de la poltica de seguridad. - Negociar con los proveedores para la inclusin de las clusulas en los contratos.
7.5
Campaa de concientizacin de usuarios. Ninguna 5-7 semanas Con el objetivo de lograr un compromiso y concientizacin de los usuarios en temas referentes a seguridad de informacin del Banco, se debe realizar una campaa de concientizacin del personal la cual est orientada a todo el personal como conceptos bsicos de seguridad y a grupos especficos con temas correspondientes a sus responsabilidades en la organizacin. Definicin del mensaje a transmitir y material a ser empleado para los distintos grupos de usuarios, entre ellos: Personal en general: informacin general sobre seguridad, polticas y estndares incluyendo proteccin de virus, contraseas, seguridad fsica, sanciones, correo electrnico y uso de Internet. Personal de Sistemas: Polticas de seguridad, estndares y controles especficos para la tecnologa y aplicaciones utilizadas. Gerencias y jefaturas: Monitoreo de seguridad, responsabilidades de supervisin, polticas de sancin. Identificacin del personal de cada departamento que se encargar de actualizar a su propio grupo en temas de seguridad. Establecimiento de un cronograma de capacitacin, el cual debe incluir, empleados nuevos, requerimientos anuales de capacitacin, actualizaciones. Desarrollo el cronograma de presentaciones. - Realizar la campaa segn el cronograma elaborado, asegurndose de mantener un registro actualizado de la capacitacin de cada usuario.
Etapas
7.6
Verificacin y adaptacin de los sistemas del Banco. Actividad A. 20 30 semanas
Dependencia Tiempo estimado bjetivo
Con el objetivo de asegurar el cumplimiento de la poltica de seguridad en los controles existentes, se debe verificar el grado de cumplimiento de las polticas de seguridad en los sistemas del Banco y adaptarlos en caso de verificar su incumplimiento.
Etapas
- Elaboracin de un inventario de las aplicaciones existentes, incluyendo los servicios brindados a clientes como banca electrnica y banca telefnica. - Elaboracin de un resumen de los requisitos que deben cumplir las aplicaciones segn la poltica y estndares de seguridad. - Evaluacin del grado de cumplimiento de la poltica de seguridad para cada una de las aplicaciones existentes y la viabilidad de su modificacin para cumplir con la poltica de seguridad, elaborando la relacin de cambios que deben ser realizados en cada aplicacin. - Adaptacin de los sistemas a la poltica de seguridad (diseo, desarrollo, pruebas, actualizacin de la documentacin, etc.) - Estandarizacin de controles para contraseas de los sistemas. - Los sistemas no requerirn modificaciones si su adaptacin no es viable. - Pase a produccin de sistemas adaptados.
7.7
Estandarizacin de la configuracin del software base Ninguna 12 semanas
Con el objetivo de proteger adecuadamente la informacin existente en servidores y computadores personales, se debe realizar una adecuada configuracin de los parmetros de seguridad del software base que soporta las aplicaciones del Banco.
Etapas
- Finalizacin el proceso de migracin de computadores personales a Windows XP o Windows 2000 Professional. - Elaboracin de un inventario de sistema operativo de servidores y computadores personales. - Elaboracin de estndares de configuracin para Windows XP Professional, Windows 2000 Professional, Windows NT Server, SQL Server y OS/400. - Elaboracin de un inventario de bases de datos existentes. - Evaluacin de los de sistemas identificados. - Adaptacin del software base a la poltica de seguridad.
7.8
Revisin, y adaptacin de procedimientos complementarios Actividad B. 8 semanas
Dependencia Tiempo estimado
Objetivo
Adaptar los procedimientos y controles complementarios del Banco de acuerdo a lo estipulado en las polticas de seguridad.
Etapas
- Revisin y adaptacin de controles y estndares para desarrollo de sistemas - Elaboracin de procedimientos de monitoreo, incluyendo procedimientos para verificacin peridica de carpetas compartidas, generacin de copias de respaldo de informacin de usuarios, aplicacin de controles de seguridad para informacin en computadores porttiles, etc. - Elaboracin de procedimientos de monitoreo y reporte sobre la administracin de los sistemas y herramientas de seguridad, entre ellas: antivirus, servidores de seguridad del contenido, servidor Proxy, servidor firewall, sistema de deteccin de intrusos. - Establecimiento de controles para la informacin transmitida a clientes y proveedores. - Revisin y establecimiento de controles para el almacenamiento fsico de informacin. - Revisin y establecimiento de controles para personal externo que realiza labores utilizando activos de informacin del Banco para el Banco (Soporte Tcnico, Rehder, proveedores, etc.)
7.9
Cronograma tentativo de implementacin
Los proyectos antes mencionados deben ser liderados por el rea de seguridad informtica y sus responsables deben ser definidos individualmente para cada uno de ellos. A continuacin se presenta un cronograma sugerido para la realizacin de las actividades correspondientes al presente plan de implementacin:
ACTIVIDAD Clasificacin de Informacin Seguridad de red y comunicaciones Inventario de Accesos a los sistemas Adaptacin de contratos con proveedores Campaa de concientizacin de usuarios. Verificacin y adaptacin de los sistemas del Banco. Estandarizacin de la configuracin del software base Revisin y adaptacin de procedimientos complementarios
Mes Mes 1 2
Mes Mes Mes Mes 3 4 5 6
Mes Mes Mes Mes 7 8 9 10
Nota: La duracin de los proyectos est sujeta a variaciones dependientes a la situacin existente y el anlisis realizado previo a cada actividad
CONCLUSIONES Y RECOMENDACIONES
Dentro de las principales conclusiones y recomendaciones ms importantes tenemos:
Para nadie es un secreto la importancia de implementar un programa completo de seguridad de la informacin. Sin embargo, crear un programa de seguridad con componentes "bloqueadores de cookies" rara vez produce resultados efectivos. Lo ms efectivo es utilizar una metodologa comprobada que disee el programa de seguridad con base en las necesidades de su empresa, recuerde cada empresa es diferente.
La clave para desarrollar con xito un programa efectivo de seguridad de la informacin consiste en recordar que las polticas, estndares y procedimientos de seguridad de la informacin son un grupo de documentos interrelacionados. La relacin de los documentos es lo que dificulta su desarrollo, aunque es muy poderosa cuando se pone en prctica. Muchas organizaciones ignoran esta interrelacin en un esfuerzo por simplificar el proceso de desarrollo. Sin embargo, estas mismas relaciones son las que permiten que las organizaciones exijan y cumplan los requerimientos de seguridad.
Por qu las organizaciones necesitan una Poltica de Seguridad de la Informacin?
Por lo general se argumenta que las organizaciones requieren una Poltica de Seguridad de la Informacin para cumplir con sus "requerimientos de seguridad de la informacin". Ciertamente, muchas organizaciones no tienen requerimientos de seguridad de la informacin
como tal, sino que tienen necesidades empresariales que deben desarrollar e implementar. Las empresas, especialmente las compaas cotizadas en bolsa y las organizaciones gubernamentales, estn sujetas a las reglamentaciones operacionales de los gobiernos estatales y locales, as como de los organismos que reglamentan la industria. En el caso de las compaas cotizadas en bolsa, los funcionarios corporativos deben ser diligentes en sus operaciones y tener responsabilidad fiduciaria ante los accionistas - estas estipulaciones jurdicas requieren efectivamente que la organizacin proteja la informacin que utiliza, a la que tiene acceso o que crea para que la compaa opere con eficiencia y rentabilidad. Entonces surge la necesidad de proteger la informacin la necesidad no es acadmica, ni es creada por los "genios tcnicos" que buscan justificar su existencia en la organizacin.
La seguridad de la informacin siempre requiere inversin adicional? Las empresas podran o no necesitar ms recursos, esto depende del enfoque adoptado por la organizacin para el desarrollo de las polticas. Una Poltica de Seguridad de la Informacin generalmente exige que todos en la organizacin protejan la informacin para que la empresa pueda cumplir con sus responsabilidades reglamentarias, jurdicas y fiduciarias. Se usa mal y con frecuencia las palabras "generalmente" y "proteger" para justificar mayor inversin cuando no es necesaria. Esto puede parecer contrario a la intuicin, pero la inversin adicional para proteger la informacin no siempre garantiza el xito. Pero si es recomendable tener un presupuesto asignado para cumplir con estos fines. Para evaluar las necesidades de inversin, debe consultar estas "reglas" en orden secuencial:
Regla N 1: Saber qu informacin tiene y donde se encuentra. Regla N 2: Saber el valor de la informacin que se tiene y la dificultad de volverla a crear si se daa o pierde. Regla N 3: Saber quines estn autorizados para acceder a la informacin y que pueden hacer con ella. Regla N 4: Saber la velocidad con que puede acceder a la informacin si no est disponible por alguna razn (por prdida, modificacin no autorizada, etc.)
Estas cuatro reglas son aparentemente simples. Sin embargo, las respuestas permitirn el diseo e implementacin de un programa de proteccin a la informacin puesto que las respuestas pueden ser muy difciles. No toda la informacin tiene el mismo valor y por lo tanto no requiere el mismo nivel de proteccin (con el costo que implica).
Es clave entender por qu se necesita proteger la informacin, desde un punto de vista comercial es clave determinar la necesidad de tener una Poltica de Seguridad de la Informacin. Para ello, se necesitara saber cul es la informacin y en donde se encuentra para que pueda proceder a definir los controles que se necesitan para protegerla.
Caractersticas principales de una Poltica de Seguridad de la Informacin: Debe estar escrita en lenguaje simple, pero jurdicamente viable Debe basarse en las razones que tiene la empresa para proteger la informacin Debe ser consistente con las dems polticas organizacionales
Debe hacerse cumplir - se exige y mide el cumplimiento Debe tener en cuenta los aportes hechos por las personas afectadas por la poltica Debe definir el papel y responsabilidades de las personas, departamentos y organizaciones para los que aplica la poltica No debe violar las polticas locales, estatales Debe definir las consecuencias en caso de incumplimiento de la poltica Debe estar respaldada por documentos "palpables", como los estndares y procedimientos para la seguridad de la informacin, que se adapten a los cambios en las operaciones de las empresas, las necesidades, los requerimientos jurdicos y los cambios tecnolgicos. Debe ser aprobada y firmada por el gerente general de la organizacin. No obtener este compromiso significa que el cumplimiento de la poltica es opcional - situacin que har que fracase las polticas de proteccin de la informacin. Redactar una poltica para la seguridad de la informacin puede ser sencillo comparado con su implementacin y viabilidad. La poltica organizacional y las presiones por lo general aseguran que habr dificultad y consumo de tiempo para crear y adoptar una Poltica de Seguridad de la Informacin, a menos que un "lder fuerte" dirija el programa de polticas. Esta persona generalmente es un "poltico", una persona influyente, un facilitador y sobretodo una persona que sepa
escuchar, para que pueda articular y aclarar las inquietudes y temores de las personas respecto a la introduccin de una nueva poltica.
ANEXOS A. DISEO DE ARQUITECTURA DE SEGURIDAD DE RED
ARQUITECTURA DE SEGURIDAD DE RED Con el propsito de incrementar la seguridad de la plataforma tecnolgica del Banco, se realiz un anlisis de su actual arquitectura de red principalmente en el control de conexiones con redes externas. Producto de dicho anlisis se diseo una nueva arquitectura de red, la cual posee controles de acceso para las conexiones y la ubicacin recomendada para los detectores de intrusos a ser implementados por el Banco.
A continuacin se muestra el diagrama con la arquitectura de red propuesta.
Fig 1: Arquitectura de red propuesta.
Para lograr implementar esta arquitectura de red, se deben realizar un conjunto de cambios los cuales se detallan a continuacin:
1. Creacin de la Extranet: Controlar mediante un firewall la comunicacin entre la red del Banco y redes externas como Banca Red y Reuters, para evitar actividad no autorizada desde dichas redes hacia los equipos de la red del Banco.
2. Implementar una red DMZ para evitar el ingreso de conexiones desde Internet hacia la red interna de datos. Adicionalmente implementar un sistema de inspeccin de contenido con el propsito de monitorear la informacin que es transmitida va correo electrnico entre el Banco e Internet. En la red DMZ se debe ubicar un servidor de inspeccin de contenido, el cual trabajara de la siguiente manera: a. Ingreso de correo electrnico: El servidor de inspeccin de contenido, recibir todos los correos enviados desde Internet, revisar su contenido y los enviar al servidor Lotus Notes, quin los entregar a su destinatario final. b. Salida de correo electrnico: El Servidor Lotus Notes enviar el correo electrnico al servidor de inspeccin de contenido, quin revisar el contenido del mensaje, para transmitirlo a travs de Internet a su destino final. Esta nueva red DMZ puede ser empleada para ubicar nuevos equipos que brindarn servicios a travs de Internet en el futuro tales como FTP, Web, etc.
3. Para controlar el ingreso de virus informticos desde Internet, as como para prevenir el envo de mensajes electrnicos conteniendo virus informtico, se recomienda implementar un primer nivel de proteccin
antivirus mediante un sistema de inspeccin de servicios de Internet. Este sistema inspeccionar la informacin recibida desde Internet, as como la informacin enviada hacia otras entidades va Internet Este sistema debe inspeccionar la navegacin de los usuarios (HTTP HyperText Transfer Protocol), la transferencia de archivos (FTP File Transfer Protocol) y el intercambio de corroe electrnico (SMTP Simple mail Transfer Protocol).
4. Luego de implementados los cambios previamente detallados, el Firewall se torna en un punto crtico para las comunicaciones del Banco, por lo cual se requiere implementar un sistema de Alta Disponibilidad de Firewalls, el cual permita garantizar que el canal de comunicacin permanezca disponible en caso de falla de uno de los Firewalls.
5. Con el propsito de prevenir la realizacin de actividad no autorizada desde redes externas hacia la red del Banco y desde la red interna del Banco hacia los servidores y hacia Internet, se debe implementar un sistema de deteccin de intrusos que inspeccione el trfico que circula por segmentos de red estratgicos tales como: Internet, para detectar la actividad sospechosa proveniente desde Internet. Red DMZ, para detectar la actividad dirigida contra los servidores pblicos que logr atravesar el Firewall. Extranet, para detectar actividad realizada desde las redes externas con las que se posee conexin. Puntos estratgicos de la red interna, los cuales permitan detectar la actividad realizada contra los equipos crticos del Banco.
B. CIRCULAR N G-105-2002 PUBLICADA POR LA SUPERINTENDENCIA DE BANCA Y SEGUROS (SBS) SOBRE RIESGOS DE TECNOLOGA DE INFORMACIN
Lima, 22 de febrero de 2002
CIRCULAR N G - 105 - 2002 ----------------------------------------------Ref.: Riesgos de tecnologa de informacin ---------------------------------------------- Seor Gerente General
Srvase tomar nota que, en uso de las atribuciones conferidas por el numeral 7 del artculo 349 de la Ley General del Sistema Financiero y del Sistema de Seguros y Orgnica de la Superintendencia de Banca y Seguros - Ley N 26702 y sus modificatorias, en adelante Ley General, y por la Resolucin SBS N 1028-2001 del 27 de diciembre de 2001, con la finalidad de establecer criterios mnimos para la identificacin y administracin de los riesgos asociados a la tecnologa de informacin, a que se refiere el artculo 10 del Reglamento para la Administracin de los Riesgos de Operacin, aprobado mediante la Resolucin SBS N 006-2002 del 4 de enero de 2002, esta Superintendencia ha considerado conveniente establecer las siguientes disposiciones: Alcance Artculo 1.- Las disposiciones de la presente norma son aplicables a las empresas sealadas en los artculos 16 y 17 de la Ley General, al Banco Agropecuario, a
