Seguridad Informática

Una mirada diferente desde el HACER y

desde el ASEGURAMIENTO
Mónica Rela
Responsable de Auditoría de Sistemas

Roberto Arienti
Responsable de Seguridad de la Información

Banco de la Nación Argentina

ARGENTINA 2014
15 - 16 de Mayo
 Mónica Rela
Computadora Científica - Universidad de Buenos Aires.

Se ha desempeñado como docente, instructora y

consultora de TI. Trabaja en el Banco de la Nación
Argentina desde el año 1982. Posee 25 años de
experiencia en tareas vinculadas con las tecnologías de
información y comunicación en las áreas de Tecnología y
Procesamiento, Desarrollo de Sistemas y Gestión de
Proyectos de TI y 6 años como responsable de auditorías
vinculadas con las TIC en el BNA, sus Empresas Banco de la Nación
Controladas y Sucursales del País y del Exterior. Argentina

Actualmente se encuentra a cargo de la Subgerencia de

Auditoria de Sistemas del Banco, coordina la Comisión de
Auditoria de Sistemas de ABAPPRA (Asociación de Bancos
Públicos y Privados de la República Argentina) y es
representante de CLAIN ante ISACA .
 Roberto Arienti
Computador Científico - Universidad de Buenos Aires.

Trabaja en el Banco de la Nación Argentina desde el año

1982. Inicialmente se desarrolló en el área de Sistemas
como líder de proyecto en el desarrollo de distintos
aplicativos de Sistemas de Información. En el período
2004-2007 ocupó el cargo de responsable del área de
Auditoría de Sistemas coordinando las actividades
relacionadas con la evaluación del funcionamiento de los
sistemas de procesamiento de datos y redes de Banco de la Nación
comunicaciones. Argentina

Actualmente se encuentra a cargo de la Subgerencia de

Seguridad de la Información del Banco, conduciendo las
actividades relacionadas con el desarrollo de un sistema de
gestión de seguridad de la información, a fin de preservar
la confidencialidad, integridad, disponibilidad y auditabilidad
de los activos de la información.
 Agenda
Primer parte
• Qué es Seguridad Informática?
• Marco normativo
• Modelo conceptual de Seguridad
• Aspectos a tener en cuenta

Segunda parte
• Normas internacionales y Mejores prácticas para AI
• Articulación entre el Modelo conceptual de Seguridad y Auditoría de Sistemas
• Modelo 3LoD para Gestión de Riesgos / Seguridad de la Información
• Roles Gestión de Riesgos / Seguridad de la Información / Auditoría Interna

Conclusiones
Seguridad Informática
No es solamente implementar usuarios y contraseñas

La seguridad es…

Control de Accesos
Servicio
Plan de Continuidad de Negocio
Análisis de Vulnerabilidades
Gestión de Incidentes
Concientización de usuarios
Encripción
Evaluación de Software Análisis de Eventos Análisis de Riesgo
Análisis Forense ABM de Usuarios
Desarrollo de Políticas Normas y Estándares

Debe implementarse utilizando…

Test de
AntiSpam AntiVirus Firewalls
Penetración
Criterio de Negocio
Doble Factor de Autenticación
PKI Controles
Sistemas de detección de Intrusos AntiPhishing
Herramientas Forenses Marcos Normativos
Permisos mínimos necesarios Correlación de eventos
Banco de la Nación Argentina
Líder, Regulador y Testigo del Sistema Financiero Argentino

627 Sucursales
14 Sucursales en el Exterior
57 Anexos Operativos
4 Agencias Móviles

+17.000 Empleados
Banco de la Nación Argentina
Equipamiento Informático

Equipamiento Central
Mainframe

Equipamiento Distribuido
+ 16.000 Estaciones de Trabajo
+ 2.000 Servidores
+900 Switches
+700 Routers

Centro de Procesamiento Paralelo

Activo-Activo
Banco de la Nación Argentina
Usuarios de los distintos Sistemas:

14.000 usuarios en el Computador Central

16.000 usuarios en Redes de PC’s
11.500 usuarios en Correo
23.000 usuarios en Aplicativos externos
10.000 usuarios de Aplicativos internos

TOTAL: 74.500

De los cuales 4.700 corresponden a usuarios críticos,

resguardados para ser utilizados en caso de emergencia..
Marco Normativo
ISO 27001 / 27002

1. Política de Seguridad
2. Organización de Seguridad
3. Clasificación y Control de Activos
4. Aspectos humanos de la seguridad
5. Seguridad Física y Ambiental
6. Gestión de Comunicaciones y Operaciones
7. Sistema de Control de Accesos
8. Desarrollo y Mantenimiento de Sistemas
9. Gestión de Incidentes de Seguridad
10. Plan de Continuidad del Negocio
11. Cumplimiento
 Normativa

Políticas

Normas

Procedimientos Estándares Técnicos

 Modelo Conceptual
COMITÉ DE TECNOLOGÍA
Continuidad de Negocio
Controles

Software
Negocio Información y Aplicaciones Hardware Canales Usuarios

PLANIFICACIÓN
ANÁLISIS DE RIESGO
POLÍTICAS / NORMAS / PROCEDIMIENTOS / ESTANDARES
 Como concientizar ?
 Cursos presenciales de concientización a usuarios finales
Inducción / Mandos Medios / Gerencia
 Cursos a distancia (elearning)
 Circulares
 Publicaciones en revista corporativa
Algunos temas tratados:
 Navegar Protegido
 Prevención contra Virus
 Consejos sobre Redes Sociales
 Buenas Prácticas de Contraseñas
 Uso de Medios extraíbles
 Consejos sobre Home Banking
 Resguardo de Archivos Personales
 La importancia de Reporte de Incidentes
 Aspectos a Tener en Cuenta
 Apoyo de la Alta Gerencia
 Independencia del Área de Sistemas
 Implementación de un Sistema de Gestión de Seguridad (SGSI)

 Presupuesto Propio para adquirir herramientas

 Cumplimiento Legal y Normativo

 Planificación estratégica orientada a segurizar el negocio

 Plan de Concientización de usuarios

 Monitoreo y Controles basados en

métricas preestablecidas (Tablero de Control)
 Seguridad Informática
Aspectos a tener en cuenta

 ”Los gerentes de seguridad de la información eficientes entienden que

las auditorías constituyen tanto un proceso esencial de
aseguramiento como un aliado crítico e influyente para alcanzar
un nivel adecuado de gobierno y cumplimiento de la seguridad”
 Los auditores “pueden ser un factor clave en la implementación
de los estándares de seguridad al comunicar información de
retroalimentación basada en los resultados de las auditorías a la alta
dirección para influir en la posición de los ejecutivos y conseguir
su apoyo para actividades relacionadas con la seguridad”
 “Incluir auditores en la gestión general de la seguridad puede ser una
herramienta poderosa para mejorar la cultura de seguridad de
una organización”

Fuente: ISACA – Manual CISM – (Certified Information Security Manager)

 Auditoría Interna
Normas Internacionales para el ejercicio profesional
(sobre Atributos – sobre Desempeño)
 La actividad de auditoría interna debe proporcionar servicios
independientes y objetivos de aseguramiento y consulta, concebidos
para agregar valor y mejorar las operaciones de la organización
(Atributos: 1100 – Independencia y objetividad)

 Estatuto – Código de Ética – Comité de Auditoría

(Atributos: 1000 – Propósito, Autoridad y Responsabilidad)

 Capacitación continua
(Atributos: 1200 – Aptitud y cuidado profesional)

 Debe evaluar y contribuir a la mejora de los procesos de gobierno,

gestión de riesgos y control, utilizando un enfoque sistemático y
disciplinado
(Desempeño: 2000, 2100, 2200, 2300, 2400, 2500, 2600)

