UNIVERSIDAD NACIONAL MAYOR DE SAN MARCOS Fundada en 1551
FACULTAD DE CIENCIAS MATEMÁTICAS E.A.P. DE COMPUTACIÓN
“PLAN DE SEGURIDAD INFORMÁTICA PARA UNA ENTIDAD FINANCIERA”
TRABAJO MONOGRÁFICO Para optar el Título Profesional de: LICENCIADA AUTORA NORMA EDITH CÓRDOVA RODRÍGUEZ
LIMA – PERÚ 2003
DEDICATORIA
E st e t rabajo va dedicado dedicado a la U nive ni vers rsidad idad N acional acional M ayor ayor de San M arcos arcos,, a la que le debo mi formación profesional y los éxitos que he alcanzado.
INDICE
INTRODUCCION CAPITULO I. OBJETIVOS Y ALCANCES 1.1 Objetivos........... Objetivos................ .......... ......... ......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... ........ ...11 CAPITULO II METODOLOGÍA Y PROCEDIMIENTOS UTILIZADO 2.1 Metodología ESA....................................................................................................3 CAPITULO III DIAGNÓSTICO DE LA SITUACIÓN ACTUAL DE LA ADMINISTRACIÓN ADMI NISTRACIÓN DE LA SEGURIDAD DE INFORMACIÓN 3.1 Evaluación .......... ............... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... ........5 ...5 3.2 Alcances .......... ............... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... ........6 ...6 CAPITULO IV SEGURIDAD DE LA INFORMACIÓN – ROLES Y ESTRUCTURA ORGANIZACIONAL 4.1 Situación Situ ación actual..... actual .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... ......8 .8 4.2 4.2 Roles Roles y responsabil responsabilidades idades de la estructura estructura organiz organizaciona acionall de seguridad seguridad de de información.....................................................................................................9 4.3 4.3 Organizaci Organización ón del area de seguridad seguridad informática informática propuesta propuesta .... ...................... 13 CAPITULO V EVALUACIÓN DE RIESGOS, AMENAZAS Y VULNERABILIDADES 5.1 Matriz de uso y estrategia de tecnología ...... ......... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ..... 16 5.2 Matriz de evaluación de amenazas y vulnerabilidades ...... ......... ...... ...... ...... ...... ...... ...... ...... ..... 26 5.3 Matriz de iniciativas del negocio / procesos ...... ......... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ....... 38
CAPITULO VI POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN 6.1 Definición..... Defin ición.......... .......... .......... ......... ......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... ......48 .48 6.2 Cumplimiento Cumplim iento obligatorio obligat orio .......... ............... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... ......... ......... .........49 ....49 6.3 Organización Organizaci ón de la Seguridad Seguri dad .......... ............... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .........49 ....49 6.3. 6.3.11 Estructura organizaciona organizacional.. l................................................................................................................................ 49 6.3. 6.3.22 Acceso por parte de terceros... terceros................................................................................................................... 50 6.3.3 6.3.3 Outsourc Outsourcing ing... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ....... 51 6.4 Evaluacion Evaluaci on de riesgo ......... .............. .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... ......51 .51 6.4.1 6.4.1 Inventario de activos..... activos........ ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...52 52 6.4. 6.4.22 Clasific Clasificaci ación ón del acceso acceso de la informaci información.. ón......................................................................53 53 6.4.3 6.4. 3 Definic Defi nicione iones....................... s........................................... ........................................ ........................................ ......................... ..... 54 6.4.4 Aplicación de controles para la información clasificada... clasificada ...... ...... ...... ....... 54 6.4.5 6.4.5 Análisis de riesgo........ riesgo........... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ....... 57 6.4.6 6.4. 6 Cumplimi Cumpl imiento ento ...................................... .......................................................... ........................................ ............................ ........ 57 6.4.7 6.4 .7 Acepta Ace ptació ciónn de riesgo rie sgo.................. ...................................... ........................................ ................................... ............... 58 6.5 Seguridad Segur idad del personal..... personal .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... ......58 .58 6.5.1 .5.1 Segu Seguri rida dadd en en la la def defini inici ción ón de pues puesto toss de de trab trabajo ajo y rec recur urso soss .... ...... 59 6.5. 6.5.22 Capacitació Capacitaciónn de usuarios usuarios .... .............................................................................................................................. 60 6.5.3 .5.3 Proce Procedi dimie miento ntoss de resp respue uesta sta ante ante incid inciden ente tess de segu segurid ridad. ad... ..... 61 6.5.3.1 6.5. 3.1 Registr Regi stroo de fallas fall as ....................................... ........................................................... ...................................... .................. 62 6.5.3.2 Intercambios Interc ambios de información informa ción y correo electrónico electrón ico..... .......... ......... ......... ........ ... 62 6.5.3.3 Seguridad para media med ia en tránsito ......... .............. .......... .......... .......... .......... .......... .......... .......... .....64 64 6.6 6.6 Seguridad Seguridad física física de las las instalacio instalaciones nes de proces procesamien amiento to de datos datos.........................64 .64 6.6.1 .6.1 Prot Protec ecci ción ón de de las ins insta tala laci cion ones es de de los cen centro tross de dato datos.. s.... ....... ....... ...... 64 6.6. 6.6.22 Control Control de acceso acceso a las instal instalaci acione oness de de cómp cómputo uto .... ........................................65 65 6.6. 6.6.33 Acuerdo Acuerdo con regulac regulacione ioness y leyes. leyes..................................................................................................... 66 6.7 Administración de comunicaciones y operaciones...... operaciones......... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ....66 .66 6.7. 6.7.11 Proce Procedim dimien ientos tos y respo responsa nsabil bilida idades des opera operacio cional nales es .... ....................................66 66 6.7.1.1 6.7.1. 1 Procedimientos Procedimi entos operativos opera tivos documentados........ docume ntados............ ......... .......... ......... ......... ........ ... 66 6.7.1.2 Administración de operaciones realizadas por terceros...... terceros......... ...... ...67 67 6.7.1.3 6.7.1. 3 Control Cont rol de cambios ca mbios operacionales......... operaci onales............. ......... .......... .......... .......... .......... .......... .......... .....67 67 6.7.1.4 6.7.1. 4 Administración Administr ación de incidentes incidente s de seguridad seguri dad..... .......... .......... .......... .......... .......... ........ ... 68 6.7.1.5 Separación de funciones de operaciones y desarrollo... desarrollo ...... ...... ...... ....... 68 6.7.2 6.7.2 Protección Protección contra virus....... virus.......... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...69 69 6.7.3 6.7.3 Copias de respaldo...... respaldo......... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ..... 70 6.8 Control Contr ol de acceso de datos.......... datos............... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .........71 ....71 6.8. 6.8.11 Identifica Identificación ción de usuarios usuarios.................................................................................................................................. 71
6.8.2 6.8.2 Seguridad de contraseñas.... contraseñas....... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...72 72 6.8.2.1 6.8. 2.1 Estructur Estr ucturaa ...................................... .......................................................... ......................................... ................................ ........... 72 6.8.2.2 6.8. 2.2 Vigencia Vige ncia.................. ...................................... ........................................ ........................................ ................................... ............... 73 6.8.2.3 Reutilización Reutiliz ación de contraseñas .......... ............... .......... .......... .......... .......... .......... .......... ......... ......... ........ ... 73 6.8.2.4 Intentos Intento s fallidos falli dos de ingreso.............. ingreso................... .......... .......... .......... .......... .......... .......... ......... ......... ........ ... 73 6.8.2.5 6.8.2. 5 Seguridad Seguri dad de contraseñas contra señas ......... .............. .......... .......... .......... .......... .......... .......... .......... ......... ......... ........ ... 74 6.8.3 6.8.3 Control de transacciones transacciones... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...74 74 6.8. 6.8.44 Control Control de producc producción ión y prueba prueba .... ........................................................................................................ 75 6.8. 6.8.55 Controles Controles de acces accesoo de programas programas................................................................................................ 76 6.8. 6.8.66 Administrac Administración ión de acceso acceso de usuarios... usuarios................................................................................... 76 6.8. 6.8.77 Responsabi Responsabilidade lidadess del usuario.. usuario.............................................................................................................. 78 6.8. 6.8.88 Seguridad Seguridad de computado computadoras ras........................................................................................................................ 79 6.8. 6.8.99 Control de acceso acceso a redes.. redes.............................................................................................................................. 80 6.8.9.1 6.8.9. 1 Conexiones Co nexiones con redes externas externa s .......... ............... .......... .......... .......... .......... .......... ......... ......... ........ ... 80 6.8.9.2 Estándares Estándare s generales ......... .............. .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .....81 81 6.8.9.3 6.8.9. 3 Política Polít ica del uso us o de servicio servi cio de redes re des ......... .............. .......... .......... .......... .......... .......... .......... .....82 82 6.8.9.4 Segmentación Segmentac ión de redes.... redes ......... .......... .......... .......... .......... .......... .......... .......... .......... .......... ......... ......... ........ ... 83 6.8.9.5 6.8.9. 5 Análisis Análisi s de d e riesgo r iesgo de red ......... .............. .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .....83 83 6.8.9.6 Acceso remoto(dial-in) remoto(d ial-in) .......... ............... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... ........ ... 83 6.8.9.7 6.8.9. 7 Encripción Encrip ción de los datos..... datos .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... ......... ......... ........ ... 84 6.8.10 6.8.10 Control Control de acceso acceso al sistema operativ operativoo .... .............................................................................. 84 6.8.10.1 6.8.10. 1 Estándares Estándare s generales .......... ............... .......... .......... .......... .......... .......... .......... .......... .......... ......... ......... ........ ... 84 6.8.10.2 Limitaciones Limitaci ones de horario............. horario.................. .......... .......... .......... .......... .......... .......... .......... ......... ......... ........ ... 84 6.8.10.3 6.8.10 .3 Administr Adm inistración ación de contraseñas cont raseñas ......... .............. .......... .......... .......... .......... .......... ......... ......... ........ ... 85 6.8.10.4 6.8. 10.4 Inactivi Inac tividad dad del sistema.................................. sistema....................................................... ................................ ........... 85 6.8.10.5 6.8.10. 5 Estándares de autenticación autenti cación en los sistemas .......... ............... ......... ......... ........ ... 85 6.8.11 Control de acceso de aplicación.... aplicación....... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ....... 85 6.8.11.1 6.8.11. 1 Restriccione Restr iccioness de acceso acces o a informaci inf ormación. ón...... .......... .......... .......... .......... ......... ......... ........ ... 86 6.8.11.2 6.8.11 .2 Aislamie Ai slamiento nto de sistemas sistem as críticos crí ticos.... ......... .......... .......... .......... .......... .......... .......... .......... .......... .....86 86 6.8.12 6.8.12 Monitoreo Monitoreo del acces accesoo y uso de los los sistemas... sistemas............................................................... 86 6.8.12.1 6.8.1 2.1 Sincroniza Sincr onización ción del reloj.......... reloj............... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .....86 86 6.8.12.2 Responsabilidades Responsabilid ades generales............ generales................. .......... .......... .......... .......... .......... ......... ......... ........ ... 87 6.8.12.3 6.8.12. 3 Registro Regis tro de eventos del sistema si stema ......... .............. .......... .......... .......... .......... .......... .......... .......... .....87 87 6.8.13 Computación Computación móvil y teletrabajo ...... ......... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ....... 87 6.8.13.1 Responsabilidades Responsabilid ades generales............ generales................. .......... .......... .......... .......... .......... ......... ......... ........ ... 87 6.8.13.2 6.8.1 3.2 Acceso remoto remot o ..................................... ......................................................... ......................................... ....................... 88 6.9 Desarrollo y mantenimiento de los sistemas... sistemas ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... .....89 ..89 6.9. 6.9.11 Requerimien Requerimientos tos de seguridad seguridad de sistemas. sistemas....................................................................... 89 6.9.1. 6.9 .1.11 Contro Con troll de cambios camb ios................... ....................................... ........................................ ................................... ............... 89 6.9.1.2 Análisis y especificación de los requerimientos de de seguridad . 90 6.9. 6.9.22 Seguridad Seguridad en sistemas sistemas de aplicación... aplicación....................................................................................... 90 6.9.2.1 6.9.2. 1 Desarrollo Desar rollo y prueba pr ueba de aplicaciones....... aplicaci ones............ .......... .......... .......... .......... .......... .......... ........ ... 90 6.10 Cumplimient Cumpli mientoo normativo normat ivo ........................................ ............................................................ ......................................... .......................9 ..911 6.10.1 6.10.1 Registros ...... ......... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...91 91
6.10 6.10.2 .2 Revisi Revisión ón de la polí polític ticaa de de segu segurid ridad ad y cump cumplim limien iento to técn técnico ico .... ...... 92 6.10.3 6.10.3 Propiedad de los programas... programas ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...92 92 6.10. 6.10.44 Copiado Copiado de software software adquirido adquirido y alquilado.... alquilado.................................................................... 92 6.11 Consideraciones Consider aciones de auditoria de sistemas .......... ............... .......... .......... .......... .......... .......... ......... ......... .........93 ....93 6.11. 6.11.11 Protecció Protecciónn de las herramie herramientas ntas de audito auditoria ria.................................................................. 93 6.11.2 6.11.2 Controles de auditoria de sistemas...... sistemas......... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ..... 93 6.12 Política Polít ica de Comercio Com ercio Electróni El ectrónico co .......... ............... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .........94 ....94 6.12. 6.12.11 Términos Términos e información información de comercio comercio electrónico electrónico.................................................. 95 6.12.1.1 6.12.1. 1 Recolección de información inform ación y privacidad ......... .............. .......... .......... .......... .......... .....95 95 6.12.1. 6.1 2.1.22 Divulga Div ulgación ción ........................................ ............................................................ ........................................ ......................... ..... 95 6.12.2 6.12.2 Transferencia electrónica de fondos..... fondos........ ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...96 96 6.13 Información almacenada en medios digitales y físicos ...... ......... ...... ...... ...... ...... ...... ...... ...... .....97 ..97 6.13.1 6.13.1 Etiquetado de la información... información...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...97 97 6.13.2 6.13.2 Copiado de la información...... información......... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ..... 97 6.13.3 6.13.3 Distribución de la información.... información....... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...98 98 6.13.4 6.13.4 Almacenamiento de la información..... información........ ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ....... 98 6.13.5 6.13.5 Eliminación de la información ...... ......... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ..... 99 CAPITULO VII PLAN DE IMPLEMENTACI I MPLEMENTACIÓN ÓN DE ALTO NIVEL 7.1 Clasificación Clasif icación de información... inform ación........ ......... ......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... ........ ...102 102 7.2 Seguridad Segurid ad de red y comunicaciones...... comunicaci ones........... .......... .......... .......... .......... .......... .......... .......... .......... ......... ......... ....... 103 7.3 Inventario de accesos a los sistemas........ sistemas........... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ......106 ...106 7.4 Adaptación de contratos con proveedores ...... ......... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... .......107 107 7.5 Campaña de concientización concientización de usuarios.... usuarios. ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... .......108 108 7.6 Verificación y adaptación de los sistemas del banco.. banco..... ...... ...... ...... ...... ...... ...... ...... ...... ...... ..... 109 7.7 Estandarización de la configuración del software base...... base......... ...... ...... ...... ...... ...... ...... .......110 110 7.8 7.8 Revisión, Revisión, y adaptació adaptaciónn de procedimiento procedimientoss complementarios complementarios...................................... 111 7.9 Cronograma tentativo de implementación...... implementación......... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ......113 ...113 CONCLUSIONES CONCLUSION ES Y RECOMENDACIONES RECOMENDACI ONES .......... ............... .......... .......... .......... .......... .......... .......... ......... ......... .......114 ..114 ANEXOS A.
Diseño de arquitectura arquitectura de seguridad de red ...... ......... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...118 118
B.
Circula Circularr n° g-105g-105-200 20022 publica publicada da por por la Super Superinte intende ndenci nciaa de Banca Banca y Seguros (SBS) sobre riesgos de tecnología de información.....................121
C.
Detall Detalle: e: Diagn Diagnost ostico ico de de la Situa Situacio cionn Actual Actual de de la Admin Administ istrac ración ión de de los ries riesgos gos de tecnologia de la informacion......................................................................132
BIBLIOGRAFÍA.. ..............................................................................................154
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
RESUMEN
La liberalización y la globalización de los servicios financieros, junto con la creciente sofisticación de la tecnología financiera, están haciendo cada vez más diversas y complejas las actividades de los bancos en términos de Seguridad. En otros tiempos la seguridad de la información era fácilmente administrable, sólo bastaba con resguardar los documentos más importantes bajo llave y mantener seguros a los empleados que poseen el conocimiento poniendo guardias de seguridad. Hoy en día es más difícil. Los sistemas electrónicos entraron en las oficinas y obligaron a los sistemas de seguridad a evolucionar para mantenerse al día con la tecnología cambiante. Luego, hace unos 5 años, los negocios, aún las empresas más pequeñas, se conectaron a Internet (una amplia red pública con pocas reglas y sin guardianes). De manera similar a otro tipo de crímenes, el cuantificar los gastos y pérdidas en seguridad seguridad de la información o crímenes cibernéticos es muy difícil. Se tiende a minimizar los incidentes por motivos muchas veces justificables. Por otro lado el objetivo fundamental de la seguridad no es proteger los sistemas, sino reducir los riesgos y dar soporte a las operaciones del negocio. La computadora más segura del mundo es aquella que está desconectada de cualquier red, enterrada profundamente en algún oscuro desierto y rodeada de guardias armados, pero es también la más inútil.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
La seguridad es sólo uno de los l os componentes de la administración de riesgos r iesgos – minimizar la exposición de la empresa y dar soporte a su capacidad de lograr su misión. Para ser efectiva, la seguridad debe estar estar integrada a los procesos del negocio y no delegada a algunas aplicaciones técnicas. Los incidentes de seguridad más devastadores tienden más a ser internos que externos. Muchos de estos incidentes involucran a alguien llevando a cabo una actividad autorizada autorizada de un modo no autorizado. autorizado. Aunque la tecnología tiene cierta ingerencia en limitar esta clase de eventos internos, las verificaciones y balances como parte de los procesos del negocio son mucho más efectivos. Las computadoras computadoras no atacan a las empresas, empresas, lo hace la gente. gente. Los empleados bien capacitados tienen mayores oportunidades de detectar y prevenir los incidentes de seguridad antes de que la empresa sufra algún daño. Pero para que los empleados sean activos, se requiere que entiendan como reconocer, responder e informar los problemas – lo cual constituye la piedra angular de la empresa con conciencia de seguridad lo que nosotros llamamos “cultura de seguridad”. El presente trabajo describe como se define un Plan de Seguridad para una entidad financiera, empieza por definir la estructura organizacional (roles y funciones), después pasa a definir las políticas para finalmente concluir con un plan de implementación o adecuación a las políticas anteriormente anteri ormente definidas.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
ABSTRACT
The liberalization and globalization of the financial services with the increasing sophistication of the financial technology are facing more complex banking activities in terms of security. Long time ago, security information was easily management, just it was enough guard the more important documents under the keys and placed employees; who has the knowledge; knowledge; safe, just placing bodyguards; bodyguards; nowadays it is harder. The electronics systems got in the office and made systems security evolved to be updated with the technology changes. Then, 5 years ago, the business; even the small companies were connected connected to Internet (a public network with few rules and without security). In a similar way of other kind of crimes, measure security IT expenses and lost or cybernetic crimes are very difficult. People tend to minimize incidents for justifying reasons. By the other hand, the main objective of IT Security is not to protect the systems; it is to reduce risks and to support the business operations. The most secure computer in the world is which is disconnected form the network, placed deeply in any dark desert and be surrounded by armed bodyguards, but it is also the most useless. Security is just just one of the components components of risk management - minimize the exposition of the business and support the capacity of meet his mission. To be effective, security must be integrated through the business process and not delegate to some technical applications. Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
The more destructive security incidents tend mostly to be internal instead of external. Many of these involve someone taking an authorized activity in a way non-authorized. Although technology has some concern in limit these kind of internal events, the verifications and balances as part of the business process are more effective. Computers does not attack enterprises, people do it. Employees with knowledge have more opportunities to detect and prevent security incidents before the enterprises suffer a damage. But to make employees more concern, we need that they understand, reply and inform security incidents – which is the most important thing inside the enterprise with security concern, which is called “security culture”. The present work describes how you can define a Security Plan for a financial enterprise, begin defining the Organizational structure (roles and responsibilities), then define the policies and finally ends with the Implementation Plan which are the activities to meet the policies before mentioned.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
INTRODUCCIÓN
Los eventos mundiales recientes han generado un mayor sentido de urgencia que antes con respecto a la necesidad de tener mayor seguridad - física y de otro tipo. Las empresas pueden haber reforzado las medidas de seguridad, pero nunca se sabe cuándo o cómo puede estar expuesta. A fin de brindar la más completa protección empresarial, se requiere de un sistema exhaustivo de seguridad. Es vital implementar un plan de seguridad. Sin embargo, implementar un plan proactivo que indique cómo sobrevivir a los múltiples escenarios también preparará a las empresas en el manejo de las amenazas inesperadas que podría afrontar en el futuro. La mayoría de las empresas ha invertido tiempo y dinero en la construcción de una infraestructura para la tecnología de la información que soporte su compañía, esa infraestructura de TI podría resultar ser una gran debilidad si se ve comprometida. Para las organizaciones que funcionan en la era de la informática interconectadas y con comunicación electrónica, las políticas de información bien documentadas que se comunican, entienden e implementen en toda la empresa, son herramientas comerciales esenciales en el entorno actual para minimizar los riesgos de seguridad. Imagine lo que sucedería si: •
•
•
La información esencial fuera robada, se perdiera, estuviera en peligro, fuera alterada o borrada. Los sistemas de correo electrónico no funcionaran durante un día o más. ¿Cuánto costaría esta improductividad? Los clientes no pudieran enviar órdenes de compra a través de la red durante un prolongado periodo de tiempo.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
Prepararse para múltiples escenarios parece ser la tendencia creciente. En un informe publicado por Giga Information Information Group con respecto a las tendencias de TI estimadas para el año 2002, se espera que los ejecutivos corporativos se interesen cada vez más en la prevención de desastres físicos, ciberterrorismo ciberterr orismo y espionaje de libre competencia. Implementar una política de seguridad completa le da valor intrínseco a su empresa. También mejorará la credibilidad y reputación de la empresa y aumentará la confianza de los accionistas principales, lo que le dará a la empresa una ventaja estratégica.
¿Cómo desarrollar una política de seguridad? •
•
Identifique y evalúe los activos: Qué activos deben protegerse y cómo protegerlos de forma que permitan la prosperidad de la empresa. Identifique las amenazas: ¿Cuáles son las causas de los potenciales
problemas de seguridad? Considere la posibilidad de violaciones a la seguridad y el impacto que tendrían si ocurrieran. Estas amenazas son externas o internas: o
Amenazas externas: Se originan fuera de la organización y son los virus, gusanos, caballos de Troya, intentos de ataques de los
hackers, hackers, retaliaciones retaliacione s de ex-empleados ex-empleados o espionaje industrial. o
Amenazas internas: Son las amenazas que provienen del
interior de la empresa y que pueden ser muy costosas porque el infractor tiene mayor acceso y perspicacia para saber donde reside la información sensible e importante. Las amenazas internas también incluyen el uso indebido del acceso a Internet por parte de los empleados, así como los problemas que podrían
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
ocasionar los empleados al enviar y revisar el material ofensivo a través de Internet. •
Evalué los riesgos: Éste puede ser uno de los componentes más
desafiantes del desarrollo de una política de seguridad. Debe calcularse la probabilidad de que ocurran ciertos sucesos y determinar cuáles tiene el potencial para causar mucho daño. El costo puede ser más que monetario - se debe asignar un valor a la pérdida de datos, la privacidad, responsabilidad legal, atención pública indeseada, la pérdida de clientes o de la confianza de los inversionistas y los costos asociados con las soluciones para las violaciones a la seguridad. •
Asigne las responsabilidades: responsabilidades: Seleccione un equipo de desarrollo que ayude a identificar las amenazas potenciales en todas las áreas de la
empresa. Sería ideal la participación de un representante por cada departamento de la compañía. Los principales integrantes del equipo serían el administrador de redes, un asesor jurídico, un ejecutivo superior y representantes de los departamentos de Recursos Humanos y Relaciones Públicas. •
Establezca políticas de seguridad: Cree una política que apunte a los
documentos asociados; parámetros y procedimientos, normas, así como los contratos de empleados. Estos documentos deben tener información específica relacionada con las plataformas informáticas, las plataformas tecnológicas, las responsabilidades del usuario y la estructura organizacional. De esta forma, si se hacen cambios futuros, es más fácil cambiar los documentos subyacentes que la política en sí misma. •
Implemente una política en toda la organización: La política que se
escoja debe establecer claramente las responsabilidades en cuanto a la seguridad y reconocer quién es el propietario de los sistemas y datos Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
específicos. También puede requerir que todos los empleados firmen la declaración; si la firman, debe comunicarse claramente. Éstas son las tres partes esenciales de cumplimiento que debe incluir la política: polí tica: o
Cumplimiento: Indique un procedimiento para garantizar el
cumplimiento y las consecuencias potenciales por incumplimiento. o
Funcionarios de seguridad: Nombre individuos que sean
directamente responsables de la seguridad de la información. Asegúrese de que no es la misma persona que supervisa, implementa o revisa la seguridad para que no haya conflicto de intereses. o
Financiación: Asegúrese de que a cada departamento se le haya asignado los fondos necesarios para poder cumplir
adecuadamente con la política de seguridad de la compañía.
•
Administre el programa de seguridad: Establezca los procedimientos
internos para implementar estos requerimientos y hacer obligatorio su cumplimiento. Consideraciones importantes
A través del proceso de elaboración de una política de seguridad, es importante asegurarse de que la política tenga las siguientes características: caracterí sticas: •
Se pueda implementar y hacer cumplir
•
Sea concisa y fácil de entender
•
Compense la protección con la productividad
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
Una vez la política se aprueba totalmente, debe hacerse asequible a todos los empleados porque, en ultima instancia, ellos son responsables de su éxito. Las políticas deben actualizarse anualmente (o mejor aún cada seis meses) para reflejar los cambios en la organización o cultura. Se debe mencionar que no debe haber dos políticas de seguridad iguales puesto que cada empresa es diferente y los detalles de la política dependen de las necesidades exclusivas de cada una. Sin embargo, usted puede comenzar con un sistema general de políticas de seguridad y luego personalizarlo de acuerdo con sus requerimientos específicos, limitaciones de financiación e infraestructura existente. Una política completa de seguridad de la información es un recurso valioso que amerita la dedicación de tiempo y esfuerzo. La política que adopte su empresa brinda una base sólida para respaldar el plan general de seguridad. Y una base sólida sirve para respaldar una empresa sólida.
BANCO ABC
En el presente trabajo desarrollaremos el Plan de Seguridad para una entidad financiera a la cual llamaremos el Banco ABC. El Banco ABC es un banco de capital extranjero, tiene 35 agencias a nivel nacional, ofrece todos los productos financieros conocidos, posee presencia en Internet a través de su pagina web, es un banco mediano cuenta con 500 empleados y es regulado por la Superintendencia de Banca y Seguros. A lo largo de todo el desarrollo del trabajo describiremos mas en detalle su estructura interna, evaluaremos los riesgos a los cuales están expuestos, expuestos, para lo cual se realizara un diagnostico objetivo de la situación actual y como se deben contrarrestar, para finalmente terminar diseñando el Plan de Seguridad y
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
las principales actividades que deben ejecutarse para la implementación de las políticas de seguridad. A continuación describiremos brevemente la situación actual de los aspectos más importantes en la elaboración del Plan de Seguridad; como son la organización, el propio Plan y la adecuación al Plan. A) Organización de seguridad de la información
Actualmente el Banco cuenta con un área de seguridad informática recientemente constituida, los roles y responsabilidades del área no han sido formalizados y las tareas desempeñadas por el área se limitan por ahora al control de accesos de la mayoría de sistemas del Banco. Algunas tareas correspondientes a la administración de seguridad son desarrolladas por el área de sistemas como la administración de red, firewalls y bases de datos, otras tareas son realizadas directamente por las áreas usuarias, y finalmente otras responsabilidades como la elaboración de las políticas y normas de seguridad, concientización de los usuarios, monitoreo de incidentes de seguridad, etc., no han sido asignadas formalmente a ninguna de las áreas. En este sentido, en el presente trabajo detallamos los roles y responsabilidades relacionadas a la administración de seguridad de la información que involucra no solamente a miembros de las áreas de seguridad informática y sistemas como administradores de seguridad de información y custodios de información, sino a los gerentes y jefes de las unidades de negocio como propietarios de información, y a los usuarios en general. B) Diseño del plan de seguridad de la información
Para el diseño del Plan de seguridad de la información se desarrollaran las siguientes etapas: Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
-
Evaluación de riesgos, amenazas y vulnerabilidades vulnerabilidades
Para la definición del alcance de las l as políticas y estándares y con el propósito de identificar las implicancias de seguridad del uso y estrategia de tecnología, amenazas y vulnerabilidades y nuevas iniciativas del negocio, se desarrollarán un conjunto de entrevistas con las Gerencias del Banco, personal del área de sistemas, auditoria interna y el área de seguridad informática. Producto de la consolidación de la información obtenida en dichas entrevistas se elaborará unas matrices que se presentarán pr esentarán en el capítulo capítul o N° V del presente documento. -
Políticas de seguridad de información.
Con el objetivo de contar con una guía para la protección de información del Banco, se elaborarán las políticas y estándares de seguridad de la información, tomando en cuenta el estándar de seguridad de información ISO 17799, los requerimientos de la Circular N° G-105-2002 publicada por la Superintendencia de Banca y Seguros (SBS) sobre Riesgos de Tecnología de Información y las normas establecidas internamente por el Banco. -
Diseño de arquitectura de seguridad de red.
Con el objetivo de controlar las conexiones de la red del Banco con entidades externas y monitorear la actividad realizada a través de dichas conexiones, se elaborará una propuesta de arquitectura de red la cual incluye dispositivos de monitoreo de intrusos y herramientas de inspección de contenido.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
C) Plan de Implementación
De la identificación de riesgos amenazas amenazas y vulnerabilidades relacionadas con la seguridad de la información del Banco, se lograron identificar las actividades más importantes a ser realizadas por el Banco con el propósito de alinear las medidas de seguridad implementadas para proteger la información del Banco, con las Políticas de seguridad y estándares elaborados. Este plan de alto nivel incluye una descripción de la actividad a ser realizada, las etapas incluidas en su desarrollo y el tiempo estimado de ejecución.
El Autor
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
Capítulo I OBJETIVOS Y ALCANCES 1.1
Objetivos
El objetivo del presente trabajo es realizar un diagnostico de la situación actual en cuanto a la seguridad de información que el Banco ABC actualmente administra y diseñar un Plan de Seguridad de la Información (PSI) que permita desarrollar operaciones seguras basadas en políticas y estándares claros y conocidos por todo el personal del Banco. Adicionalmente, el presente trabajo contempla la definición de la estrategia y los proyectos más importantes que deben ser llevados a cabo para culminar con el Plan de Implementación Implementación.. La reglamentación que que elaboró elaboró la SBS con con respecto respecto a los riesgos de tecnología forma parte de un proceso de controles que se irán implementando, tal como lo muestra el gráfico siguiente, los primeros controles fueron enfocados hacia los riesgos propios del negocio (financieros y de capital), y él ultima en ser reglamentado es el que nos aboca hoy, que es el diseño de un Plan de Seguridad Informática (PSI) para esta entidad financiera. f inanciera.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
Gráfico de Evolución de las regulaciones de la Superintendencia de Banca y Seguros
Riesgos Financieros
• • • • • •
• •
Estructura Rentabilidad Adec. Capital De Crédito De liquidez De Tasa de Interés De Mercado
Riesgos de Negocios
•
• •
•
•
Riesgo de Política Riesgo País Riesgo
Riesgos de Operaciones
• • • •
Procesos Tecnología Personas Eventos
Riesgo Político Riesgo de Crisis Bancarias
1. Plan de Seguridad Informática PSI
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
Capítulo II METODOLOGÍA Y PROCEDIMIENTOS UTILIZADOS 2.1 Metodología ESA
La estrategia empleada para la planificación y desarrollo del presente trabajo, está basada basada en la metodología Enterprise Security Arquitecture (ESA) para el diseño de un modelo de seguridad, como marco general establece el diseño de políticas, normas y procedimientos de seguridad para el posterior desarrollo de controles sobre la información de la empresa. Visión y Estrategia de Seguridad a i c n e r e a G t l A a l
Amenazas
I n i c ia i a t i v as as & P r o c e s o s de Negocios E s t r at at e g í a d e T e c n ol ol o g í a & U s o
Evaluación de Riesgo & Vulnerabilidad
Política
e o d s i m o r p m o C
Modelo de Seguridad Arquitectura de Seguridad & E s t á n d ar ar e s T e c n i c o s Guías y Procedimientos Adminitrativos y de Usuario Final Procesos de Ejecución
Procesos de Monitoreo
Procesos de Recuperacíon
n ó i c a z i t n e i c n o C o t y n e i m a n e r t n E e a d m a r g o r P
E s t r u c t u r a d e A d mi mi n i s t r a c i ó n d e S e g u r i d a d d e I n f o r m a c i ó n
En el desarrollo del trabajo se utilizaron los siguientes procedimientos de trabajo:
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
1. Entrevistas para para la identificación identificación de riesgos amenazas amenazas y vulnerabilidades de la organización con el siguiente personal de la empresa: -
-
-
-
-
-
-
-
-
-
-
Gerente de División de Negocios. Gerente de División de Riesgos Gerente de División de Administración y Operaciones Gerente de División de Finanzas Gerente de División de Negocios Internacionales Gerente de Negocios Internacionales Gerente de Asesoría Legal Auditor de Sistemas Gerente de Sistemas Gerente Adjunto de Seguridad Informática Asistente de Seguridad Informática
2. Definición y discusión de la organización del área de seguridad informática. 3. Elaboración de las políticas de seguridad de información del Banco tomando como referencia el estándar para seguridad de información ISO 17799, los requerimientos de la Circular N° G-105-2002 publicada por la Superintendencia de Banca y Seguros (SBS) sobre Riesgos de Tecnología de Información y las normas internas del Banco referidas a la seguridad de información. 4. Evaluación de la arquitectura de red actual y diseño de una propuesta de arquitectura de red.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
Capítulo III DIAGNÓSTICO DE LA SITUACIÓN ACTUAL DE LA ADMINISTRACIÓN DE LA SEGURIDAD DE INFORMACIÓN 3.1 Evaluación
Efectuada nuestra revisión de la administración de riesgos de tecnología de información del Banco hemos observado que el Plan de Seguridad de Información (PSI) no ha sido desarrollado. Si bien hemos observado la existencia de normas, procedimientos y controles que cubren distintos aspectos de la seguridad de la información, se carece en general de una metodología, guía o marco de trabajo que ayude a la identificación de riesgos y determinación de controles para mitigar los mismos. Dentro de los distintos aspectos a considerar en la seguridad de la Información, se ha podido observar que se carece de Políticas de seguridad de la Información y de una Clasificación de Seguridad de los activos de Información del Banco. Cabe mencionar que se ha observado la existencia de controles, en el caso de la Seguridad Lógica, sobre los accesos a los sistemas de información así como procedimientos establecidos para el otorgamiento de dichos accesos. De igual manera se ha observado controles establecidos con respecto a la seguridad física y de personal. Sin embargo, estos controles no obedecen a una definición previa de una Política de Seguridad ni de una evaluación de riesgos de seguridad de la información a nivel de todo el Banco. Los controles establecidos a la fecha son producto de evaluaciones particulares efectuadas por las áreas involucradas o bajo cuyo ámbito de responsabilidad recae cierto aspecto de la seguridad.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
3.2 Alcances
El alcance del diagnóstico de la situación de administración del riesgo de Tecnología de Información, en adelante TI, comprende la revisión de las siguientes funciones al interior del área de sistemas: sist emas: Administración del área de Tecnología de Información - Estructura Estructura organizacional organiz acional - Función de seguridad a dedicación exclusiva - Políticas y procedimientos para administrar los riesgos de TI - Subcontratación Subcontrataci ón de recursos. Actividades de desarrollo y mantenimiento de sistemas informáticos informáti cos Seguridad de la Información - Administración de la Seguridad de la Información. - Aspectos de la seguridad de la información (lógica, personal y física y ambiental) - Inventario periódico de activos asociados a TI Operaciones computarizadas - Administración de las operaciones y comunicaciones - Procedimientos de respaldo - Planeamiento para la continuidad de negocios - Prueba del plan de continuidad de negocios •
•
•
•
Asimismo, comprende la revisión de los siguientes aspectos: •
•
•
Cumplimiento normativo Privacidad de la información Auditoria de sistemas
El siguiente cuadro muestra el grado de cumplimiento en los aspectos relacionados a la adecuación del Plan de Seguridad:
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
Aspectos Evaluados 1
Estructura de la seguridad de la Información
2
Plan de seguridad de la Información
2.1.1.
Seguridad Lógica
2.1.2
Seguridad de Personal
2.1.3
Seguridad Física y Ambiental
2.1.4
Clasificación de Seguridad
3
Administración de las operaciones y comunicaciones
4
Desarrollo y mantenimiento de sistemas informáticos
5
Procedimientos de respaldo
6
Plan de continuidad de negocios
6.2 6.3
Cumplimiento
Políticas, estándares y procedimientos de seguridad.
2.1
6.1
Grado de
Planeamiento para la Continuidad de Negocios Criterios para el diseño e implementación del Plan de continuidad de Negocios Prueba del Plan de Continuidad de Negocios
7
Subcontratación
8
Cumplimiento normativo
9
Privacidad de la información
10
Auditoria de Sistemas
Una descripción mas detallada de los aspectos evaluados pueden ser encontrados en el Anexo C. Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
Capítulo IV SEGURIDAD DE LA INFORMACIÓN – ROLES Y ESTRUCTURA ORGANIZACIONAL
4.1 4.1 Situación actual
La administración de seguridad de información se encuentra distribuida principalmente entre las áreas de sistemas y el área de seguridad informática. En algunos casos, la administración de accesos es realizada por la jefatura o gerencia del área que utiliza la aplicación. Las labores de seguridad realizadas actualmente por el área de seguridad informática son las siguientes: Creación y eliminación de usuarios Verificación y asignación de perfiles en las aplicaciones -
-
Las labores de seguridad realizadas por el área de sistemas son las siguientes: Control de red Administración del del firewall f irewall Administración de accesos a bases de datos -
-
-
Las funciones de desarrollo y mantenimiento de políticas y estándares de seguridad no están definidas dentro de los roles de la organización. Cabe mencionar que el acceso con privilegio administrativo al computador central es restringido, el área de seguridad informática define una contraseña, la cual es enviada a la oficina de seguridad seguri dad (Gerencia de Administración) en un sobre cerrado, en caso de necesitarse acceso con dicho privilegio, la contraseña puede ser obtenida por el gerente de sistemas o el jefe de soporte Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
técnico y producción, solicitando el sobre a la oficina de seguridad. Luego deben realizar un informe sobre la l a actividad realizada en el computador central. central. 4.2 ROLES Y RESPONSABILIDADES DE LA ESTRUCTURA ORGANIZACIONAL DE SEGURIDAD DE INFORMACIÓN
El área organizacional encargada de la administración de seguridad de información debe soportar los objetivos de seguridad de información del Banco. Dentro de sus responsabilidades se encuentran la gestión del plan de seguridad de información así como la coordinación de esfuerzos entre el personal de sistemas y los empleados de las áreas de negocios, siendo éstos últimos los responsables de la información que utilizan. Asimismo, es responsable de promover la seguridad de información a lo largo de la organización con el fin de incluirla en el planeamiento y ejecución de los objetivos del negocio. Es importante mencionar que las responsabilidades referentes a la seguridad de información son distribuidas dentro de toda la organización y no son de entera responsabilidad del área de seguridad informática, en ese sentido existen roles adicionales que recaen en los propietarios de la información, los custodios de información y el área de auditoria interna. int erna. Los propietarios de la información deben verificar la integridad de su información y velar por que se mantenga la disponibilidad y confidencialidad de la misma. Los custodios de información tienen la responsabilidad de monitorear el cumplimiento de las actividades encargadas y el área de auditoria interna debe monitorear el cumplimiento de la política de seguridad y el cumplimiento adecuado de los procesos definidos para mantener la seguridad de información.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
A continuación presentamos los roles y responsabilidades relacionadas a la administración de seguridad de información: Área de Seguridad Informática.
El área organizacional encargada de la administración de seguridad de información tiene como responsabilidades: responsabilidades: Establecer y documentar las responsabilidades de la organización en cuanto a seguridad de información. Mantener la política y estándares de seguridad de información de la organización. Identificar objetivos de seguridad y estándares del Banco (prevención de virus, uso de herramientas de monitoreo, etc.) Definir metodologías y procesos relacionados a la seguridad de información. Comunicar aspectos básicos de seguridad de información a los empleados del Banco. Esto incluye un programa de concientización para comunicar aspectos básicos de seguridad de información y de las políticas del Banco. Desarrollar controles para las tecnologías que utiliza la organización. Esto incluye el monitoreo de vulnerabilidades documentadas documentadas por los proveedores. Monitorear el cumplimiento de la política de seguridad del Banco. •
•
•
•
•
•
•
•
•
•
•
•
Controlar e investigar incidentes de seguridad o violaciones de seguridad. Realizar una evaluación periódica de vulnerabilidades de los sistemas que que conforman la red de datos del Banco. Evaluar aspectos de seguridad de productos de tecnología, sistemas o aplicaciones utilizados en el Banco. Asistir a las gerencias de división en la evaluación de seguridad de las iniciativas del negocio. Verificar que cada activo de información del Banco haya sido asignado a un “propietario” el cual debe definir los requerimientos de seguridad como
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
políticas de protección, perfiles de acceso, respuesta ante incidentes y sea responsable final del mismo. •
•
•
•
•
•
•
•
Administrar un programa de clasificación de activos de información, incluyendo la identificación de los propietarios de las aplicaciones y datos. Coordinación de todas las funciones relacionadas a seguridad, como seguridad física, seguridad de personal y seguridad de información almacenada en medios no electrónicos. Desarrollar y administrar el presupuesto de seguridad de información. Reportar periódicamente a la gerencia de Administración y Operaciones. Administración de accesos a las principales aplicaciones del Banco. Elaborar y mantener un registro con la relación de los accesos de los usuarios sobre los sistemas y aplicaciones del Banco y realizar revisiones periódicas de la configuración de dichos accesos en los sistemas. Controlar aspectos de seguridad en el intercambio de información con entidades externas. Monitorear la aplicación de los controles de seguridad física de los principales activos de información.
Custodio de Información:
Es el responsable de la administración diaria de la seguridad en los sistemas de información y el monitoreo del cumplimiento de las políticas polí ticas de seguridad en los sistemas que se encuentran bajo su administración. Sus responsabilidades son: Administrar accesos a nivel de red (sistema operativo). Administrar accesos a nivel de bases de datos. Administrar los accesos a archivos físicos de información almacenada en medios magnéticos (diskettes, (diskettes, cintas), ópticos (cd´s) o impresa. impre sa. Implementar controles definidos para los sistemas de información, incluyendo investigación e implementación de actualizaciones de seguridad •
•
•
•
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
de los sistemas (service packs, fixes, etc.) en coordinación con el área de seguridad informática. •
•
•
•
•
Desarrollar procedimientos de autorización y autenticación. Monitorear el cumplimiento de la política y procedimientos de seguridad en los activos de información que custodia. Investigar brechas e incidentes de seguridad. Entrenar a los empleados en aspectos de seguridad de información en nuevas tecnologías o sistemas implantados bajo su custodia. Asistir y administrar los procedimientos de backup, recuperación y plan de continuidad de sistemas.
Usuario:
Las responsabilidades de los usuarios finales, es decir, aquellas personas que utilizan información del Banco como parte de su trabajo diario están definidas a continuación: Mantener la confidencialidad de las contraseñas de aplicaciones y sistemas. Reportar supuestas violaciones de la seguridad de información. Asegurarse de ingresar información adecuada a los sistemas. Adecuarse a las políticas de seguridad del Banco. Utilizar la información del Banco únicamente para los propósitos •
•
•
•
•
autorizados. Propietario de Información:
Los propietarios de información son los gerentes y jefes de las unidades de negocio, los cuales, son responsables de la información que se genera y se utiliza en las operaciones de su unidad. Las áreas de negocios deben ser conscientes de los riesgos de tal forma que sea posible tomar decisiones para disminuir los mismos. Entre las responsabilidades de los propietarios de información se tienen: ti enen: Asignar los niveles iniciales de clasificación de información. •
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
•
•
•
•
•
•
•
Revisión periódica de la clasificación de la información con el propósito de verificar que cumpla con los requerimientos del negocio. Asegurar que los controles de seguridad aplicados sean consistentes con la clasificación realizada. Determinar los criterios y niveles de acceso a la información. Revisar periódicamente los niveles de acceso a los sistemas a su cargo. Determinar los requerimientos de copias de respaldo para la información que les pertenece. Tomar las acciones adecuadas en caso de violaciones de seguridad. Verificar periódicamente la integridad y coherencia de la información producto de los procesos de su área.
Auditoria Interna:
El personal de auditoria interna es responsable de monitorear el cumplimiento de los estándares y guías definidas en las políticas internas. Una estrecha relación del área de auditoria interna con el área de seguridad informática es crítica para la protección de los activos de información. Por lo tanto dentro del plan anual de evaluación del área de auditoria interna se debe incluir la evaluación periódica de los controles de seguridad de información definidos por el Banco. Auditoria interna debe colaborar con el área de seguridad informática en la identificación de amenazas y vulnerabilidades referentes a la seguridad de información del Banco. 4.3
ORGANIZACIÓN DEL AREA DE SEGURIDAD INFORMÁTICA PROPUESTA
Dado el volumen de operaciones y la criticidad que presenta la información para el negocio del Banco y tomando en cuenta las mejores prácticas de la industria, es necesaria la existencia de un área organizacional que administre la seguridad informática. Como requisito indispensable, esta área debe ser Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
independiente de la Gerencia de Sistemas, la cual en muchos casos es la ejecutora de las normas y medidas de seguridad elaboradas. Este proceso de independización de la administración de la seguridad del área de sistemas ya fue iniciado por el Banco al crear el área de seguridad informática, la cual, reporta a la Gerencia de división de Administración y Operaciones. Considerando la falta de recursos con el perfil requerido que puedan ser rápidamente reasignados, el proceso de entendimiento y asimilación de las responsabilidades, los roles definidos correspondientes al área de seguridad informática, y la necesidad de implementar un esquema adecuado de seguridad, proponemos definir una estructura organizacional de seguridad transitoria en la cual se creará un comité de coordinación de seguridad de la información para la definición de los objetivos del del área y el monitoreo de las actividades de la misma. El comité de coordinación de seguridad de la información, estará conformado por las siguientes personas: Gerente de división de Administración y Operaciones (presidente del
•
comité). Jefe del área de seguridad informática (responsable del comité). •
•
•
•
Gerente de Sistemas. Auditor de Sistemas. Jefe del departamento de Riesgo Operativo y Tecnológico.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
Comité de Coordinación de Seguridad de la Információn
Gerente de Administración y Operaciones
Seguridad Informática
Sistemas
Contraloría General
Recursos Humanos
Operaciones
Administración
Fig. 1: Estructura organizacional transitoria propuesta para la administración de la seguridad de información.
Gerente de División de Administración y Operaciones (Presidente del Comité)
Gerente de Sistemas
Jefe de Departamente de Riesgo Operativo y Tecnológico
Auditor de Sistemas
Jefe de Seguridad Informática (Responsable)
Fig. 2: Organización del Comité de coordinación de Seguridad de la Información.
Este comité, determinará el gradual traslado de las responsabilidades de seguridad al área de seguridad informática, monitoreará las labores realizadas por el área, colaborando a su vez con el entendimiento de la plataforma tecnológica, los procesos del negocio del Banco y la planificación inicial de actividades que desarrollará el área a corto plazo. Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
El comité de coordinación deberá reunirse con una frecuencia quincenal, con la posibilidad de convocar reuniones de emergencia en caso de existir alguna necesidad que lo amerite. Es importante resaltar que luego que el área de seguridad informática haya logrado una asimilación de sus funciones, un entendimiento de los procesos del negocio del Banco y una adecuada interrelación con las gerencias de las distintas divisiones del Banco, el jefe de área de seguridad informática debe reportar directamente al Gerente de división de Administración y Operaciones, convirtiéndose el comité de coordinación de seguridad informática, en un ente consultivo, dejando la labor de monitoreo a la gerencia gere ncia de división.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
Capítulo V EVALUACIÓN DE RIESGOS, AMENAZAS Y VULNERABILIDADES
Con el propósito de obtener un adecuado entendimiento de la implicancia que tiene el uso de tecnología, las amenazas y vulnerabilidades, así como las iniciativas del negocio sobre la seguridad de la información del Banco, se efectuaron entrevistas, de las cuales se obtuvo las siguientes tres matrices, que nos muestran la implicancia en seguridad que presentan cada uno de los factores mencionados anteriormente, así como el estándar o medida a aplicar para minimizar los riesgos correspondientes. 5.1 Matriz de uso y estrategia de tecnología
Esta matriz muestra la tecnología utilizada actualmente por el Banco y los cambios estratégicos planificados que impactan en ella, las implicancias de seguridad asociadas al uso de tecnología y los estándares o medidas propuestas para minimizar los riesgos generados por la tecnología empleada.
T e c n o lo g í a
Implicancia de seguridad
Estándar o medida de seguridad a aplicar
Actual
Windows NT, Windows 2000
Se debe contar con controles de acceso adecuados a la data y sistemas soportados por el Sistema Operativo.
Estándar de mejores prácticas de seguridad para Windows NT Estándar de mejores prácticas de seguridad para Windows 2000.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
T e c n o lo g í a
OS/400
Base de datos SQL Server
Banca electrónica
Estándar o medida de seguridad a aplicar
Implicancia de seguridad
Se debe contar con controles de acceso adecuados a la data y sistemas soportados por el computador Central. Los controles que posee este servidor deben ser lo más restrictivos posibles pues es el blanco potencial de la mayoría de intentos de acceso no autorizado. Se debe contar con controles
Estándar de mejores prácticas de seguridad para OS/400.
Estándar de mejores
de acceso a información de los prácticas de seguridad para sistemas que soportan el bases de datos SQL Server. Server. negocio de la Compañía. •
a través de Internet.
•
El servidor Web se encuentra en calidad de "hosting" en Telefónica Data, se debe asegurar que el equipo cuente con las medidas de seguridad necesarias, tanto físicas como lógicas. La transmisión de los datos es realizada a través de un medio público (Internet), se debe contar con medidas adecuadas para mantener
•
•
Estándares de encripción de información transmitida. Cláusulas de confidencialidad y delimitación de responsabilidades en contratos con proveedores.
•
Acuerdos de nivel de servicios con proveedores, en los cuales se detalle el
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
T e c n o lo g í a
Estándar o medida de seguridad a aplicar
Implicancia de seguridad
•
la confidencialidad de la información (encripción de la data). El servidor Web que es
•
accedido por los clientes puede ser blanco potencial de actividad vandálica con el propósito de afectar la imagen del Banco. •
Banca telefónica
•
independiente de la seguridad del servidor que brinda el servicio, o acreditación de la misma por parte del proveedor.
La disponibilidad del sistema es un factor clave para el éxito del servicio. Transmisión de información por medios públicos sin
•
posibilidad de protección adicional. •
•
porcentaje mínimo de disponibilidad del sistema. Evaluación
Imposibilidad de mantener la confidencialidad de las operaciones con el proveedor del servicio telefónico. Posibilidad de obtención de números de tarjeta y contraseñas del canal de transmisión telefónico.
Establecimiento de límites adecuados a las operaciones realizadas por vía telefónica.
•
•
•
Posibilidad de registrar el número telefónico origen de la llamada. Controles en los sistemas de grabación de llamadas telefónica. Evaluar la posibilidad de notificar al cliente de manera automática e inmediata luego de realizada la operación.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
T e c n o lo g í a
Sistema Central Core Bancario
Estándar o medida de seguridad a aplicar
Implicancia de seguridad •
El sistema central es el sistema que soporta gran parte de los procesos del negocio del Banco, por lo tanto, todo acceso no autorizado al servidor representa un riesgo potencial para el negocio.
•
•
•
•
MIS (Management Information System)
Desarrollo de aplicaciones para las unidades de negocio, en periodos muy cortos.
•
•
El acceso a repositorios de información sensible debe ser restringido adecuadamente.
Los proyectos de desarrollo en periodos muy cortos, comprenden un acelerado desarrollo de sistemas; la aplicación de medidas de seguridad, debería encontrarse incluida en el desarrollo del proyecto.
•
•
•
•
•
Estándar de mejores prácticas de seguridad para OS/400. Revisión periódica de los accesos otorgados a los usuarios del sistema. Monitoreo periódico de la actividad realizada en el servidor. Verificación del control dual de aprobación en transacciones sensibles. Estándares de seguridad de Windows 2000, bases de datos. Adecuados controles de acceso y otorgamiento de perfiles a la aplicación. Estándar de mejores prácticas de seguridad para Windows 2000, OS/400. Metodología para el desarrollo de aplicaciones. Procedimientos de
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
T e c n o lo g í a
Estándar o medida de seguridad a aplicar
Implicancia de seguridad •
El tiempo de pase a producción de un nuevo sistema que soportará un producto estratégico, es muy importante para el éxito del negocio, lo cual puede originar que no se tomen las medidas de seguridad necesarias antes del pase a producción de
control de cambios. •
•
Evaluación de requerimientos de seguridad de los sistemas antes de su pase a producción. Estándar de mejores prácticas de seguridad para aplicaciones distribuidas.
los nuevos sistemas. Computadoras personales.
•
Se debe contar con adecuados controles de
•
acceso a información existente en computadoras personales. •
•
Se requieren adecuados controles de accesos a la información de los sistemas desde las computadoras personales de usuarios. La existencia de diversos sistemas operativos en el parque de computadores computadores personales, tales como, Windows 95, Windows 98, Windows NT, Windows
Concientización y entrenamiento de los usuarios en temas de seguridad de la información.
•
•
Implementación de mayores controles de seguridad para computadoras personales. Finalización del proyecto de migración de la plataforma de computadoras personales al sistema operativo Windows 2000
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
T e c n o lo g í a
2000 Professional, Windows XP, impide estandarizar la configuración de los sistemas. •
Debe existir un control sobre los dispositivos que pudieran facilitar fuga de información (disqueteras, grabadoras de cd's, impresoras personales, etc.)
•
Correo electrónico
Estándar o medida de seguridad a aplicar
Implicancia de seguridad
•
•
•
y Windows XP. •
trabajo. •
•
•
Se debe controlar y monitorear las aplicaciones aplicaciones y sistemas instalados en las PC´s Posibilidad de interceptación no autorizada de mensajes de correo electrónico. Riesgo de acceso no autorizado a información del servidor. Posibilidad de utilización de recursos por parte de personas no autorizadas, para enviar correo
Estándares de mejores prácticas de seguridad para estaciones de Actualización periódica de inventarios del software instalado. Monitoreo periódico de carpetas compartidas. Monitoreo de actividad de los usuarios, sistemas de detección de intrusos.
•
•
•
Se debe contar con estándares de encripción para los mensajes de correo electrónico que contengan información confidencial. Estándares de mejores prácticas de seguridad para Windows NT y Lotus Notes. Configuración Configuración de antianti -
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
T e c n o lo g í a
electrónico a terceros (relay no autorizado). •
Conexión a Internet y redes públicas / Firewall.
Estándar o medida de seguridad a aplicar
Implicancia de seguridad
•
•
•
•
relay. •
Posibilidad de recepción de correo inservible (SPAM). Riesgos de accesos no autorizados desde Internet y redes externas hacia los sistemas del Banco.
•
•
Adecuado uso del acceso a Internet por parte de los usuarios. Los dispositivos que permiten controlar accesos, tales como, como, firewalls, fir ewalls, servidores servidores proxy, etc. Deben contar con medidas de seguridad adecuadas para evitar su manipulación por personas no autorizadas. Riesgo de acceso no autorizado desde socios de negocios hacia los sistemas de La Compañía.
•
•
•
Implementación de un sistema de seguridad del contenido SMTP. Políticas de seguridad. Estándares de mejores prácticas de seguridad para servidores Windows NT, Windows 2000, correo electrónico, servidores Web y equipos de comunicaciones. Delimitación de responsabilidades referentes a la seguridad de información en contratos con proveedores. Mejores prácticas de seguridad para configuración de Firewalls. Diseño e implementación de una arquitectura de seguridad de
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
T e c n o lo g í a
Estándar o medida de seguridad a aplicar
Implicancia de seguridad
•
red.Utilización de sistemas de detección de intrusos. Especificación de acuerdos de nivel de servicio con el proveedor.
•
Controles y filtros para el acceso a Internet.
En Proyecto
Cambios en la infraestructura de red.
•
•
•
Software de
Los cambios en la infraestructura de red pueden generar nuevas puertas de entrada a intrusos si los cambios no son realizados con una adecuada planificación. Una falla en la configuración de equipos de comunicaciones puede generar falta de disponibilidad de sistemas. Un diseño de red
inadecuado puede facilitar el ingreso no autorizado a la red de datos. Riesgo de acceso no
•
•
•
•
Elaboración de una arquitectura de red con medidas de seguridad adecuadas. Establecer controles de acceso adecuados a la configuración de los equipos de comunicaciones. Plan de migración de infraestructura de red.
Estándar de seguridad
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
T e c n o lo g í a
administración remota de PC´s y servidores.
Estándar o medida de seguridad a aplicar
Implicancia de seguridad
autorizado a las consolas de administración y agentes de administración remota.
para Windows NT •
•
•
•
•
Migración de servidores Windows NT Server a Windows 2000 Server.
•
Posibilidad de error en el traslado de los usuarios y permisos de acceso a los directorios de los nuevos servidores.
•
Posibilidad de existencia de vulnerabilidades no conocidas anteriormente.
Estándar de seguridad para Windows 2000 Estándar de seguridad para Windows XP Controles de acceso adecuados a las consolas y agentes de administración remota. Establecimiento de adecuados procedimientos procedimientos para tomar control remoto de PC´s o servidores. Adecuada configuración del registro (log) de actividad realizada mediante administración remota.
•
Estándares de seguridad
•
para Windows 2000. Procedimientos de control de cambios.
•
•
Plan de migración a Windows 2000. Políticas de seguridad.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
T e c n o lo g í a
Implantación de Datawarehouse.
Estándar o medida de seguridad a aplicar
Implicancia de seguridad •
Información sensible almacenada en un repositorio centralizado, requiere de controles de
•
•
acceso adecuados. •
La disponibilidad del sistema debe ser alta para no afectar las operaciones que soporta.
•
•
•
Estándares de Seguridad para Windows 2000. Estándar de seguridad en bases de datos SQL. Plan de implantación de Datawarehouse. Procedimientos para otorgamiento de perfiles. Políticas de seguridad.
5.2 5.2 Matriz de Evaluación de Amenazas Amenazas y Vulnerabilidades Vulnerabilidades
En esta matriz se muestra los riesgos y amenazas identificadas, las implicancias de seguridad y los estándares o medidas de seguridad necesarias para mitigar dicha amenaza. Amenaza /
Estándar o medida de
Implicancia de Seguridad
Vulnerabilidad
seguridad a aplicar
Riesgos/ Amenazas
Interés en obtener información estratégica del Banco, por parte
La existencia de información atractiva para competidores de negocio tales como información de clientes e
de competidores de negocio.
información de marketing implica la aplicación de controles adecuados para el
•
•
Estándares de seguridad para servidores Windows 2000, Windows NT y OS/400. Control de acceso a las aplicaciones del Banco. Revisión y depuración
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
Amenaza / Vulnerabilidad
Estándar o medida de seguridad a aplicar
Implicancia de Seguridad
acceso a información.
periódica de los accesos otorgados. •
Restricciones en el manejo de información enviada por correo electrónico hacia redes externas, extraída en disquetes o cd´s e información impresa.
•
•
Interés en obtener beneficios económicos mediante actividad fraudulenta.
Debido al volumen de dinero que es administrado por es administrado por una entidad financiera, la amenaza de intento de fraude es una posibilidad muy tentadora tanto para personal interno del Banco, así como para personal externo.
•
•
•
•
Verificación de la información impresa en reportes, evitar mostrar información innecesaria en ellos. Políticas de seguridad. Estándares de seguridad para Windows NT, Windows 2000, OS/400 y bases de datos SQL. Controles de accesos a los menús de las aplicaciones. Revisiones periódicas de los niveles de accesos de los usuarios. Evaluación periódica de la integridad de la
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
Amenaza / Vulnerabilidad
Estándar o medida de seguridad a aplicar
Implicancia de Seguridad
información por parte del propietario de la misma. •
•
Revisiones periódicas de los registros (logs) de los sistemas y operaciones realizadas. Mejores prácticas para configuración de firewalls, servidores y equipos de comunicaciones.
Actividad vandálica
•
La actividad desarrollada
•
por “hackers” o “crackers” de sistemas, puede afectar
realizada por “hackers” o “crackers”
la disponibilidad, integridad y confidencialidad de la información del negocio. Estos actos vandálicos pueden ser desarrollados por personal interno o externo al Banco. •
Adicionalmente si dicha actividad es realizada contra equipos que proveen servicios a los clientes (página Web del banco) la imagen y
Estándares de seguridad para servidores Windows 2000.
•
•
Estándares de seguridad para servidores Windows NT. Delimitación de responsabilidades responsabilidades y sanciones en los contratos con proveedores de servicios en calidad de “ hosting”. hosting”.
•
Verificación de evaluaciones periódicas o certificaciones de la seguridad de los
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
Amenaza / Vulnerabilidad
Estándar o medida de seguridad a aplicar
Implicancia de Seguridad
reputación del Banco se podría ver afectada en un grado muy importante.
sistemas en calidad de “hosting”. •
•
Pérdida de información
•
producto de infección por virus
El riesgo de pérdida de información por virus informático es alto si no se administra adecuadamente el sistema Antivirus Antivirus y los
informático.
•
•
usuarios no han sido concientizados en seguridad de información •
Concientización y compromiso formal de los usuarios en temas relacionados a la seguridad de información. Políticas de Seguridad. Adecuada arquitectura e implementación del sistema antivirus. Verificación periódica de la actualización del antivirus de computadoras personales y servidores. Generación periódica de reportes de virus detectados y actualización de antivirus.
Fuga de información a través del personal que ingresa de manera temporal
•
Los accesos otorgados al personal temporal deben ser controlados adecuadamente, asimismo la actividad realizada por
•
•
Control adecuado de los accesos otorgados. Depuración periódica de accesos otorgados a los sistemas.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
Amenaza / Vulnerabilidad
Estándar o medida de seguridad a aplicar
Implicancia de Seguridad
en sustitución de empleados en vacaciones. •
los mismos en los sistemas debe ser periódicamente monitoreada. El personal temporal podría realizar actividad no autorizada, la cual podría ser detectada cuando haya finalizado sus labores en el Banco.
•
•
Restricciones en acceso a correo electrónico y transferencia de archivos hacia Internet. Adecuada configuración y revisión periódica de los registros (logs) de aplicaciones y sistema operativo.
Vulnerabilidades
No se cuenta con un inventario de perfiles de acceso a las aplicaciones.
El control sobre la actividad de los usuarios en los sistemas es llevado a cabo en muchos casos, mediante perfiles de usuarios controlando así los privilegios de acceso a los sistemas.
Exceso de contraseñas
La necesidad de utilizar contraseñas distintas para
manejadas por los usuarios.
cada sistema o aplicación del Banco, puede afectar la seguridad en la medida que el usuario no sea capaz de
•
•
•
•
Se debe contar con un inventario de los accesos que poseen los usuarios sobre las aplicaciones. Revisiones periódicas de los perfiles y accesos de los usuarios por parte del propietario de la información. Uniformizar dentro de lo posible la estructura de las contraseñas empleadas y sus fechas de renovación. Implementar un sistema
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
Amenaza / Vulnerabilidad
Estándar o medida de seguridad a aplicar
Implicancia de Seguridad
retener en la memoria, la relación de nombres de usuario y contraseñas utilizadas en todos los sistemas. La necesidad de anotar las contraseñas por parte de los usuarios, expone las mismas a acceso por parte de personal no autorizado. Existencia de usuarios del área
El ambiente de producción debe contar con controles de
de desarrollo y personal temporal con acceso al entorno de producción.
acceso adecuados con respecto los usuarios de desarrollo, esto incluye las aplicaciones y bases de datos de las mismas.
de Servicio de directorio, el cual permita al usuario identificarse en él, y mediante un proceso automático, éste lo identifique en los sistemas en los cuales posee acceso. •
•
•
Aplicaciones cuyo
El área de seguridad
acceso no es controlado por el área de seguridad informática.
informática debe participar en el proceso de asignación de accesos a las aplicaciones del Banco y verificar que la solicitud de accesos sea coherente con el cargo del
•
•
Inventario y depuración de perfiles de acceso que poseen los usuarios de desarrollo en el entorno de producción. Adecuada segregación de funciones del personal del área de sistemas. Procedimiento de pase a producción. Formalización de roles y responsabilidades del área de seguridad informática. Traslado de la responsabilidad del control de accesos a
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
Amenaza / Vulnerabilidad
Falta de conciencia en seguridad por parte del personal del Banco.
Estándar o medida de seguridad a aplicar
Implicancia de Seguridad
usuario. El gerente que aprueba la solicitud es el responsable de los accesos que solicita para los usuarios de su área. El personal del Banco es el
aplicaciones al área de seguridad informática.
•
vínculo entre la política de seguridad y su implementación final para aplicar la política de seguridad, se pueden establecer controles y un
•
monitoreo constante, pero la persona es siempre el punto más débil de la cadena de seguridad, este riesgo se puede incrementar si el usuario no recibe una adecuada capacitación y
charlas, videos, presentaciones, presentaciones, afiches, afiches , etc., los cuales recuerden permanentemente al usuario la importancia de la seguridad de información.
orientación en seguridad de información. Falta de personal con conocimientos técnicos de seguridad informática.
Para una adecuada administración de la seguridad informática se requiere personal capacitado que pueda cumplir las labores de elaboración de políticas y administración de seguridad
Programa de capacitación del Banco en temas relacionados a la seguridad de información. Capacitación mediante
•
Capacitación del personal técnico en temas de seguridad de información o inclusión nuevo de personal con conocimientos de seguridad de
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
Amenaza / Vulnerabilidad
Estándar o medida de seguridad a aplicar
Implicancia de Seguridad
Falta de controles
en el área de seguridad informática, así como implementación de controles y configuración de sistemas en el área de sistemas. El acceso hacia Internet por
adecuados para la información que envían los usuarios hacia Internet.
medios como correo electrónico, electrónico, ftp (file (f ile transfer protocol) o incluso web en algunos casos, puede facilitar la fuga de información confidencial del Banco. El Banco ha invertido en la implementación de una herramienta para el filtrado de las páginas páginas web que son so n accedidas por los usuarios, se debe asegurar que dicho control sea adecuadamente aplicado. Vulnerabilidades: No existen controles adecuados sobre el personal autorizado a enviar correo electrónico al exterior. •
información para las áreas de seguridad informática y sistemas.
•
•
Configuración adecuada del servidor Proxy y la herramienta Surf Control. Generación periódica de reportes de la efectividad de los controles aplicados.
•
Implementación de una adecuada arquitectura de red.
•
•
Mejores prácticas para la configuración de Firewalls. Implementación y administración de herramientas para la inspección del contenido de los correos electrónicos enviados.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
Amenaza / Vulnerabilidad
Estándar o medida de seguridad a aplicar
Implicancia de Seguridad •
•
No existen herramientas de inspección de contenido para correo electrónico. Se pudo observar que usuarios que no se han identificado en el dominio del Banco, pueden acceder al servicio de navegación a través del servidor Proxy.
No existen controles
Existe información almacenada en las
adecuados para la información
computadoras personales de los usuarios que requiere
almacenada en las ciertos niveles de seguridad. computadoras Los usuarios deben contar con personales. procedimientos para realizar copias de respaldo de su información importante. Vulnerabilidades: •
•
El sistema operativo Windows 95/98 no permite otorgar niveles apropiados de seguridad a la información existente en ellas. No existe un procedimiento para verificación periódica
•
Establecimiento de un procedimiento formal que contemple la generación de copia de respaldo de información importante de los usuarios.
•
•
Concluir el proceso de migración del sistema operativo de las computadoras personales a Windows 2000 Professional o Windows XP. Concientización de usuarios en temas relacionados a la seguridad de la
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
Amenaza / Vulnerabilidad
Estándar o medida de seguridad a aplicar
Implicancia de Seguridad
•
de las carpetas compartidas compartidas por los usuarios. El procedimiento para
información.
realizar copias de respaldo de la información importante no es conocido por todos los usuarios. Arquitectura de red inapropiada para controlar accesos desde redes externas.
Posibilidad de acceso no autorizado a sistemas por parte de personal externo al Banco. Vulnerabilidades: •
•
Fuga de información estratégica mediante sustracción de computadores
Existencia de redes externas se conectan con la red del Banco sin la protección de un firewall.
•
•
Adecuada configuración de elementos de control de conexiones
•
Los servidores de acceso público no se encuentran aislados de la red interna.
Es posible obtener la información existente en las computadoras portátiles de los gerentes del banco mediante el robo de las mismas.
Diseño de arquitectura de seguridad de red.
•
(firewalls). Implementación y administración de herramientas de seguridad.
Programas para encripción de la data confidencial existente en los discos duros de las computadoras computadoras portátiles.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
Amenaza / Vulnerabilidad
Estándar o medida de seguridad a aplicar
Implicancia de Seguridad
portátiles. Acceso no autorizado a través de enlaces
•
inalámbricos.
El riesgo de contar con segmentos de red inalámbricos sin medidas de seguridad específicas para este tipo de enlaces, radica en que cualquier persona podría conectar un equipo externo al Banco incluso desde un edificio cercano.
•
•
•
Posibilidad de acceso no autorizado desde la red interna de datos hacia equipos de terceros en Internet.
•
•
Posibilidad de fuga de información. Posibilidad de realización de actividad ilegal en equipos de terceros a través de Internet.
Separación del segmento de red inalámbrico mediante un Firewall.
•
•
Controles de acceso hacia Internet desde la red interna.
Evaluación del alcance de la red inalámbrica.
•
Verificación periódica de la actividad realizada desde la red inalámbrica. Utilización de encripción . Implementación de una adecuada arquitectura de red.
•
•
•
Configuración adecuada de servidor Proxy. Mejores prácticas para la configuración de Firewalls. Implementación y administración de herramientas para la seguridad del contenido de los correos electrónicos enviados.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
Amenaza / Vulnerabilidad
Estándar o medida de seguridad a aplicar
Implicancia de Seguridad •
Monitoreo periódico de la actividad, mediante el análisis de los registros (logs) de los sistemas.
5.3 5.3 Matriz de Iniciativas del Negocio / Procesos
En esta matriz se muestra las iniciativas y operaciones del negocio que poseen alta implicancia en seguridad y los estándares o medidas de seguridad a ser aplicados para minimizar los riesgos generados por ellas. Iniciativa del
Implicancia de Seguridad
Negocio
Estándar o medida de seguridad a aplicar
Iniciativas del Negocio
Implantación de Datawarehouse.
•
Información sensible almacenada en un repositorio centralizado, requiere de controles de acceso adecuados.
•
La disponibilidad del sistema debe ser alta para no afectar las operaciones que soporta.
•
•
Estándar de mejores prácticas de seguridad para Windows NT Estándar de mejores prácticas de seguridad para Windows
•
•
Plan de implantación de Datawarehouse. Procedimientos para otorgamiento de perfiles.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
Iniciativa del Negocio
Implicancia de Seguridad
Estándar o medida de seguridad a aplicar •
Proyecto de tercerización del Call Center
•
Consulta de información
•
existente en los sistemas por parte de terceros. •
Implementación de una arquitectura de red segura. Especificación de responsabilidades responsabilidades y obligaciones referentes a la seguridad de la información del Banco, en los contratos con
Registro de información en los sistemas por parte de terceros.
terceros. •
•
Proyecto de comunicación con Conasev utilizando firmas digitales (Requerimiento de Conasev)
•
El acceso de personal no autorizado a los medios de almacenamiento de llaves de encripción (media, smartcards, impresa) debilita todo el sistema de encripción de la
•
•
Especificación de acuerdos de nivel de servicio. Adecuados controles de acceso a la información registrada en el sistema Estándares de seguridad para la manipulación y revocación de llaves de encripción. Implementación de controles de acceso a
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
Iniciativa del Negocio
Implicancia de Seguridad
Estándar o medida de seguridad a aplicar
información. •
dispositivos y llaves de encripción.
Para los procesos de firma y encripción de la información se requiere el ingreso de contraseñas, estas contraseñas deben ser mantenidas en forma confidencial.
Digitalización (scanning) de poderes y firmas.
•
La disposición de estos elementos en medios digitales requiere de
•
Aplicación de estándares de seguridad de la
adecuados niveles de protección para evitar su
plataforma que contiene dicha
acceso no autorizado y utilización con fines ilegales.
información. •
•
Encripción de la data digitalizada. Restricción de accesos a los poderes y firmas tanto a nivel de aplicación, como a nivel de sistema operativo.
Tercerización de operaciones de sistemas y Help Desk.
•
La administración de equipos críticos de la red del Banco por parte de terceros representa un
•
Cláusulas de confidencialidad y establecimiento claro de responsabilidades
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
Iniciativa del Negocio
Implicancia de Seguridad
Estándar o medida de seguridad a aplicar
riesgo en especial por la posibilidad de fuga de información confidencial. confidencial.
de los proveedores en los contratos, especificación de penalidades en caso de incumplimiento. •
Monitoreo periódico de las operaciones realizadas por personal externo, incluyendo la revisión periódica de sus actividades en los registros (logs) de aplicaciones y sistema operativo.
•
Proyecto de interconexión del Sistema Swift a la red de datos del Banco.
•
El sistema SWIFT se encuentra en un segmento
•
Evitar otorgamiento de privilegios administrativos a personal externo, para evitar manipulación de registros. Estándar de mejores prácticas de
aislado de la red de datos del Banco por razones de
seguridad para servidores Windows
seguridad de información.
NT
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
Iniciativa del Negocio
Implicancia de Seguridad •
Al unir el sistema Swift a la red de datos del Banco, dicho sistema se va a encontrar expuesto a
Estándar o medida de seguridad a aplicar •
•
intentos de acceso no autorizados por parte de equipos que comprenden la red de datos.
Controles de acceso a la aplicación SWIFT. Estándares de encripción de datos entre el sistema Swift y los terminales que se comunican con él.
Operaciones del Negocio
Almacenamiento de copias de respaldo realizado
•
por Hermes.
Las cintas de backup guardan información confidencial del negocio del banco, adicionalmente deben encontrarse disponibles para ser utilizadas en una emergencia y la información que guardan debe mantenerse íntegra.
•
•
•
El almacenamiento de información por parte de terceros podría representar
Pruebas del tiempo de respuesta del proveedor para transportar las cintas de backup en caso de emergencia.
•
Procesamiento Procesamiento de transacciones de tarjetas de crédito
Acuerdos de confidencialidad y tiempo de respuesta en los contratos con el proveedor.
•
Verificación periódica del estado de las cintas. Acuerdos de confidencialidad y tiempo de respuesta
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
Iniciativa del Negocio
Implicancia de Seguridad
y débito realizado por Unibanca.
una fuente de divulgación no autorizada de información del Banco y sus clientes. •
Almacenamiento de Documentos realizado por terceros “File Service”
•
•
Impresión y ensobrado de estados de cuenta realizado por Napatek
•
Estándar o medida de seguridad a aplicar
en contratos con el proveedor. •
El acceso a los sistemas por parte de terceros debe ser controlado para evitar la realización de actividad no autorizada. El almacenamiento de información por parte de
Estándares de encripción de información transmitida.
•
Acuerdos de confidencialidad y
terceros podría representar una fuente de divulgación
tiempo de respuesta en contratos con
no autorizada de información del Banco y sus clientes.
proveedores. •
El almacenamiento de información debe realizarse de manera adecuada para mantener la disponibilidad de los documentos y evitar su deterioro. El almacenamiento de información por parte de terceros podría representar una fuente de divulgación no autorizada de
•
Verificación periódica del grado de deterioro de la documentación. documentación.
Acuerdos de confidencialidad en contratos con proveedores.
•
Estándares de
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
Iniciativa del Negocio
Implicancia de Seguridad
Estándar o medida de seguridad a aplicar
información del Banco y sus clientes. •
El envío de información sensible al proveedor debe
•
ser realizado por un canal de transmisión seguro, o en su defecto debe contar con medidas de encripción, encripción, que impidan su utilización en caso de ser
encripción de datos transmitidos por correo electrónico. Verificación de integridad de la data transmitida.
interceptada. Envío de información sensible a clientes y entidades recaudadoras vía correo electrónico
Almacenamiento físico de información realizada al interior del Banco.
•
Se debe asegurar que la información sensible
•
transmitida a los clientes cuente con medidas de seguridad adecuadas las cuales permitan garantizar el cumplimiento de normas como el secreto bancario. •
El Banco almacena documentos importantes de clientes, muchos de ellos con información confidencial, asimismo existe información en otros medios como discos duros, cintas, etc., que albergan
Estándares de encripción de datos transmitidos.
•
•
Clasificación y etiquetado de la información. Implementación de controles físicos de acceso a la información de acuerdo a su
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
Iniciativa del Negocio
Implicancia de Seguridad
información importante. Se debe asegurar que dicha información cuente con medidas de seguridad adecuadas que aseguren la integridad, disponibilidad y confidencialidad de la información.
Acceso de
•
personal de Rehder a la red de datos del Banco.
Todo acceso de personal externo a la red de datos
Estándar o medida de seguridad a aplicar
clasificación. •
•
Establecimiento de condiciones apropiadas de almacenamiento almacenamiento para evitar su deterioro. Mantenimiento de un registro de entrada y salida de activos de los archivos.
•
Cláusulas de confidencialidad y
del Banco representa un riesgo potencial de acceso
establecimiento claro de responsabilidades
no autorizado a los sistemas.
de los proveedores en los contratos, especificación de penalidades en caso de incumplimiento. •
Monitoreo de actividad realizada por personal externo.
•
Centro de
•
Los sistemas ubicados en
•
Restricciones de acceso a Internet configurados en el firewall. Especificación de
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
Iniciativa del Negocio
Implicancia de Seguridad
Contingencia ubicado en el TIC de Telefónica Data.
Estándar o medida de seguridad a aplicar
Telefónica Data deben encontrarse siempre disponibles para ser utilizados en casos de emergencia. •
Se debe asegurar la integridad de la información existente en los sistemas de respaldo y el grado de actualización de la misma
acuerdos de nivel de servicio y penalidades en caso de incumplimiento en contratos con proveedores. •
•
con respecto al sistema en producción.
Atención en Front Office.
•
•
Las aplicaciones y los sistemas de comunicaciones deben encontrarse disponibles en todo momento para no afectar la atención a los clientes. Los periodos de indisponibilidad deben ser medidos.
•
•
Pruebas del centro de contingencia. Verificación periódica de la disponibilidad de los sistemas y grado de actualización de la información. Acuerdos de niveles de servicio en contratos con proveedores de comunicaciones. Verificación periódica de disponibilidad de los sistemas.
•
Implementación de métricas de rendimiento y disponibilidad de los sistemas.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
Iniciativa del Negocio
Soporte de IBM al Servidor AS/400.
Implicancia de Seguridad •
El servidor AS/400 es el que soporta la mayor cantidad de procesos del negocio del Banco, por lo
Estándar o medida de seguridad a aplicar •
tanto se debe asegurar que el proveedor debe ser capaz de restaurar los servicios del servidor en el menor tiempo posible. •
Asimismo dado que el proveedor accede periódicamente al equipo, existe el riesgo de acceso no autorizado a información existente en el mismo.
Cláusulas de confidencialidad y establecimiento claro de responsabilidades de los proveedores en los contratos, especificación de penalidades en caso de incumplimiento.
•
•
Asignación de un usuario distinto al utilizado por personal del Banco con los privilegios mínimos necesarios. Inspección del log de actividades del proveedor luego de realizar mantenimiento al equipo.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
Capítulo VI POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
En este capitulo se elaboraran las políticas de seguridad con el propósito de proteger la información de la empresa, estas servirán de guía para la implementación de medidas de seguridad que contribuirán a mantener la integridad, confidencialidad y disponibilidad de los datos dentro de los sistemas de aplicación, redes, instalaciones de cómputo y procedimientos manuales. El documento de políticas de seguridad ha sido elaborado tomando como base la siguiente documentación: documentación: -
-
-
6.1
Estándar de seguridad de la información ISO 17799 Requerimientos de la Circular N° G-105-2002 de la Superintendencia de Banca y Seguros (SBS) sobre Riesgos de Tecnología de Información. Normas internas del Banco referidas a seguridad de información. Definición
Una Política de seguridad de información es un conjunto de reglas aplicadas a todas las actividades relacionadas al manejo de la información de una entidad, teniendo el propósito de proteger la información, los l os recursos y la reputación de la misma. Propósito
El propósito de las políticas de seguridad de la información es proteger la información y los activos de datos del Banco. Las políticas son guías para asegurar la protección y la integridad de los datos dentro de los sistemas de aplicación, redes, instalaciones de cómputo y procedimientos manuales.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
6.2
CUMPLIMIENTO OBLIGATORIO
El cumplimiento de las políticas y estándares de seguridad de la información es obligatorio y debe ser considerado como una condición en los contratos del personal. El Banco puede obviar algunas de las políticas de seguridad definidas en este documento, únicamente cuando se ha demostrado claramente que el cumplimiento de dichas políticas tendría un impacto significativo e inaceptable para el negocio. Toda excepción a las políticas debe ser documentada y aprobada por el área de seguridad informática y el área de auditoria interna, detallando el motivo que justifica el no-cumplimiento de la política. 6.3
ORGANIZACIÓN DE LA SEGURIDAD
En esta política se definen los roles y responsabilidades a lo largo de la organización con respecto a la protección de recursos de información. Esta política se aplica a todos los empleados y otros asociados con el Banco, cada uno de los cuales cumple un rol en la administración de la seguridad de la información. Todos los empleados son responsables de mantener un ambiente seguro, en tanto que el área de seguridad informática debe monitorear monitore ar el cumplimiento de la política de seguridad definida y realizar las actualizaciones que sean necesarias, producto de los cambios en el entorno informático y las necesidades del negocio. 6.3.1 6.3.1 Estructura Estructura Organizacional En la administración de la seguridad de la información participan todos los empleados siguiendo uno o más de los siguientes roles: Área de Seguridad Informática Usuario Custodio de información Propietario de información Auditor interno
-
-
-
-
-
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
Los roles y funciones de administración de la seguridad de la información de cada uno de estas personas están detalladas en el Capitulo IV. 6.3.2 6.3.2 Acceso por parte de terceros
El Banco debe establecer para terceros al menos las mismas restricciones de acceso a la información que a un usuario interno. Además, el acceso a la información debe limitarse a lo mínimo indispensable para cumplir con el trabajo asignado. Las excepciones deben ser analizadas y aprobadas por el área de seguridad informática. Esto incluye tanto acceso físico como lógico a los recursos de información del Banco. Todo acceso por parte de personal externo debe ser autorizado por un responsable interno, quien asume la responsabilidad por las acciones que pueda realizar el mismo. El personal externo debe firmar un acuerdo de no-divulgación antes de obtener acceso a información del Banco. Proveedores que requieran acceso a los sistemas de información del Banco deben tener acceso únicamente cuando sea necesario. Todas las conexiones que se originan desde redes o equipos externos al Banco, deben limitarse únicamente a los servidores y aplicaciones necesarios. Si es posible, estos servidores destino de las conexiones deben estar físicamente o lógicamente separados de la red interna del Banco. Los contratos relacionados a servicios de tecnologías de información deben ser aprobados por el área legal del Banco, y en el caso de que afecten la seguridad o las redes de la organización deben ser aprobados adicionalmente por el área de seguridad informática. Bajo determinadas condiciones, como en la ejecución de servicios críticos para el negocio, el Banco debe considerar efectuar una revisión independiente de la estructura de control interno del proveedor.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
En los contratos de procesamiento de datos externos se debe especificar los requerimientos de seguridad y acciones a tomar en caso de violación de los contratos. Todos los contratos deben incluir una cláusula donde se establezca el derecho del Banco de nombrar a un representante autorizado para evaluar la estructura de control interna int erna del proveedor. 6.3.3 Outsourcing
Todos los contratos de Outsourcing deben incluir lo siguiente: Acuerdos sobre políticas y controles de seguridad. Determinación de niveles de disponibilidad aceptable. El derecho del Banco de auditar los controles de seguridad de información del proveedor. Determinación de los requerimientos legales del Banco. Metodología del proveedor para mantener y probar cíclicamente la seguridad del sistema. Que el servicio de procesamiento y la información del Banco objeto de la subcontratación estén aislados, en todo momento y bajo cualquier circunstancia. El proveedor es responsable de inmediatamente informar al responsable del contrato de cualquier brecha de seguridad que pueda comprometer -
-
-
-
-
-
información del Banco. Cualquier empleado del Banco debe informar de violaciones a la seguridad de la información por parte de proveedores al área de seguridad informática. 6.4 EVALUACION DE RIESGO
El costo de las medidas y controles de seguridad no debe exceder la pérdida que se espera evitar. Para la evaluación del riesgo se deben de seguir los siguientes pasos: - Clasificación del acceso de la información
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
-
Ejecución del análisis del riesgo identificando áreas vulnerables, pérdida potencial y selección de controles y objetivos de control para mitigar los riesgos, de acuerdo a los siguientes estándares. 6.4.1 6.4.1 Inventario de activos
Los inventarios de activos ayudan a garantizar la vigencia de una protección eficaz de los recursos, y también pueden ser necesarios para otros propósitos de la empresa, como los relacionados con sanidad y seguridad, seguros o finanzas (administración de recursos). El proceso de compilación de un inventario de activos es un aspecto importante de la administración de riesgos. riesgos. Una organización organización debe contar co ntar con la capacidad cap acidad de identificar sus activos y el valor relativo e importancia de los mismos. Sobre la base de esta información, la organización or ganización puede entonces, asignar niveles de protección proporcionales al valor e importancia de los activos. Se debe elaborar y mantener un inventario de los activos importantes asociados a cada sistema de información. Cada activo debe ser claramente identificado y su propietario y clasificación en cuanto a seguridad deben ser acordados y documentados, junto con la ubicación vigente del mismo (importante cuando se emprende una recuperación posterior a una pérdida o daño). Ejemplos de activos asociados a sistemas de información son los siguientes: Recursos de información: bases de datos y archivos, documentación
-
-
-
de sistemas, manuales de usuario, material de capacitación, procedimientos operativos o de soporte, planes de continuidad, disposiciones relativas a sistemas de emergencia para la reposición de información perdida (“fallback”), información archivada; Recursos de software: software de aplicaciones, software de sistemas, herramientas de desarrollo desarrollo y utilitarios; Activos físicos: equipamiento informático (procesadores, monitores, computadoras portátiles, módems), equipos de comunicaciones
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
(routers, PBXs, máquinas de fax, contestadores automáticos), medios magnéticos (cintas y discos), otros equipos técnicos (suministro de
-
electricidad, unidades de aire acondicionado), mobiliario, lugares de emplazamiento; Servicios: servicios informáticos y de comunicaciones, utilitarios generales, por Ej. calefacción, iluminación, energía eléctrica, aire acondicionado.