la Corporacin Financiera de Desarrollo S.A. (COFIDE), al Banco de la Nacin, a la Fundacin Fondo de Garanta para Prstamos a la Pequea Industria (FOGAPI) y a las derramas y cajas de beneficios que se encuentren bajo la supervisin de esta Superintendencia, en adelante empresas. Definiciones Artculo 2 .- Para efectos de la presente norma, sern de aplicacin las siguientes definiciones: a. Informacin: Cualquier forma de registro electrnico, ptico, magntico o en otros medios similares, susceptible de ser procesada, distribuida y almacenada. b. Ley General: Ley N 26702, Ley General del Sistema Financiero y del Sistema de Seguros y Orgnica de la Superintendencia de Banca y Seguros. c. Proceso crtico: Proceso considerado indispensable para la continuidad de las operaciones y servicios de la empresa, y cuya falta o ejecucin deficiente puede tener un impacto financiero significativo para la empresa. d. Reglamento: Reglamento para la Administracin de los Riesgos de Operacin aprobado por Resolucin SBS N 006-2002 del 4 de enero de 2002. e. Riesgos de operacin: Entindase por riesgos de operacin a la posibilidad de ocurrencia de prdidas financieras por deficiencias o fallas en los procesos internos, en la tecnologa de informacin, en las personas o por ocurrencia de eventos externos adversos. f. Riesgos de tecnologa de informacin: Los riesgos de operacin asociados a los sistemas informticos y a la tecnologa relacionada a dichos sistemas,
que pueden afectar el desarrollo de las operaciones y servicios que realiza la empresa al atentar contra la confidencialidad, integridad y disponibilidad de la informacin, entre otros criterios. g. Seguridad de la informacin: Caracterstica de la informacin que se logra mediante la adecuada combinacin de polticas, procedimientos, estructura organizacional y herramientas informticas especializadas a efectos que dicha informacin cumpla los criterios de confidencialidad, integridad y disponibilidad. h. Objetivo de control: Una declaracin del propsito o resultado deseado mediante la implementacin de controles apropiados en una actividad de tecnologa de informacin particular.
Responsabilidad de la empresa Artculo 3.- Las empresas deben establecer e implementar las polticas y procedimientos necesarios para administrar de manera adecuada y prudente los riesgos de tecnologa de informacin, incidiendo en los procesos crticos asociados a dicho riesgo, considerando las disposiciones contenidas en la presente norma, en el Reglamento, y en el Reglamento del Sistema de Control Interno aprobado mediante la Resolucin SBS N 1040-99 del 26 de noviembre de 1999. La administracin de dicho riesgo debe permitir el adecuado cumplimiento de los siguientes criterios de control interno: i. Eficacia . La informacin debe ser relevante y pertinente para los objetivos de negocio y ser entregada en una forma adecuada y oportuna conforme las necesidades de los diferentes niveles de decisin y operacin de la empresa.
ii.
Eficiencia. La informacin debe ser producida y entregada de forma productiva y econmica.
iii.
Confidencialidad. La informacin debe ser accesible slo a aquellos que se encuentren debidamente autorizados.
iv. v.
Integridad. La informacin debe ser completa, exacta y vlida. Disponibilidad. La informacin debe estar disponible en forma organizada para los usuarios autorizados cuando sea requerida.
vi.
Cumplimiento normativo. La informacin debe cumplir con los criterios y estndares internos de la empresa, las regulaciones definidas externamente por el marco legal aplicable y las correspondientes entidades reguladoras, as como los contenidos de los contratos pertinentes.
Estructura organizacional y procedimientos Artculo 4.- Las empresas deben definir y mantener una estructura organizacional y procedimientos que les permita administrar adecuadamente los riesgos asociados a la tecnologa de informacin, consistente con su tamao y naturaleza, as como con la complejidad de las operaciones que realizan. Administracin de la seguridad de informacin Artculo 5.- Las empresas debern establecer, mantener y documentar un sistema de administracin de la seguridad de la informacin, en adelante "Plan de Seguridad de la informacin - (PSI)". El PSI debe incluir los activos de tecnologa que deben ser protegidos, la metodologa usada, los objetivos de control y controles, as como el grado de seguridad requerido.
Las actividades mnimas que deben desarrollarse para implementar el PSI, son las siguientes:
a. Definicin de una poltica de seguridad. b. Evaluacin de riesgos de seguridad a los que est expuesta la informacin c. Seleccin de controles y objetivos de control para reducir, eliminar o evitar los riesgos identificados, indicando las razones de su inclusin o exclusin. d. Plan de implementacin de los controles y procedimientos de revisin peridicos. e. Mantenimiento de registros adecuados que permitan verificar el
cumplimiento de las normas, estndares, polticas, procedimientos y otros definidos por la empresa, as como mantener pistas adecuadas de auditoria.
Las empresas bancarias y las empresas de operaciones mltiples que accedan al mdulo 3 de operaciones a que se refiere el artculo 290 de la Ley General debern contar con una funcin de seguridad a dedicacin exclusiva. Subcontratacin (outsourcing) Artculo 6.- La empresa es responsable y debe verificar que se mantengan las caractersticas de seguridad de la informacin contempladas en la presente norma, incluso cuando ciertas funciones o procesos crticos puedan ser objeto de una subcontratacin. Para ello se tendr en cuenta lo dispuesto en la Primera Disposicin Final y Transitoria del Reglamento. Asimismo, la empresa debe asegurarse y verificar que el proveedor del servicio sea capaz de aislar el procesamiento y la informacin objeto de la subcontratacin, en todo momento y bajo cualquier circunstancia.
En caso que las empresas deseen realizar su procesamiento principal en el exterior, requerirn de la autorizacin previa y expresa de esta Superintendencia.
Las empresas que a la fecha de vigencia de la presente norma se encontrasen en la situacin antes sealada, debern solicitar la autorizacin correspondiente. Para la evaluacin de estas autorizaciones, las empresas debern presentar documentacin que sustente lo siguiente: a) La forma en que la empresa asegurar el cumplimiento de la presente circular y la Primera Disposicin Final y Transitoria del Reglamento. b) La empresa, as como los representantes de quienes brindarn el servicio de procesamiento en el exterior, debern asegurar adecuado acceso a la informacin con fines de supervisin, en tiempos razonables y a solo requerimiento. Aspectos de la seguridad de informacin Artculo 7.- Para la administracin de la seguridad de la informacin, las empresas debern tomar en consideracin los siguientes aspectos:
7.1 Seguridad lgica Las empresas deben definir una poltica para el control de accesos, que incluya los criterios para la concesin y administracin de los accesos a los sistemas de informacin, redes y sistemas operativos, as como los derechos y atributos que se confieren. Entre otros aspectos, debe contemplarse lo siguiente: a) Procedimientos formales para la concesin, administracin de derechos y perfiles, as como la revocacin de usuarios. Revisiones peridicas deben efectuarse sobre los derechos concedidos a los usuarios. b) Los usuarios deben contar con una identificacin para su uso personal, de tal manera que las posibles responsabilidades puedan ser seguidas e identificadas. c) Controles especiales sobre utilidades del sistema y herramientas de auditoria.
d) Seguimiento sobre el acceso y uso de los sistemas y otras instalaciones fsicas, para detectar actividades no autorizadas. e) Usuarios remotos y computacin mvil.
7.2 Seguridad de personal Las empresas deben definir procedimientos para reducir los riesgos asociados al error humano , robo, fraude o mal uso de activos, vinculados al riesgo de tecnologa de informacin. Al establecer estos procedimientos, deber tomarse en consideracin, entre otros aspectos, la definicin de roles y responsabilidades establecidos sobre la seguridad de informacin, verificacin de antecedentes, polticas de rotacin y vacaciones, y entrenamiento.
7.3 Seguridad fsica y ambiental Las empresas deben definir controles fsicos al acceso, dao o interceptacin de informacin. El alcance incluir las instalaciones fsicas, reas de trabajo, equipamiento, cableado, entre otros bienes fsicos susceptibles a riesgos de seguridad. Se definirn medidas adicionales para las reas de trabajo con necesidades especiales de seguridad, como los centros de procesamiento, entre otras zonas en que se maneje informacin que requiera de alto nivel de proteccin.
7.4 Clasificacin de seguridad Las empresas deben realizar un inventario peridico de activos asociados a la tecnologa de informacin que tenga por objetivo proveer la base para una posterior clasificacin de seguridad de dichos activos. Esta clasificacin debe indicar el nivel de riesgo existente para la empresa en caso de falla sobre la seguridad, as como las medidas apropiadas de control que deben asociarse a las clasificaciones.