 Planes – Procedimientos – Matriz de Riesgo – Herramientas

(Desempeño: 2000, 2100, 2200, 2300, 2400, 2500, 2600)

 Aseguramiento y mejora de la calidad

(Atributos: 1300 – Programa de aseguramiento y mejora de la calidad)
 Auditoría Interna
Normas Internacionales para el ejercicio profesional de la AI
(de implementación)
AUDITORIA DE SISTEMAS
Norma (D) 2100 - Naturaleza del
Trabajo Incorpora / Utiliza
Herramientas y Soporte en TI
2110.A2: evaluar si el gobierno de TI
 Herramientas adquiridas
apoya las estrategias y objetivos de la
 Desarrollos propios
organización.
2120.A1: evaluar las exposiciones al Mejores Prácticas
riesgo referidas a gobierno, operaciones y  COBIT
sistemas de información de la organización,  ITIL / CMMI / PMBoK
con relación a lo siguiente:  ISO 20000/21500/27000/31000
• Logro de los objetivos estratégicos de  NIST 800
la organización,
Certificaciones
• Fiabilidad de integridad de la
(22 auditores / 35 certificaciones
información financiera y operativa,
 11 CISA / 2 CISM / 9 CRISC / 3
• Eficacia y eficiencia de las operaciones y CGEIT
programas,  2 ISO 27001
• Protección de activos, y  2 CISSP
• Cumplimiento de leyes, regulaciones,
 1 CPP
políticas, procedimientos y contratos  5 QAR
Normativa de SI
AUDITORIA DE SISTEMAS

Verifica / Evalúa
 Existencia, adecuación y
cumplimiento de las Políticas,
Normas, Procedimientos y
Estándares Técnicos
 Monitoreo ejercido por SI

Contribuye
 al conocimiento de la normativa
por parte de áreas auditadas,
Alta Dirección y Comité de
Auditoría, a través de sus
informes de auditoría, donde
expone debilidades, riesgo
asociado y recomendaciones.
 Modelo Conceptual SI
AUDITORIA DE SISTEMAS
Participa
 Comité de TI y SI (proyectos
y Continuidad de Negocio

estratégicos, tácticos, presupuesto,

informes de gestión)
Controles

Normas Internacionales para el ejercicio
profesional - Glosario:
Controles de TI: “Soportan la gestión y el gobierno
del negocio, y proporcionan controles generales y
técnicos sobre las infraestructuras de tecnología de la
información tales como aplicaciones, información,
infraestructura y personas.”
Gobierno de TI: “Consiste en el liderazgo, las
estructuras de la organización y los procesos que
aseguran que la tecnología de la información de la
empresa soporta las estrategias y objetivos de la
organización.”
 Proyectos de TI y SI
 Proceso de Gestión de Riesgo de TI
 Pruebas de Continuidad y Recuperación
Evalúa
 Comunicación de las Aspiraciones y la
Dirección de las Gerencias
 Procesos, Organización y Relaciones de
TI
 Responsabilidad sobre el Riesgo, la
Seguridad y el Cumplimiento
 Gestión de Riesgo de TI
 Planeación de Proyectos y Métodos de
Aseguramiento
 Controles de TI (Generales/de
Aplicación)
 Plan y Pruebas de Continuidad
Negocio
AUDITORIA DE SISTEMAS

Elabora
 Plan Anual de Auditoría basado en
riesgo (considerando el BIA)
Efectúa
 Auditorías por Procesos
y Continuidad de Negocio

 Auditorías Específicas
Verifica / Evalúa
Controles

 que las actividades de TI y SI se

encuentren alineadas al Negocio.
 la efectividad del Plan de
Continuidad de Procesamiento y
sus pruebas
 cumplimiento regulatorio
Contribuye
 a través de sus informes, a la
asignación de recursos de TI y SI
Información
AUDITORIA DE SISTEMAS

Verifica / Evalúa
 Esquema de Clasificación de
Datos
 Controles de Acceso según
y Continuidad de Negocio

“necesidad de conocer” / “mínimo

privilegio”
Controles

 Procesamiento, Resguardo y
Recuperación de Datos
 Administración de Contratos y
Riesgos con Proveedores
 Gestión de Incidentes y
problemas de seguridad
 Gestión de Usuarios sensitivos
 Monitoreo ejercido por SI
Software y Aplicaciones
AUDITORIA DE SISTEMAS

Verifica / Evalúa
 Seguridad y Disponibilidad de las
Aplicaciones y SW de base (SOs,
BDs)
y Continuidad de Negocio

 Monitoreo ejercido por TI

Controles

 Ciclo de Vida (Adquisición /

Desarrollo, Pruebas, Instalación,
Configuración, Cambios)
 Administración de Contratos y
Riesgos con Proveedores
 Gestión de Incidentes y Problemas
 Gestión de Usuarios sensitivos
 Monitoreo ejercido por SI
Hardware
AUDITORIA DE SISTEMAS

Verifica / Evalúa
 Seguridad y Disponibilidad de la
Infraestructura tecnológica
 Monitoreo ejercido por TI
 Ciclo de Vida (Adquisición,
y Continuidad de Negocio

Instalación, Mantenimiento,
Controles

Configuración, Cambios)
 Gestión de la Capacidad
 Continuidad de Servicio
 Administración de Contratos y
Riesgos con Proveedores
 Gestión de Incidentes y Problemas
 Gestión de Usuarios sensitivos
 Monitoreo ejercido por SI
Canales
AUDITORIA DE SISTEMAS

Verifica / Evalúa
 Seguridad y Disponibilidad de
Canales (ATM/TAS/BI/BT/BM)
 Protocolos / Encripción
 Monitoreo ejercido por TI
y Continuidad de Negocio

 Ciclo de Vida (Adquisición,

Controles

Instalación, Mantenimiento,
Configuración, Cambios)
 Gestión de la Capacidad
 Continuidad del servicio
 Administración de Contratos y
Riesgos con Proveedores
 Gestión de Incidentes y
Problemas
 Gestión de Usuarios sensitivos
 Monitoreo ejercido por SI
Usuarios
AUDITORIA DE SISTEMAS

Verifica / Evalúa
 Concientización sobre temas de
seguridad / Compromiso de
confidencialidad
 Roles sobre activos de información
 Asignación de perfiles por función
y Continuidad de Negocio

según “necesidad de conocer” /

Controles

“mínimo privilegio”
 Generación, Distribución y
Revocación de Usuarios
 Monitoreo ejercido por SI
Monitorea
 Usuarios sensitivos de SI
Contribuye
 a generar conciencia en temas de
seguridad a través de sus informes
de auditoría
3LoD para Gestión de Riesgos

Modelo de las tres líneas de defensa (3LoD, en inglés)

¿aplicable a Seguridad Informática?

Fuente: IAIA (Plataforma Global de Defensa y Promoción)
 3LoD para Gestión de Riesgos
y Seguridad Informática
 Primera línea de defensa (Gerencia operativa)
GR Tiene la propiedad, responsabilidad y obligación de evaluar, controlar y mitigar los
riesgos, a la vez que mantiene controles internos eficaces.
SI Tiene la propiedad, responsabilidad y obligación de definir la adecuada segregación
de funciones, otorgar acceso a la información con los principios de “necesidad de
conocer y mínimo privilegio”, cumplimiento de Políticas, Normas y Procedimientos
de Seguridad.

 Segunda línea de defensa (Contralor, Gestión de riesgos, Seguridad

Informática, otras funciones de cumplimiento)

GR Facilitan y supervisan la implementación de prácticas de gestión de riesgos

eficaces por parte de la gerencia operativa y ayudan a los responsables de riesgos a
distribuir la información adecuada sobre riesgos hacia arriba y hacia abajo en la
organización
SI Facilitan y supervisan la implementación de las Políticas de Seguridad por parte
de la gerencia operativa, ayudan a difundir la cultura de seguridad de la información.
Administra el SGSI, informa a la Alta Dirección el estado de la Seguridad.

Fuente: IAIA (Plataforma Global de Defensa y Promoción)

 3LoD para Gestión de Riesgos
y Seguridad Informática
 Tercera línea de defensa (Auditoría interna)
GR A través de enfoque basado en el riesgo, proporcionará aseguramiento sobre la
SI
eficacia de gobierno, gestión de riesgos y control interno en el organismo de
gobierno y la alta dirección de la organización, incluidas las maneras en que
funcionan la primera y segunda línea de defensa.
Esta responsabilidad cubre todos los elementos del enfoque de gestión de riesgos
de la institución: identificación de riesgo, evaluación de riesgo y respuesta a
comunicaciones de información relativa a riesgos (de toda la organización y hacia la
alta dirección y el organismo de gobierno).

 Auditoría externa y Organismos reglamentarios externos

GR Se ubican fuera de la estructura de la organización. Cumplen un rol en la estructura
SI
de gobierno general y de control de la organización (este es específicamente el caso
en los sectores regulados como el sector de bancos). Se pueden considerar como
una línea de defensa adicional que proporciona aseguramiento a los
accionistas, al consejo y a la alta dirección.

Fuente: IAIA (Plataforma Global de Defensa y Promoción)

 Gestión de Riesgos de TI
Proporciona una visión singular de cómo es cada sistema, qué valor posee, a
qué amenazas está expuesto y de qué salvaguardas se ha dotado
GR  Activos
SI
AS  Amenazas
 Salvaguardas

AUDITORIA DE SISTEMAS
Verifica / Evalúa / Utiliza Gestión de
Riesgo
la Gestión de Riesgos de TI Gestión de Operacional
Riesgos de
Activos de
Análisis de Información
Riesgos de
Activos de
Información
Clasificación Mejores prácticas / Regulaciones
de Activos de ISO 27005 framework Risk Analysis and Evaluation
Información ISO 31000 Risk Management
Risk IT Framework (ISACA)
NIST SP 800 30 framework for Mitigation
Magerit Methodology for IT Risk Analysis
BCRA 4609 / 4793 / 5374
Riesgos de TI
Seguridad Informática
Auditoría de Sistemas

Seguridad Informática
Clasificación de Activos, Análisis y Gestión de Riesgos

Auditoría por proceso

Modelo conceptual

Servidor Servidor

Auditoría específica por aplicativo / plataforma / canal / UF (Aspecto Seguridad)

 Resumen / Conclusiones
 Apoyo de la Alta Gerencia, Presupuesto Propio, Independencia del Área de TI
 Cumplimiento Legal y Normativo
 Planificación estratégica orientada al negocio
 Sistema de Gestión de Seguridad de la Información (SGSI)
 Concientización a Usuarios
 Monitoreo y control con métricas pre-establecidas
 Apoyo de Auditoría
• proceso de aseguramiento de la seguridad
• factor clave en la implementación de los estándares de seguridad
• herramienta poderosa para mejorar la cultura de seguridad de una organización
• aliado crítico e influyente para alcanzar un nivel adecuado de gobierno y cumplimiento
de la seguridad

MIRADA HOLISTICA
SINERGIA
 La Seguridad: Otra mirada
“La Buenaventura” - Michelangelo Caravaggio

Al observar ésta obra, la atención del espectador se centra en las intensas

miradas de los personajes, ubicadas en el área más iluminada del cuadro….
 La Seguridad: Otra mirada
“La Buenaventura” - Michelangelo Caravaggio

…Pero sin advertir lo que sucede en sus manos…

Información de Contacto

Mónica Rela
mrela@bna.com.ar
54 11 4347 7008

Roberto Arienti
rarienti@bna.com.ar
54 11 4347 6806

Banco de la Nación Argentina

www.bna.com.ar
Preguntas y Respuestas
¡Muchas Gracias
por su atención!