Plan de Seguridad Informática para una Entidad Financiera. Córdova Rodríguez, Norma Edith. INTRODUCCIÓN

Transcripción

1 INTRODUCCIÓN Ls events mundiales recientes han generad un mayr sentid de urgencia que antes cn respect a la necesidad de tener mayr seguridad - física y de tr tip. Las empresas pueden haber refrzad las medidas de seguridad, per nunca se sabe cuánd cóm puede estar expuesta. A fin de brindar la más cmpleta prtección empresarial, se requiere de un sistema exhaustiv de seguridad. Es vital implementar un plan de seguridad. Sin embarg, implementar un plan practiv que indique cóm sbrevivir a ls múltiples escenaris también preparará a las empresas en el manej de las amenazas inesperadas que pdría afrntar en el futur. La mayría de las empresas ha invertid tiemp y diner en la cnstrucción de una infraestructura para la tecnlgía de la infrmación que sprte su cmpañía, esa infraestructura de TI pdría resultar ser una gran debilidad si se ve cmprmetida. Para las rganizacines que funcinan en la era de la infrmática intercnectadas y cn cmunicación electrónica, las plíticas de infrmación bien dcumentadas que se cmunican, entienden e implementen en tda la empresa, sn herramientas cmerciales esenciales en el entrn actual para minimizar ls riesgs de seguridad. Imagine l que sucedería si: La infrmación esencial fuera rbada, se perdiera, estuviera en peligr, fuera alterada brrada. Ls sistemas de crre electrónic n funcinaran durante un día más. Cuánt cstaría esta imprductividad? Ls clientes n pudieran enviar órdenes de cmpra a través de la red durante un prlngad perid de tiemp.

2 Prepararse para múltiples escenaris parece ser la tendencia creciente. En un infrme publicad pr Giga Infrmatin Grup cn respect a las tendencias de TI estimadas para el añ 2002, se espera que ls ejecutivs crprativs se interesen cada vez más en la prevención de desastres físics, ciberterrrism y espinaje de libre cmpetencia. Implementar una plítica de seguridad cmpleta le da valr intrínsec a su empresa. También mejrará la credibilidad y reputación de la empresa y aumentará la cnfianza de ls accinistas principales, l que le dará a la empresa una ventaja estratégica. Cóm desarrllar una plítica de seguridad? Identifique y evalúe ls activs: Qué activs deben prtegerse y cóm prtegerls de frma que permitan la prsperidad de la empresa. Identifique las amenazas: Cuáles sn las causas de ls ptenciales prblemas de seguridad? Cnsidere la psibilidad de vilacines a la seguridad y el impact que tendrían si currieran. Estas amenazas sn externas internas: Amenazas externas: Se riginan fuera de la rganización y sn ls virus, gusans, caballs de Trya, intents de ataques de ls hackers, retaliacines de ex-empleads espinaje industrial. Amenazas internas: Sn las amenazas que prvienen del interir de la empresa y que pueden ser muy cstsas prque el infractr tiene mayr acces y perspicacia para saber dnde reside la infrmación sensible e imprtante. Las amenazas internas también incluyen el us indebid del acces a Internet pr parte de ls empleads, así cm ls prblemas que pdrían

3 casinar ls empleads al enviar y revisar el material fensiv a través de Internet. Evalué ls riesgs: Éste puede ser un de ls cmpnentes más desafiantes del desarrll de una plítica de seguridad. Debe calcularse la prbabilidad de que curran cierts sucess y determinar cuáles tiene el ptencial para causar much dañ. El cst puede ser más que mnetari - se debe asignar un valr a la pérdida de dats, la privacidad, respnsabilidad legal, atención pública indeseada, la pérdida de clientes de la cnfianza de ls inversinistas y ls csts asciads cn las slucines para las vilacines a la seguridad. Asigne las respnsabilidades: Seleccine un equip de desarrll que ayude a identificar las amenazas ptenciales en tdas las áreas de la empresa. Sería ideal la participación de un representante pr cada departament de la cmpañía. Ls principales integrantes del equip serían el administradr de redes, un asesr jurídic, un ejecutiv superir y representantes de ls departaments de Recurss Humans y Relacines Públicas. Establezca plíticas de seguridad: Cree una plítica que apunte a ls dcuments asciads; parámetrs y prcedimients, nrmas, así cm ls cntrats de empleads. Ests dcuments deben tener infrmación específica relacinada cn las platafrmas infrmáticas, las platafrmas tecnlógicas, las respnsabilidades del usuari y la estructura rganizacinal. De esta frma, si se hacen cambis futurs, es más fácil cambiar ls dcuments subyacentes que la plítica en sí misma. Implemente una plítica en tda la rganización: La plítica que se escja debe establecer claramente las respnsabilidades en cuant a la seguridad y recncer quién es el prpietari de ls sistemas y dats

4 específics. También puede requerir que tds ls empleads firmen la declaración; si la firman, debe cmunicarse claramente. Éstas sn las tres partes esenciales de cumplimient que debe incluir la plítica: Cumplimient: Indique un prcedimient para garantizar el cumplimient y las cnsecuencias ptenciales pr incumplimient. Funcinaris de seguridad: Nmbre individus que sean directamente respnsables de la seguridad de la infrmación. Asegúrese de que n es la misma persna que supervisa, implementa revisa la seguridad para que n haya cnflict de intereses. Financiación: Asegúrese de que a cada departament se le haya asignad ls fnds necesaris para pder cumplir adecuadamente cn la plítica de seguridad de la cmpañía. Administre el prgrama de seguridad: Establezca ls prcedimients interns para implementar ests requerimients y hacer bligatri su cumplimient. Cnsideracines imprtantes A través del prces de elabración de una plítica de seguridad, es imprtante asegurarse de que la plítica tenga las siguientes características: Se pueda implementar y hacer cumplir Sea cncisa y fácil de entender Cmpense la prtección cn la prductividad

5 Una vez la plítica se aprueba ttalmente, debe hacerse asequible a tds ls empleads prque, en ultima instancia, ells sn respnsables de su éxit. Las plíticas deben actualizarse anualmente ( mejr aún cada seis meses) para reflejar ls cambis en la rganización cultura. Se debe mencinar que n debe haber ds plíticas de seguridad iguales puest que cada empresa es diferente y ls detalles de la plítica dependen de las necesidades exclusivas de cada una. Sin embarg, usted puede cmenzar cn un sistema general de plíticas de seguridad y lueg persnalizarl de acuerd cn sus requerimients específics, limitacines de financiación e infraestructura existente. Una plítica cmpleta de seguridad de la infrmación es un recurs valis que amerita la dedicación de tiemp y esfuerz. La plítica que adpte su empresa brinda una base sólida para respaldar el plan general de seguridad. Y una base sólida sirve para respaldar una empresa sólida. BANCO ABC En el presente trabaj desarrllarems el Plan de Seguridad para una entidad financiera a la cual llamarems el Banc ABC. El Banc ABC es un banc de capital extranjer, tiene 35 agencias a nivel nacinal, frece tds ls prducts financiers cncids, psee presencia en Internet a través de su pagina web, es un banc median cuenta cn 500 empleads y es regulad pr la Superintendencia de Banca y Segurs. A l larg de td el desarrll del trabaj describirems mas en detalle su estructura interna, evaluarems ls riesgs a ls cuales están expuests, para l cual se realizara un diagnstic bjetiv de la situación actual y cm se deben cntrarrestar, para finalmente terminar diseñand el Plan de Seguridad y

6 las principales actividades que deben ejecutarse para la implementación de las plíticas de seguridad. A cntinuación describirems brevemente la situación actual de ls aspects más imprtantes en la elabración del Plan de Seguridad; cm sn la rganización, el prpi Plan y la adecuación al Plan. A) Organización de seguridad de la infrmación Actualmente el Banc cuenta cn un área de seguridad infrmática recientemente cnstituida, ls rles y respnsabilidades del área n han sid frmalizads y las tareas desempeñadas pr el área se limitan pr ahra al cntrl de access de la mayría de sistemas del Banc. Algunas tareas crrespndientes a la administración de seguridad sn desarrlladas pr el área de sistemas cm la administración de red, firewalls y bases de dats, tras tareas sn realizadas directamente pr las áreas usuarias, y finalmente tras respnsabilidades cm la elabración de las plíticas y nrmas de seguridad, cncientización de ls usuaris, mnitre de incidentes de seguridad, etc., n han sid asignadas frmalmente a ninguna de las áreas. En este sentid, en el presente trabaj detallams ls rles y respnsabilidades relacinadas a la administración de seguridad de la infrmación que invlucra n slamente a miembrs de las áreas de seguridad infrmática y sistemas cm administradres de seguridad de infrmación y custdis de infrmación, sin a ls gerentes y jefes de las unidades de negci cm prpietaris de infrmación, y a ls usuaris en general. B) Diseñ del plan de seguridad de la infrmación Para el diseñ del Plan de seguridad de la infrmación se desarrllaran las siguientes etapas:

7 - Evaluación de riesgs, amenazas y vulnerabilidades Para la definición del alcance de las plíticas y estándares y cn el prpósit de identificar las implicancias de seguridad del us y estrategia de tecnlgía, amenazas y vulnerabilidades y nuevas iniciativas del negci, se desarrllarán un cnjunt de entrevistas cn las Gerencias del Banc, persnal del área de sistemas, auditria interna y el área de seguridad infrmática. Prduct de la cnslidación de la infrmación btenida en dichas entrevistas se elabrará unas matrices que se presentarán en el capítul N V del presente dcument. - Plíticas de seguridad de infrmación. Cn el bjetiv de cntar cn una guía para la prtección de infrmación del Banc, se elabrarán las plíticas y estándares de seguridad de la infrmación, tmand en cuenta el estándar de seguridad de infrmación ISO 17799, ls requerimients de la Circular N G publicada pr la Superintendencia de Banca y Segurs (SBS) sbre Riesgs de Tecnlgía de Infrmación y las nrmas establecidas internamente pr el Banc. - Diseñ de arquitectura de seguridad de red. Cn el bjetiv de cntrlar las cnexines de la red del Banc cn entidades externas y mnitrear la actividad realizada a través de dichas cnexines, se elabrará una prpuesta de arquitectura de red la cual incluye dispsitivs de mnitre de intruss y herramientas de inspección de cntenid.

8 C) Plan de Implementación De la identificación de riesgs amenazas y vulnerabilidades relacinadas cn la seguridad de la infrmación del Banc, se lgrarn identificar las actividades más imprtantes a ser realizadas pr el Banc cn el prpósit de alinear las medidas de seguridad implementadas para prteger la infrmación del Banc, cn las Plíticas de seguridad y estándares elabrads. Este plan de alt nivel incluye una descripción de la actividad a ser realizada, las etapas incluidas en su desarrll y el tiemp estimad de ejecución. El Autr