Administracin de las operaciones y comunicaciones Artculo 8.- Las empresas deben establecer medidas de administracin de las operaciones y comunicaciones que entre otros aspectos contendrn lo siguiente: Control sobre los cambios en el ambiente operativo, que incluye cambios en los sistemas de informacin, las instalaciones de procesamiento y los procedimientos. - Control sobre los cambios del ambiente de desarrollo al de produccin. - Separacin de funciones para reducir el riesgo de error o fraude. Separacin del ambiente de produccin y el de desarrollo.
- Controles preventivos y de deteccin sobre el uso de software de procedencia dudosa, virus y otros similares. Seguridad sobre las redes, medios de almacenamiento y documentacin de sistemas. - Seguridad sobre correo electrnico. Seguridad sobre banca electrnica.
Desarrollo y mantenimiento de sistemas informticos - Requerimientos de seguridad Artculo 9.- Para la administracin de la seguridad en el desarrollo y mantenimiento de sistemas informticos, se debe tomar en cuenta, entre otros, los siguientes criterios: a) Incluir en el anlisis de requerimientos para nuevos sistemas o mejoras a los sistemas actuales, controles sobre el ingreso de informacin, el procesamiento y la informacin de salida. b) Aplicar tcnicas de encriptacin sobre la informacin crtica que debe ser protegida. c) Definir controles sobre la implementacin de aplicaciones antes del ingreso a produccin. d) Controlar el acceso a las libreras de programas fuente.
e) Mantener un estricto y formal control de cambios, que ser debidamente apoyado por sistemas informticos en el caso de ambientes complejos o con alto nmero de cambios. Procedimientos de respaldo Artculo 10.- Las empresas deben establecer procedimientos de respaldo regulares y peridicamente validados. Estos procedimientos deben incluir las medidas necesarias para asegurar que la informacin esencial pueda ser recuperada en caso de falla en los medios o luego de un desastre. Estas medidas sern coherentes con lo requerido en el Plan de Continuidad. La empresa debe conservar la informacin de respaldo y los procedimientos de restauracin en una ubicacin remota, a suficiente distancia para no verse comprometida ante un dao en el centro principal de procesamiento. Planeamiento para la continuidad de negocios Artculo 11.- Las empresas, bajo responsabilidad de la Gerencia y el Directorio, deben desarrollar y mantener un "Plan de Continuidad de Negocios" (PCN), que tendr como objetivo asegurar un nivel aceptable de operatividad de los procesos crticos, ante fallas mayores internas o externas. Criterios para el diseo e implementacin del Plan de Continuidad de Negocios Artculo 12.- Para el desarrollo del PCN se debe realizar previamente una evaluacin de riesgos asociados a la seguridad de la informacin. Culminada la evaluacin, se desarrollarn sub-planes especficos para mantener o recuperar los procesos crticos de negocios ante fallas en sus activos, causadas por eventos internos (virus, errores no esperados en la implementacin, otros), o externos (falla en las comunicaciones o energa, incendio, terremoto, proveedores, otros).
Prueba del Plan de Continuidad de Negocios Artculo 13.- La prueba del PCN es una herramienta de la direccin para controlar los riesgos sobre la continuidad de operacin y sobre la disponibilidad de la informacin, por lo que la secuencia, frecuencia y profundidad de la prueba del PCN, deber responder a la evaluacin formal y prudente que sobre dicho riesgo realice cada empresa. En todos los casos, mediante una nica prueba o una secuencia de ellas, segn lo considere adecuado cada empresa de acuerdo a su evaluacin de riesgos, los principales aspectos del PCN debern ser probados cuando menos cada dos aos. Anualmente, dentro del primer mes del ejercicio, se enviar a la Superintendencia el programa de pruebas correspondiente, en que se indicar las actividades a realizar durante el ciclo de 2 aos y una descripcin de los objetivos a alcanzar en el ao que se inicia. Cumplimiento formativo Artculo 14.- La empresa deber asegurar que los requerimientos legales, contractuales, o de regulacin sean cumplidos, y cuando corresponda, incorporados en la lgica interna de las aplicaciones informticas. Privacidad de la informacin Artculo 15 .Las empresas deben adoptar medidas que aseguren
razonablemente la privacidad de la informacin que reciben de sus clientes y usuarios de servicios, conforme la normatividad vigente sobre la materia. Auditoria Interna y Externa Artculo 16.- La Unidad de Auditoria Interna deber incorporar en su Plan Anual de Trabajo la evaluacin del cumplimiento de lo dispuesto en la presente norma. Asimismo, las Sociedades de Auditoria Externa debern incluir en su informe
sobre el sistema de control interno comentarios dirigidos a indicar si la entidad cuenta con polticas y procedimientos para la administracin de los riesgos de tecnologa de informacin, considerando asimismo, el cumplimiento de lo dispuesto en la presente norma. Auditoria de sistemas Artculo 17.- Las empresas bancarias y aquellas empresas autorizadas a operar en el Mdulo 3 conforme lo sealado en el artculo 290 de la Ley General, debern contar con un servicio permanente de auditoria de sistemas, que colaborar con la Auditoria interna en la verificacin del cumplimiento de los criterios de control interno para las tecnologas de informacin, as como en el desarrollo del Plan de Auditoria.
El citado servicio de auditoria de sistemas tomar en cuenta, cuando parte del procesamiento u otras funciones sean realizadas por terceros, que es necesario conducir su revisin con los mismos estndares exigidos a la empresa, por lo que tomar en cuenta las disposiciones indicadas en la Primera Disposicin Final y Transitoria del Reglamento.
Las empresas autorizadas para operar en otros mdulos, para la verificacin del cumplimiento antes sealado, debern asegurar una combinacin apropiada de auditoria interna y/o externa, compatible con el nivel de complejidad y perfil de riesgo de la empresa. La Superintendencia dispondr un tratamiento similar a las empresas pertenecientes al mdulo 3, cuando a su criterio la complejidad de sus sistemas informticos y su perfil de riesgo as lo amerite. Informacin a la Superintendencia Artculo 18.- El informe anual que las empresas deben presentar a la Superintendencia, segn lo dispuesto en el Artculo 13 del Reglamento, deber
incluir los riesgos de operacin asociados a la tecnologa de informacin, como parte integral de dicha evaluacin, para lo cual se sujetar a lo dispuesto en dicho Reglamento y a lo establecido en la presente norma. Sanciones Artculo 19.- En caso de incumplimiento de las disposiciones contenidas en la presente norma, la Superintendencia aplicar las sanciones correspondientes de conformidad con lo establecido en el Reglamento de Sanciones. Plan de adecuacin Artculo 20.- En el Plan de Adecuacin sealado en el segundo prrafo de la Cuarta Disposicin Final y Transitoria del Reglamento, las empresas debern incluir un sub-plan para la adecuacin a las disposiciones contenidas en la presente norma. Plazo de adecuacin Artculo 21.- Las empresas contarn con un plazo de adecuacin a las disposiciones de la presente norma que vence el 30 de junio de 2003
Atentamente,
SOCORRO HEYSEN ZEGARRA Superintendente de Banca y Seguros (e)
C. DETALLE: DIAGNOSTICO DE LA SITUACION ACTUAL DE LA ADMINISTRACIN DE LOS RIESGOS DE TECNOLOGIA DE LA INFORMACION
La siguiente matriz muestra puntos especficos de la situacin actual en cuanto a la administracin de seguridad y los compara contra los requerimientos de la Circular G-105-2002 de la Superintendencia, contempla los siguientes aspectos:
1.
Estructura de la organizacin de seguridad de la informacin 1.1 Roles y responsabilidades
2. Plan de seguridad de la informacin 2.1 Polticas, estndares y procedimientos de seguridad 2.2 Seguridad lgica 2.3 Seguridad de personal 2.4 Seguridad fsica y ambiental 2.5 Clasificacin de seguridad 3. Administracin de las operaciones y comunicaciones. 4. Desarrollo y mantenimiento de sistemas informticos. 5. Procedimientos de respaldo. 6. Subcontratacin (Relacin y status de los contratos con terceros en temas crticos) 7. Cumplimiento normativo 8. Privacidad de la informacin 9. Auditoria interna y externa
El detalle de la evaluacin de las reas mencionadas se muestra en una matriz cuyo contenido es el siguiente:
- Situacin Actual: Muestra un resumen de la situacin encontrada en el

Banco a partir de la informacin relevada durante las entrevistas y de los documentos entregados.
- Mejores Practicas: Muestra un resumen de las mejores prcticas en el

sector y los requerimientos mencionadas en la Circular G105-2002 de la SBS uno de los motivos del presente trabajo.
- Anlisis de Brecha: Muestra de manera grfica la brecha existente entre la

situacin actual y los requerimientos de la SBS y las mejores prcticas del sector.
Anlisis Situacin Actual SBS, Mejores Prcticas De Brecha 1 ESTRUCTURA ORGANIZACIONAL PARA LA ADMINISTRACIN DE RIESGOS DE T ECNOLOGA D E INFORMACIN 1. El Banco cuenta con las siguientes unidades: Se debera contemplar los
siguientes aspectos: Divisin de Riesgo: rgano dependiente de la Gerencia General, encargado de medir y controlar la calidad y capacidad de endeudamiento de los clientes, con el objeto de mantener adecuados niveles de riesgo crediticio, tanto para aquellos que se encuentren en evaluacin, como aquellos que ya han sido utilizados y se encuentran en pleno proceso de cumplimiento de reembolsos. Asimismo, los riesgos denominados
Definicin y mantenimiento de una estructura organizacional que permita administrar los riesgos
adecuadamente
asociados a la tecnologa de informacin.
La unidad de riesgo deber contar con un responsable de la administracin del riesgo de TI.
genricamente Riesgos de Mercado. Cuenta con un departamento a de cargo Riesgos de la Operativos Srta. y
Tecnolgicos Pacheco.
Patricia
La
responsabilidad
de
la
seguridad de la Informacin debera ser ejercida de forma
Area de Seguridad: rgano encargado de velar por la seguridad de las instalaciones del Banco, as como del personal y Clientes que se
exclusiva.
El Departamento de Riesgos Operativos y Tecnolgicos
Anlisis Situacin Actual SBS, Mejores Prcticas De Brecha encuentran y transitan en ellas. debera estructura Area de Seguridad Informtica : Enfocada a los aspectos de accesos a los aplicativos y sistemas. rea que originalmente formo parte de Soporte Tcnico (Agosto 2001). No considera en sus funciones las referentes a seguridad de la plataforma y de la informacin. riesgos contar acorde de con con una los
tecnologa
evaluados para Banco y definir indicadores que ayuden a
monitorear los mismos.
El Departamento de Riesgos Operativos debera y Tecnolgicos los en de
definir indicadores el rea
Auditoria
de
Sistemas:
Entre
otras,
sus
mencionados conjunto con
funciones son las de:
Efectuar
evaluaciones
peridicas
de
la
sistemas del Banco.
capacidad y apropiada utilizacin de los recursos de cmputo.
Verificar el cumplimiento de las normas y procedimientos referidos a las reas de Desarrollo de Sistemas y Soporte
Tecnolgico, participando junto con estas instancias y los usuarios directos durante el ciclo de desarrollo de sistemas para la implantacin de adecuados controles internos y pistas de auditoria, incluyendo su posterior evaluacin y seguimiento.
Se ha observado que la documentacin existente con respecto a las distintas reas se encuentra desactualizada. No existe dentro de la estructura roles
equivalentes al de Oficial de Seguridad.
2 PLAN DE S EGURIDAD DE LA INFORMACIN
Anlisis Situacin Actual SBS, Mejores Prcticas De Brecha 2 El Banco no cuenta con un plan de Seguridad de la Informacin formalmente documentado que gue las distintas normas con que cuenta el Banco referentes a los riesgos y seguridad de la Tecnologa de Informacin. Se deberan contemplar los
siguientes aspectos:
Definicin de una poltica de seguridad. Evaluacin seguridad a de los riesgos que de est
expuesta la informacin.
Inventario
de
riesgos
de
seguridad de la informacin. Seleccin objetivos de de controles control y
para
reducir, eliminar y evitar los riesgos identificados, indicando las razones de su inclusin o exclusin
Plan de implementacin de los controles y procedimientos de revisin peridicos.
Mantenimiento adecuados
de que
registros permitan
verificar el cumplimiento de las normas, estndares, polticas, procedimientos y otros
definidos por la empresa, as como mantener pistas de
auditoria. 2.1 POLTICAS, ESTNDARES Y P ROCEDIMIENTOS DE S EGURIDAD 2.1 El Banco no cuenta con polticas de seguridad formalmente documentadas que indiquen los procedimientos de seguridad a ser adoptados La definicin de una poltica de seguridad debera contemplar:
Declaracin
escrita
de
la
Anlisis Situacin Actual SBS, Mejores Prcticas De Brecha para salvaguardar la informacin de posibles prdidas en la integridad, disponibilidad y poltica.
Definicin de la propiedad de la Poltica. Polticas comunicadas. Autoridad definida para realizar cambios en la Poltica. Aprobacin por el rea legal. Alineamiento de la poltica con la organizacin. Definicin de responsabilidades de la seguridad. Confirmacin de usuarios de conocimiento de la poltica. debidamente
confidencialidad.
Sin embargo, se ha observado la existencia de controles especficos en distintos aspectos de la seguridad de la Informacin, que detallamos a continuacin.
2.2 SEGURIDAD LGICA 2.2 Hemos observado la existencia, entre otros aspectos, de: La Seguridad Lgica debera
contemplar los siguientes aspectos:
Procedimientos definidos en el rea de sistemas para la concesin y administracin de perfiles y accesos a usuarios, incluyendo la revocacin y revisiones peridicas de los mismos.
Definicin de procedimientos formales para la administracin de perfiles y usuarios.
Identificacin usuarios. Controles sobre de
nica
de
Accesos a los sistemas de informacin del Banco controlados al nivel de red de datos y aplicacin, para lo cual cada usuario cuenta con IDs y contraseas de uso estrictamente personal usuarios. y de responsabilidad de los
el
uso
de y del
herramientas utilidades sistema.
auditoria
sensibles
Controles sobre el acceso y uso de los sistemas y otras instalaciones fsicas.
Controles de acceso a herramientas de
Anlisis Situacin Actual SBS, Mejores Prcticas De Brecha auditoria en los sistemas de informacin.
Controles
sobre
usuarios
Controles de acceso parciales a utilidades sensibles del sistema. Generacin parcial de pistas de auditoria en los sistemas de informacin.
remotos y computacin mvil. Administracin restringida de
los equipos de acceso remoto y configuracin de seguridad del mismo.
Hemos observado que no cuenta con:
Controles de acceso a utilidades sensibles del sistema sobre estaciones de trabajo Win98/95.
Habilitacin de opciones de auditoria en los sistemas operativos de red. Procedimientos de revisin de pistas de auditoria que contemplen no solo los registros del computador central.
2.3 SEGURIDAD DE P ERSONAL Hemos observado que el Banco se encuentra en un proceso de normalizacin llevado a cabo por el rea de RRHH y la de OyM el cual incluye entre otros aspectos: Se debera considerar:
Procedimientos de revisin de datos en el proceso de
seleccin de personal previo a su contratacin de de (Ex. carcter, estudios,
Formalizacin de normas y procedimientos de las distintas reas del Banco. Identificacin de informacin relevante a entregar a los nuevos trabajadores por rea de trabajo.
Referencias verificacin
revisin de crdito si aplica- y revisin independiente de
Normalizacin informacin a
de los
entrega actuales
de
dicha
identidad)
trabajadores
Entrega formal de las polticas de manejo de a informacin los nuevos
incluyendo documento de confirmacin de conocimiento.
confidencial
Anlisis Situacin Actual SBS, Mejores Prcticas De Brecha integrantes del Banco. Adicionalmente hemos observado que RRHH considera dentro del proceso de evaluacin de personal nuevo, la verificacin de distintos
Definicin
apropiada sobre parte de
de la los
responsabilidad seguridad es
aspectos de personales a modo de preseleccin o filtro de personal idneo para el Banco.
trminos y condiciones de la aceptacin del empleo (ex.
Trminos en el contrato).
Difusin de las polticas con respecto actividades al monitoreo en la red de y
sistemas de informacin, antes entregar IDs a usuarios.
2.4 SEGURIDAD FSICA Y AMBIENTAL Hemos observado la existencia, entre otros aspectos, de: Se debera considerar los
Controles de acceso adecuados a sus activos fsicos e instalaciones Normas de control de acceso fsico a reas sensibles establecidos y en proceso de mejora en el caso de la oficina principal. reas seguras Procedimientos de reubicacin de empleados
Controles de reas de carga y descarga. Controles fsicos de entrada. Seguridad del permetro fsico de las instalaciones. Procedimientos de Remocin o reubicacin de activos. Aseguramiento de oficinas,
Monitoreo constante de las instalaciones del Banco. Controles ambientales as como medidas preventivas y correctivas ante incendios. Existen procedimientos definidos para el deshecho de papeles de trabajo. Las copias de respaldo son almacenadas de manera segura. Generadores de respaldo y UPS para red de
reas de trabajo y facilidades.
Anlisis Situacin Actual SBS, Mejores Prcticas De Brecha datos . Seguridad de Equipos Aseguramiento de Cableado Sin embargo encontramos deficiencias en los siguientes aspectos:
Acciones y planes de mantenimiento de equipos
Las medidas de seguridad existentes no se extienden a la Informacin como activo de valor del Banco y no existen normas
Proteccin de equipos Normas de seguridad para laptops.
adecuadas con respecto al resguardo de la misma cuando se trata de activos fsicos
(equipos o elementos de almacenamiento de informacin, documentos impresos, etc.).
Fuentes de poder redundantes. Procedimientos de eliminacin o uso reiterado seguro de
No existe un programa de concientizacin para el usuario con respecto al cuidado necesario para con la informacin.
equipos de manera segura
Controles generales
No existe una norma en uso sobre mesas y pantallas limpias.
Poltica de mesa limpia Poltica de pantallas limpias
El programa de mantenimiento preventivo de los equipos del Banco se encuentra incompleto al considerar nicamente al computador central. 2.5 CLASIFICACIN DE SEGURIDAD El Banco cuenta con inventarios de software, licencias actualizados Sin embargo carece de inventarios de y hardware razonablemente Se debera considerar los
Un
catlogo
de
todos de
los la
activos
fsicos
informacin, servicios y proveedores as como de una clasificacin de los elementos mencionados con respecto a su nivel de riesgo dentro del Banco.
organizacin, indicando tipo de activo, ubicacin y nivel fsica, de
responsable criticidad.
Un
catlogo
de
todos
los
activos de software tales como
Anlisis Situacin Actual SBS, Mejores Prcticas De Brecha herramientas de desarrollo,
aplicaciones, etc. Debe indicar entre ubicacin otros, lgica vendedor, y fsica,
responsable, nivel de criticidad, clasificacin de la informacin, etc.
Un catlogo o descripcin de alto nivel de todos los activos de informacin mas
importantes de la organizacin. Debe indicar informacin como tipo de data, ubicacin lgica o fsica, responsable o dueo de la informacin, clasificacin de la informacin y nivel de
criticidad.
Un
listado
de tales
todos
los como
servicios
comunicaciones, servicios generales, la
cmputo, etc. y
documentar
informacin
relativa a los proveedores del servicio. Debera incluir entre otros, persona de contacto con el proveedor, procedimientos de servicios de emergencia, criticidad negocio servicio. y unidades por de el
afectadas
Clasificacin de los sistemas de informacin y/o grupos de
Anlisis Situacin Actual SBS, Mejores Prcticas De Brecha data segn su criticidad y sus caractersticas de
confidencialidad, integridad y disponibilidad.
Asignacin
de
la
responsabilidad de clasificacin Procedimientos mantenimiento clasificacin 3 ADMINISTRACIN DE OPERACIONES Y COMUNICACIONES El Banco cuenta con: Se deberan considerar los de de la
siguientes aspectos: Procedimientos operacin. y responsabilidades de Procedimientos y
Documentacin no formalizada relativa a los procedimientos de operaciones en los
responsabilidades de operacin.
Documentacin formal de todos los procedimientos as de como
sistemas de informacin
Procesos conformidad
de
revisin de
reporte
de
operacin
dichas
operaciones.
procedimientos y niveles de autorizacin definidos para su mantenimiento.
Controles establecidos relativos a cambios en los sistemas de informacin.
Control en cambios operacionales.
Programacin de trabajos o procesos correctamente debe ser
Adecuada separacin de las facilidades de los ambientes de produccin y las de
documentada,
as como el resultado de dichas ejecuciones.
desarrollo.
Un Sistema a travs del cual se administran las actividades de: Administracin externas. Cambios a los programas; Pase a produccin; y de facilidades
Todo procesos realizado en o por un tercero, debe ser
Anlisis Situacin Actual SBS, Mejores Prcticas De Brecha
Administracin de versiones segregacin de funciones en
evaluado con respecto a los riesgos y seguridad para
Adecuada
labores de pase a produccin de sistemas. Limitacin de operadores a travs de mens de acceso.
desarrollar procedimientos que mitiguen dichos riesgos.
Control operacionales.
en
cambios
Proteccin contra software malicioso.
virus y de o
Todo cambio en la red de datos, incluyendo software, o
Controles software revisin
de
proteccin y del
contra
malicioso peridica
procedimientos cumplimiento
dispositivos,
cableado
equipos de comunicacin debe seguir procedimientos formales definidos registrados. y adecuadamente
efectividad de dichos controles, tanto por parte del rea de sistemas como por parte del auditor de sistemas.
Segregacin de funciones
Roles
responsabilidades
deben ser claramente definidos
y las funciones adecuadamente Todas las funciones mencionadas Sin se segregadas. mantienen independientes. embargo,
cabe mencionar que el actual Auditor de Sistemas del Banco perteneci al equipo de soporte del rea de sistemas y mantiene acceso a datos de produccin y desarrollo. Posee acceso tambin a la lnea de
Los
cambios
deben
ser
adecuadamente aprobados. Los resultados de todo cambio deben ser correctamente Roles en pase y las a
documentados. responsabilidades actividades produccin de
comandos de ambos entornos.
Asimismo, eventualmente usuarios finales tienen acceso a la lnea de comandos; restringida a tareas puntuales. No existe control formal sobre estas actividades.
correctamente
definidos y segregados.
Adecuada ambientes
separacin de produccin
de y
Operaciones de verificacin
desarrollo.
Estndar de administracin de
Procedimientos
de
generacin
cambios
definido,
incluyendo
almacenamiento de copias de contingencia definidos.
cambios de emergencia.
formatos de reporte de las
Control de accesos a escritura sobre sistemas en produccin.
Se
usan
actividades de operacin y generacin de copias de respaldo. Administracin de incidentes de seguridad. Administracin de Red
Definicin de procedimientos y equipos de respuesta ante
Se cuenta con un sistema Proxy y un filtro de paquetes como elementos de proteccin de red. No se cuenta con una DMZ ni con una arquitectura de seguridad red apropiada con respecto a la Internet.
incidentes de seguridad.
Segregacin de funciones.
Las actividades de desarrollo, migracin y operacin de
sistemas, as como las de Manipulacin y seguridad de dispositivos de almacenamiento de informacin. administracin de aplicaciones, helpdesk, administracin de red y de IT deben ser
Las copias de respaldo se encuentran en una localidad distinta y son aseguradas por un tercero.
correctamente segregadas.
Planeamiento de sistemas.
No existen polticas con respecto al manejo de otros dispositivos de almacenamiento de informacin en el rea de sistemas.
Procedimientos
formales
definidos de planeamiento de recursos.
Intercambio de informacin y seguridad
Proteccin malicioso.
contra
software
Controles y restricciones establecidas, no documentadas ni formalizados, respecto al uso del correo electrnico.
Controles deteccin software
preventivos sobre de el uso
y de
procedencia
dudosa, virus, etc.).
Operaciones de verificacin
Adecuado registro de fallas. Adecuados procedimientos de generacin respaldo. de copias de
Registros adecuados de todas las actividades de operacin.
Administracin de Red
Adecuados operacin
controles de
de red
implementados.
Proteccin
de
la
red
comunicaciones dispositivos accesos, de
usando control de y
procedimientos
sistemas de monitoreo de red (Deteccin de intrusos) y
procedimientos de reporte.
Manipulacin
seguridad
de
dispositivos de almacenamiento de informacin.
Aseguramiento sobre medios de almacenamiento y
documentacin de sistemas.
Intercambio
de
informacin
(Correo electrnico y otros) y seguridad
Controles de seguridad en el Correo electrnico y cualquier otro medio de transferencia de informacin (Ex. Normas,
filtros, sistemas de proteccin contra virus, etc.).
Seguridad Electrnica.
en
la
Banca
4 DESARROLLO Y MANTENIMIENTO El Banco cuenta con: Se debera considerar lo siguiente:
Metodologa de Desarrollo y Mantenimiento de Aplicaciones que especifica las siguientes actividades proyecto: Definiciones Perfil Definiciones funcionales Especificaciones funcionales Diagrama de procesos Prototipo Plan de Trabajo Definiciones tcnicas Diagrama de Contexto Diagrama de flujo de datos Modelo de datos Cartilla tcnica Cartilla de operador Cartilla de usuario Pruebas y capacitacin Acta de conformidad de pruebas como tareas dentro de un
Contar
con
metodologas formales
y de
estndares
desarrollo y mantenimiento de sistemas.
Los requerimientos deben ser definidos antes de la fase de diseo y se debe determinar un apropiado ambiente de control para la aplicacin, estos
requerimientos deben incluir: Control de acceso Autorizacin Criticidad sistema Clasificacin de la informacin Disponibilidad sistema Integridad confidencialidad y de del del
Anlisis Situacin Actual SBS, Mejores Prcticas De Brecha Pase a produccin la informacin.
Las aplicaciones cuentan con controles de edicin y cuando se requiere de controles en totales, cuadres, etc. Estos son generalmente definidos en las etapas de definicin del proyecto por los responsables de las reas usuarias y se deja documentado dichos requerimientos de control.
Todas las aplicaciones debern tener rutinas de validacin de data.
Toda la data debe ser revisada peridicamente, a fin de
detectar inexactitud, cambios no autorizados e integridad de
Procesos actividades
en
lote iniciales
("batch") que
mantienen validan la
la informacin.
Se deben definir controles para prevenir que la data se vea afectada por un mal
informacin a procesar. Asimismo, para el caso especfico de Lotes Contables, se valida la informacin inicial a procesar durante el da, para evitar se retrase el procesamiento por dicha actividad.
procesamiento.
Se deben definir controles que permitan revisar toda
Rutinas de consistencia de informacin que se remite a otras entidades como COFIDE y SBS, realizadas a travs de un sistema llamado SUCAVE.
informacin obtenida por un sistema de informacin,
asegurando que sea completa, correcta y solo disponible para personal autorizado.
Libreras de rutinas ya estandarizadas y revisadas para controles de fechas, campos numricos y cadenas de caracteres, totales numricos, clculo de intereses, entre otros. Sin embargo, cabe sealar que en algunos casos estas rutinas se mantienen
Uso
de
tcnicas
de
encriptacin estndar. Controles para el acceso a las libreras de programa fuentes. Mantener un estricto y formal control de cambios, que sea debidamente sistemas apoyado en por el
independientes en cada programa y no en una librera de rutinas que invoca todo programa que lo necesite.
informticos
Tcnicas de encriptacin para intercambio de informacin con Unibanca, con la Cmara de Compensacin Electrnica y SUNAD
caso de ambientes complejos o con alto nmero de cambios.
Entornos independientes de desarrollo y produccin. La metodologa de de desarrollo indica y la
Procedimientos
formales
adecuados para las pruebas y reportes de las mismas.
mantenimiento
aplicaciones
necesidad de una actividad de prueba de los cambios embargo, y/o nuevos no requerimientos; sin
existe
procedimientos
especficos definidos para la documentacin de las pruebas realizadas ni para la
conformidad de las mismas.
Cabe sealar que se mantiene versiones de los programas fuente y compilados en los entornos de Desarrollo y Produccin. El sistema Fenix administra los cambios y versiones del entorno de desarrollo y la actualizacin en el entorno de produccin se encuentra a cargo del Jefe de Soporte Tcnico. Los estndares de mantenimiento y desarrollo no se encuentran completos.
5 PROCEDIMIENTOS DE R ESPALDO Se cuenta con un procedimiento formalizado para el respaldo de informacin del computador central y de usuario final, este procedimiento establece: Los procedimientos de generacin de copias de respaldo deberan contar con los siguientes controles clave:
Para archivo de datos, se realiza con una frecuencia diaria, dos copias y tres
Aseguramiento proceso copias de de
de
que
el de haya
generaciones.
generacin respaldo
Para software base, se realiza con una frecuencia diaria, dos copias y tres
culminado exitosamente.
generaciones.
Procedimientos
que
Para los programas fuente, se realiza de forma diaria, una copia en tres generaciones. Para la informacin de usuarios finales, se realiza de forma diaria, una copia en tres generaciones.
contemplen pruebas peridicas de las copias de respaldo.
El tiempo de almacenamiento de las copias de respaldo debe estar en concordancia con los requisitos legales y normativos
Todas las copias se guardan en la bveda central del Banco y de forma mensual se remiten a almacenar en la empresa PROSEGUR.
vigentes.
Se encuentra en proceso de definicin un procedimiento de verificacin de cintas, por la antigedad de las mismas. Se mantiene informacin histrica desde el inicio de actividades del Banco.
Se debera considerar:
Generacin Contingencias
de que
Plan
de
abarque
todos los procesos crticos del Banco y que se ha desarrollado siguiendo formal. una metodologa
Procedimientos peridica del plan.
revisin
Creacin de un equipo para implementar el plan en el que todos los miembros conocen
Anlisis Situacin Actual SBS, Mejores Prcticas De Brecha sus responsabilidades y cmo deben cumplir con las tareas asignadas.
Existencia
de
preparativos
adecuados para asegurarse de la continuidad del
procesamiento computadorizado (existe centro de procesamiento alterno).
Una
copia
del
plan
de
contingencias se almacena en una sede remota y ser de fcil acceso en caso de que
ocurriere cualquier forma de desastre.
Preparativos de contingencia para el hardware y software de comunicaciones y redes.
Realizacin peridica un backup de los archivos de datos crticos, bibliotecas los de sistemas y
programas
almacenndolo en una sede remota cuyo tiempo de acceso sea adecuado.
Identificacin del equipamiento requerido por los especialistas y se hicieron los preparativos para su reemplazo.
Se debera considerar lo siguiente:
Revisin del impacto sobre el negocio, previo al diseo del Plan de continuidad identificando de las
negocios,
partes ms expuestas a riesgo. Realizar revisin del impacto en el negocio, estableciendo los procedimientos a seguirse en el caso de que ocurriera un desastre (por ej. Explosin,
incendio, dao por tormenta, prdida de personal clave) en cualquiera de las dependencias operativas de la organizacin. Deberan existir planes de
contingencia para cada recurso computadorizado. El plan de contingencias las los en
debera necesidades
contemplar de usuarios
departamentos trminos de
traslados,
ubicacin y operacin. El plan de contingencias que se
debera
asegurar
observen normas de seguridad de informacin en caso de que ocurriera un desastre. El cronograma de cada para la
recuperacin
funcin
debera ser revisado asegurando
Anlisis Situacin Actual SBS, Mejores Prcticas De Brecha que sea adecuado.
El plan de contingencias debera probarse peridicamente para
asegurarse de que an es viable y efectivo. 6 SUBCONTRATACIN Encontramos que el Banco tiene principalmente, los siguientes servicios contratados: El plan de contingencias debe incluir la prdida del servicio
UNIBANCA: Procesamiento de transacciones de tarjetas (diario) HERMES: Distribucin de tarjetas de crdito y dbito. Informacin necesaria y tarjetas
prestado por terceros.
Los contratos de servicios con terceros deberan incluir entre otros aspectos, los siguientes:
recibidas de UNIBANCA. (diario)
NAPATEK: Impresin de estados de cuenta y ensobrado. Recibe informacin va una transferencia electrnica de archivos - "File Transfer" (mensual).
Requerimientos de seguridad y las acciones que se tomarn de no cumplirse el contrato.
Acuerdos seguridad aplicarse
de y para
controles polticas garantizar de
de a el los
Rehder: Se transmite informacin de monto facturado por cada cliente (e-mail) para el seguro de desgravamenes (mensual).
cumplimiento requerimientos.
TELEFONICA: Centro de procesamiento de datos de respaldo. Entrar en operatividad el 31 de Mayo.
Determinacin de los niveles de servicio requeridos ( Service Level Agreements o SLA).
PROSEGUR: Almacenamiento de copias de respaldo.
El derecho de la entidad, y la Superintendencia de Banca y
No se obtuvo informacin (contratos) relativa a los servicios prestados por UNIBANCA.
Seguros, o las personas que ellos designen, de auditar el ambiente de la empresa que
Anlisis Situacin Actual SBS, Mejores Prcticas De Brecha El Banco no cuenta con un procedimiento definido para la inclusin de clusulas relativas a la confidencialidad, niveles de servicio, etc., en los contratos de servicios prestados por terceros al Banco. brinda el servicio, para verificar los controles a la de seguridad y los
aplicados sistemas.
data
Documentacin controles fsicos
sobre y
los
lgicos,
empleados por la empresa que brinda el servicio, para proteger la confidencialidad, integridad y disponibilidad de la informacin y equipos de la entidad.
Determinacin requerimientos incluyendo
de
los legales,
privacidad
proteccin de la data.
Procedimiento
que
asegure
que la empresa que brinda el servicio realizar pruebas
peridicas para mantener la seguridad de la data y los sistemas.
Clusula sobre exclusividad de equipos que procesan
informacin del Banco. 7 CUMPLIMIENTO NORMATIVO El Banco ha implementado cumplimiento normativo controles para el al uso de Se debera contar con:
relativo
Definicin de responsable del cumplimiento de las normas emitidas por la
software licenciado, tales como:
Controles manuales peridicos por parte del rea de sistemas y el rea de auditoria de sistemas.
Superintendencia.
Compromiso
firmado
por
los
usuarios
Procedimientos establecidos
de para
control el
referente al software autorizado, tipificando el incumplimiento como falta grave.
cumplimiento de las normas emitidas por la
Evaluacin de software para auditoras de software de forma automtica. La informacin, tanto fsica como digital es almacenada segn perodos determinados por ley.
Superintendencia.
Control normas
de
cumplimiento la
de
sobre
propiedad de
intelectual software).
(licenciamiento
Existe un procedimiento de comunicacin de las normas legales emitidas aplicables a las distintas reas del Banco y el rea de auditoria interna realiza labores de control con respecto a la implementacin de dichas normas.
Sin embargo:
No existe un responsable definido en la estructura del Banco encargado de mantener actualizada sobre las normas emitidas por organismos reguladores.
8 PRIVACIDAD DE LA INFORMACIN El Banco no cuenta con: Se debera contar con:
Un responsable asignado para la salvaguarda de la privacidad de la informacin.
Definicin de responsabilidades con respecto a la aplicacin del secreto bancario y de la
Si bien durante las diversas charlas realizadas en los Comits se tocan temas referentes al secreto bancario, no se han implementado controles especficos en todas las reas del Banco con el fin de evitar la exposicin de informacin sensible
privicidad de la Informacin.
Restricciones
de
acceso
informacin en salvaguarda de su privacidad y del secreto bancario.
Anlisis Situacin Actual SBS, Mejores Prcticas De Brecha de los clientes y del Banco as como limitar el acceso del personal a dicha informacin.
Existencia internas
de para
autorizaciones la entrega y
transferencia de informacin. En el rea de sistemas se han implementado controles respecto a la limitacin de acceso a informacin de clientes y se ha registrado evidencia de incidentes y acciones tomadas por auditoria interna, dicha situacin no se replica en las distintas reas del Banco. 9 AUDITORIA INTERNA Y EXTERNA El Banco no cuenta con: Se debera considerar: interna de que esta el
Un
rea
de en
auditoria su plan
La Unidad de Auditoria Interna deber incorporar en su Plan Anual de Trabajo la evaluacin del cumplimiento de lo
incluyendo
auditoria
cumplimiento de lo dispuesto en la norma G105-2002 de la Superintendencia.
dispuesto en la norma G-1052002 de la Superintendencia.
Las sociedades de Auditoria Externa debern incluir en su informe sobre el sistema de control interno comentarios
dirigidos a indicar si la entidad cuenta con polticas para y la
procedimientos
administracin de los riesgos de tecnologa de informacin. El Banco deber contar con un servicio permanente de auditoria de sistemas.
BIBLIOGRAFA
1.
Information Technology Security for Managers - Workshop sobre temas de Seguridad IBM Global Service. http://www.ibm.com/services/securite ISO /IEC 17799:2000 http://www.iso1799.com British Standard 7799 INFOSECS WORST NIGHTMARES http://www.infosecuritymag.com/2002/nov/nightmares.shtml Como elaborar politicas de Seguridad efectivas? http://www.symantec.com/region/mx/enterprisesecurity
2.
3.
4.
5.

Plan de Seguridad Informatica Tes

Diunggah oleh

Informasi Dokumen

Deskripsi Asli:

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Plan de Seguridad Informatica Tes

Diunggah oleh

Hak Cipta:

Format Tersedia

Plan de Seguridad Informtica para una Entidad Financiera . Crdova Rodrguez, Norma Edith.

Cmo desarrollar una poltica de seguridad?

Estas amenazas son externas o internas:

ocasionar los empleados al enviar y revisar el material ofensivo a travs de Internet.

adecuadamente con la poltica de seguridad de la compaa.

Evaluacin de riesgos, amenazas y vulnerabilidades

Polticas de seguridad de informacin.

reglamentacin que elabor la SBS con respecto a los riesgos de

Grfico de Evolucin de las regulaciones de la Superintendencia de Banca y Seguros

Procesos Tecnologa Personas Eventos

Plan de Seguridad Informtica PSI

METODOLOGA Y PROCEDIMIENTOS UTILIZADOS

Visin y Estrategia de Seguridad

Poltica Modelo de Seguridad

En el desarrollo del trabajo se utilizaron los siguientes procedimientos de trabajo:

2. Definicin y discusin de la organizacin del rea de seguridad informtica.

4. Evaluacin de la arquitectura de red actual y diseo de una propuesta de arquitectura de red.

DIAGNSTICO DE LA SITUACIN ACTUAL DE LA ADMINISTRACIN DE LA SEGURIDAD DE INFORMACIN

- Estructura organizacional Funcin de seguridad a dedicacin exclusiva

- Polticas y procedimientos para administrar los riesgos de TI - Subcontratacin de recursos.

Asimismo, comprende la revisin de los siguientes aspectos:

SEGURIDAD DE LA INFORMACIN ROLES Y ESTRUCTURA ORGANIZACIONAL

Establecer y documentar las responsabilidades de la organizacin en cuanto a seguridad de informacin.

Mantener la poltica y estndares de seguridad de informacin de la organizacin.

Evaluar aspectos de seguridad de productos de tecnologa, sistemas o aplicaciones utilizados en el Banco.

Controlar aspectos de seguridad en el intercambio de informacin con entidades externas.

Asistir y administrar los procedimientos de backup, recuperacin y plan de continuidad de sistemas.

Asignar los niveles iniciales de clasificacin de informacin.

Gerente de divisin de Administracin y Operaciones (presidente del

Comit de Coordinacin de Seguridad de la Informcin

Gerente de Administracin y Operaciones

Fig. 1: Estructura organizacional transitoria propuesta para la administracin de la seguridad de informacin.

Gerente de Divisin de Administracin y Operaciones (Presidente del Comit)

Jefe de Departamente de Riesgo Operativo y Tecnolgico

Jefe de Seguridad Informtica (Responsable)

Fig. 2: Organizacin del Comit de coordinacin de Seguridad de la Informacin.

EVALUACIN DE RIESGOS, AMENAZAS Y VULNERABILIDADES

Tecnologa Actual Windows NT, Windows 2000

Estndar o medida de seguridad a aplicar

Base de datos SQL Server

Estndar de mejores prcticas de seguridad para bases de datos SQL Server.

Banca electrnica a travs de Internet.

Estndares de encripcin de informacin transmitida.

Clusulas de confidencialidad y delimitacin de responsabilidades en contratos con proveedores.

Acuerdos de nivel de servicios con proveedores, en los cuales se detalle el

Tecnologa Sistema Central Core Bancario

MIS (Management Information System)

El acceso a repositorios de informacin sensible debe ser restringido adecuadamente.

Estndares de seguridad de Windows 2000, bases de datos.

Adecuados controles de acceso y otorgamiento de perfiles a la aplicacin.

Desarrollo de aplicaciones para las unidades de negocio, en periodos muy cortos.

Estndar de mejores prcticas de seguridad para Windows 2000, OS/400.

Metodologa para el desarrollo de aplicaciones.

Concientizacin y entrenamiento de los usuarios en temas de seguridad de la informacin.

Implementacin de mayores controles de seguridad para computadoras personales.

Posibilidad de interceptacin no autorizada de mensajes de correo electrnico.

Riesgo de acceso no autorizado a informacin del servidor.

Estndares de mejores prcticas de seguridad para Windows NT y Lotus Notes.

Conexin a Internet y redes pblicas / Firewall.

Adecuado uso del acceso a Internet por parte de los usuarios.

Tecnologa administracin remota de PCs y servidores.

Implicancia de seguridad autorizado a las consolas de administracin y agentes de administracin remota.

Migracin de servidores Windows NT Server a Windows 2000 Server.