6.4.2 6.4.2 Clasificación del acceso de la información
Toda la información debe de ser clasificada como Restringida, Confidencial, Uso Interno o General de acuerdo a lo definido defini do en el capitulo 4.2.1. La clasificación de información debe de ser documentada por el Propietario, aprobada por la gerencia responsable y distribuida a los Custodios durante el proceso de desarrollo de sistemas o antes de la distribución de los documentos o datos. La clasificación asignada a un tipo de información, solo puede ser cambiada por el propietario de la información, luego de justificar formalmente el cambio en dicha clasificación. La información que existe en más de un medio (por ejemplo, documento fuente, registro electrónico, reporte o red) debe de tener la misma clasificación sin importar el formato. Frecuentemente, la información deja de ser sensible o crítica después de un cierto período de tiempo, verbigracia, cuando la información se ha hecho pública. Este aspecto debe ser tomado en cuenta por el propietario de la información, información, para realizar realizar una reclasificación de la misma, puesto que la clasificación por exceso (“over- classification”) puede traducirse en gastos adicionales innecesarios para la organización. La información debe de ser examinada para determinar el impacto en el Banco si fuera divulgada o alterada por medios no autorizados. A continuación detallamos algunos ejemplos de información sensible: Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
q
Datos de interés para la competencia: - Estrategias de marketing marketing
q
q
q
- Listas de clientes - Fechas de renovación renovación de créditos - Tarifaciones - Datos usados en decisiones de inversión Datos que proveen acceso a información o servicios: - Llaves de encripción o autenticación - Contraseñas Datos protegidos por legislación de privacidad privacidad vigente - Registros del personal - Montos de los pasivos de clientes - Datos históricos con 10 años de antigüedad Datos que tienen un alto riesgo de ser blanco de fraude u otra actividad ilícita: - Datos contables utilizados en sistemas - Sistemas que controlan desembolsos de fondos
6.4.3 Definiciones Restringida: Información con mayor grado de sensibilidad; el acceso a
esta información debe de ser autorizado caso por caso. Confidencial: Información sensible que solo debe ser divulgada a aquellas personas que la necesiten para el cumplimiento de sus funciones. Uso Interno: Datos generados para facilitar las operaciones diarias; deben de ser manejados de una manera discreta, pero no requiere de medidas elaboradas de seguridad. General: Información que es generada específicamente para su divulgación a la población general de usuarios.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
6.4.4 6.4.4 Aplicación de controles para la información clasificada
Las medidas de seguridad a ser aplicadas a los activos de información inform ación clasificados, incluyen pero no se limitan a las siguientes: 6.4.4.1 6.4.4.1 Información de la Compañía almacenada en formato digital •
•
Todo contenedor de información en medio digital (CD´s, cintas de backup, diskettes, etc.) debe presentar una etiqueta con la clasificación correspondiente. La información en formato digital clasificada como de acceso “General”, puede ser almacenada en cualquier sistema de la Compañía. Sin embargo se deben tomar las medidas necesarias para no mezclar información “General” con información correspondiente a otra clasificación.
•
•
•
•
Todo usuario, antes de transmitir información clasificada como “Restringida” o “Confidencial”, debe asegurarse que el destinatario de la información esté autorizado a recibir dicha información. Todo usuario que requiere acceso a información clasificada como “Restringida” o “Confidencial”, debe ser autorizado por el propietario de la misma. Las autorizaciones de acceso a este tipo de información deben ser documentadas. La clasificación asignada a un tipo de información, solo puede ser cambiada por el propietario de la información, luego de justificar formalmente el cambio en dicha clasificación. Información en formato digital, clasificada como “Restringida”, debe ser encriptada con un método aprobado por los encargados de la administración de seguridad de la información, cuando es almacenada en cualquier medio (disco duro, disquetes, cintas, CDs, etc.). etc.) .
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
•
•
•
Es recomendable el uso de técnicas de encripción para la información clasificada como “Restringida” o “Confidencial”, transmitida a través tr avés de la red de datos del Banco. Toda transmisión de Información clasificada como “Restringida”, “Confidencial” o de “Uso Interno” realizada hacia o a través de redes externas a la Compañía debe realizarse utilizando un medio de transmisión seguro o utilizando utili zando técnicas de encripción aprobadas. Todo documento en formato digital, debe presentar la clasificación correspondiente en la parte superior (cabecera) e inferior (pié de página) de cada página del documento.
•
Los medios de almacenamiento, incluyendo discos duros de computadoras, que albergan información clasificada como “Restringida”, deben ser ubicados en ambientes cerrados diseñados para el almacenamiento de dicho tipo de información. En lugar de protección física, la información clasificada como “Restringida”, podría ser protegida con técnicas de encripción aprobadas por la Compañía. 6.4.4.2
•
•
•
Información Informaci ón de la Compañía almacenada en formato no digital Todo documento o contenedor de información debe ser etiquetado como “Restringida”, “Confidencial”, de “Uso interno” o de Acceso “General”, dependiendo de la clasificación asignada. Todo documento que presente información clasificada como “Confidencial” o “Restringida”, debe ser etiquetado en la parte superior e inferior de cada página con la clasificación clasifi cación correspondiente. Todo documento clasificado como “Confidencial” o “Restringido” debe contar con una carátula en la cual se muestre la clasificación de la información que contiene.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
•
•
•
•
Los activos de información correspondiente a distintos niveles de clasificación, deben ser almacenados en distintos distint os contenedores, de no ser posible dicha distinción, se asignará el nivel más critico de la información identificada a todo el contenedor de información. El ambiente donde se almacena la información clasificada como “Restringida”, debe contar con adecuados controles de acceso y asegurado cuando se encuentre sin vigilancia. El acceso debe ser permitido solo al personal formalmente autorizado. Personal de limpieza debe ingresar al ambiente acompañado por personal autorizado. autori zado. Solo el personal formalmente autorizado debe tener acceso a información clasificada como “Restringida” o “Confidencial” Los usuarios que utilizan documentos con información “Confidencial” o “Restringida” deben asegurarse de: Almacenarlos en lugares adecuados Evitar que usuarios no autorizados accedan a dichos documentos Destruir los documentos si luego de su utilización dejan de ser necesarios -
-
-
6.4.5 6.4.5 Análisis de riesgo
Los Propietarios de la información y custodios son conjuntamente responsables del desarrollo de análisis de riesgos anual de los sistemas a su cargo. Como parte del análisis se debe identificar las aplicaciones de alta criticidad como críticas para la recuperación ante desastres. Es importante identificar: Áreas vulnerables Pérdida potencial Selección de controles y objetivos de control para mitigar los riesgos, indicando las razones para su inclusión o exclusión (Seguridad de -
-
-
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
datos, Plan de respaldo/recuperación, Procedimientos estándar de operación) Adicionalmente, un análisis de riesgo debe de ser conducido luego de cualquier cambio significativo en los sistemas, en concordancia con el clima cambiante de las operaciones en el negocio del Banco. El análisis de riesgo debe tener un propósito claramente definido y delimitado, existiendo dos posibilidades: cumplimiento con los controles y/o medidas de protección o la aceptación del riesgo. 6.4.6 Cumplimiento
El cumplimiento satisfactorio del proceso de evaluación del riesgo se caracteriza por: -
-
-
Identificación y clasificación correcta de los activos a ser protegidos. Aplicación consistente y continua de los controles y/o medidas para mitigar el riesgo (seguridad efectiva de datos, recuperación ante desastres adecuado) Detección temprana de los riesgos, reporte adecuado de pérdidas, así como una respuesta oportuna y efectiva ante las perdidas ya materializadas.
6.4.7 6.4.7 Aceptación de riesgo
La gerencia responsable puede obviar algún control o requerimiento de protección y aceptar el riesgo identificado solo cuando ha sido claramente demostrado que las opciones disponibles para lograr el cumplimiento han sido identificadas y evaluadas, y que éstas tendrían t endrían un impacto significativo y no aceptable para el negocio. La aceptación de riesgo por falta de cumplimiento de los controles y/o medidas de protección debe ser documentada, revisada por las partes
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
involucradas, comunicada por escrito y aceptada por las áreas responsables de la administración de la seguridad. 6.5 SEGURIDAD DEL PERSONAL
Los estándares relacionados al personal deben ser aplicados para asegurarse que los empleados sean seleccionados adecuadamente antes de ser contratados, puedan ser fácilmente identificados mientras formen parte del Banco y que el acceso sea revocado oportunamente cuando un empleado es despedido o transferido. Deben desarrollarse estándares adicionales para asegurar que el personal sea consciente de todas sus responsabilidades y acciones apropiadas en el reporte de incidentes. Esta política se aplica a todos los empleados, personal contratado y proveedores. Los empleados son los activos más valiosos del Banco. Sin embargo, un gran número de problemas de seguridad de cómputo pueden ser causados por descuido o desinformación. Se deben de implementar procedimientos para manejar estos riesgos y ayudar al personal del Banco a crear un ambiente de trabajo seguro. Medidas de precaución deben de ser tomadas cuando se contrata, transfiere y despide a los empleados. Deben de establecerse controles para comunicar los cambios del personal y los requerimientos de recursos de cómputo a los responsables de la administración de la seguridad de la información. Es crucial que estos cambios sean atendidos a tiempo. 6.5.1 6.5.1 Seguridad en la definición de de puestos de trabajo y recursos
El departamento de Recursos Humanos debe de notificar al área de seguridad informática, la renuncia o despido de los empleados así como el inicio y fin de los periodos de vacaciones de los mismos. Cuando se notifique un despido o transferencia, el Custodio de información debe de asegurarse que el identificador de usuario sea revocado. Cuando se Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
notifique una transferencia o despido, el área de seguridad debe de asegurarse que las fichas o placas sean devueltas al Banco. Cualquier ítem entregado al empleado o proveedor como computadoras portátiles, llaves, tarjetas de identificación, software, datos, documentación, manuales, etc. deben de ser entregados a su gerente o al área de Recursos Humanos. La seguridad es responsabilidad de todos los empleados y personas involucradas con el Banco. Por ende, todos los empleados, contratistas, proveedores y personas con acceso a las instalaciones e información del Banco deben de acatar los estándares documentados en la política de seguridad del Banco e incluir la seguridad como una de sus responsabilidades responsabilidades principales. Todos los dispositivos personales de información, como por ejemplo computadoras de propiedad de los empleados o asistentes digitales personales (PDA – Personal Digital Assistant), que interactúen con los sistemas del Banco, deben ser aprobados y autorizados por la gerencia del Banco. 6.5.2 6.5.2 Capacitación Capacitació n de usuarios
Es responsabilidad del área de seguridad informática promover constantemente la importancia de la seguridad a todos los usuarios de los sistemas de información. El programa de concientización en seguridad debe de contener continuas capacitaciones y charlas, adicionalmente se puede emplear diversos métodos como afiches, llaveros, mensajes de log-in, etc., los cuales recuerden permanentemente al usuario el papel importante que cumplen en el mantenimiento de la seguridad de la información.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
Orientación para los empleados y/o servicios de terceros nuevos
Cuando se contrate a un empleado nuevo y/o el servicio de algún tercero, se debe de entregar la política de seguridad así como las normas y procedimientos para el uso de las aplicaciones y los sistemas de información del Banco. Asimismo se debe entregar un resumen escrito de las medidas básicas de seguridad de la información. El personal de terceros debe recibir una copia del acuerdo de no divulgación firmado por el Banco y por el proveedor de servicios de terceros así como orientación con respecto a su responsabilidad en la confidencialidad de la información del Banco. Entre otros aspectos se debe considerar: El personal debe de ser comunicado de las implicancias de seguridad en relación a las responsabilidades de su trabajo Una copia firmada de la política de seguridad de información debe de ser guardada en el archivo del empleado
-
-
Concientización periódica
Estudios muestran que la retención y el conocimiento aplicable se incrementa considerablemente cuando el tema es sujeto a revisión. Los usuarios deben de ser informados anualmente sobre la importancia de la seguridad de la información. Un resumen escrito de la información básica debe de ser entregada nuevamente a cada empleado y una copia firmada debe de ser guardada en sus archivos. La capacitación en seguridad debe de incluir, pero no estar limitado, a los siguientes aspectos: Requerimientos de identificador de usuario y contraseña Seguridad de PC, incluyendo protección de virus Responsabilidades de la organización de seguridad de información Concientización de las técnicas utilizadas por “hack “ hackers” ers” Programas de cumplimiento -
-
-
-
-
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
-
-
-
-
Guías de acceso a Internet Guías de uso del correo electrónico Procesos de monitoreo de seguridad de la información utilizados utili zados Persona de contacto para información adicional
6.5.3 6.5.3 Procedimientos Procedimientos de respuesta ante incidentes de seguridad
El personal encargado de la administración de seguridad debe ser plenamente identificado por todos los empleados del Banco. Si un empleado del Banco detecta o sospecha la ocurrencia de un incidente de seguridad, tiene la obligación de notificarlo al personal de seguridad informática. Si se sospecha la presencia de un virus en un sistema, el usuario debe desconectar el equipo de la red de datos, notificar al área de seguridad informática quien trabajará en coordinación con el área de soporte técnico, para la eliminación del virus antes de restablecer la conexión a la red de datos. Es responsabilidad del usuario (con la apropiada asistencia técnica) asegurarse que el virus haya sido eliminado por completo del sistema antes de conectar nuevamente el equipo a la red de datos. Si un empleado detecta una vulnerabilidad en la seguridad de la información debe notificarlo al personal encargado de la administración de la seguridad, asimismo, está prohibido para el empleado realizar pruebas de dicha vulnerabilidad o aprovechar ésta para propósito alguno. El área de seguridad informática debe documentar todos los reportes de incidentes de seguridad. Cualquier error o falla en los sistemas debe ser notificado a soporte técnico, quién determinará si el error es indicativo de una vulnerabilidad en la seguridad. Las acciones disciplinarias tomadas contra socios de negocio o proveedores por la ocurrencia de una violación de seguridad, deben ser
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
consistentes con la magnitud de la falta, ellas deben ser coordinadas con el área de Recursos Humanos. 6.5.3.1 6.5.3.1
Registro de fallas
El personal encargado de operar los sistemas de información debe registrar todos lo errores y fallas que ocurren en el procesamiento de información o en los sistemas de comunicaciones. Estos registros deben incluir lo siguiente: Nombre de la persona que reporta la falla Hora y fecha de ocurrencia de la falla Descripción del error o problema Responsable de solucionar el problema Descripción de la respuesta inicial ante el problema Descripción de la solución al problema Hora y fecha en la que se solucionó el problema -
-
-
-
-
-
-
Los registros de fallas deben ser revisados semanalmente. Los registros de errores no solucionados deben permanecer abiertos hasta que se encuentre una solución al problema. Además, estos registros deben ser almacenados para una posterior verificación independiente. 6.5.3.2 6.5.3.2
Intercambios Intercambio s de información y correo electrónico electrónic o
Los mensajes de correo electrónico deben ser considerados de igual manera que un memorándum formal, son considerados como parte de los registros del Banco y están están sujetos a monitoreo y auditoria. Los sistemas de correo electrónico no deben ser utilizados para lo siguiente: Enviar cadenas de mensajes Enviar mensajes relacionados a seguridad, exceptuando al personal encargado de la administración de la seguridad de la información Enviar propaganda de candidatos políticos -
-
-
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
-
-
Actividades ilegales, no éticas o impropias Actividades no relacionadas con el negocio del Banco
Diseminar direcciones de correo electrónico a listas públicas No deben utilizarse reglas de reenvío automático a direcciones que no pertenecen a la organización. No existe control sobre los mensajes de correo electrónico una vez que estos se encuentran fuera de la red del Banco. Deben establecerse controles sobre el intercambio de información del Banco con terceros para asegurar la confidencialidad e integridad de la información, y que se respete la propiedad intelectual de la misma. Debe tomarse en consideración: Acuerdos para el intercambio de software Seguridad de media en tránsito Controles sobre la transmisión mediante redes Debe establecerse un proceso formal para aprobar la publicación de información del del Banco. El desarrollo desarrollo de páginas Web programabl pro gramables es o inteligentes (utilizando tecnologías como CGI o ASP) debe considerarse como desarrollo de software y debe estar sujeto a los mismos controles. La información contenida en sistemas públicos no debe contener información restringida, confidencial o de uso interno. De igual manera, -
-
-
-
los equipos que brindan servicios Web, correo electrónico, comercio electrónico u otros servicios públicos no deben almacenar información restringida, confidencial o de uso interno. Antes que un empleado del Banco libere información que no sea de uso general debe verificarse la identidad del individuo u organización recipiente utilizando firmas digitales, referencias de terceros, conversaciones telefónicas u otros mecanismos similares. Debe establecerse controles sobre equipos de oficina como teléfonos, faxes e impresoras que procesan información sensible del Banco.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
Información restringida o confidencial solo debe imprimirse en equipos específicamente designados para esta tarea. 6.5.3.3 6.5.3.3
Seguridad para media en tránsito
La información a ser transferida en media digital o impresa debe ser etiquetada con la clasificación de información respectiva y detallando claramente el remitente y recipiente del mismo. La información enviada por servicios postales debe ser protegida de accesos no autorizados mediante la utilización de: Paquetes sellados o lacrados Entrega en persona Firmado y sellado de un cargo -
-
-
6.6
SEGURIDAD
FÍSICA
DE
LAS
INSTALACIONES
DE
PROCESAMIENTO DE DATOS
Se deben implementar medidas de seguridad física para asegurar la integridad de las instalaciones y centros de cómputo. Las medidas de protección deben ser consistentes con el nivel de clasificación de los activos y el valor de la información procesada y almacenada en las instalaciones. 6.6.1 6.6.1 Protección de las instalaciones de los centros de datos
Un centro de procesamiento de datos o de cómputo es definido como cualquier edificio o ambiente dentro de un edificio que contenga equipos de almacenamiento, proceso o transmisión de información. Estos incluyen pero no se limitan a los siguientes: Mainframe, servidores, computadoras personales y periféricos Consolas de administración Librerías de cassettes o DASD Equipos de telecomunicaciones telecomunicaciones
-
-
-
-
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
-
-
Centrales telefónicas, PBX Armarios de alambrado eléctrico o cables
Los controles deben de ser evaluados anualmente para compensar cualquier cambio con relación a los riesgos físicos. Los gerentes que estén planeando o revisando cualquier ambiente automatizado, incluyendo el uso de las computadoras personales, deben contactarse con el personal encargado de la administración de la seguridad de la información para asistencia en el diseño de los controles físicos de seguridad. 6.6.2 6.6.2 Control de acceso a las instalaciones de cómputo
El acceso a cualquier instalación de cómputo debe estar restringido únicamente al personal autorizado. Todas las visitas deben ser identificadas y se debe mantener un registro escrito de las mismas. Estas visitas deben ser en compañía de un empleado durante la permanencia en las instalaciones de computo. Si bien es recomendable que los proveedores de mantenimiento, a quienes se les otorga acceso continuo a las áreas sensibles, estén siempre acompañados por un empleado autorizado de la empresa, puede resultar poco práctico en algunos casos. Todo el personal en las instalaciones de cómputo deben de portar un carné, placa o ficha de identificación. Sistemas automatizados de seguridad para acceso físico deben de ser instalados en centros de cómputo principales. Centros pequeños pueden controlar el acceso físico mediante el uso de candados de combinación o llaves. l laves. Medidas apropiadas como guardias o puertas con alarmas, deben de ser utilizadas para proteger las instalaciones durante las horas no laborables. El retiro de cualquier equipo o medio electrónico de las instalaciones de cómputo debe de ser aprobado por escrito por personal autorizado.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
6.6.3 6.6.3 Acuerdo con regulaciones regulacion es y leyes
Los controles de seguridad física deben de estar en acuerdo con las regulaciones existentes de fuego y seguridad, así como con los requerimientos contractuales de los seguros contratados. 6.7 ADMINISTRACIÓN DE COMUNICACIONES Y OPERACIONES
La administración de las comunicaciones y operaciones del Banco, son esenciales para mantener un adecuado nivel de servicio a los clientes. Los requerimientos de seguridad deben ser desarrollados e implementados para mantener el control sobre las l as comunicaciones y las operaciones. Los procedimientos operacionales y las responsabilidades para mantener accesos adecuados a los sistemas, así como el control y la disponibilidad de los mismos, deben ser incluidas en las funciones operativas del Banco. Todas las comunicaciones e intercambios de información, tanto dentro de las instalaciones y sistemas del Banco como externas a ella, deben ser aseguradas, de acuerdo al valor de la información protegida. prot egida. 6.7.1 6.7.1 Procedimientos y Responsabilidades Responsabilid ades Operacionales Operacionale s 6.7.1.1 6.7.1.1
Procedimientos Procedimient os operativos documentados documentad os
Todos los procedimientos de operación de los sistemas deben ser documentados y los cambios realizados a dichos procedimientos deben ser autorizados por la gerencia respectiva. Todos los procedimientos de encendido y apagado de los equipos deben ser documentados; dichos procedimientos deben incluir el detalle de personal clave a ser contactado en caso de fallas no contempladas en el procedimiento regular documentado. Todas las tareas programadas en los sistemas para su realización periódica, deben ser documentadas. Este documento debe incluir tiempo
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
de inicio, tiempo de duración de la tarea, procedimientos en caso de falla, entre otros. Los procedimientos para resolución de errores err ores deben ser documentados, entre ellos se debe incluir: −
−
−
−
Errores en la ejecución de procesos por lotes Fallas o apagado de los sistemas Códigos de error en la ejecución de procesos por lotes Información de los contactos que podrían colaborar con la resolución de errores. 6.7.1. 6.7.1.22
Administración Administración de operaciones realizadas por terceros
Todos los procesos de operación realizados por terceros deben ser sujetos a una evaluación de riesgos de seguridad y se debe desarrollar procedimientos para administrar estos riesgos. Asignación de responsables para la supervisión de dichas actividades Determinar si se procesará información crítica.
-
-
-
-
-
-
-
Determinar los controles de seguridad a implementar Evaluar el cumplimiento de los estándares de seguridad del Banco. Evaluar la implicancia de dichas tareas en los planes de contingencia del negocio Procedimientos de respuesta ante incidentes de seguridad Evaluar el cumplimiento de los estándares del Banco referentes a contratos con terceros. 6.7.1.3 6.7.1.3
Control de cambios operacionales operacion ales
Todos los cambios realizados en los sistemas del Banco, a excepción de los cambios de emergencia, deben seguir los procedimientos de cambios establecidos.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
Solo el personal encargado de la administración de la seguridad puede realizar o aprobar un cambio de emergencia. Dicho cambio debe ser documentado y aprobado en un periodo máximo de 24 horas luego de haberse producido el cambio. Los roles del personal involucrado en la ejecución de los cambios en los sistemas deben encontrarse debidamente especificados. Los cambios deben ser aprobados por la gerencia del área usuaria, el personal encargado de la administración de la seguridad de la información y el encargado del área de sistemas. Todos los requerimientos de cambios deben ser debidamente documentados, siguiendo los procedimientos para cambios existentes en el Banco. Antes de la realización de cualquier cambio a los sistemas se debe generar copias de respaldo de dichos sistemas. 6.7.1.4 6.7.1.4
Administración de incidentes de seguridad
Luego de reportado el incidente de seguridad, éste debe ser investigado por el área de seguridad informática. Se debe identificar la severidad del incidente para la toma de medidas correctivas. El personal encargado de la administración de la seguridad debe realizar la investigación de los incidentes de forma rápida y confidencial. Se debe mantener una documentación de todos los incidentes de seguridad ocurridos en el Banco. Se debe mantener intacta la evidencia que prueba la ocurrencia de una violación de seguridad producida tanto por entes internos o externos, para su posterior utilización en procesos legales en caso de ser necesario.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
6.7.1.5 6.7.1.5
Separación de funciones de operaciones operacion es y desarrollo
El ambiente de prueba debe de mantenerse siempre separado del ambiente de producción, debiendo existir controles de acceso adecuados para cada uno de ellos. El ambiente de producción es aquel en el cual residen los programas ejecutables de producción y los datos necesarios para el funcionamiento de los mismos. Solo el personal autorizado a efectuar los cambios en los sistemas debe contar con privilegios de escritura en los mismos. mi smos. Los programas compiladores no deben ser instalados en los sistemas en producción, todo el código debe ser compilado antes de ser transferido al ambiente de producción. Las pruebas deben de realizarse utilizando datos de prueba. Sin embargo, copias de datos de producción pueden ser usadas para las pruebas, siempre y cuando los datos sean autorizados por el propietario y manejados de manera confidencial. El personal de desarrollo puede tener acceso de solo lectura a los datos de producción. La actualización de los permisos de acceso a los datos de producción debe de ser autorizada por el propietario de información y otorgada por un periodo limitado. Se deben utilizar estándares de nombres para distinguir el conjunto de nombres de las tareas y de los datos, del modelo y de los ambientes de producción. Un procedimiento de control de cambio debe de asegurar que todos los cambios del modelo y ambientes de producción hayan sido revisados y aprobados por el (los) gerente(s) apropiados. 6.7.2 6.7.2 Protección contra virus
El área de seguridad informática debe realizar esfuerzos para determinar el origen de la infección por virus informático, para evitar la reinfección de los equipos del Banco. Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
La posesión de virus o cualquier programa malicioso está prohibida a todos los usuarios. Se tomarán medidas disciplinarias en caso se encuentren dichos programas en computadoras personales de usuarios. Todos los archivos adjuntos recibidos a través del correo electrónico desde Internet deben ser revisados por un antivirus antes de ejecutarlos. Asimismo está prohibido el uso de diskettes y discos compactos provenientes de otra fuente que no sea la del mismo BANCO ABC, a excepción de los provenientes de las interfaces con organismos reguladores, proveedores y clientes, los cuales necesariamente deben pasar por un proceso de verificación y control en el área de Sistemas (Help Desk), antes de ser leídos. El programa antivirus debe encontrarse habilitado en todos las computadoras del Banco y debe ser actualizado periódicamente. En caso de detectar fallas en el funcionamiento de dichos programas éstas deben ser comunicadas al área de soporte técnico. El programa antivirus debe ser configurado para realizar revisiones periódicas para la detección de virus en los medios de almacenamiento de las computadoras del Banco. Debe contarse con un procedimiento para la actualización periódica de los programas antivirus antivirus y el monitoreo de los virus detectados. Es obligación del personal del Banco, emplear sólo los programas cuyas licencias han sido obtenidas por el Banco y forman parte de su plataforma estándar. Asimismo, se debe evitar compartir directorios o archivos con otros usuarios; en caso de ser absolutamente necesario, coordinar con la Gerencia respectiva y habilitar el acceso sólo a nivel de lectura, informando al Departamento de Producción y Soporte Técnico. Todo el personal del Banco debe utilizar los protectores de pantalla y/o papel tapiz autorizados por la Institución; el estándar es: Papel Tapiz: BANCO ABC Protector de Pantalla: BANCO ABC.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
6.7.3 6.7.3 Copias de respaldo
Los Custodios de información deben definir un cronograma para la retención y rotación de las copias de respaldo, basado en los requerimientos establecidos por los Propietarios de información, incluyendo el almacenamiento en uno o más ubicaciones distintos a las del centro de cómputo. Los Custodios de información son también responsables de asegurar que se generen copias de respaldo del software de los servidores del Banco, y que las políticas de manipulación de información se ejercen para las copias de respaldo trasladadas o almacenadas fuera de los locales del Banco. Debe formalmente definirse procedimientos para la creación y recuperación de copias de respaldo. Trimestralmente deben efectuarse pruebas para probar la capacidad de restaurar información en caso sea necesario. Estas pruebas deben efectuarse en un ambiente distinto al ambiente de producción. Los usuarios deben generar copias de respaldo de información crítica transfiriendo o duplicando archivos a la carpeta personal establecida para dicho fin por la Gerencia de Sistemas, la cual se encuentra ubicada en uno de los servidores del Banco. Deben generarse copias de respaldo de estos servidores según un cronograma definido por los Custodios de información. Las cintas con copias de respaldo deben ser enviadas a un local remoto periódicamente, basándose en un cronograma determinado por la gerencia del Banco. Los mensajes electrónicos, así como cualquier información considerada importante, deben ser guardados en copias de respaldo y retenidos por dispositivos automáticos.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
6.8 CONTROL DE ACCESO DE DATOS
La información manejada por los sistemas de información y las redes asociadas debe estar adecuadamente protegida contra modificaciones no autorizadas, divulgación o destrucción. El uso inteligente de controles de acceso previene errores o negligencias del personal, así como reduce la posibilidad del acceso no autorizado. 6.8.1 6.8.1 Identificación Identificac ión de Usuarios
Cada usuario de un sistema automatizado debe de ser identificado de manera única, y el acceso del usuario así como su actividad en los sistemas debe de ser controlado, monitoreado y revisado. Cada usuario de un sistema debe tener un código de identificación que no sea compartido con otro usuario. Para lograr el acceso a los sistemas automatizados, se requiere que el usuario provea una clave que solo sea conocida por él. Debe establecerse un procedimiento para asegurar que el código de identificación de un usuario sea retirado de todos los sistemas cuando un empleado es despedido o transferido. Los terminales y computadoras personales deben bloquearse luego de quince (15) minutos de inactividad. El usuario tendrá que autenticarse antes de reanudar su actividad. El usuario debe ser instruido en el uso correcto de las características de seguridad del terminal y funciones de todas las plataformas, estaciones de trabajo, terminales, computadoras personales, etc., y debe cerrar la sesión o bloquear la estación de trabajo cuando se encuentre desatendida. Todos los consultores, contratistas, proveedores y personal temporal deben tener los derechos de acceso cuidadosamente controlados. El acceso solo debe ser válido hasta el final del trimestre o incluso antes, dependiendo de la terminación del contrato. Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
Todos los sistemas deben proveer pistas de auditoria del ingreso a los sistemas y violaciones de los mismos. A partir de estos datos, los custodios de los sistemas deben elaborar reportes periódicos los cuales deben ser revisados por el área de seguridad informática. Estos reportes también deben incluir la identidad del usuario, y la fecha y hora del evento. Si es apropiado, las violaciones deben ser reportadas al gerente del individuo. Violaciones repetitivas o significantes o atentados de accesos deben ser reportados al gerente a cargo de la persona y al área de seguridad de la información. 6.8.2 6.8.2 Seguridad de contraseñas 6.8.2.1 Estructura
Todas las contraseñas deben tener una longitud mínima de ocho (8) caracteres y no deben contener espacios en blanco. Las contraseñas deben ser difíciles de adivinar. Palabras de diccionario, identificadores de usuario y secuencias comunes de caracteres, como por ejemplo “12345678” o “QWERTY”, no deben ser empleadas. Así mismo, detalles personales como los nombres de familiares, número de documento de identidad, número de teléfono o fechas de cumpleaños no deben ser usadas salvo acompañados con otros caracteres adicionales que no tengan relación directa. Las contraseñas deben incluir al menos un carácter no alfanumérico. Las contraseñas deben contener al menos un carácter alfabético en mayúscula y uno en minúscula. 6.8.2.2
Vigencia
Todas las contraseñas deben expirar dentro de un periodo que no exceda los noventa (90) días. Cada gerente debe determinar un máximo periodo de vigencia de las contraseñas, el cual es recomendable no sea menos de (30) días.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
6.8.2.3 6.8.2.3
Reutilización Reutilizac ión de contraseñas contrase ñas
No debe permitirse la reutilización de ninguna de las 5 últimas contraseñas. Esto asegura que los usuarios no utilicen las mismas contraseñas en intervalos regulares. Los usuarios no deben poder cambiar sus contraseñas más de una vez al día. A los usuarios con privilegios administrativos, no se les debe permitir la reutilización de las últimas 13 contraseñas. 6.8.2.4 6.8.2.4
Intentos fallidos de ingreso
Todos los sistemas deben estar configurados para deshabilitar los identificadores de los usuarios en caso de ocurrir (3) intentos fallidos de autenticación. En los casos que los sistemas utilizados no soporten controles para las características establecidas establecidas para la estructura, vigencia, vigencia, reutilización reutil ización e intentos fallidos de ingreso, se debe documentar la excepción a la política, detallando la viabilidad de modificar la aplicación para soportar las características establecidas para las contraseñas. 6.8.2. 6.8.2.55
Seguridad de contraseñas
Es importante que todos los empleados protejan sus contraseñas, debiéndose seguir las siguientes regulaciones: Bajo ninguna circunstancia, se debe escribir las contraseñas en
-
-
-
papel, o almacenarlas al macenarlas en medios digitales no encriptados. encriptados. Las contraseñas no deben ser divulgadas a ningún otro usuario salvo bajo el pedido de un gerente, con autorización del área de seguridad informática y auditoria interna. Si se divulga la contraseña, esta debe ser cambiada durante el próximo ingreso. El usuario autorizado es responsable de todas las acciones realizadas por alguna persona a quién se le ha comunicado la contraseña o identificador de usuario.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
-
-
-
Los sistemas no deben mostrar la contraseña en pantalla o en impresiones, para prevenir que éstas sean observadas o recuperadas. Las contraseñas deben estar siempre encriptadas cuando se encuentren almacenadas o cuando sean transmitidas a través de redes. El control de acceso a archivos, bases de datos, computadoras y otros sistemas de recursos mediante contraseñas compartidas está prohibido.
6.8.3 6.8.3 Control de transacciones transaccio nes
Los empleados deben tener acceso únicamente al conjunto de transacciones en línea requeridas para ejecutar sus tareas asignadas. Este conjunto de transacciones debe estar claramente definido para prevenir alguna ocurrencia de fraude fr aude y malversación. El conjunto de transacciones debe ser definido durante el proceso de desarrollo de sistemas, revisado periódicamente y mantenido por la gerencia Propietaria. El acceso para la ejecución de transacciones sensibles debe ser controlado mediante una adecuada segregación de tareas. Por ejemplo, los usuarios que tengan permiso para registrar instrucciones de pago no deben poder verificar o aprobar su propio trabajo. Toda operación realizada en los sistemas que afecten información sensible como saldos operativos contables, deben contar con controles duales de aprobación, dichos controles de aprobación deben ser asignados con una adecuada segregación de funciones. Reportes de auditoria de transacciones sensibles o de alto valor deben ser revisadas por la gerencia usuaria responsable en intervalos regulares apropiados. Los reportes deben incluir la identidad del usuario, la fecha y la hora del evento. Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
6.8.4 6.8.4 Control de producción y prueba
El ambiente de prueba debe mantenerse siempre separado del ambiente de producción, se deben implementar controles de acceso adecuados en ambos ambientes. Las pruebas deben realizarse utilizando datos de prueba. Sin embargo, copias de datos de producción pueden ser usadas para las pruebas, siempre y cuando los datos sean autorizados por el Propietario y manejados de manera confidencial. El personal de desarrollo puede tener acceso de sólo lectura a los datos de producción. La actualización de los permisos de acceso a los datos de producción debe ser autorizada por el propietario y otorgada por un periodo limitado. Estándares de nombres deben ser utilizados para distinguir los datos y programas de desarrollo y producción. Un procedimiento de control de cambios debe asegurar que todos los cambios del modelo y ambientes de producción hayan sido revisados y aprobados por el (los) gerente(s) apropiados, y el personal encargado de la administración de la seguridad de la información. Los programas de producción, sistemas operativos y librerías de documentación deben ser considerados datos confidenciales y ser protegidos. Debe realizarse una adecuada segregación de tareas dentro del área de procesamiento de datos o sistemas. Las tareas del personal de soporte de aplicación, soporte técnico, y operadores del centro de datos deben estar claramente definidas y sus permisos de acceso a los datos deben basarse en los requerimientos específicos de su trabajo. t rabajo. 6.8.5 6.8.5 Controles de acceso de programas
Los controles de acceso de programas deben asegurar que los usuarios no puedan acceder a la información sin autorización. Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
Los programas deben poder generar una pista de auditoria de todos los accesos y violaciones. Las violaciones de los controles de acceso deben ser registradas y revisadas por el propietario o por el personal del área de sistemas custodio de los datos. Las violaciones de seguridad deben ser reportadas al gerente del empleado y al área responsable de la administración de la seguridad de la información. Se debe tener cuidado particular en todos los ambientes para asegurar que ninguna persona tenga control absoluto. Los operadores de sistemas, por ejemplo, no deben tener acceso ilimitado a los identificadores de superusuario. Dichos identificadores de usuario, son solo necesarios durante una emergencia y deben ser cuidadosamente controlados por la gerencia usuaria, quien debe realizar un monitoreo periódico de su utilización. 6.8.6 6.8.6 Administración Administración de acceso de usuarios
La asignación de identificadores de usuario especiales o privilegiados (como cuentas administrativas y supervisores) debe ser revisada cada 3 meses. Los propietarios de la información son responsables de revisar los privilegios de los sistemas periódicamente y de retirar todos aquellos que ya no sean requeridos por los usuarios. Es recomendable realizar revisiones trimestralmente debido al continuo cambio de los ambientes de trabajo y la importancia de los datos. Es responsabilidad del propietario de la información y de los administradores de sistemas ver que los privilegios de acceso estén alineados con las necesidades del negocio, sean asignados basándose en requerimientos y que se comunique la lista l ista correcta de accesos al área de sistemas de información.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
En las situaciones donde los usuarios con accesos a información altamente sensible sean despedidos, los supervisores deben coordinar directamente con el área de seguridad informática para eliminar el acceso de ese usuario. Se debe buscar el desarrollo de soluciones técnicas para evitar el uso de accesos privilegiados innecesarios. Luego del despido o renuncia de algún empleado, es responsabilidad del jefe del empleado revisar cualquier archivo físico o digital elaborado o modificado por el usuario. El gerente debe también asignar la propiedad de dicha información a la persona relevante así como determinar la destrucción de los archivos innecesarios. Todos los usuarios que tienen acceso a las cuentas privilegiadas deben tener sus propias cuentas personales para uso del negocio. Por ende, los administradores de sistemas y empleados con acceso a cuentas privilegiadas deben usar sus cuentas personales para realizar actividades de tipo no privilegiadas. Cuentas de usuario que no son utilizadas por noventa (90) días deben ser automáticamente deshabilitadas. Las cuentas que no han sido utilizadas por un periodo largo demuestran que el acceso de información de ese sistema no es necesario. Los custodios de la información deben informar al propietario de la información la existencia de las cuentas inactivas. Todos los accesos a los sistemas de información deben estar controlados mediante un método de autenticación incluyendo una combinación mínima de identificador de usuario/contraseña. Dicha combinación debe proveer la verificación de la identidad del usuario. Para los usuarios con tareas similares, se debe utilizar grupos o controles de acceso relacionados a roles para asignar permisos y accesos a las cuentas del individuo. Todos los usuarios de los sistemas de información deben de tener un identificador de usuario único que sea válido durante el período laboral del Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
usuario. Los identificadores de usuarios no deben de ser utilizados por otros individuos incluso luego de que el usuario original haya renunciado o haya sido despedido. Los sistemas no deben permitir que los usuarios puedan tener sesiones múltiples para un mismo sistema, salvo bajo autorización específica del propietario de la información. 6.8.7 6.8.7 Responsabilidades del usuario
Todo equipo de cómputo, alquilado o de propiedad del Banco, así como los servicios compartidos facturados a cada unidad de negocio serán usados solo para actividades relacionadas al negocio del Banco. Los sistemas del Banco no pueden ser usados para desarrollar software para negocios personales o externos al Banco. Los equipos no deben ser usados para preparar documentos para uso externo, salvo bajo la aprobación escrita del gerente gerent e del área usuaria. Se debe implementar protectores de pantallas en todas las computadoras personales y servidores, activándose luego de cinco (5) minutos de inactividad. Toda la actividad realizada utilizando un identificador de usuario determinado, es de responsabilidad del empleado a quién le fue asignado. Por consiguiente, los usuarios no deben compartir la información de su identificador con otros o permitir que otros empleados utilicen su identificador de usuario para realizar cualquier acción. También, los usuarios están prohibidos de realizar cualquier acción utilizando un identificador que no sea el propio. 6.8.8 6.8.8 Seguridad de computadoras
Se debe mantener un inventario actualizado de todo el software y hardware existente en el Banco, la responsabilidad del mantenimiento del Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
inventario es del jefe de producción de la gerencia de sistemas. Todo traslado o asignación de equipos debe ser requerida por el gerente del área usuaria, es de responsabilidad del jefe de producción de la gerencia de sistemas, la verificación y realización r ealización del requerimiento. Es de responsabilidad del usuario, efectuar un correcto uso del equipo de cómputo que le fue asignado, así como de los programas en él instalados; cualquier cambio y/o traslado deberá ser solicitado con anticipación por su respectiva Gerencia. Asimismo el usuario debe verificar que cualquier cambio y/o traslado del Equipo de Cómputo que le fue asignado, se realice por personal de Soporte Técnico, así como también la instalación o retiro de software. Cualquier microcomputador, computadora personal o portátil / notebook notebook perteneciente al Banco debe ser únicamente utilizada para propósitos de negocios. Estas computadoras pueden ser utilizadas de las siguientes maneras: Como un terminal comunicándose con otra computadora Como una computadora aislada que realice su propio procesamiento sin comunicación con ninguna otra computadora Medidas apropiadas de seguridad de computadoras personales, como los programas de seguridad de computadoras personales o los candados -
-
físicos, deben ser utilizados utilizados en relación con con los datos y aplicaciones en ejecución. Sin importar su uso, las medidas de seguridad deben ser implementadas en todas las microcomputadoras microcomputadoras y computadoras personales: Una vez habilitada la computadora, ésta no debe dejarse desatendida, incluso por un periodo corto. Todo los disquetes, cintas, CD´s y otros dispositivos de almacenamiento de información incluyendo información impresa, que contengan datos sensibles deben ser guardados en un ambiente seguro cuando no sean utilizados. -
-
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
-
El acceso a los datos almacenados en un microcomputador debe ser limitado a los usuarios apropiados.
Los discos duros no deben contener datos sensibles salvo en las computadoras cuyo acceso físico sea restringido o que tengan instalados un programa de seguridad y que los accesos a la computadora y a sus archivos sean controlados adecuadamente. Los disquetes no deben ser expuestos a temperaturas altas o a elementos altamente magnéticos. Deben generarse copias de respaldo de documentos y datos de manera periódica, asimismo, deben desarrollarse procedimientos para su adecuada restauración en el caso de pérdida. Todos los programas instalados en las computadoras deben ser legales, aprobados y periódicamente inventariados. Solo los programas adquiridos o aprobados por el Banco, serán instalados en las computadoras del Banco. El uso de programas de juegos, de distribución gratuita (freeware o shareware) o de propiedad personal está prohibido, salvo que éste sea aprobado por la gerencia y se haya revisado la ausencia de virus en el mismo. 6.8.9 6.8.9 Control de acceso a redes 6.8.9. 6.8.9.11
Conexiones con redes externas
Los sistemas de red son vulnerables y presentan riesgos inherentes a su naturaleza y complejidad. Los accesos remotos (dial-in ) y conexiones con redes externas, exponen a los sistemas del Banco a niveles mayores de riesgo. Asegurando que todos los enlaces de una red cuenten con adecuados niveles de seguridad, se logra que los activos más valiosos de las unidades de negocio estén protegidos de un ataque directo o indirecto. Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
Todas las conexiones realizadas entre la red interna del Banco e Internet, deben ser controladas por un firewall para prevenir accesos no autorizados. El área de seguridad de información debe aprobar todas las conexiones con redes o dispositivos externos. El acceso desde Internet hacia la red interna del Banco no debe ser permitido sin un dispositivo de fuerte autenticación o certificado basado en utilización de contraseñas dinámicas. El esquema de direccionamiento interno de la red no debe ser visible desde redes o equipos externos. Esto evita que “hackers” u otras personas pueden obtener fácilmente información sobre la estructura de red del Banco y computadoras internas. Para eliminar las vulnerabilidades inherentes al protocolo TCP/IP, ruteadores y firewalls deben rechazar conexiones externas que parecieran originarias de direcciones internas (ip spoofing). spoofing). 6.8.9.2 6.8.9.2
Estándares Estándare s generales generale s
Los accesos a los recursos de información deben solicitar como mínimo uno de los tres tr es factores de autenticación: Factor de conocimiento: algo que solo el usuario conoce. Por ejemplo: contraseña o PIN. -
-
Factor de posesión: algo que solo el usuario posee. Por ejemplo: smartcard o token.
Factor biométrico: algo propio de las características biológicas del usuario. Por ejemplo: lectores de retina o identificadores de voz. La posibilidad de efectuar encaminamiento y re-direccionamiento de paquetes, debe ser configurada estrictamente en los equipos que necesiten realizar dicha función. Todos los componentes de la red deben mostrar el siguiente mensaje de alerta en el acceso inicial.
-
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
“Aviso de alerta: Estos sistemas son de uso exclusivo del personal y agentes autorizados del Banco. El uso no autorizado está prohibido y sujeto a penalidades legales”. Todos los componentes de la red de datos deben ser identificados de manera única y su uso restringido. Esto incluye la protección física de todos los puntos vulnerables de una red. Las estaciones de trabajo y computadoras personales deben ser bloqueadas mediante la facilidad del sistema operativo, mientras se encuentren desatendidas. Todos los dispositivos de red, así como el cableado deben ser ubicado de manera segura. Cualquier unidad de control, concentrador, multiplexor o procesador de comunicación ubicado fuera de una área con seguridad física, debe estar protegido de un acceso no autorizado. autor izado. 6.8.9. 6.8.9.33
Política del uso de servicio de redes
Todas las conexiones de red internas y externas deben cumplir con las políticas del Banco sobre servicios de red y control de acceso. Es responsabilidad del área de sistemas de información y seguridad de información determinar lo siguiente: - Elementos de la red que pueden ser accedidos - El procedimiento de autorización para la obtención de acceso - Controles para la protección de la red. r ed. Todos los servicios habilitados en los sistemas deben contar con una justificación coherente con las necesidades del negocio. Los riesgos asociados a los servicios de red deben determinarse y ser resueltos antes de la implementación del servicio. Algunos servicios estrictamente prohibidos incluyen TFTP e IRC/Chat IRC/Chat..
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
6.8.9.4 6.8.9.4
Segmentación Segmentac ión de redes
La arquitectura de red del Banco debe considerar la separación de redes que requieran distintos niveles de seguridad. Esta separación debe realizarse de acuerdo a la clase de información albergada en los sistemas que constituyen dichas redes. Esto debe incluir equipos de acceso público. 6.8.9.5 6.8.9.5
Análisis de riesgo de red
Cualquier nodo de la red de datos, debe asumir el nivel de sensibilidad de la información o actividad de procesamiento de datos más sensible al que tenga acceso. Se deben implementar controles que compensen los riesgos más altos. 6.8.9.6 6.8.9.6
Acceso remoto(dial-in )
Los usuarios que ingresen a los sistemas del Banco mediante acceso remoto (dial-in ) deben ser identificados antes de obtener acceso a los sistemas. Por lo tanto, dicho acceso debe ser controlado por un equipo que permita la autenticación de los usuarios al conectarse a la red de datos. Técnicas y productos apropiadas para el control de los accesos remotos (dial-in ) incluyen: Técnicas de identificación de usuarios: Técnicas que permitan
-
-
identificar de manera unívoca al usuario que inicia la conexión, es recomendable que la técnica elegida utilice por lo menos 2 de los factores de autenticación definidos anteriormente. Ejemplo: tokens tokens (dispositivos generadores de contraseñas dinámicas). Técnicas de identificación de terminales: Técnicas que permiten identificar unívocamente al terminal remoto que realiza la conexión. Ejemplo: callback (técnica que permite asegurar que el número telefónico fuente de la conexión sea autorizado)
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
6.8.9.7 6.8.9.7
Encripción de los datos
Los algoritmos de encripción DES, 3DES y RSA son técnicas de encripción aceptables para las necesidades de los negocios de hoy. Estas pueden ser empleadas para satisfacer los requerimientos de encripción de datos del Banco. Las contraseñas, los códigos o números de identificación personal y los identificadores de terminales de acceso remoto deben encontrarse encriptados durante la transmisión y en su medio de almacenamiento. La encripción de datos ofrece protección ante accesos no autorizados a la misma; debe ser utilizada si luego de una evaluación de riesgo se concluye que es necesaria. 6.8.10 Control de acceso al sistema operativo 6.8.10.1 6.8.10.1 Estándares Estándare s generales generale s
Los usuarios que posean privilegios de superusuario, deben utilizar el mismo identificador con el que se autentican normalmente en los sistemas. Los administradores deben otorgarle los privilegios especiales a los identificadores de los usuarios que lo necesiten. Todos los usuarios deben poseer un único identificador. El uso de identificadores de usuario compartidos debe estar sujeto a autorización. Cada cuenta de usuario debe poseer una contraseña asociada, la cual solo debe ser conocida por el dueño del identificador de usuario. Seguridad adicional puede ser añadida al proceso, como identificadores biométricos o generadores de contraseñas dinámicas. 6.8.10.2 6.8.10.2 Limitaciones de horario
Las aplicaciones críticas deben estar sujetas a periodos de acceso restringidos, el acceso a los sistemas en un horario distinto debe ser deshabilitado o suspendido.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
6.8.10.3 6.8.10.3 Administración de contraseñas
Los administradores de seguridad deben realizar pruebas mensuales sobre la calidad de las contraseñas que son empleadas por los usuarios, esta actividad puede involucrar el uso de herramientas para obtención de contraseñas. Todas las bases de datos o aplicaciones que almacenen contraseñas deben ser aseguradas, de tal manera, que solo los administradores de los sistemas tengan acceso a ellas. 6.8.10.4 6.8.10.4 Inactividad del sistema
Las sesiones en los sistemas que no se encuentren activas por mas de 30 minutos deben ser concluidas de manera automática. automáti ca. Las computadoras personales, laptops y servidores, deben ser configurados con un protector de pantalla con contraseña, cuando sea aplicable. El periodo de inactividad para la activación del protector de pantalla debe ser de 5 minutos. Los sistemas deben forzar la reautenticación de los usuarios luego de 2 horas de inactividad. 6.8.10.5 6.8.10.5 Estándares Estándare s de autenticación autentica ción en los sistemas
Los sistemas, durante el proceso de autenticación, deben mostrar avisos preventivos sobre los accesos no autorizados a los sistemas. Los identificadores de los usuarios deben ser bloqueados luego de 3 intentos fallidos de autenticación en los sistemas, el desbloqueo de la cuenta debe ser realizado manualmente por el administrador del sistema. Los sistemas deben ser configurados para no mostrar ninguna información que pueda facilitar el acceso a los mismos, luego de intentos fallidos de autenticación.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
6.8.11 Control de acceso de aplicación 6.8.11 6.8.11.1 .1 Restricciones de acceso a información
Para la generación de cuentas de usuario en los sistemas así como para la asignación de perfiles, el gerente del área usuaria es el responsable de presentar la ‘Solicitud de Usuarios y/o Perfiles de Acceso a los Sistemas de Cómputo’, al área de Seguridad Informática, quien generará los Usuarios y Contraseñas correspondientes, para luego remitirlas al Departamento de Recursos Humanos, para que éste a su vez los entregue al Usuario Final, con la confidencialidad requerida. Se debe otorgar a los usuarios acceso solamente a la información mínima necesaria para la realización de sus labores. Esta tarea puede ser realizada utilizando una combinación de: Seguridad lógica de la aplicación.
-
-
-
-
-
Ocultar opciones no autorizadas en los sistemas Restringir el acceso a línea de comando Limitar los permisos a los archivos de los sistemas (solo lectura) Controles sobre la información de salida de los sistemas (reportes, consultas en línea, etc.) 6.8.11.2 6.8.11.2 Aislamiento de sistemas críticos
Basados en el tipo de información, las redes pueden requerir separación. Los sistemas que procesan información muy crítica deben ser aislados físicamente de sistemas que procesan información menos crítica. 6.8.12 Monitoreo Monitoreo del acceso y uso de los sistemas 6.8.12.1 6.8.12.1 Sincronización Sincroniz ación del reloj
Los relojes de todos los sistemas deben ser sincronizados para asegurar la consistencia de todos los registros de auditoria. Debe desarrollarse un
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
procedimiento para el ajuste de cualquier desvío en la sincronización de los sistemas. 6.8.12.2 6.8.12.2 Responsabilidades Responsabili dades generales
Los administradores de los sistemas sistemas deben realizar realizar monitoreo periódico de los sistemas como parte de su rutina diaria de trabajo, este monitoreo no debe estar limitado solamente a la utilización y performance del sistema sino debe incluir el monitoreo del acceso de los usuarios a los sistemas. 6.8.12.3 6.8.12.3 Registro de eventos del sistema
La actividad de los usuarios vinculada al acceso a información clasificada como “confidencial” o “restringida” debe ser registrada para su posterior inspección. El propietario de la información debe revisar dicho registro mensualmente. Todos los eventos de seguridad relevantes de una computadora que alberga información confidencial, confidencial, deben ser ser registrados en un un log de eventos de seguridad. Esto incluye errores en autenticación, modificaciones de datos, utilización de cuentas privilegiadas, cambios en la configuración de acceso a archivos, modificación a los programas o sistema operativo instalados, cambios en los privilegios o permisos de los usuarios o el uso de cualquier función privilegiada del sistema. Los “logs” (bitácoras) de seguridad deben ser almacenados por un periodo mínimo de 3 meses. Acceso a dichos logs debe ser permitido solo a personal autorizado. En la medida de lo posible, los logs deben debe n ser almacenados en medios de “solo lectura”.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
6.8.13 Computación móvil y teletrabajo 6.8.13.1 6.8.13.1 Responsabilidades Responsabili dades generales
Los usuarios que realizan trabajo en casa con información del Banco, pueden tener el concepto errado de que la seguridad de información solo es aplicable en el trabajo en oficina, sin tomar en cuenta que algunas amenazas de seguridad son comunes en ambos entornos de trabajo y que incluso existen algunas nuevas amenazas en el trabajo en casa. El personal que realiza trabajo en casa debe tener en cuenta las amenazas de seguridad que existen en dicho entorno laboral y tomar las medidas apropiadas para mantener la seguridad de información. La utilización de programas para el control remoto de equipos como PCAnywhere está prohibida a menos que se cuente con el consentimiento formal del administrador de seguridad. La utilización inapropiada de este tipo de programas puede facilitar el acceso de un intruso a los sistemas de información del Banco. 6.8.13.2 6.8.13.2 Acceso remoto
Medidas de seguridad adicionales deben ser implementadas para proteger la información almacenada en dispositivos móviles. Entre las medidas a tomarse se deben incluir: Encripción de los datos
-
-
-
-
-
Contraseñas de encendido Concientización de usuarios Protección de la data transmitida hacia y desde dispositivos móviles. Ej. VPN, SSL o PGP. Medidas de autenticación adicionales para obtener acceso a la red de datos. Ej. SecureID tokens.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
Con el propósito de evitar los problemas relacionados a virus informáticos y propiedad de los datos existentes en computadoras externas, solamente equipos del Banco deben ser utilizados para ser conectados a su red de datos. La única excepción a este punto es la conexión hacia el servidor de correo electrónico para recepción y envío del correo electrónico. Todos los accesos accesos dial-in/dial-out deben contar con autorización autori zación del área de seguridad informática y deben contar con la autorización respectiva que justifique su necesidad para el desenvolvimiento del negocio. 6.9 DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS
El diseño de la infraestructura del Banco, las aplicaciones de negocio y las aplicaciones del usuario final deben soportar los requerimientos generales de seguridad documentados en la política de seguridad del Banco. Estos requerimientos deben ser incorporados en cada paso del ciclo de desarrollo de los sistemas, incluyendo todas las fases de diseño, desarrollo, mantenimiento y producción. Los requerimientos de seguridad y control deben estar: determinados durante cualquier diseño de sistemas, -
-
-
desarrollados dentro de la arquitectura del sistema implementados en la instalación final del sistema.
Adicionalmente, todo los procesos de desarrollo y soporte a estos sistemas deben seguir los requerimientos de seguridad incluidos en esta política de seguridad. 6.9.1 6.9.1 Requerimientos de seguridad de sistemas 6.9.1.1 6.9.1.1
Control de cambios
El área responsable de la administración de cambios debe retener todos los formularios de solicitud de cambio, planes de cambio de programa y Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
resultados de pruebas de acuerdo con los estándares de retención de registros del Banco. Los gerentes técnicos de las áreas son responsables de retener una copia de la documentación de solicitud de cambio pertinente a su respectiva área. Los procedimientos de prueba deben estar documentados en los formularios de solicitud de cambio. Si se notara problemas durante el proceso de prueba, el proveedor debe documentar el problema, realizar las modificaciones apropiadas en el ambiente de desarrollo y entregarlo para que se vuelva a probar. 6.9.1.2 6.9.1.2
Análisis y especificación especific ación de los requerimientos requerimien tos de seguridad
Para todos los sistemas desarrollados por o para el Banco, se debe determinar los requerimientos de seguridad antes de comenzar la fase de desarrollo de la aplicación. Durante la fase de diseño del sistema, los propietarios de la información, el área de sistemas y el área de seguridad de la información deben determinar un control adecuado para el ambiente de la aplicación. Estos requerimientos deben incluir, pero no están limitadas a: -
-
-
-
-
-
Control de acceso Autorización Criticidad del sistema Clasificación de la información Niveles de disponibilidad requeridos Confidencialidad e integridad de la información
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
6.9.2 6.9.2 Seguridad en sistemas de aplicación 6.9.2.1 6.9.2.1 Desarrollo Desarroll o y prueba de aplicaciones aplicaci ones
Los procedimientos de prueba deben estar adecuadamente documentados en los formularios de solicitud de cambio. El gerente del desarrollador debe efectuar una revisión independiente de los resultados de la unidad de prueba. Como resultado, se debe evidenciar una aprobación formal por parte del del gerente del desarrollador en el formulario formular io de solicitud de cambio. Durante la prueba de integración, restricciones de acceso lógico deben asegurar que los desarrolladores no tengan accesos de actualización y que el código siendo probado no sea modificado sin consentimiento del usuario. Copias de los datos de producción o conjuntos prediseñados de datos de prueba deben ser usados para propósitos de prueba. Todas las modificaciones significativas, mejoras grandes y sistemas nuevos deben ser probados por los usuarios del sistema antes de la instalación del software en el ambiente de producción. El plan de aceptación del usuario debe incluir pruebas de todas las funciones principales, procesos y sistemas de interfaces. Los procedimientos de prueba deben ser adecuadamente documentados en los formularios de solicitud de cambio. Durante las pruebas de aceptación, restricciones lógicas de acceso deben asegurar que los desarrolladores no tengan acceso de actualización y que el código fuente siendo probado no pueda ser modificado sin consentimiento escrito por el usuario. Si se notara problemas, el usuario debe documentar el problema, el desarrollador debe realizar las modificaciones apropiadas en el ambiente de desarrollo y lo entregará para volver a probarlo. Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
6.10 CUMPLIMIENTO NORMATIVO
Toda ley, norma, regulación o acuerdo contractual debe ser documentado y revisado por el área legal del Banco. Requerimientos específicos para controles y otras actividades relacionadas a estas regulaciones legales deben ser delegados al área organizacional respectiva, la cual es responsable por el cumplimiento de la norma en cuestión. Los recursos informáticos del Banco deben ser empleados exclusivamente para tareas vinculadas al negocio. 6.10.1 Registros
Deben desarrollarse estándares de retención, almacenamiento, manejo y eliminación de registros que son requeridos por normas legales u otras regulaciones. Debe definirse un cronograma de retención para estos registros que debe incluir: Tipo de información Regulaciones o leyes aplicables Fuentes de este tipo de información Tiempos de retención requeridos Requerimientos de traslado y almacenamiento almacenamiento Procedimientos de eliminación -
-
-
-
-
-
Requerimientos de control específicos estipulados en la norma relacionada
-
6.10.2 6.10.2 Revisión de la política de seguridad y cumplimiento técnico
Los gerentes y jefes deben asegurarse que las responsabilidades de seguridad sean cumplidas y las funciones relacionadas se ejecuten apropiadamente. Es responsabilidad del personal encargado de la administración de la seguridad y de auditoria interna verificar el cumplimiento de las políticas
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
de seguridad. Las excepciones deben ser reportadas a la gerencia apropiada. 6.10.3 6.10.3 Propiedad de los programas
Cualquier programa escrito por algún empleado del Banco dentro del alcance de su trabajo así como aquellos adquiridos por el Banco son de propiedad del Banco. Los contratos para desarrollo externo deben acordarse por escrito y deben señalar claramente el propietario de los derechos del programa. En la mayoría de circunstancias, el Banco debería ser propietaria de todos los programas de cómputo desarrollados, debiendo pagar los costos de desarrollo. Cada programa elaborado por desarrolladores propios del Banco o por desarrolladores externos contratados por el Banco, debe contener la información de derecho de autor correspondiente. Generalmente, el aviso debe aparecer en cuando el usuario inicie la aplicación. Un aviso legible también debe estar anexado a las copias de los programas almacenados en dispositivos como cartuchos, cassettes, discos o disquetes. 6.10.4 6.10.4 Copiado de software adquirido y alquilado
Los contratos con proveedores y paquetes propietarios de software deben definir claramente los límites de su uso. Los empleados están prohibidos de copiar o utilizar dicho software de manera contraria a la provisión del contrato. Toda infracción de los derechos de autor del software constituye robo. Los productos adquiridos o alquilados para ejecutarse en una unidad de procesamiento o en un sitio particular no deben ser copiados y ejecutados en procesadores adicionales sin algún acuerdo por parte del proveedor.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
Los programas no pueden ser copiados salvo dentro del límite acordado con el proveedor (por ejemplo, copias de respaldo para protección). Los empleados o contratistas que realicen copias adicionales para evitar el costo de adquisición de otro paquete serán hechos responsables de sus acciones. 6.11 CONSIDERACIONES DE AUDITORIA DE SISTEMAS 6.11.1 Protección de las herramientas de auditoria
Todas las herramientas, incluyendo programas, aplicaciones, documentación y papeles de trabajo, requeridos para la auditoria de sistemas deben protegerse de amenazas posibles como se indica en esta política de seguridad. 6.11.2 Controles de auditoria de sistemas
Todas las actividades de auditoria deben ser revisadas para el planeamiento y la ejecución correcta de la auditoria. Esto incluye, pero no se limita a lo siguiente: minimizar cualquier interrupción de las operaciones del negocio acuerdo de todas las actividades y objetivos de auditoria con la gerencia -
-
-
-
-
límite del alcance de la evaluación de un ambiente controlado, asegurando que no se brinde accesos impropios para la realización de las tareas de auditoria identificación de los recursos y habilidades necesarias para cualquier tarea técnica registro de todas las actividades y desarrollo de la documentación de las tareas realizadas, procedimientos de auditoria, hallazgos y recomendaciones.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
6.12 POLÍTICA DE COMERCIO ELECTRÓNICO
El propósito de esta política es presentar un esquema para el comportamiento aceptable cuando se realizan actividades de comercio electrónico (e-commerce). Los controles definidos, tienen el propósito de proteger el comercio electrónico de numerosas amenazas de red que puedan resultar en actividad fraudulenta y divulgación o modificación de la información. Esta política se aplica a todos los empleados del Banco involucrados con comercio electrónico y a los socios de comercio electrónico del Banco. Los socios de comercio electrónico del Banco incluyen las unidades de negocio de la organización, los clientes, socios comerciales y otros terceros. El Banco debe asegurar la claridad de toda la información documentada y divulgar la información necesaria para asegurar el uso apropiado del comercio electrónico. El Banco y los socios de comercio electrónico deben de someterse a la legislación nacional sobre el uso de la información de clientes y las estadísticas derivadas. Los documentos y transacciones electrónicas usadas en el comercio electrónico deben ser legalmente admisibles. Las unidades de negocio afiliadas del Banco deben demostrar que sus sistemas de cómputo funcionan adecuadamente para establecer la autenticación de los documentos y transacciones legales. Los sistemas de información usados deben estar de acuerdo con los estándares de seguridad corporativos antes de estar disponibles en producción. Los sistemas de comercio electrónico deben publicar sus términos de negocios a los clientes. El uso de autoridades de certificación y archivos
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
confiables de terceros deben estar documentados, de acuerdo con la política de seguridad de información del Banco. Actividades de roles y responsabilidades entre el Banco y los socios de comercio electrónico deben de establecerse, documentarse y ser soportadas por un acuerdo documentado que comprometa a ambos al acuerdo de los términos de transacciones. 6.12.1 6.12.1 Términos e información de comercio electrónico 6.12.1.1 6.12.1.1 Recolección de información y privacidad privaci dad
El Banco debe utilizar niveles apropiados de seguridad según el tipo de información recolectada, mantenida y transferida a terceros debiendo asegurarse de: Aplicar estándares corporativos de encripción y autenticación para la transferencia de información sensible. Aplicar controles corporativos técnicos de seguridad para proteger los datos mantenidos por computadoras; y Considerar la necesidad de que los terceros involucrados en las transacciones de clientes, también mantengan niveles apropiados de seguridad. -
-
-
El Banco debe adoptar prácticas de información que
manejen
cuidadosamente la información personal de los clientes. Todos los sistemas de comercio electrónico del Banco deben seguir una política de privacidad basada en principios de información, deben tomar medidas apropiadas para proveer seguridad adecuada y respetar las preferencias de los clientes con respecto al envío de mensajes de correo electrónico no solicitados.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
6.12.1.2 Divulgación
El Banco debe proveer suficiente información sobre la propia transacción en línea, para permitir que los clientes tomen una decisión informada sobre si ejecutar las transacciones tr ansacciones en línea. Información divulgada debe incluir, pero no estar limitada a: Términos de transacción; Disponibilidad de producto e información de envío; y Precios y costos. El Banco debe también brindar al cliente las opciones de: Revisión y aprobación de la transacción; y Recepción de una confirmación. -
-
-
-
-
6.12.2 6.12.2 Transferencia electrónica de fondos
Transacciones de valor, sobre redes de telecomunicación, que resulten de movimientos de fondos, deben estar protegidas con medidas que sean proporcionales a la pérdida potencial debido a error o fraude. En sistemas donde el valor promedio de transacción excede los $50,000 o en los cuales transacciones sobre los $100,000 sean frecuentes, se debe verificar el origen de la transacción así como el contenido de la misma de acuerdo a los estándares definidos por el Banco. Para todos los casos en que un mensaje de transferencia electrónica de fondos sea enviado sobre un circuito por lo menos se debe verificar el origen del mensaje mediante un método apropiado considerando el riesgo involucrado. Algunas circunstancias requieren de la verificación de la ubicación física del terminal que origina la transacción, mientras que en otras una adecuada técnica usada para identificar el usuario del terminal es suficiente. Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
Los sistemas que utilicen soluciones de encripción o autenticación deben usar los estándares de ANSI aceptados. La encripción de la información transmitida es necesaria cuando el origen y el destino se encuentran conectados por un enlace físico de comunicación que pueda ser accedido por un tercero. Las soluciones de punto a punto son preferibles preferibl es para redes multi-nodos. Los datos de identificación personal como PIN’s, PIC’s y contraseñas no deben ser transmitidas o almacenadas sin protección en cualquier medio. Los sistemas nuevos que involucren el movimiento de fondos o transacciones de valor sobre redes de telecomunicaciones debe incorporar estos controles en su diseño. Cualquier cambio en los sistemas o redes existentes, deben respetar dichos controles. 6.13 INFORMACIÓN ALMACENADA EN MEDIOS DIGITALES Y FÍSICOS
Toda información almacenada en cualquier dispositivo o medio del Banco, incluyendo disquetes, reportes, códigos fuentes de programas de computadora, correo electrónico y datos confidenciales de los clientes, es propiedad del Banco. Las prácticas de seguridad de datos deben ser consistentes para ser efectivas. Los datos sensibles deben ser protegidos, sin importar la forma en que sean almacenados. 6.13.1 Etiquetado de la información
Toda información impresa o almacenada en medios físicos fí sicos transportables (cintas de backup, cd´s, etc.) que sean confidenciales o restringidas,
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
deben estar claramente etiquetadas como tal, con letras grandes que sean legibles sin la necesidad de un lector especial. Todo documento o contenedor de información debe ser etiquetado como “Restringida”, “Confidencial”, de “Uso interno” o de Acceso “General”, dependiendo de la clasificación asignada. Todo documento en formato digital o impreso, debe presentar una etiqueta en la parte superior e inferior de cada página, con la clasificación correspondiente. Todo documento clasificado como “Confidencial” o “Restringido” debe contar con una carátula en la cual se muestre la clasificación de la información que contiene. 6.13.2 Copiado de la información
Reportes confidenciales y restringidos no deben ser copiados sin la autorización del propietario de la información. Reportes confidenciales pueden ser copiados sólo para los individuos autorizados a conocer su contenido. Los gerentes son los responsables de determinar dicha necesidad, para cada persona a la cual le sea distribuido dicho reporte. Los reportes restringidos deben ser controlados por un solo custodio, quién es responsable de registrar los individuos autorizados que soliciten el documento. El copiado de cualquier dato restringido o confidencial almacenado en un medio magnético debe ser aprobado por el propietario y clasificado al igual que el original. 6.13.3 Distribución de la información
La información confidencial y restringida debe ser controlada cuando es trasmitida por correo electrónico interno, externo o por courier. Si el
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
servicio de courier o correo externo es usado, se debe solicitar una confirmación de entrega al receptor. Los reportes confidenciales y otros documentos sensibles deben usarse en conjunto con sobres confidenciales y estos últimos también ser sellados. Materiales restringidos de alta sensibilidad deben enviarse con un sobre etiquetado ‘Solo a ser abierto por el destinatario’. La entrega personal es requisito para la información i nformación extremadamente sensible. Los datos sensibles de la empresa que sean transportados a otra instalación deben ser transportados en contenedores apropiados. Todo usuario, antes de transmitir información clasificada como “Restringida” o “Confidencial”, debe asegurarse que el destinatario de la información esté autorizado a recibir dicha información. La transmisión de información clasificada como “Restringida” o “Confidencial”, transmitida desde o hacia el Banco a través de redes externas, debe realizarse utilizando un medio de transmisión seguro, es recomendable el uso de técnicas de encripción para la información transmitida. 6.13.4 Almacenamiento de la información
Los activos de información correspondiente a distintos niveles de clasificación, deben ser almacenados en distintos contenedores. La información etiquetada como “de uso interno” debe ser guardada de manera que sea inaccesible a personas ajenas a la empresa. La información “Confidencial o “Restringida” debe ser asegurada para que esté sólo disponible a los individuos específicamente autorizados para acceder a ella. El ambiente donde se almacena la información clasificada como “Restringida”, debe contar con adecuados controles de acceso y asegurado cuando se encuentre sin vigilancia. El acceso debe ser Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
permitido solo al personal formalmente autorizado. Personal de limpieza debe ingresar al ambiente acompañado por personal autorizado. autori zado. La información en formato digital clasificada como de acceso “General”, puede ser almacenada en cualquier sistema del Banco. Sin embargo se deben tomar las medidas necesarias para no mezclar información “General” con información correspondiente a otra clasificación. Información en Formato digital, clasificada como “Restringida”, debe ser encriptada con un método aprobado por el área de seguridad informática, cuando es almacenada en cualquier medio (disco duro, disquetes, cintas, CD´s, etc.). Los medios de almacenamiento, incluyendo discos duros de computadoras, que albergan información clasificada como “Restringida”, deben ser ubicados en ambientes cerrados diseñados para el almacenamiento de dicho tipo de información. Cuando información clasificada como “de uso Interno”, Confidencial o Restringida se guarde fuera del Banco, debe ser almacenada en instalaciones que cuenten con adecuados controles de acceso. El envío y recepción de medios magnéticos para ser almacenados en instalaciones alternas debe ser autorizado por el personal responsable de los mismos y registrado en bitácoras apropiadas. 6.13.5 Eliminación de la información
La eliminación de documentos y otras formas de información deben asegurar la confidencialidad de la información de las unidades de negocio.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
Se debe borrar los datos de los medios magnéticos, como cassettes, disquetes, discos duros, DASD, que se dejen de usar en el Banco debido a daño u obsolencia, antes de que estos sean eliminados. En el caso de los equipos dañados, la empresa de reparación o destrucción del equipo debe certificar que los datos hayan sido destruidos o borrados.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL
Luego de la identificación de riesgos amenazas y vulnerabilidades se pudo determinar el conjunto de actividades más importantes a ser realizadas por el Banco, las cuales permitan alinear las medidas de seguridad existentes con las exigidas por las Políticas de Seguridad elaboradas. Estas actividades han sido agrupadas en un plan de implementación, el cual contiene los objetivos de cada actividad, el tiempo estimado de ejecución y las etapas a ser cubiertas en cada actividad identificada. Las actividades a ser realizadas por el Banco son las siguientes: Clasificación de la Información Seguridad de red y comunicaciones Inventario de accesos a los sistemas Adaptación de contratos con proveedores Campaña de concientización de usuarios
-
-
-
-
-
-
Verificación y adaptación de los sistemas del Banco Estandarización de la configuración del software base
-
Revisión y adaptación de procedimientos complementarios.
-
Para cada actividad se ha elaborado una breve descripción (objetivo), las tareas a ser desarrolladas (etapas), la relación de precedencia que presenta con otras actividades actividades y un tiempo estimado de duración. El tiempo estimado para el desarrollo de cada etapa debe ser revisado antes de iniciar la misma y puede sufrir variaciones de acuerdo a dicha evaluación final.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
7.1 Clasificación de Información Dependencia Tiempo estimado Objetivo
Ninguna 16 – 22 semanas Con el objetivo de proteger los activos de información de manera adecuada, se debe realizar un proyecto para la clasificación de la información utilizada por las distintas unidades de negocio, mediante la cual se podrán definir los recursos apropiados y necesarios para proteger los activos de información. El objetivo de la clasificación es priorizar la utilización de recursos para aquella información que requiere de mayores niveles de protección. Los criterios a ser empleados para la clasificación de la información son los siguientes: Información Restringida (R): Información con mayor grado de sensibilidad; el acceso a esta -
-
información debe de ser autorizado caso por caso. Información Confidencial (C): Información
sensible que solo debe ser divulgada a aquellas personas que la necesiten para el cumplimiento de sus funciones. Información de Uso Interno (I): Datos generados para facilitar las operaciones diarias; diari as; deben de ser manejados de una manera discreta, pero no requiere de medidas elaboradas de seguridad. - Información General (G): Información que es -
generada específicamente para su divulgación al público en general.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
Etapas
-
-
-
-
-
Elaboración de un inventario de activos de información incluyendo información almacenada en medios digitales e información impresa. Definición de responsables por activos identificados Clasificación de la información por parte de los responsables definidos. Consolidación de los activos de información clasificados. Determinación de las medidas de seguridad a ser aplicados para cada activo clasificado.
- Implementación de las medidas de seguridad determinadas previamente.
7.2 7.2 Seguridad de red y comunicaciones Dependencia Tiempo
Ninguna 11 – 17 semanas
estimado Objetivo
Etapas
Para evitar manipulación de los equipos de comunicaciones por personal no autorizado y garantizar que la configuración que poseen brinde mayor seguridad y eficiencia a las comunicaciones, se requiere que los equipos que soportan dicho servicio, se encuentren adecuadamente configurados. A. Adaptación de sistemas de comunicaciones comunicaciones a políticas políticas -
de seguridad. (Tiempo estimado: 3-5 semanas) Elaboración de un inventario de equipos comunicaciones comunicaciones (routers, (routers, switches, firewalls, etc)
de
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
-
-
-
Elaboración de estándares de configuración para los equipos de comunicaciones (basarse en la política de seguridad definida, documentación de proveedores, etc.) Evaluación de equipos identificados. Adaptación de los equipos a la política de seguridad. segurida d.
B. Adaptación a la arquitectura de red propuesta. (Tiempo estimado: 6-8 semanas) B.1. Creación de la Extranet: Controlar mediante un firewall la comunicación entre la red del Banco y redes externas como Banca Red y Reuters, para evitar actividad no autorizada desde dichas redes hacia los equipos de la red del Banco. B.2. Implementar una red DMZ para evitar el ingreso de conexiones desde Internet hacia la red interna de datos. Adicionalmente implementar un sistema de inspección de contenido con el propósito de monitorear la información que es transmitida vía correo electrónico entre el Banco e Internet. En la red DMZ se debe ubicar un servidor de inspección de contenido, el cual trabajaría de la siguiente manera: a) Ingreso de correo electrónico: El servidor de inspección de contenido, recibirá todos los correos enviados desde Internet, revisará su contenido y
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
los enviará al servidor Lotus Notes, quién los entregará a su destinatario final. b) Salida de correo electrónico: electrónico: El Servidor Servidor Lotus Notes enviará el correo electrónico al servidor de inspección de contenido, quién revisará el contenido del mensaje, para transmitirlo a través de Internet a su destino final. Esta nueva red DMZ puede ser empleada para ubicar nuevos equipos que brindarán servicios a través de Internet en el futuro tales como FTP, Web, etc. B.3. Implementar un sistema de Antivirus para servicios de Internet (SMTP, FTP, HTTP). Implementar un gateway antivirus de servicios de Internet, a través del cual pasarán las comunicaciones establecidas entre la red interna del Banco e Internet. (duración aproximada: 1 semana) B.4. Implementar un sistema de Alta Disponibilidad de firewalls en las conexiones donde fluye información crítica y se requiera una alta disponibilidad de las comunicaciones. (duración aproximada: 2 semanas) B.5. Implementar un sistema de monitoreo de Intrusos para detectar los intentos de intrusión o ataque desde redes externas hacia la red de datos del Banco. Asimismo se recomienda la
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
implementación del sistema en la red interna del Banco donde se ubican servidores críticos para detectar intentos de intrusión o ataque realizados desde la red interna del Banco hacia los servidores. (duración aproximada: 2 semanas) C. Proyectos complementarios complementarios (tiempo estimado 2-4 semanas) Evaluación de seguridad de la red inalámbrica y aplicación de controles de ser necesarios. -
-
-
-
-
Verificación de la configuración de: Servidor Proxy, Surf Control Firewall Servidor de correo electrónico
7.3 Inventario de accesos a los sistemas
Dependencia Tiempo
Ninguna 9 - 12 semanas
estimado Objetivo
Etapas
Con el propósito de obtener un control adecuado sobre el acceso de los usuarios a los sistemas del Banco, se debe realizar un inventario de todos los accesos que poseen ellos sobre cada uno de los sistemas. Este inventario debe ser actualizado al modificar el perfil de acceso de algún usuario y será utilizado para realizar revisiones periódicas de los accesos otorgados en los sistemas. Elaboración de un inventario de las aplicaciones y -
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
-
-
-
-
-
sistemas del Banco Elaboración de un inventario de los perfiles de acceso de cada sistema Verificación de los perfiles definidos en los sistemas para cada usuario Revisión y aprobación de los accesos por parte de las gerencias respectivas Depurar los perfiles accesos de los usuarios a los sistemas. Mantenimiento periódico del inventario.
7.4 7.4 Adaptación de contratos con proveedores Dependencia Tiempo
Ninguna 24 semanas (tiempo parcial)
estimado Objetivo
Etapas
Con el objetivo de asegurar el cumplimiento de las políticas de seguridad del Banco en el servicio brindado bri ndado por los proveedores, proveedores, es necesario realizar una revisión de los mismos y su grado de cumplimiento respecto a las políticas de seguridad definidas, de ser necesario dichos contratos deben ser modificados para el cumplimiento de la política de seguridad del Banco. Elaboración de cláusulas estándar referidas a seguridad de información, para ser incluidas en los contratos con proveedores Elaboración de un inventario de los contratos existentes -
-
-
con proveedores Revisión de los contratos y analizar el grado de
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
cumplimiento de la política de seguridad. - Negociar con los proveedores para la inclusión de las cláusulas en los contratos.
7.5 7.5 Campaña de concientización de usuarios. Dependencia
Tiempo estimado Objetivo
Etapas
Ninguna 5-7 semanas Con el ob objetivo de lograr un un compromiso iso y conc oncient ientiz izac ació iónn de los usuarios en temas referentes a seguridad de información del Banco, se debe realizar una campaña de concientización del personal la cual esté orientada a todo el personal como conceptos básicos de seguridad y a grupos específicos con temas correspondientes a sus responsabilidades en la organización. Definición de del me mensaje a transmitir y material a ser empleado para los distintos grupos de usuarios, entre ellos: Personal en general: información general sobre seguridad, políticas y estándares incluyendo protección de virus, contraseñas, seguridad física, sanciones, correo electrónico y uso de Internet. Personal de Sistemas: Políticas de seguridad, estándares y controles específicos para la tecnología y aplicaciones utilizadas. Gerencias y jefaturas: Monitoreo de seguridad, responsabilidades de supervisión, políticas de sanción. Identificación del personal de cada departamento que se encargará de actualizar a su propio grupo en temas de seguridad. Establecimiento de un cronograma de capacitación, el cual debe incluir, empleados nuevos, requerimientos anuales de capacitación, actualizaciones. Desarrollo el cronograma de presentaciones. - Realizar la campaña según el cronograma elaborado, asegurándose de mantener un registro actualizado de la capacitación de cada usuario.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
7.6 7.6 Verificación y adaptación de los sistemas del Banco. Dependencia Tiempo
Actividad A. 20 – 30 semanas
estimado bjetivo
Etapas
Con el objetivo de asegurar el cumplimiento de la política de seguridad en los controles existentes, se debe verificar el grado de cumplimiento de las políticas de seguridad en los sistemas del Banco y adaptarlos en caso de verificar su incumplimiento. Elaboración de un inventario de las aplicaciones -
-
-
-
-
existentes, incluyendo los servicios brindados a clientes como banca electrónica y banca telefónica. Elaboración de un resumen de los requisitos que deben cumplir las aplicaciones según la política y estándares de seguridad. Evaluación del grado de cumplimiento de la política de seguridad para cada una de las aplicaciones existentes y la viabilidad de su modificación para cumplir con la política de seguridad, elaborando la relación de cambios que deben ser realizados en cada aplicación. Adaptación de los sistemas a la política de seguridad (diseño, desarrollo, pruebas, actualización de la documentación, etc.) Estandarización de controles para contraseñas de los sistemas.
Los sistemas no requerirán modificaciones si su adaptación no es viable. - Pase a producción de sistemas adaptados. -
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
7.7 7.7 Estandarización de la configuración del software base Dependencia Tiempo
Ninguna 12 semanas
estimado Objetivo
Etapas
Con el objetivo de proteger adecuadamente la información existente en servidores y computadores personales, se debe realizar una adecuada configuración de los parámetros de seguridad del software base que soporta las aplicaciones del Banco. Finalización el proceso de migración migraci ón de computadores computadores personales a Windows XP o Windows 2000 Professional. Elaboración de un inventario de sistema operativo de servidores y computadores personales. Elaboración de estándares de configuración para Windows XP Professional, Windows 2000 Professional, Windows Windows NT Server, SQL Server Server y OS/400. Elaboración de un inventario de bases de datos existentes. Evaluación de los de sistemas identificados. - Adaptación del software base a la política de seguridad. -
-
-
-
-
7.8 7.8 Revisión, y adaptación de procedimientos complementarios complementarios Dependencia Tiempo
Actividad B. 8 semanas
estimado
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
Objetivo
Etapas
Adaptar los procedimientos y controles complementarios del Banco de acuerdo a lo estipulado en las l as políticas de seguridad. Revisión y adaptación de controles y estándares para desarrollo de sistemas Elaboración de procedimientos de monitoreo, incluyendo procedimientos para verificación periódica de carpetas compartidas, generación de copias de respaldo de información de usuarios, aplicación de controles de seguridad para información en computadores portátiles, etc. Elaboración de procedimientos de monitoreo monitoreo y reporte sobre la administración de los sistemas y herramientas -
-
-
de seguridad, entre ellas: antivirus, servidores de seguridad del contenido, servidor Proxy, servidor firewall, sistema de detección de intrusos. -
-
-
Establecimiento de controles para la información transmitida a clientes y proveedores. Revisión y establecimiento de controles para el almacenamiento físico de información. Revisión y establecimiento de controles para personal externo que realiza labores utilizando activos de información del Banco para el Banco (Soporte Técnico, Rehder, proveedores, etc.)
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
7.9 Cronograma tentativo de implementación implementación Los proyectos antes mencionados deben ser liderados por el área de seguridad informática y sus responsables deben ser definidos individualmente para cada uno de ellos. A continuación se presenta un cronograma sugerido para la realización de las actividades correspondientes al presente plan de implementación: implementación: ACTIVIDAD
Mes Mes Mes Mes Mes Mes Mes Mes Mes Mes 1 2 3 4 5 6 7 8 9 10
Clasificación de Información Seguridad de red y comunicaciones Inventario de Accesos a los sistemas Adaptación de contratos con proveedores Campaña de concientización de usuarios. Verificación y adaptación de los sistemas del Banco. Estandarización de la configuración del software base Revisión y adaptación de procedimientos complementarios Nota: La duración de los proyectos está sujeta a variaciones dependientes a la situación existente y el análisis realizado previo a cada actividad
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
CONCLUSIONES Y RECOMENDACIONES
Dentro de las principales conclusiones y recomendaciones más importantes tenemos: •
Para nadie es un secreto la importancia de implementar un programa completo de seguridad de la información. Sin embargo, crear un programa de seguridad con componentes "bloqueadores de cookies" rara vez produce resultados efectivos. Lo más efectivo es utilizar una metodología comprobada que diseñe el programa de seguridad con base en las necesidades de su empresa, recuerde cada empresa es diferente.
•
La clave para desarrollar con éxito un programa efectivo de seguridad de la información consiste en recordar que las políticas, estándares y procedimientos de seguridad de la información son un grupo de documentos interrelacionados. La relación de los documentos es lo que dificulta su desarrollo, aunque es muy poderosa cuando se pone en práctica. Muchas organizaciones ignoran esta interrelación en un esfuerzo por simplificar el proceso de desarrollo. Sin embargo, estas mismas relaciones son las que permiten que las organizaciones exijan y cumplan los requerimientos de seguridad.
•
¿Por qué las organizaciones necesitan una Política de Seguridad de
la
Información?
Por lo general se argumenta que las organizaciones requieren una Política de Seguridad de la Información para cumplir con sus "requerimientos de seguridad de la información". Ciertamente, muchas organizaciones no tienen requerimientos de seguridad de la información Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
como tal, sino que tienen necesidades empresariales que deben desarrollar e implementar. Las empresas, especialmente las compañías cotizadas en bolsa y las l as organizaciones gubernamentales, están sujetas a las reglamentaciones operacionales de los gobiernos estatales y locales, así como de los organismos que reglamentan la industria. En el caso de las compañías cotizadas en bolsa, los funcionarios corporativos deben ser diligentes en sus operaciones y tener responsabilidad fiduciaria ante los accionistas - estas estipulaciones jurídicas requieren efectivamente que la organización proteja la información que utiliza, a la que tiene acceso o que crea para que la compañía opere con eficiencia y rentabilidad. Entonces surge la necesidad de proteger la información la necesidad no es académica, ni es creada por los "genios técnicos" que buscan justificar su existencia en la organización. •
¿La seguridad de la información siempre requiere inversión adicional?
Las empresas podrían o no necesitar más recursos, esto depende del enfoque adoptado por la organización para el desarrollo de las políticas. Una Política de Seguridad de la Información generalmente exige que todos en la organización protejan la información para que la empresa pueda cumplir con sus responsabilidades reglamentarias, jurídicas y fiduciarias. Se usa mal y con frecuencia las palabras "generalmente" y "proteger" para justificar mayor inversión cuando no es necesaria. Esto puede parecer contrario a la intuición, pero la inversión adicional para proteger la información no siempre garantiza el éxito. Pero si es recomendable tener un presupuesto asignado para cumplir con estos fines. Para evaluar las necesidades de inversión, debe consultar estas "reglas" en orden secuencial:
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
Regla Regl a Nº 1: 1: Saber qué información tiene y donde se encuentra. Regla Nº 2: Saber el valor de la información que se tiene y la dificultad
de volverla a crear si se daña o pierde. Regla Nº 3: Saber quiénes están autorizados para acceder a la información y que pueden hacer con ella. Regla Regl a Nº 4: 4: Saber la velocidad con que puede acceder a la información si no está disponible por alguna razón (por pérdida, modificación no autorizada, etc.) Estas cuatro reglas son aparentemente simples. Sin embargo, las respuestas permitirán el diseño e implementación de un programa de protección a la información puesto que las respuestas pueden ser muy difíciles. No toda la información tiene el mismo valor y por lo tanto no requiere el mismo nivel de protección (con el costo que implica). •
Es clave entender por qué se necesita proteger la información,
desde un punto de vista comercial es clave determinar la necesidad de tener una Política de Seguridad de la Información. Para ello, se necesitara saber cuál es la información y en donde se encuentra para que pueda proceder a definir los controles que se necesitan para protegerla. •
Características principales de una Política de Seguridad de la Información: ü
Debe estar escrita en lenguaje simple, pero jurídicamente viable
ü
Debe basarse en las razones que tiene la empresa para proteger la información
ü
Debe ser consistente con las demás políticas polít icas organizacionales
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
ü
Debe hacerse cumplir - se exige y mide el cumplimiento
ü
Debe tener en cuenta los aportes hechos por las personas afectadas por la política
ü
Debe definir el papel y responsabilidades de las personas, departamentos y organizaciones para los que aplica la política
ü
No debe violar las políticas locales, estatales
ü
Debe definir las consecuencias en caso de incumplimiento de la política
ü
Debe estar respaldada por documentos "palpables", como los estándares y procedimientos para la seguridad de la información, que se adapten a los cambios en las operaciones de las empresas, las necesidades, los requerimientos jurídicos y los cambios tecnológicos.
ü
•
Debe ser aprobada y firmada por el gerente general de la organización. No obtener este compromiso significa que el cumplimiento de la política es opcional - situación que hará que fracase las políticas de protección de la información.
Redactar una política para la seguridad de la información puede ser sencillo comparado con su implementación y viabilidad. La política organizacional y las presiones por lo general aseguran que habrá dificultad y consumo de tiempo para crear y adoptar una Política de Seguridad de la Información, a menos que un "líder fuerte" dirija el programa de políticas. Esta persona generalmente es un "político", una persona influyente, un facilitador y sobretodo una persona que sepa
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
escuchar, para que pueda articular y aclarar las inquietudes y temores de las personas respecto a la introducción de una nueva política.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
ANEXOS A. DISEÑO DE ARQUITECTURA DE SEGURIDAD DE RED ARQUITECTURA DE SEGURIDAD DE RED
Con el propósito de incrementar la seguridad de la plataforma tecnológica del Banco, se realizó un análisis de su actual arquitectura de red principalmente en el control de conexiones con redes externas. Producto de dicho análisis se diseño una nueva arquitectura de red, la cual posee controles de acceso para las conexiones y la ubicación recomendada para los detectores de intrusos a ser implementados por el Banco. A continuación se muestra el diagrama con la arquitectura de red propuesta.
Fig 1: Arquitectura de red propuesta.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
Para lograr implementar esta arquitectura de red, se deben realizar un conjunto de cambios los cuales se detallan a continuación: 1. Creación de la Extranet: Controlar mediante un firewall la comunicación entre la red del Banco y redes externas como Banca Red y Reuters, para evitar actividad no autorizada desde dichas redes hacia los equipos de la red del Banco. 2. Implementar una red DMZ para evitar el ingreso de conexiones desde Internet hacia la red interna de datos. Adicionalmente implementar un sistema de inspección de contenido con el propósito de monitorear la información que es transmitida vía correo electrónico entre el Banco e Internet. En la red DMZ se debe ubicar un servidor de inspección de contenido, el cual trabajaría de la siguiente manera: a. Ingreso de correo electrónico: El servidor de inspección inspección de contenido, recibirá todos los los correos enviados enviados desde desde Internet, revisará su contenido y los enviará al servidor Lotus Notes, quién los entregará a su destinatario final. b. Salida de correo correo electrónico: El Servidor Lotus Notes enviará el correo electrónico al servidor de inspección de contenido, quién revisará el contenido del mensaje, para transmitirlo a través de Internet a su destino final. Esta nueva red DMZ puede ser empleada para ubicar nuevos equipos que brindarán servicios a través de Internet en el futuro tales como FTP, Web, etc. 3. Para controlar el ingreso de virus informáticos desde desde Internet, así como para prevenir el envío de mensajes electrónicos conteniendo virus informático, se recomienda implementar un primer nivel de protección Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
antivirus mediante un sistema de inspección de servicios de Internet. Este sistema inspeccionará la información recibida desde Internet, así como la información enviada hacia otras entidades vía Internet Este sistema debe inspeccionar la navegación de los usuarios (HTTP HyperText Transfer Protocol), la transferencia de archivos (FTP – File Transfer Protocol) y el intercambio de corroe electrónico (SMTP – Simple mail Transfer Protocol). Protocol) . 4. Luego de implementados los cambios previamente detallados, el Firewall se torna en un punto crítico para las comunicaciones del Banco, por lo cual se requiere implementar un sistema de Alta Disponibilidad de Firewalls, el cual permita garantizar que el canal de comunicación permanezca disponible en caso de falla de uno de los Firewalls. Firewall s. 5. Con el propósito de prevenir la realización de actividad no autorizada desde redes externas hacia la red del Banco y desde la red interna del Banco hacia los servidores y hacia Internet, se debe implementar un sistema de detección de intrusos que inspeccione el tráfico que circula por segmentos de red estratégicos tales como: -
-
-
-
Internet, para detectar la actividad sospechosa proveniente desde Internet. Red DMZ, para detectar la actividad dirigida contra los servidores públicos que logró atravesar el Firewall. Extranet, para detectar actividad realizada desde las redes externas con las que se posee conexión. Puntos estratégicos de la red interna, los cuales permitan detectar la actividad realizada contra los equipos críticos del Banco.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
B. CIRCULAR N° G-105-2002 PUBLICADA POR LA SUPERINTENDENCIA DE BANCA Y SEGUROS (SBS) SOBRE RIESGOS DE TECNOLOGÍA DE INFORMACIÓN
Lima, 22 de febrero de 2002 CIRCULAR CIRCULAR Nº Nº G - 105 1 05 - 2002 2 002 ----------------------------------------------Ref.: Riesgos de tecnología de información -----------------------------------------------
Señor Gerente General
Sírvase tomar nota que, en uso de las atribuciones conferidas por el numeral 7 del artículo 349º de la Ley General del Sistema Financiero y del Sistema de Seguros Orgánica de la Superintendencia de Banca y Seguros - Ley Nº 26702 y sus modificatorias, en adelante Ley General, y por la Resolución SBS N° 1028-2001 del 27 de diciembre de 2001, con la finalidad de establecer criterios mínimos para la identificación y administración de los riesgos asociados a la tecnología de información, a que se refiere el artículo 10º del Reglamento para la Administración de los Riesgos de Operación, aprobado mediante la Resolución SBS Nº 006-2002 del 4 de enero de 2002, esta Superintendencia ha considerado conveniente establecer las siguientes disposiciones: Alcance
Artículo 1º.- Las disposiciones de la presente norma son aplicables a las empresas señaladas en los artículos 16° y 17° de la Ley General, al Banco Agropecuario, a Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
la Corporación Financiera de Desarrollo S.A. (COFIDE), al Banco de la Nación, a la Fundación Fondo de Garantía para Préstamos a la Pequeña Industria (FOGAPI) y a las derramas y cajas de beneficios que se encuentren bajo la supervisión de esta Superintendencia, en adelante empresas. Definiciones
Artículo 2º .- Para efectos de la presente norma, serán de aplicación las siguientes definiciones: a. Información: Información: Cualquier forma de registro electrónico, óptico, magnético o en otros medios similares, susceptible de ser procesada, distribuida y almacenada. b. Ley General: Ley N° 26702, Ley General del Sistema Financiero y del Sistema de Seguros y Orgánica de la Superintendencia de Banca y Seguros. c. Proceso crítico: Proceso considerado considerado indispensable para para la continuidad de de las operaciones y servicios de la empresa, y cuya falta o ejecución deficiente puede tener un impacto financiero significativo para la empresa. d. Reglamento: Reglamento para la Administración de los Riesgos de Operación aprobado por Resolución SBS N° 006-2002 del 4 de enero de 2002. e. Riesgos de operación: Entiéndase por riesgos de operación operación a la posibilidad de ocurrencia de pérdidas financieras por deficiencias o fallas en los procesos internos, en la tecnología de información, en las personas o por ocurrencia de eventos externos adversos. f. Riesgos de tecnología de información: Los riesgos de operación asociados a los sistemas informáticos y a la tecnología relacionada a dichos sistemas,
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
que pueden afectar el desarrollo de las operaciones y servicios que realiza la empresa al atentar contra la confidencialidad, integridad y disponibilidad de la información, entre otros criterios. g. Seguridad de la información: Característica de la información que se logra mediante la adecuada combinación de políticas, procedimientos, estructura organizacional y herramientas informáticas especializadas a efectos que dicha información cumpla los criterios de confidencialidad, integridad y disponibilidad. h. Objetivo de control: Una declaración del propósito o resultado deseado mediante la implementación de controles apropiados en una actividad de tecnología de información particular.
Responsabilidad Responsabilidad de la empresa
Artículo 3°.- Las empresas deben establecer e implementar las políticas y procedimientos necesarios para administrar de manera adecuada y prudente los riesgos de tecnología de información, incidiendo en los procesos críticos asociados a dicho riesgo, considerando las disposiciones contenidas en la presente norma, en el Reglamento, y en el Reglamento del Sistema de Control Interno aprobado mediante la Resolución SBS Nº 1040-99 del 26 de noviembre de 1999. La administración de dicho riesgo debe permitir el adecuado cumplimiento de los siguientes criterios de control interno: i.
Eficacia . La información debe ser relevante y pertinente para los objetivos
de negocio y ser entregada en una forma adecuada y oportuna conforme las necesidades de los diferentes niveles de decisión y operación de la empresa.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
ii. ii .
Eficiencia. La información debe ser producida y entregada de forma
productiva y económica. iii.
Confidencialidad. La información debe ser accesible sólo a aquellos que
se encuentren debidamente autorizados. iv. iv.
Integridad. La información debe ser completa, exacta y válida.
v.
Disponibilidad. La información debe estar disponible en forma organizada
para los usuarios autorizados cuando sea requerida. vi.
Cumplimiento normativo. La información debe cumplir con los criterios
estándares internos de la empresa, las regulaciones definidas externamente por el marco legal aplicable y las correspondientes entidades reguladoras, así como los contenidos de los contratos pertinentes. Estructura Estructura organizacional y procedimientos procedimientos
Artículo 4°.- Las empresas deben definir y mantener una estructura organizacional y procedimientos que les permita administrar adecuadamente los riesgos asociados a la tecnología de información, consistente con su tamaño y naturaleza, así como con la complejidad de las operaciones que realizan. Administración de la seguridad de información
Artículo 5º.- Las empresas deberán establecer, mantener y documentar un sistema de administración de la seguridad de la información, en adelante "Plan de Seguridad de la información - (PSI)". El PSI debe incluir los activos de tecnología que deben ser protegidos, la metodología usada, los objetivos de control y controles, así como el grado de seguridad requerido. Las actividades mínimas que deben desarrollarse para implementar el PSI, son las siguientes:
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
a. Definición de una política de seguridad. b. Evaluación de riesgos de seguridad a los que está expuesta la información c. Selección de controles y objetivos objetivos de control para reducir, eliminar o evitar los riesgos identificados, indicando las razones de su inclusión i nclusión o exclusión. d. Plan de implementación de los controles y procedimientos de revisión periódicos. e. Mantenimiento de registros adecuados que permitan verificar el cumplimiento de las normas, estándares, políticas, procedimientos y otros definidos por la empresa, así como mantener pistas adecuadas de auditoria. Las empresas bancarias y las empresas de operaciones múltiples que accedan al módulo 3 de operaciones a que se refiere el artículo 290º de la Ley General deberán contar con una función de seguridad a dedicación exclusiva. Subcontratación Subcontratación (outsourcing)
Artículo 6º.- La empresa es responsable y debe verificar que se mantengan las características de seguridad de la información contempladas en la presente norma, incluso cuando ciertas funciones o procesos críticos puedan ser objeto de una subcontratación. Para ello se tendrá en cuenta lo dispuesto en la Primera Disposición Final y Transitoria del Reglamento. Asimismo, la empresa debe asegurarse y verificar que el proveedor del servicio sea capaz de aislar el procesamiento y la información objeto de la subcontratación, en todo momento bajo cualquier circunstancia. En caso que las empresas deseen realizar su procesamiento principal en el exterior, requerirán de la autorización previa y expresa de esta Superintendencia.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
Las empresas que a la fecha de vigencia de la presente norma se encontrasen en la situación antes señalada, deberán solicitar la autorización correspondiente. Para la evaluación de estas autorizaciones, las empresas deberán presentar documentación que sustente lo siguiente: a) La forma en que la empresa asegurará el cumplimiento de la presente circular y la Primera Disposición Final y Transitoria del Reglamento. b) La empresa, así como los representantes de de quienes brindarán el servicio de procesamiento en el exterior, deberán asegurar adecuado acceso a la información con fines de supervisión, en tiempos razonables y a solo requerimiento. Aspectos de la seguridad de información
Artículo 7°.- Para la administración de la seguridad de la información, las empresas deberán tomar en consideración los siguientes aspectos: 7.1 Seguridad lógica Las empresas deben definir una política para el control contr ol de accesos, que incluya los criterios para la concesión y administración de los accesos a los sistemas de información, redes y sistemas operativos, así como los derechos y atributos atr ibutos que se confieren. Entre otros aspectos, debe contemplarse lo siguiente: a) Procedimientos formales para la concesión, administración de derechos perfiles, así como la revocación de usuarios. Revisiones periódicas deben efectuarse sobre los derechos concedidos a los usuarios. b) Los usuarios deben contar contar con una identificación para su uso uso personal, de tal manera que las posibles responsabilidades puedan ser seguidas e identificadas. c) Controles especiales sobre utilidades del sistema y herramientas de auditoria.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
d) Seguimiento sobre el acceso acceso y uso de los sistemas y otras instalaciones físicas, para detectar actividades no autorizadas. e) Usuarios remotos y computación móvil. 7.2 Seguridad de personal Las empresas deben definir procedimientos para reducir los riesgos asociados al error humano , robo, fraude o mal uso de activos, vinculados al riesgo de tecnología de información. Al establecer estos procedimientos, deberá tomarse en consideración, entre otros aspectos, la definición de roles y responsabilidades establecidos sobre la seguridad de información, verificación de antecedentes, políticas de rotación y vacaciones, y entrenamiento. 7.3 Seguridad física y ambiental Las empresas deben definir controles físicos al acceso, daño o interceptación de información. El alcance incluirá las instalaciones físicas, áreas de trabajo, equipamiento, cableado, entre otros bienes físicos susceptibles a riesgos de seguridad. Se definirán medidas adicionales para las áreas de trabajo con necesidades especiales de seguridad, como los centros de procesamiento, entre otras zonas en que se maneje información que requiera de alto nivel de protección. 7.4 Clasificación de seguridad Las empresas deben realizar un inventario periódico de activos asociados a la tecnología de información que tenga por objetivo proveer la base para una posterior clasificación de seguridad de dichos activos. Esta clasificación debe indicar el nivel de riesgo existente para la empresa en caso de falla sobre la seguridad, así como las medidas apropiadas de control que deben asociarse a las clasificaciones.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
Administración Administración de las operaciones y comunicaciones comunicaciones
Artículo 8º.- Las empresas deben establecer medidas de administración de las operaciones y comunicaciones que entre otros aspectos contendrán lo siguiente: Control sobre los cambios en el ambiente operativo, que incluye cambios en los sistemas de información, las instalaciones de procesamiento y los procedimientos. - Control sobre los cambios del ambiente de desarrollo al de producción. - Separación de funciones para reducir el riesgo de error o fraude. - Separación del ambiente de producción y el de desarrollo. -
-
-
- Controles preventivos y de detección sobre el uso de software de procedencia dudosa, dudosa, virus y otros similares. Seguridad sobre las redes, medios de almacenamiento y documentación de sistemas. - Seguridad sobre correo electrónico. Seguridad sobre banca electrónica.
Desarrollo y mantenimiento de sistemas informáticos - Requerimientos de seguridad
Artículo 9º.- Para la administración de la seguridad en el desarrollo y mantenimiento de sistemas informáticos, se debe tomar en cuenta, entre otros, los siguientes criterios: a) Incluir en el análisis de requerimientos para nuevos sistemas sistemas o mejoras a los sistemas actuales, controles sobre el ingreso de información, el procesamiento y la información de salida. b) Aplicar técnicas de encriptación sobre la información crítica que debe ser protegida. c) Definir controles sobre la implementación de aplicaciones aplicaciones antes del ingreso a producción. d) Controlar el acceso a las librerías de programas fuente.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
e) Mantener un estricto y formal control de cambios, que será debidamente debidamente apoyado por sistemas informáticos en el caso de ambientes complejos o con alto número de cambios. Procedimientos de respaldo
Artículo 10º.- Las empresas deben establecer procedimientos de respaldo regulares y periódicamente validados. Estos procedimientos deben incluir las medidas necesarias para asegurar que la información esencial pueda ser recuperada en caso de falla en los medios o luego de un desastre. Estas medidas serán coherentes con lo requerido en el Plan de Continuidad. La empresa debe conservar la información de respaldo y los procedimientos de restauración en una ubicación remota, a suficiente distancia para no verse comprometida ante un daño en el centro principal de procesamiento. Planeamiento para la continuidad de negocios
Artículo 11º.- Las empresas, bajo responsabilidad de la Gerencia y el Directorio, deben desarrollar y mantener un "Plan de Continuidad de Negocios" (PCN), que tendrá como objetivo asegurar un nivel aceptable de operatividad de los procesos críticos, ante fallas mayores internas o externas. Criterios para el diseño e implementación del Plan de Continuidad de Negocios
Artículo 12º.- Para el desarrollo del PCN se debe realizar previamente una evaluación de riesgos asociados a la seguridad de la información. Culminada la evaluación, se desarrollarán sub-planes específicos para mantener o recuperar los procesos críticos de negocios ante fallas en sus activos, causadas por eventos internos (virus, errores no esperados en la implementación, otros), o externos (falla en las comunicaciones o energía, incendio, terremoto, proveedores, otros).
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
Prueba del Plan de Continuidad de Negocios
Artículo 13º.- La prueba del PCN es una herramienta de la dirección para controlar los riesgos sobre la continuidad de operación y sobre la disponibilidad de la información, por lo que la secuencia, frecuencia y profundidad de la prueba del PCN, deberá responder a la evaluación formal y prudente que sobre dicho riesgo realice cada empresa. En todos los casos, mediante una única prueba o una secuencia de ellas, según lo considere adecuado cada empresa de acuerdo a su evaluación de riesgos, los principales aspectos del PCN deberán ser probados cuando menos cada dos años. Anualmente, dentro del primer mes del ejercicio, se enviará a la Superintendencia el programa de pruebas correspondiente, en que se indicará las actividades realizar durante el ciclo de 2 años y una descripción de los objetivos a alcanzar en el año que se inicia. Cumplimiento formativo
Artículo 14º.- La empresa deberá asegurar que los requerimientos legales, contractuales, o de regulación sean cumplidos, y cuando corresponda, incorporados en la lógica interna de las aplicaciones informáticas. Privacidad de la información
Artículo 15º .- Las empresas deben adoptar medidas que aseguren razonablemente la privacidad de la información que reciben de sus clientes y usuarios de servicios, conforme la normatividad vigente sobre la materia. Auditoria Interna y Externa
Artículo 16º.- La Unidad de Auditoria Interna deberá incorporar en su Plan Anual de Trabajo la evaluación del cumplimiento de lo dispuesto en la presente norma. Asimismo, las Sociedades de Auditoria Externa deberán incluir en su informe
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
sobre el sistema de control interno comentarios dirigidos a indicar si la entidad cuenta con políticas y procedimientos para la administración de los riesgos de tecnología de información, considerando asimismo, el cumplimiento de lo dispuesto en la presente norma. Auditoria de sistemas
Artículo 17º.- Las empresas bancarias y aquellas empresas autorizadas a operar en el Módulo 3 conforme lo señalado en el artículo 290° de la Ley General, deberán contar con un servicio permanente de auditoria de sistemas, que colaborará con la Auditoria interna en la verificación del cumplimiento de los criterios de control interno para las tecnologías de información, así como en el desarrollo del Plan de Auditoria. El citado servicio de auditoria de sistemas tomará en cuenta, cuando parte del procesamiento u otras funciones sean realizadas por terceros, que es necesario conducir su revisión con los mismos estándares exigidos a la empresa, por lo que tomará en cuenta las disposiciones indicadas en la Primera Disposición Final Transitoria del Reglamento. Las empresas autorizadas para operar en otros módulos, para la verificación del cumplimiento antes señalado, deberán asegurar una combinación apropiada de auditoria interna y/o externa, compatible con el nivel de complejidad y perfil de riesgo de la empresa. La Superintendencia dispondrá un tratamiento similar a las empresas pertenecientes al módulo 3, cuando a su criterio la complejidad de sus sistemas informáticos y su perfil de riesgo así lo amerite. Información a la Superintendencia
Artículo 18°.- El informe anual que las empresas deben presentar a la Superintendencia, según lo dispuesto en el Artículo 13° del Reglamento, deberá
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
incluir los riesgos de operación asociados a la tecnología de información, como parte integral de dicha evaluación, para lo cual se sujetará a lo dispuesto en dicho Reglamento y a lo establecido en la presente norma. Sanciones
Artículo 19°.- En caso de incumplimiento de las disposiciones contenidas en la presente norma, la Superintendencia aplicará las sanciones correspondientes de conformidad con lo establecido en el Reglamento de Sanciones. Plan de adecuación
Artículo 20°.- En el Plan de Adecuación señalado en el segundo párrafo de la Cuarta Disposición Final y Transitoria del Reglamento, las empresas deberán incluir un sub-plan para la adecuación a las disposiciones contenidas en la presente norma. Plazo de adecuación
Artículo 21°.- Las empresas contarán con un plazo de adecuación a las disposiciones de la presente norma que vence el 30 de junio j unio de 2003
Atentamente,
SOCORRO HEYSEN ZEGARRA Superintendente de Banca y Seguros (e)
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
C. DETALLE: DIAGNOSTICO DE LA SITUACION ACTUAL DE LA ADMINISTRACIÓN DE LOS RIESGOS DE TECNOLOGIA TECNOLOGI A DE LA INFORMACION
La siguiente matriz muestra puntos específicos de la l a situación actual en cuanto a la administración de seguridad y los compara contra los requerimientos de la Circular G-105-2002 de la Superintendencia, contempla los siguientes aspectos: 1. Estructura de la organización de seguridad de la información 1.1 Roles y responsabilidades 2. Plan de seguridad de la información 2.1 Políticas, estándares y procedimientos de seguridad 2.2 Seguridad lógica 2.3 Seguridad de personal 2.4 Seguridad física y ambiental 2.5 Clasificación de seguridad 3. Administración de las operaciones y comunicaciones. 4. Desarrollo y mantenimiento de sistemas informáticos. 5. Procedimientos de respaldo. 6. Subcontratación (Relación y status de los contratos con terceros en temas críticos) 7. Cumplimiento normativo 8. Privacidad de la información 9. Auditoria interna y externa El detalle de la evaluación de las áreas mencionadas se muestra en una matriz cuyo contenido es el siguiente:
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
- Situación Actual: Muestra un resumen de la situación encontrada en el Banco a partir de la información relevada durante las entrevistas y de los documentos entregados.
- Mejores Practicas: Muestra un resumen de las mejores prácticas en el sector y los requerimientos mencionadas en la Circular G105-2002 de la SBS uno de los motivos del presente trabajo.
- Análisis de Brecha: Muestra de manera gráfica la brecha existente entre la situación actual y los requerimientos de la SBS y las mejores prácticas del sector. Análisis S i t u a c i ó n Ac t u a l
SB S , M e j o r e s P r á c t i c a s
De Brecha
1 ESTRUCTURA ORGANIZACIONAL PARA LA ADMINISTRACIÓN DE RIESGOS DE T ECNOLOGÍA D E INFORMACIÓN 1.
El Banco cuenta con las siguientes unidades:
Se
debería
contemplar
los
siguientes aspectos: División de Riesgo: Órgano dependiente de la
-
Definición y mantenimiento de
Gerencia General, encargado de medir y controlar
una estructura organizacional
la calidad y capacidad de endeudamiento de los
que
clientes, con el objeto de mantener adecuados
adecuadamente
niveles de riesgo crediticio, crediticio , tanto para aquellos aquell os
asociados a la tecnología de
que se encuentren en evaluación, como aquellos
información.
que ya han sido utilizados y se encuentran en pleno proceso de cumplimiento de reembolsos. Asimismo,
los
riesgos
-
por la seguridad de las instalaciones del Banco, así como del personal y Clientes que se
riesgos
La unidad de riesgo deberá
TI.
-
La
responsabilidad
de
la
seguridad de la Información
Pacheco. Area de Seguridad: Seguridad: Órgano encargado de velar
los
la administración del riesgo de
genéricamente Riesgos de Mercado. Cuenta con Tecnológicos a cargo de la Srta. Patricia
administrar
contar con un responsable de
denominados
un departamento de Riesgos Operativos y
permita
debería ser ejercida de forma exclusiva.
-
El Departamento de Riesgos Operativos
y
Tecnológicos
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
Análisis S i t u a c i ó n Ac t u a l
SB S , M e j o r e s P r á c t i c a s
De Brecha
encuentran y transitan en ellas.
debería
contar
con
estructura
acorde
Area de Seguridad Informática Informática:: Enfocada a los
riesgos
de
aspectos de accesos a los aplicativos y sistemas.
evaluados para Banco y definir
Área que originalmente formo parte de Soporte
indicadores
Técnico (Agosto 2001). No considera en sus
monitorear los mismos.
funciones las referentes a seguridad de la plataforma y de la información.
-
funciones son las de:
-
Efectuar
periódicas
de
la
a
y
Tecnológicos
definir
los
mencionados indicadores en conjunto
evaluaciones
ayuden
El Departamento de Riesgos Operativos
Sistemas: Entre otras, sus
de
los
tecnología
que
debería Auditoria
con
una
con
el
área
de
sistemas del Banco.
capacidad y apropiada utilización de los recursos de cómputo.
-
Verificar el cumplimiento de las normas y procedimientos referidos a las Áreas de Desarrollo
de
Sistemas
y
Soporte
Tecnológico, participando junto con estas instancias y los usuarios directos durante el ciclo de desarrollo de sistemas para la implantación de adecuados controles internos y pistas de auditoria, incluyendo su posterior evaluación y seguimiento. Se ha observado que la documentación existente con respecto a las distintas áreas se encuentra desactualizada. No
existe
dentro
de
la
estructura
roles
equivalentes al de Oficial de Seguridad. 2 PLAN DE S EGURIDAD DE LA INFORMACIÓN
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
Análisis S i t u a c i ó n Ac t u a l
SB S , M e j o r e s P r á c t i c a s
De Brecha
2
El Banco no cuenta con un plan de Seguridad de
Se
deberían
contemplar
los
la Información formalmente documentado que siguientes aspectos: guíe las distintas normas con que cuenta el
-
Banco referentes a los riesgos y seguridad de la Tecnología de Información.
Definición de una política de seguridad.
-
Evaluación
de
riesgos
de
seguridad a los que está expuesta la información.
-
Inventario
de
riesgos
de
seguridad de la información.
-
Selección objetivos
de de
controles control
y
para
reducir, eliminar y evitar los riesgos identificados, indicando las razones de su inclusión o exclusión
-
Plan de implementación de los controles y procedimientos de revisión periódicos.
-
Mantenimiento
de
adecuados
registros
que
permitan
verificar el cumplimiento de las normas, estándares, políticas, procedimientos
y
otros
definidos por la empresa, así como
mantener
pistas
de
auditoria. 2.1 POLÍTICAS , ESTÁNDARES Y P ROCEDIMIENTOS DE S EGURIDAD 2.1
El Banco no cuenta con políticas de seguridad La definición de una política de formalmente documentadas que indiquen los
seguridad debería contemplar:
procedimientos de seguridad a ser adoptados
-
Declaración
escrita
de
la
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
Análisis S i t u a c i ó n Ac t u a l
SB S , M e j o r e s P r á c t i c a s
De Brecha
para salvaguardar la información de posibles pérdidas en la integridad, disponibilidad y
política.
-
confidencialidad.
Definición de la propiedad de la Política.
Sin embargo, se ha observado la existencia de controles específicos en distintos aspectos de la seguridad de la Información, que detallamos a continuación.
-
Políticas
debidamente
comunicadas.
-
Autoridad definida para realizar cambios en la Política.
-
Aprobación por el área legal. Alineamiento de la política con la organización.
-
Definición de responsabilidades responsabilidades de la seguridad.
-
Confirmación de usuarios de conocimiento de la política. política.
2.2 SEGURIDAD LÓGICA 2.2
Hemos observado la existencia, entre otros
La
aspectos, de:
contemplar los siguientes aspectos:
-
-
Procedimientos definidos en el área de
debería
Definición de procedimientos formales para la administración
de perfiles y accesos a usuarios, incluyendo
de perfiles y usuarios.
-
mismos.
Identificación
única
de
usuarios.
Accesos a los sistemas de información del
-
Controles sobre el uso de
Banco controlados al nivel de red de datos y
herramientas de auditoria y
aplicación, para lo cual cada usuario cuenta
utilidades
con IDs y contraseñas de uso estrictamente
sistema.
personal
y
de
responsabilidad
de
los
usuarios.
-
Lógica
sistemas para la concesión y administración la revocación y revisiones periódicas de los
-
Seguridad
Controles de acceso a herramientas de
-
sensibles
del
Controles sobre el acceso y uso de los sistemas y otras instalaciones físicas.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
Análisis S i t u a c i ó n Ac t u a l
SB S , M e j o r e s P r á c t i c a s
De Brecha
-
auditoria en los sistemas de información.
-
Controles de acceso parciales a utilidades
-
sobre
usuarios
remotos y computación móvil.
-
sensibles del sistema.
Controles
Administración restringida de
Generación parcial de pistas de auditoria en
los equipos de acceso remoto y
los sistemas de información.
configuración de seguridad del mismo.
Hemos observado que no cuenta con:
-
Controles de acceso a utilidades sensibles del sistema sobre estaciones de trabajo Win98/95.
-
Habilitación de opciones de auditoria en los sistemas operativos de red.
-
Procedimientos de revisión de pistas de auditoria que contemplen no solo los registros del computador central.
2.3 SEGURIDAD DE P ERSONAL Hemos observado que el Banco se encuentra en
Se debería considerar:
un proceso de normalización llevado a cabo por el
-
Procedimientos de revisión de
área de RRHH RRHH y la de OyM el cual incluye i ncluye entre
datos
otros aspectos:
selección de personal previo a
-
Formalización de normas y procedimientos procedimientos de
su
las distintas áreas del Banco.
Referencias
de
carácter,
Identificación de información relevante a
verificación
de
estudios,
entregar a los nuevos trabajadores por área
revisión de crédito –si aplica- y
de trabajo.
revisión
-
Normalización
de
entrega
de
dicha
información a los actuales trabajadores
en
el
proceso
contratación
de (Ex.
independiente
de
identidad)
-
Entrega formal de las políticas
incluyendo documento de confirmación de
de
manejo
conocimiento.
confidencial
de a
información los
nuevos
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
Análisis S i t u a c i ó n Ac t u a l
SB S , M e j o r e s P r á c t i c a s
De Brecha
integrantes del Banco. Adicionalmente hemos observado que RRHH
-
Definición
apropiada
de
considera dentro del proceso de evaluación de
responsabilidad
personal nuevo, la verificación de distintos
seguridad es parte de los
aspectos de personales a modo de preselección o
términos y condiciones de la
filtro de personal idóneo para el Banco.
aceptación del empleo (ex.
sobre
la
Términos en el contrato).
-
Difusión de las políticas con respecto
al
actividades
monitoreo en
la
de
red
y
sistemas de información, antes entregar IDs a usuarios. 2.4 SEGURIDAD FÍSICA Y AMBIENTAL Hemos observado la existencia, entre otros
Se
aspectos, de:
siguientes aspectos:
-
Controles ambientales así como medidas Existen procedimientos definidos para el deshecho de papeles de trabajo.
-
Las copias de respaldo son almacenadas de manera segura.
-
-
Monitoreo constante de las instalaciones del
preventivas y correctivas ante incendios.
-
Áreas seguras
Procedimientos de reubicación de sensibles establecidos y en proceso de empleados
Banco.
-
los
Normas de control de acceso físico a áreas mejora en el caso de la oficina principal.
-
considerar
Controles de acceso adecuados a sus activos físicos e instalaciones
-
debería
Controles de áreas de carga y descarga.
-
Controles físicos de entrada. Seguridad del perímetro físico de las instalaciones.
-
Procedimientos de Remoción o reubicación de activos.
-
Aseguramiento
de
oficinas,
áreas de trabajo y facilidades.
Generadores de respaldo y UPS para red de
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
Análisis S i t u a c i ó n Ac t u a l
SB S , M e j o r e s P r á c t i c a s
De Brecha
datos .
Seguridad de Equipos Aseguramiento de Cableado
Sin embargo encontramos deficiencias en los siguientes aspectos:
-
-
mantenimiento de equipos
Las medidas de seguridad existentes no se extienden a la Información como activo de valor del Banco y no existen normas
Acciones y planes de
Protección de equipos
adecuadas con respecto al resguardo de la Normas de seguridad para laptops. misma cuando se trata de
activos físicos
(equipos o elementos de almacenamiento de información, documentos impresos, etc.).
-
-
equipos de manera segura
para el usuario con respecto al cuidado
-
Procedimientos de eliminación o uso reiterado seguro de
No existe un programa de concientización necesario para con la información.
Fuentes de poder redundantes.
Controles generales
No existe una norma en uso sobre “mesas y pantallas limpias”.
-
Política de “mesa limpia” Política de “pantallas limpias”
El programa de mantenimiento preventivo de los equipos del Banco se encuentra incompleto al considerar únicamente únicamente al computador central. 2.5 CLASIFICACIÓN DE SEGURIDAD El Banco cuenta con inventarios de software, licencias
y
hardware
embargo
carece
de
debería
considerar
los
razonablemente siguientes aspectos:
actualizados Sin
Se
inventarios
de
Un catálogo de todos los activos
físicos
de
la
información, servicios y proveedores así como de
organización, indicando tipo de
una clasificación de los elementos mencionados
activo,
con respecto a su nivel de riesgo dentro del
responsable
Banco.
criticidad.
-
ubicación y
física, nivel
de
Un catálogo de todos los activos de software tales como
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
Análisis S i t u a c i ó n Ac t u a l
SB S , M e j o r e s P r á c t i c a s
De Brecha
herramientas
de
desarrollo,
aplicaciones, etc. Debe indicar entre
otros,
ubicación
vendedor,
lógica
y
física,
responsable, nivel de criticidad, clasificación de la información, etc.
-
Un catálogo o descripción de alto nivel de todos los activos de
información
mas
importantes de la organización. Debe indicar información como tipo de data, ubicación lógica o física, responsable o dueño de la información, clasificación de la
información
y
nivel
de
criticidad.
-
Un
listado
de
servicios
todos
tales
los como
comunicaciones,
cómputo,
servicios generales, etc. y documentar
la
información
relativa a los proveedores del servicio. Debería incluir entre otros, persona de contacto con el proveedor, procedimientos de servicios de emergencia, criticidad negocio
y
unidades
afectadas
por
de el
servicio.
-
Clasificación de los sistemas de información y/o grupos de
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
Análisis S i t u a c i ó n Ac t u a l
SB S , M e j o r e s P r á c t i c a s
De Brecha
data según su criticidad y sus características
de
confidencialidad, integridad y disponibilidad.
-
Asignación
de
la
responsabilidad de clasificación
-
Procedimientos
de
mantenimiento
de
la
clasificación 3 ADMINISTRACIÓN DE OPERACIONES Y COMUNICACIONES El Banco cuenta con:
Se
deberían
considerar
los
siguientes aspectos: Procedimientos
y
responsabilidades
de
operación.
Procedimientos
-
Documentación no formalizada relativa a los
responsabilidades de operación.
procedimientos
-
de
operaciones
en
los
sistemas de información
-
Procesos
de
revisión
Documentación formal de todos los
y
reporte
procedimientos
operación
de
y
así
de como
operaciones.
procedimientos y niveles de
Controles establecidos relativos a cambios en
autorización definidos para su
los sistemas de información.
mantenimiento.
conformidad
de
dichas
-
Programación de trabajos o
Control en cambios operacionales.
procesos
-
Adecuada separación de las facilidades de
correctamente
los ambientes de producción y las de
así como el resultado de dichas
desarrollo.
ejecuciones.
-
Un Sistema a través del cual se administran las actividades de:
- Cambios a los programas; - Pase a producción; y
debe
Administración
ser
documentada,
de
facilidades
externas.
-
Todo procesos realizado en o por
un
tercero,
debe
ser
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
Análisis S i t u a c i ó n Ac t u a l
SB S , M e j o r e s P r á c t i c a s
De Brecha
-
evaluado con respecto a los
Administración de versiones
riesgos
Adecuada segregación de funciones en
desarrollar procedimientos que
labores de pase a producción de sistemas.
-
Control
Controles de protección contra virus y
-
periódica
del
cumplimiento
o
definidos
-
y
adecuadamente
Roles
y
responsabilidades
deben ser claramente definidos mencionadas
y las funciones adecuadamente
se
mantienen independientes. Sin embargo, cabe mencionar que el actual Auditor de Sistemas del Banco perteneció al equipo de soporte del área de sistemas y mantiene
-
o
registrados.
Segregación de funciones funciones
cableado
seguir procedimientos formales
auditor de sistemas.
las
software,
equipos de comunicación debe
parte del área de sistemas como por parte del
Todas
incluyendo
dispositivos,
efectividad de dichos controles, tanto por
-
cambios
Todo cambio en la red de datos,
software malicioso y procedimientos de revisión
en
operacionales.
Protección contra software malicioso.
-
mitiguen dichos riesgos.
Limitación de operadores a través de menús de acceso.
y seguridad para
segregadas.
-
Los
cambios
deben
adecuadamente aprobados.
-
Los resultados de todo cambio
acceso a datos de producción y desarrollo.
deben
Posee acceso también a la línea de
documentados.
comandos de ambos entornos.
responsabilidades
en
actividades
pase
Asimismo, eventualmente usuarios finales
control formal sobre estas actividades.
ser
producción
tienen acceso a la línea de comandos; restringida a tareas puntuales. No existe
ser
correctamente Roles
de
y las a
correctamente
definidos y segregados.
-
Adecuada
separación
de
ambientes de producción y desarrollo.
Operaciones de verificación
-
Estándar de administración de
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
Análisis S i t u a c i ó n Ac t u a l
SB S , M e j o r e s P r á c t i c a s
De Brecha
-
Procedimientos
de
generación
cambios definido, incluyendo
y
cambios de emergencia.
almacenamiento de copias de contingencia definidos.
-
-
Control de accesos a escritura sobre sistemas en producción.
Se usan formatos de reporte de las actividades de operación y generación de copias de respaldo.
Administración de incidentes de seguridad.
Administración de Red
-
Definición de procedimientos y equipos de respuesta ante
-
incidentes de seguridad.
Se cuenta con un sistema Proxy y un filtro de paquetes como elementos de protección de red. No se cuenta con una DMZ ni con una
Segregación de funciones.
arquitectura de seguridad red apropiada con
-
respecto a la Internet.
Las actividades de desarrollo, migración
y
operación
de
sistemas, así como las de Manipulación y seguridad de dispositivos de
administración de aplicaciones,
almacenamiento de información.
helpdesk, administración de red y
-
de
IT
deben
ser
correctamente segregadas.
Las copias de respaldo se encuentran en una localidad distinta y son aseguradas por un
-
tercero.
Planeamiento de sistemas.
No existen políticas con respecto al manejo
-
Procedimientos
formales
de otros dispositivos de almacenamiento de
definidos de planeamiento de
información en el área de sistemas.
recursos.
Intercambio de información y seguridad
Protección
-
malicioso.
Controles y restricciones establecidas, no documentadas ni formalizados, respecto al uso del correo electrónico.
-
Controles
contra
software
preventivos
y
detección sobre el uso de software
de
procedencia
dudosa, virus, etc.).
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
Análisis S i t u a c i ó n Ac t u a l
SB S , M e j o r e s P r á c t i c a s
De Brecha
Operaciones de verificación
-
Adecuado registro de fallas. Adecuados procedimientos de generación
de
copias
de
respaldo.
-
Registros adecuados de todas las actividades de operación.
Administración de Red
-
Adecuados
controles
de
operación
de
red
implementados.
-
Protección
de
comunicaciones dispositivos accesos,
de
la
red
y
usando control
procedimientos
de y
sistemas de monitoreo de red (Detección
de
intrusos)
y
procedimientos de reporte. Manipulación y seguridad de dispositivos de almacenamiento de información.
-
Aseguramiento sobre medios de
almacenamiento
y
documentación de sistemas. Intercambio
de
información
(Correo electrónico y otros) y seguridad
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
Análisis S i t u a c i ó n Ac t u a l
SB S , M e j o r e s P r á c t i c a s
De Brecha
-
Controles de seguridad en el Correo electrónico y cualquier otro medio de transferencia de información
(Ex.
Normas,
filtros, sistemas de protección contra virus, etc.).
-
Seguridad
en
la
Banca
Electrónica. 4 D ESARROLLO Y MANTENIMIENTO El Banco cuenta con:
Se debería considerar lo siguiente:
-
-
Metodología de Desarrollo y Mantenimiento
Contar con metodologías y
de Aplicaciones que especifica las siguientes
estándares
actividades como tareas dentro de un
desarrollo y mantenimiento de
proyecto:
sistemas.
-
formales
de
§
Definiciones
§
Perfil
definidos antes de la fase de
§
Definiciones funcionales
diseño y se debe determinar un
§
Especificaciones Especificaciones funcionales
apropiado ambiente de control
§
Diagrama de procesos
para
§
Prototipo
requerimientos deben incluir:
§
Plan de Trabajo
§
Definiciones técnicas
§
Diagrama de Contexto
§
Diagrama de flujo de datos
§
Modelo de datos
§
Cartilla técnica
§
Cartilla de operador
§
Cartilla de usuario
§
Pruebas y capacitación
§
Acta de conformidad de pruebas
Los requerimientos deben ser
la
aplicación,
estos
§
Control de acceso
§
Autorización
§
Criticidad
del
sistema §
Clasificación de la información
§
Disponibilidad
del
sistema §
Integridad confidencialidad
y de
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
Análisis S i t u a c i ó n Ac t u a l
SB S , M e j o r e s P r á c t i c a s
De Brecha
§
-
Pase a producción
la información.
Las aplicaciones cuentan con controles de
tener rutinas de validación de
totales, cuadres, etc. Estos son generalmente
data.
usuarias y se deja documentado dichos
detectar inexactitud, cambios
requerimientos de control.
no autorizados e integridad de
Procesos
en
lote
("batch")
iniciales
que
mantienen validan
la
a
fin
de
la información.
-
Se deben definir controles para
información a procesar. Asimismo, para el
prevenir que la data se vea
caso específico de Lotes Contables, se valida
afectada
la información inicial a procesar durante el
procesamiento.
por dicha actividad.
-
por
un
mal
Se deben definir controles que permitan
revisar
toda
Rutinas de consistencia de información que
información obtenida por un
se remite a otras entidades como COFIDE y
sistema
SBS, realizadas a través de un sistema
asegurando que sea completa,
llamado SUCAVE.
correcta y solo disponible para
Librerías de rutinas ya estandarizadas y
personal autorizado.
revisadas para controles de fechas, campos
-
numéricos y cadenas de caracteres, totales numéricos, cálculo de intereses, entre otros. Sin embargo, cabe señalar que en algunos casos
estas
rutinas
se
mantienen
independientes en cada programa y no en una librería de rutinas que invoca todo programa que lo necesite.
-
Toda la data debe ser revisada periódicamente,
día, para evitar se retrase el procesamiento
-
-
proyecto por los responsables de las áreas
actividades
-
Todas las aplicaciones deberán
edición y cuando se requiere de controles en definidos en las etapas de definición del
-
-
Técnicas de encriptación para intercambio de información con Unibanca, con la Cámara de Compensación Electrónica y SUNAD
Uso
de
de
información,
técnicas
de
encriptación estándar.
-
Controles para el acceso a las librerías de programa fuentes.
-
Mantener un estricto y formal control de cambios, que sea debidamente
apoyado
por
sistemas informáticos en el caso de ambientes complejos o con alto número de cambios.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
Análisis S i t u a c i ó n Ac t u a l
SB S , M e j o r e s P r á c t i c a s
De Brecha
-
Entornos independientes de desarrollo y
-
producción.
-
La
Procedimientos
formales
y
adecuados para las pruebas y
metodología
de
desarrollo
reportes de las mismas.
y
mantenimiento de aplicaciones indica la necesidad de una actividad de prueba de los cambios y/o nuevos requerimientos; sin embargo,
no
existe
procedimientos
específicos definidos para la documentación de las pruebas realizadas ni para la conformidad de las mismas. Cabe señalar que se mantiene versiones de los programas fuente y compilados en los entornos de Desarrollo y Producción. El sistema Fenix administra los cambios y versiones del entorno de desarrollo y la actualización en el entorno de producción se encuentra a cargo del Jefe de Soporte Técnico. Los estándares de mantenimiento y desarrollo no se encuentran completos. 5 PROCEDIMIENTOS DE R ESPALDO Se cuenta con un procedimiento formalizado para
Los procedimientos de generación
el respaldo de información del computador central de copias de respaldo deberían y de usuario final, este procedimiento establece:
contar con los siguientes controles
-
Para archivo de datos, se realiza con una
clave:
frecuencia
-
-
diaria,
dos
copias
y
tres
Aseguramiento
de
el
generación
de
generaciones.
proceso
Para software base, se realiza con una
copias
frecuencia
culminado exitosamente.
diaria,
generaciones.
dos
copias
y
tres
-
de
que
de
respaldo
Procedimientos
haya que
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
Análisis S i t u a c i ó n Ac t u a l
SB S , M e j o r e s P r á c t i c a s
De Brecha
-
Para los programas fuente, se realiza de
contemplen pruebas periódicas
forma diaria, una copia en tres generaciones.
de las copias de respaldo.
Para la información de usuarios finales, se
-
El tiempo de almacenamiento
realiza de forma diaria, una copia en tres
de las copias de respaldo debe
generaciones.
estar en concordancia con los requisitos legales y normativos vigentes.
Todas las copias se guardan en la bóveda central del Banco y de forma mensual se remiten a almacenar en la empresa PROSEGUR. Se encuentra en proceso de definición un procedimiento de verificación de cintas, por la antigüedad de las mismas. Se mantiene información histórica desde el inicio de actividades del Banco.
-
Se debería considerar:
-
Generación
de
Contingencias
Plan
que
de
abarque
todos los procesos críticos del Banco y que se ha desarrollado siguiendo
una
metodología
formal.
-
Procedimientos
revisión
periódica del plan.
-
Creación de un equipo para implementar el plan en el que todos los miembros conocen
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
Análisis S i t u a c i ó n Ac t u a l
SB S , M e j o r e s P r á c t i c a s
De Brecha
sus responsabilidades y cómo deben cumplir con las tareas asignadas.
-
Existencia
de
preparativos
adecuados para asegurarse de la
continuidad
del
procesamiento computadorizado (existe centro de procesamiento alterno).
-
Una
copia
del
plan
de
contingencias se almacena en una sede remota y será de fácil acceso
en
caso
de
que
ocurriere cualquier forma de desastre.
-
Preparativos de contingencia para el hardware y software de comunicaciones y redes.
-
Realización periódica un backup de los archivos de datos críticos, bibliotecas
los
sistemas de
y
programas
almacenándolo en una sede remota cuyo tiempo de acceso sea adecuado.
-
Identificación del equipamiento requerido por los especialistas y se hicieron los preparativos para su reemplazo.
-
Se debería considerar lo siguiente:
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
Análisis S i t u a c i ó n Ac t u a l
SB S , M e j o r e s P r á c t i c a s
De Brecha
-
Revisión del impacto sobre el negocio, previo al diseño del Plan
de
negocios,
continuidad
de
identificando
las
partes más expuestas a riesgo. -
Realizar revisión del impacto en el negocio, estableciendo los procedimientos a seguirse en el caso de que ocurriera un desastre (por ej. Explosión, incendio, daño por tormenta, pérdida de personal clave) en cualquiera de las dependencias dependencias operativas de la organización.
-
Deberían
existir planes
de
contingencia para cada recurso computadorizado. -
El
plan
de
debería
contingencias
contemplar
necesidades
de
departamentos términos
las los
usuarios
de
en
traslados,
ubicación y operación. -
El
plan
debería
de
contingencias
asegurar
que
se
observen normas de seguridad de información en caso de que ocurriera un desastre. -
El
cronograma
recuperación
de
cada
para
la
función
debería ser revisado asegurando
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
Análisis S i t u a c i ó n Ac t u a l
SB S , M e j o r e s P r á c t i c a s
De Brecha
que sea adecuado.
El plan de contingencias debería probarse
periódicamente
para
asegurarse de que aún es viable y efectivo. 6 SUBCONTRATACIÓN Encontramos que el Banco tiene principalmente,
El plan de contingencias debe
los siguientes servicios contratados: contratados:
incluir la pérdida del servicio
-
prestado por terceros.
UNIBANCA: Procesamiento de transacciones de tarjetas (diario)
-
HERMES: HERMES: Distribución de tarjetas de crédito y débito. Información necesaria y tarjetas recibidas de UNIBANCA. (diario)
-
NAPATEK: Impresión de estados de cuenta y
Los contratos de servicios con terceros deberían incluir entre otros aspectos, los siguientes:
-
las acciones que se tomarán de
“ensobrado”. Recibe información vía una transferencia electrónica de archivos - "File Transfer" (mensual).
-
no cumplirse el contrato.
-
Rehder: Se transmite información de monto
datos de respaldo. Entrará en operatividad el PROSEGUR: Almacenamiento de copias de respaldo. No se obtuvo información (contratos) relativa a los servicios prestados por UNIBANCA.
controles
de
seguridad
y
políticas
a
de
los
requerimientos.
-
Determinación de los niveles de servicio requeridos (Service
31 de Mayo.
-
de
cumplimiento
seguro de desgravamenes (mensual). TELEFONICA: Centro de procesamiento de
Acuerdos
aplicarse para garantizar el
facturado por cada cliente (e-mail) para el
-
Requerimientos de seguridad y
Level Agreements o SLA).
-
El derecho de la entidad, y la Superintendencia de Banca y Seguros, o las personas que ellos designen, de auditar el ambiente de la empresa que
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
Análisis S i t u a c i ó n Ac t u a l
SB S , M e j o r e s P r á c t i c a s
De Brecha
El Banco no cuenta con un procedimiento definido
brinda el servicio, para verificar
para la inclusión de cláusulas relativas a la
los controles de seguridad
confidencialidad, niveles de servicio, etc., en los
aplicados a la data y los
contratos de servicios prestados por terceros al
sistemas.
-
Banco.
Documentación
sobre
los
controles físicos y lógicos, empleados por la empresa que brinda el servicio, para proteger la confidencialidad, integridad y disponibilidad de la información y equipos de la entidad.
-
Determinación
de
requerimientos incluyendo
los legales,
privacidad
y
protección de la data.
-
Procedimiento
que
asegure
que la empresa que brinda el servicio
realizará
pruebas
periódicas para mantener la seguridad de la data y los sistemas.
-
Cláusula sobre exclusividad de equipos
que
procesan
información del Banco. 7 CUMPLIMIENTO NORMATIVO El Banco ha implementado
controles para el Se debería contar con:
cumplimiento normativo relativo al uso de
-
Definición de responsable del
software licenciado, tales como:
cumplimiento de las normas
-
Controles manuales periódicos por parte del
emitidas
área de sistemas y el área de auditoria de
Superintendencia.
por
la
sistemas.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
Análisis S i t u a c i ó n Ac t u a l
SB S , M e j o r e s P r á c t i c a s
De Brecha
-
Compromiso
firmado
por
los
usuarios
-
Procedimientos
de
referente al software autorizado, tipificando el
establecidos
para
incumplimiento como falta grave.
cumplimiento de las normas
Evaluación de software para auditorías de
emitidas
software de forma automática.
Superintendencia.
La información, tanto física como digital es
-
control el
por
la
Control de cumplimiento de
almacenada según períodos determinados
normas sobre la propiedad
por ley.
intelectual (licenciamiento de software).
Existe un procedimiento de comunicación de las normas legales emitidas aplicables a las distintas áreas del Banco y el área de auditoria interna realiza labores de control con respecto a la implementación implementaci ón de dichas d ichas normas.
Sin embargo:
-
No existe un responsable definido en la estructura del Banco encargado de mantener actualizada sobre las normas emitidas por organismos reguladores.
8 PRIVACIDAD DE LA INFORMACIÓN El Banco no cuenta con:
Se debería contar con:
-
-
Un responsable asignado para la salvaguarda de la privacidad de la información.
Definición de responsabilidades responsabilidades con respecto a la aplicación del secreto
Si bien durante las diversas charlas realizadas en los Comités se tocan temas referentes al secreto
bancario
y
de
la
privicidad de la Información.
-
Restricciones de acceso a
bancario, no se han implementado controles
información en salvaguarda de
específicos en todas las áreas del Banco con el
su privacidad y del secreto
fin de evitar la exposición de información sensible
bancario.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
Análisis S i t u a c i ó n Ac t u a l
SB S , M e j o r e s P r á c t i c a s
De Brecha
de los clientes y del Banco así como limitar el
-
acceso del personal a dicha información.
Existencia de autorizaciones internas para la entrega y transferencia de información.
En el área de sistemas se han implementado controles respecto a la limitación de acceso a información de clientes y se ha registrado evidencia de incidentes y acciones tomadas por auditoria interna, dicha situación no se replica en las distintas áreas del Banco. 9 AUDITORIA INTERNA Y EXTERNA El Banco no cuenta con:
Se debería considerar:
-
-
Un área de auditoria interna que esta
La Unidad de Auditoria Interna
incluyendo en su plan de auditoria el
deberá incorporar en su Plan
cumplimiento de lo dispuesto en la norma G-
Anual de Trabajo la evaluación
105-2002 de la Superintendencia.
del
cumplimiento
de
lo
dispuesto en la norma G-1052002 de la Superintendencia.
-
Las sociedades de Auditoria Externa deberán incluir en su informe sobre el sistema de control
interno
comentarios
dirigidos a indicar si la entidad cuenta
con
procedimientos
políticas
y
para
la
administración de los riesgos de tecnología de información. El Banco deberá contar con un servicio permanente de auditoria de sistemas.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.
BIBLIOGRAFÍA
1.
Information Technology Security for Managers Managers - Workshop sobre temas de Seguridad – IBM Global Service. http://www.ibm.com http://www.ibm.com /services/securite /services/securite
2.
ISO /IEC 17799:2000 http://www.iso1799.com
3.
British Standard 7799
4.
INFOSEC’S WORST NIGHTMARES http://www.infosecuritymag.com/2002/nov/nightmares.shtml
5.
¿Como elaborar politicas de Seguridad efectivas? http://www.symantec.com/region/mx/enterprisesecurity
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM