Академический Документы
Профессиональный Документы
Культура Документы
Fundada en 1551
E.A.P. DE COMPUTACIÓN
TRABAJO MONOGRÁFICO
Para optar el Título Profesional de:
LICENCIADA
AUTORA
LIMA – PERÚ
2003
DEDICATORIA
INTRODUCCION
CAPITULO I.
OBJETIVOS Y ALCANCES
1.1 Objetivos.................................................................................................................1
CAPITULO II
METODOLOGÍA Y PROCEDIMIENTOS UTILIZADO
CAPITULO III
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL DE LA ADMINISTRACIÓN DE
LA SEGURIDAD DE INFORMACIÓN
CAPITULO IV
SEGURIDAD DE LA INFORMACIÓN – ROLES Y ESTRUCTURA
ORGANIZACIONAL
CAPITULO V
EVALUACIÓN DE RIESGOS, AMENAZAS Y VULNERABILIDADES
6.1 Definición..............................................................................................................48
CAPITULO VII
PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL
7.1 Clasificación de información...........................................................................102
7.2 Seguridad de red y comunicaciones.............................................................103
7.3 Inventario de accesos a los sistemas...........................................................106
7.4 Adaptación de contratos con proveedores ..................................................107
7.5 Campaña de concientización de usuarios. ..................................................108
7.6 Verificación y adaptación de los sistemas del banco.................................109
7.7 Estandarización de la configuración del software base.............................110
7.8 Revisión, y adaptación de procedimientos complementarios...................111
7.9 Cronograma tentativo de implementación...................................................113
CONCLUSIONES Y RECOMENDACIONES ........................................................114
ANEXOS
BIBLIOGRAFÍA.. ..............................................................................................154
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
RESUMEN
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Los incidentes de seguridad más devastadores tienden más a ser internos que
externos. Muchos de estos incidentes involucran a alguien llevando a cabo una
actividad autorizada de un modo no autorizado. Aunque la tecnología tiene
cierta ingerencia en limitar esta clase de eventos internos, las verificaciones y
balances como parte de los procesos del negocio son mucho más efectivos.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
ABSTRACT
The liberalization and globalization of the financial services with the increasing
sophistication of the financial technology are facing more complex banking
activities in terms of security.
Long time ago, security information was easily management, just it was enough
guard the more important documents under the keys and placed employees;
who has the knowledge; safe, just placing bodyguards; nowadays it is harder.
The electronics systems got in the office and made systems security evolved to
be updated with the technology changes. Then, 5 years ago, the business; even
the small companies were connected to Internet (a public network with few
rules and without security).
In a similar way of other kind of crimes, measure security IT expenses and lost
or cybernetic crimes are very difficult. People tend to minimize incidents for
justifying reasons.
By the other hand, the main objective of IT Security is not to protect the
systems; it is to reduce risks and to support the business operations. The most
secure computer in the world is which is disconnected form the network, placed
deeply in any dark desert and be surrounded by armed bodyguards, but it is
also the most useless.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
The present work describes how you can define a Security Plan for a financial
enterprise, begin defining the Organizational structure (roles and
responsibilities), then define the policies and finally ends with the
Implementation Plan which are the activities to meet the policies before
mentioned.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
INTRODUCCIÓN
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
• Evalué los riesgos: Éste puede ser uno de los componentes más
desafiantes del desarrollo de una política de seguridad. Debe calcularse
la probabilidad de que ocurran ciertos sucesos y determinar cuáles tiene
el potencial para causar mucho daño. El costo puede ser más que
monetario - se debe asignar un valor a la pérdida de datos, la privacidad,
responsabilidad legal, atención pública indeseada, la pérdida de clientes
o de la confianza de los inversionistas y los costos asociados con las
soluciones para las violaciones a la seguridad.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Consideraciones importantes
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Una vez la política se aprueba totalmente, debe hacerse asequible a todos los
empleados porque, en ultima instancia, ellos son responsables de su éxito. Las
políticas deben actualizarse anualmente (o mejor aún cada seis meses) para
reflejar los cambios en la organización o cultura.
BANCO ABC
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Con el objetivo de contar con una guía para la protección de información del
Banco, se elaborarán las políticas y estándares de seguridad de la información,
tomando en cuenta el estándar de seguridad de información ISO 17799, los
requerimientos de la Circular N° G-105-2002 publicada por la Superintendencia
de Banca y Seguros (SBS) sobre Riesgos de Tecnología de Información y las
normas establecidas internamente por el Banco.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
C) Plan de Implementación
El Autor
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Capítulo I
OBJETIVOS Y ALCANCES
1.1 Objetivos
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Capítulo II
a E n t r e n a m i e nyt oConcientización
Visión y Estrategia de Seguridad
Gerencia
Política
C o m p r o m i sde
Modelo de Seguridad
Arquitectura de Seguridad
& Estándares Tecnicos
P r o g r a m de
Guías y Procedimientos
Adminitrativos y de Usuario Final
E s t r u c t u r a de Administración de S e g u r i d a d de I n f o r m a c i ó n
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Capítulo III
3.1 Evaluación
Efectuada nuestra revisión de la administración de riesgos de tecnología de
información del Banco hemos observado que el Plan de Seguridad de
Información (PSI) no ha sido desarrollado. Si bien hemos observado la
existencia de normas, procedimientos y controles que cubren distintos aspectos
de la seguridad de la información, se carece en general de una metodología,
guía o marco de trabajo que ayude a la identificación de riesgos y
determinación de controles para mitigar los mismos.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
3.2 Alcances
El alcance del diagnóstico de la situación de administración del riesgo de
Tecnología de Información, en adelante TI, comprende la revisión de las
siguientes funciones al interior del área de sistemas:
• Administración del área de Tecnología de Información
- Estructura organizacional
- Función de seguridad a dedicación exclusiva
- Políticas y procedimientos para administrar los riesgos de TI
- Subcontratación de recursos.
• Actividades de desarrollo y mantenimiento de sistemas informáticos
• Seguridad de la Información
- Administración de la Seguridad de la Información.
- Aspectos de la seguridad de la información (lógica, personal y física y
ambiental)
- Inventario periódico de activos asociados a TI
• Operaciones computarizadas
- Administración de las operaciones y comunicaciones
- Procedimientos de respaldo
- Planeamiento para la continuidad de negocios
- Prueba del plan de continuidad de negocios
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Grado de
Aspectos Evaluados
Cumplimiento
1 Estructura de la seguridad de la Información
5 Procedimientos de respaldo
7 Subcontratación
8 Cumplimiento normativo
9 Privacidad de la información
10 Auditoria de Sistemas
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Capítulo IV
Las labores de seguridad realizadas por el área de sistemas son las siguientes:
- Control de red
- Administración del firewall
- Administración de accesos a bases de datos
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Custodio de Información:
Es el responsable de la administración diaria de la seguridad en los sistemas
de información y el monitoreo del cumplimiento de las políticas de seguridad en
los sistemas que se encuentran bajo su administración. Sus responsabilidades
son:
• Administrar accesos a nivel de red (sistema operativo).
• Administrar accesos a nivel de bases de datos.
• Administrar los accesos a archivos físicos de información almacenada en
medios magnéticos (diskettes, cintas), ópticos (cd´s) o impresa.
• Implementar controles definidos para los sistemas de información,
incluyendo investigación e implementación de actualizaciones de seguridad
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Usuario:
Las responsabilidades de los usuarios finales, es decir, aquellas personas que
utilizan información del Banco como parte de su trabajo diario están definidas a
continuación:
• Mantener la confidencialidad de las contraseñas de aplicaciones y sistemas.
• Reportar supuestas violaciones de la seguridad de información.
• Asegurarse de ingresar información adecuada a los sistemas.
• Adecuarse a las políticas de seguridad del Banco.
• Utilizar la información del Banco únicamente para los propósitos
autorizados.
Propietario de Información:
Los propietarios de información son los gerentes y jefes de las unidades de
negocio, los cuales, son responsables de la información que se genera y se
utiliza en las operaciones de su unidad. Las áreas de negocios deben ser
conscientes de los riesgos de tal forma que sea posible tomar decisiones para
disminuir los mismos.
Entre las responsabilidades de los propietarios de información se tienen:
• Asignar los niveles iniciales de clasificación de información.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Auditoria Interna:
El personal de auditoria interna es responsable de monitorear el cumplimiento
de los estándares y guías definidas en las políticas internas. Una estrecha
relación del área de auditoria interna con el área de seguridad informática es
crítica para la protección de los activos de información. Por lo tanto dentro del
plan anual de evaluación del área de auditoria interna se debe incluir la
evaluación periódica de los controles de seguridad de información definidos por
el Banco.
Auditoria interna debe colaborar con el área de seguridad informática en la
identificación de amenazas y vulnerabilidades referentes a la seguridad de
información del Banco.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Gerente de
Comité de Administración y
Coordinación de Operaciones
Seguridad de la
Információn
Seguridad
Informática
Contraloría Recursos
Sistemas Operaciones Administración
General Humanos
Gerente de División de
Administración y
Operaciones
(Presidente del Comité)
Jefe de
Jefe de Seguridad
Gerente de Departamente de Auditor de
Informática
Sistemas Riesgo Operativo y Sistemas
(Responsable)
Tecnológico
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Capítulo V
Estándar o medida de
Tecnología Implicancia de seguridad
seguridad a aplicar
Actual
Windows NT, Se debe contar con controles Estándar de mejores
Windows 2000 de acceso adecuados a la data prácticas de seguridad para
y sistemas soportados por el Windows NT
Sistema Operativo. Estándar de mejores
prácticas de seguridad para
Windows 2000.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Estándar o medida de
Tecnología Implicancia de seguridad
seguridad a aplicar
OS/400 Se debe contar con controles Estándar de mejores
de acceso adecuados a la data prácticas de seguridad para
y sistemas soportados por el OS/400.
computador Central. Los
controles que posee este
servidor deben ser lo más
restrictivos posibles pues es el
blanco potencial de la mayoría
de intentos de acceso no
autorizado.
Base de datos Se debe contar con controles Estándar de mejores
SQL Server de acceso a información de los prácticas de seguridad para
sistemas que soportan el bases de datos SQL Server.
negocio de la Compañía.
Banca electrónica • El servidor Web se • Estándares de
a través de encuentra en calidad de encripción de
Internet. "hosting" en Telefónica información transmitida.
Data, se debe asegurar • Cláusulas de
que el equipo cuente con confidencialidad y
las medidas de seguridad delimitación de
necesarias, tanto físicas responsabilidades en
como lógicas. contratos con
• La transmisión de los datos proveedores.
es realizada a través de un • Acuerdos de nivel de
medio público (Internet), se servicios con
debe contar con medidas proveedores, en los
adecuadas para mantener cuales se detalle el
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Estándar o medida de
Tecnología Implicancia de seguridad
seguridad a aplicar
la confidencialidad de la porcentaje mínimo de
información (encripción de disponibilidad del
la data). sistema.
• El servidor Web que es • Evaluación
accedido por los clientes independiente de la
puede ser blanco potencial seguridad del servidor
de actividad vandálica con que brinda el servicio, o
el propósito de afectar la acreditación de la misma
imagen del Banco. por parte del proveedor.
• La disponibilidad del
sistema es un factor clave
para el éxito del servicio.
Banca telefónica • Transmisión de información • Establecimiento de
por medios públicos sin límites adecuados a las
posibilidad de protección operaciones realizadas
adicional. por vía telefónica.
• Imposibilidad de mantener • Posibilidad de registrar
la confidencialidad de las el número telefónico
operaciones con el origen de la llamada.
proveedor del servicio • Controles en los
telefónico. sistemas de grabación
• Posibilidad de obtención de de llamadas telefónica.
números de tarjeta y • Evaluar la posibilidad de
contraseñas del canal de notificar al cliente de
transmisión telefónico. manera automática e
inmediata luego de
realizada la operación.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Estándar o medida de
Tecnología Implicancia de seguridad
seguridad a aplicar
Sistema Central • El sistema central es el • Estándar de mejores
Core Bancario sistema que soporta gran prácticas de seguridad
parte de los procesos del para OS/400.
negocio del Banco, por lo • Revisión periódica de los
tanto, todo acceso no accesos otorgados a los
autorizado al servidor usuarios del sistema.
representa un riesgo • Monitoreo periódico de
potencial para el negocio. la actividad realizada en
el servidor.
• Verificación del control
dual de aprobación en
transacciones sensibles.
MIS (Management • El acceso a repositorios de • Estándares de seguridad
Information información sensible debe de Windows 2000, bases
System) ser restringido de datos.
adecuadamente. • Adecuados controles de
acceso y otorgamiento
de perfiles a la
aplicación.
Desarrollo de • Los proyectos de desarrollo • Estándar de mejores
aplicaciones para en periodos muy cortos, prácticas de seguridad
las unidades de comprenden un acelerado para Windows 2000,
negocio, en desarrollo de sistemas; la OS/400.
periodos muy aplicación de medidas de • Metodología para el
cortos. seguridad, debería desarrollo de
encontrarse incluida en el aplicaciones.
desarrollo del proyecto. • Procedimientos de
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Estándar o medida de
Tecnología Implicancia de seguridad
seguridad a aplicar
• El tiempo de pase a control de cambios.
producción de un nuevo • Evaluación de
sistema que soportará un requerimientos de
producto estratégico, es seguridad de los
muy importante para el sistemas antes de su
éxito del negocio, lo cual pase a producción.
puede originar que no se • Estándar de mejores
tomen las medidas de prácticas de seguridad
seguridad necesarias antes para aplicaciones
del pase a producción de distribuidas.
los nuevos sistemas.
Computadoras • Se debe contar con • Concientización y
personales. adecuados controles de entrenamiento de los
acceso a información usuarios en temas de
existente en computadoras seguridad de la
personales. información.
• Se requieren adecuados • Implementación de
controles de accesos a la mayores controles de
información de los sistemas seguridad para
desde las computadoras computadoras
personales de usuarios. personales.
• La existencia de diversos • Finalización del proyecto
sistemas operativos en el de migración de la
parque de computadores plataforma de
personales, tales como, computadoras
Windows 95, Windows 98, personales al sistema
Windows NT, Windows operativo Windows 2000
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Estándar o medida de
Tecnología Implicancia de seguridad
seguridad a aplicar
2000 Professional, y Windows XP.
Windows XP, impide • Estándares de mejores
estandarizar la prácticas de seguridad
configuración de los para estaciones de
sistemas. trabajo.
• Debe existir un control • Actualización periódica
sobre los dispositivos que de inventarios del
pudieran facilitar fuga de software instalado.
información (disqueteras, • Monitoreo periódico de
grabadoras de cd's, carpetas compartidas.
impresoras personales, • Monitoreo de actividad
etc.) de los usuarios,
• Se debe controlar y sistemas de detección
monitorear las aplicaciones de intrusos.
y sistemas instalados en
las PC´s
Correo electrónico • Posibilidad de • Se debe contar con
interceptación no estándares de encripción
autorizada de mensajes de para los mensajes de
correo electrónico. correo electrónico que
• Riesgo de acceso no contengan información
autorizado a información confidencial.
del servidor. • Estándares de mejores
• Posibilidad de utilización de prácticas de seguridad
recursos por parte de para Windows NT y
personas no autorizadas, Lotus Notes.
para enviar correo • Configuración de anti-
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Estándar o medida de
Tecnología Implicancia de seguridad
seguridad a aplicar
electrónico a terceros (relay relay.
no autorizado). • Implementación de un
• Posibilidad de recepción de sistema de seguridad del
correo inservible (SPAM). contenido SMTP.
Conexión a • Riesgos de accesos no • Políticas de seguridad.
Internet y redes autorizados desde Internet • Estándares de mejores
públicas / Firewall. y redes externas hacia los prácticas de seguridad
sistemas del Banco. para servidores
• Adecuado uso del acceso a Windows NT, Windows
Internet por parte de los 2000, correo electrónico,
usuarios. servidores Web y
• Los dispositivos que equipos de
permiten controlar accesos, comunicaciones.
tales como, firewalls, • Delimitación de
servidores proxy, etc. responsabilidades
Deben contar con medidas referentes a la seguridad
de seguridad adecuadas de información en
para evitar su manipulación contratos con
por personas no proveedores.
autorizadas. • Mejores prácticas de
• Riesgo de acceso no seguridad para
autorizado desde socios de configuración de
negocios hacia los Firewalls.
sistemas de La Compañía. • Diseño e
implementación de una
arquitectura de
seguridad de
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Estándar o medida de
Tecnología Implicancia de seguridad
seguridad a aplicar
red.Utilización de
sistemas de detección
de intrusos.
• Especificación de
acuerdos de nivel de
servicio con el
proveedor.
• Controles y filtros para el
acceso a Internet.
En Proyecto
Cambios en la • Los cambios en la • Elaboración de una
infraestructura de infraestructura de red arquitectura de red con
red. pueden generar nuevas medidas de seguridad
puertas de entrada a adecuadas.
intrusos si los cambios no • Establecer controles de
son realizados con una acceso adecuados a la
adecuada planificación. configuración de los
• Una falla en la equipos de
configuración de equipos comunicaciones.
de comunicaciones puede • Plan de migración de
generar falta de infraestructura de red.
disponibilidad de sistemas.
• Un diseño de red
inadecuado puede facilitar
el ingreso no autorizado a
la red de datos.
Software de Riesgo de acceso no • Estándar de seguridad
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Estándar o medida de
Tecnología Implicancia de seguridad
seguridad a aplicar
administración autorizado a las consolas de para Windows NT
remota de PC´s y administración y agentes de • Estándar de seguridad
servidores. administración remota. para Windows 2000
• Estándar de seguridad
para Windows XP
• Controles de acceso
adecuados a las
consolas y agentes de
administración remota.
• Establecimiento de
adecuados
procedimientos para
tomar control remoto de
PC´s o servidores.
• Adecuada configuración
del registro (log) de
actividad realizada
mediante administración
remota.
Migración de • Posibilidad de error en el • Estándares de seguridad
servidores traslado de los usuarios y para Windows 2000.
Windows NT permisos de acceso a los • Procedimientos de
Server a Windows directorios de los nuevos control de cambios.
2000 Server. servidores. • Plan de migración a
• Posibilidad de existencia de Windows 2000.
vulnerabilidades no • Políticas de seguridad.
conocidas anteriormente.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Estándar o medida de
Tecnología Implicancia de seguridad
seguridad a aplicar
Implantación de • Información sensible • Estándares de
Datawarehouse. almacenada en un Seguridad para Windows
repositorio centralizado, 2000.
requiere de controles de • Estándar de seguridad
acceso adecuados. en bases de datos SQL.
• La disponibilidad del • Plan de implantación de
sistema debe ser alta para Datawarehouse.
no afectar las operaciones • Procedimientos para
que soporta. otorgamiento de perfiles.
• Políticas de seguridad.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Vulnerabilidades
No se cuenta con El control sobre la actividad de • Se debe contar con un
un inventario de los usuarios en los sistemas es inventario de los
perfiles de acceso llevado a cabo en muchos accesos que poseen los
a las aplicaciones. casos, mediante perfiles de usuarios sobre las
usuarios controlando así los aplicaciones.
privilegios de acceso a los • Revisiones periódicas de
sistemas. los perfiles y accesos de
los usuarios por parte
del propietario de la
información.
Exceso de La necesidad de utilizar • Uniformizar dentro de lo
contraseñas contraseñas distintas para posible la estructura de
manejadas por los cada sistema o aplicación del las contraseñas
usuarios. Banco, puede afectar la empleadas y sus fechas
seguridad en la medida que el de renovación.
usuario no sea capaz de • Implementar un sistema
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Capítulo VI
6.1 Definición
Una Política de seguridad de información es un conjunto de reglas aplicadas a
todas las actividades relacionadas al manejo de la información de una entidad,
teniendo el propósito de proteger la información, los recursos y la reputación de
la misma.
Propósito
El propósito de las políticas de seguridad de la información es proteger la
información y los activos de datos del Banco. Las políticas son guías para
asegurar la protección y la integridad de los datos dentro de los sistemas de
aplicación, redes, instalaciones de cómputo y procedimientos manuales.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
6.3.3 Outsourcing
Todos los contratos de Outsourcing deben incluir lo siguiente:
- Acuerdos sobre políticas y controles de seguridad.
- Determinación de niveles de disponibilidad aceptable.
- El derecho del Banco de auditar los controles de seguridad de
información del proveedor.
- Determinación de los requerimientos legales del Banco.
- Metodología del proveedor para mantener y probar cíclicamente la
seguridad del sistema.
- Que el servicio de procesamiento y la información del Banco objeto
de la subcontratación estén aislados, en todo momento y bajo
cualquier circunstancia.
El proveedor es responsable de inmediatamente informar al responsable
del contrato de cualquier brecha de seguridad que pueda comprometer
información del Banco. Cualquier empleado del Banco debe informar de
violaciones a la seguridad de la información por parte de proveedores al
área de seguridad informática.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
6.4.3 Definiciones
Restringida: Información con mayor grado de sensibilidad; el acceso a
esta información debe de ser autorizado caso por caso.
Confidencial: Información sensible que solo debe ser divulgada a
aquellas personas que la necesiten para el cumplimiento de sus
funciones.
Uso Interno: Datos generados para facilitar las operaciones diarias;
deben de ser manejados de una manera discreta, pero no requiere de
medidas elaboradas de seguridad.
General: Información que es generada específicamente para su
divulgación a la población general de usuarios.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
6.4.6 Cumplimiento
El cumplimiento satisfactorio del proceso de evaluación del riesgo se
caracteriza por:
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Concientización periódica
Estudios muestran que la retención y el conocimiento aplicable se
incrementa considerablemente cuando el tema es sujeto a revisión. Los
usuarios deben de ser informados anualmente sobre la importancia de la
seguridad de la información. Un resumen escrito de la información básica
debe de ser entregada nuevamente a cada empleado y una copia firmada
debe de ser guardada en sus archivos.
La capacitación en seguridad debe de incluir, pero no estar limitado, a los
siguientes aspectos:
- Requerimientos de identificador de usuario y contraseña
- Seguridad de PC, incluyendo protección de virus
- Responsabilidades de la organización de seguridad de información
- Concientización de las técnicas utilizadas por “hackers”
- Programas de cumplimiento
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM