Plan de Seguridad Informtica para una Entidad Financiera.

Crdova Rodrguez, Norma Edith.

Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Captulo IV
SEGURIDAD DE LA INFORMACIN ROLES Y ESTRUCTURA
ORGANIZACIONAL
4.1 Situacin actual
La administracin de seguridad de informacin se encuentra distribuida
principalmente entre las reas de sistemas y el rea de seguridad informtica.
En algunos casos, la administracin de accesos es realizada por la jefatura o
gerencia del rea que utiliza la aplicacin.
Las labores de seguridad realizadas actualmente por el rea de seguridad
informtica son las siguientes:
- Creacin y eliminacin de usuarios
- Verificacin y asignacin de perfiles en las aplicaciones
Las labores de seguridad realizadas por el rea de sistemas son las siguientes:
- Control de red
- Administracin del firewall
- Administracin de accesos a bases de datos
Las funciones de desarrollo y mantenimiento de polticas y estndares de
seguridad no estn definidas dentro de los roles de la organizacin.
Cabe mencionar que el acceso con privilegio administrativo al computador
central es restringido, el rea de seguridad informtica define una contrasea,
la cual es enviada a la oficina de seguridad (Gerencia de Administracin) en un
sobre cerrado, en caso de necesitarse acceso con dicho privilegio, la
contrasea puede ser obtenida por el gerente de sistemas o el jefe de soporte
Plan de Seguridad Informtica para una Entidad Financiera.
Crdova Rodrguez, Norma Edith.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
tcnico y produccin, solicitando el sobre a la oficina de seguridad. Luego
deben realizar un informe sobre la actividad realizada en el computador central.
4.2 ROLES Y RESPONSABILIDADES DE LA ESTRUCTURA
ORGANIZACIONAL DE SEGURIDAD DE INFORMACIN
El rea organizacional encargada de la administracin de seguridad de
informacin debe soportar los objetivos de seguridad de informacin del Banco.
Dentro de sus responsabilidades se encuentran la gestin del plan de
seguridad de informacin as como la coordinacin de esfuerzos entre el
personal de sistemas y los empleados de las reas de negocios, siendo stos
ltimos los responsables de la informacin que utilizan. Asimismo, es
responsable de promover la seguridad de informacin a lo largo de la
organizacin con el fin de incluirla en el planeamiento y ejecucin de los
objetivos del negocio.
Es importante mencionar que las responsabilidades referentes a la seguridad
de informacin son distribuidas dentro de toda la organizacin y no son de
entera responsabilidad del rea de seguridad informtica, en ese sentido
existen roles adicionales que recaen en los propietarios de la informacin, los
custodios de informacin y el rea de auditoria interna.
Los propietarios de la informacin deben verificar la integridad de su
informacin y velar por que se mantenga la disponibilidad y confidencialidad de
la misma.
Los custodios de informacin tienen la responsabilidad de monitorear el
cumplimiento de las actividades encargadas y el rea de auditoria interna debe
monitorear el cumplimiento de la poltica de seguridad y el cumplimiento
adecuado de los procesos definidos para mantener la seguridad de
informacin.
Plan de Seguridad Informtica para una Entidad Financiera.
Crdova Rodrguez, Norma Edith.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
A continuacin presentamos los roles y responsabilidades relacionadas a la
administracin de seguridad de informacin:
rea de Seguridad Informtica.
El rea organizacional encargada de la administracin de seguridad de
informacin tiene como responsabilidades:
Establecer y documentar las responsabilidades de la organizacin en
cuanto a seguridad de informacin.
Mantener la poltica y estndares de seguridad de informacin de la
organizacin.
Identificar objetivos de seguridad y estndares del Banco (prevencin de
virus, uso de herramientas de monitoreo, etc.)
Definir metodologas y procesos relacionados a la seguridad de informacin.
Comunicar aspectos bsicos de seguridad de informacin a los empleados
del Banco. Esto incluye un programa de concientizacin para comunicar
aspectos bsicos de seguridad de informacin y de las polticas del Banco.
Desarrollar controles para las tecnologas que utiliza la organizacin. Esto
incluye el monitoreo de vulnerabilidades documentadas por los
proveedores.
Monitorear el cumplimiento de la poltica de seguridad del Banco.
Controlar e investigar incidentes de seguridad o violaciones de seguridad.
Realizar una evaluacin peridica de vulnerabilidades de los sistemas que
conforman la red de datos del Banco.
Evaluar aspectos de seguridad de productos de tecnologa, sistemas o
aplicaciones utilizados en el Banco.
Asistir a las gerencias de divisin en la evaluacin de seguridad de las
iniciativas del negocio.
Verificar que cada activo de informacin del Banco haya sido asignado a un
propietario el cual debe definir los requerimientos de seguridad como
Plan de Seguridad Informtica para una Entidad Financiera.
Crdova Rodrguez, Norma Edith.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
polticas de proteccin, perfiles de acceso, respuesta ante incidentes y sea
responsable final del mismo.
Administrar un programa de clasificacin de activos de informacin,
incluyendo la identificacin de los propietarios de las aplicaciones y datos.
Coordinacin de todas las funciones relacionadas a seguridad, como
seguridad fsica, seguridad de personal y seguridad de informacin
almacenada en medios no electrnicos.
Desarrollar y administrar el presupuesto de seguridad de informacin.
Reportar peridicamente a la gerencia de Administracin y Operaciones.
Administracin de accesos a las principales aplicaciones del Banco.
Elaborar y mantener un registro con la relacin de los accesos de los
usuarios sobre los sistemas y aplicaciones del Banco y realizar revisiones
peridicas de la configuracin de dichos accesos en los sistemas.
Controlar aspectos de seguridad en el intercambio de informacin con
entidades externas.
Monitorear la aplicacin de los controles de seguridad fsica de los
principales activos de informacin.
Custodio de Informacin:
Es el responsable de la administracin diaria de la seguridad en los sistemas
de informacin y el monitoreo del cumplimiento de las polticas de seguridad en
los sistemas que se encuentran bajo su administracin. Sus responsabilidades
son:
Administrar accesos a nivel de red (sistema operativo).
Administrar accesos a nivel de bases de datos.
Administrar los accesos a archivos fsicos de informacin almacenada en
medios magnticos (diskettes, cintas), pticos (cds) o impresa.
Implementar controles definidos para los sistemas de informacin,
incluyendo investigacin e implementacin de actualizaciones de seguridad
Plan de Seguridad Informtica para una Entidad Financiera.
Crdova Rodrguez, Norma Edith.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
de los sistemas (service packs, fixes, etc.) en coordinacin con el rea de
seguridad informtica.
Desarrollar procedimientos de autorizacin y autenticacin.
Monitorear el cumplimiento de la poltica y procedimientos de seguridad en
los activos de informacin que custodia.
Investigar brechas e incidentes de seguridad.
Entrenar a los empleados en aspectos de seguridad de informacin en
nuevas tecnologas o sistemas implantados bajo su custodia.
Asistir y administrar los procedimientos de backup, recuperacin y plan de
continuidad de sistemas.
Usuario:
Las responsabilidades de los usuarios finales, es decir, aquellas personas que
utilizan informacin del Banco como parte de su trabajo diario estn definidas a
continuacin:
Mantener la confidencialidad de las contraseas de aplicaciones y sistemas.
Reportar supuestas violaciones de la seguridad de informacin.
Asegurarse de ingresar informacin adecuada a los sistemas.
Adecuarse a las polticas de seguridad del Banco.
Utilizar la informacin del Banco nicamente para los propsitos
autorizados.
Propietario de Informacin:
Los propietarios de informacin son los gerentes y jefes de las unidades de
negocio, los cuales, son responsables de la informacin que se genera y se
utiliza en las operaciones de su unidad. Las reas de negocios deben ser
conscientes de los riesgos de tal forma que sea posible tomar decisiones para
disminuir los mismos.
Entre las responsabilidades de los propietarios de informacin se tienen:
Asignar los niveles iniciales de clasificacin de informacin.
Plan de Seguridad Informtica para una Entidad Financiera.
Crdova Rodrguez, Norma Edith.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Revisin peridica de la clasificacin de la informacin con el propsito de
verificar que cumpla con los requerimientos del negocio.
Asegurar que los controles de seguridad aplicados sean consistentes con la
clasificacin realizada.
Determinar los criterios y niveles de acceso a la informacin.
Revisar peridicamente los niveles de acceso a los sistemas a su cargo.
Determinar los requerimientos de copias de respaldo para la informacin
que les pertenece.
Tomar las acciones adecuadas en caso de violaciones de seguridad.
Verificar peridicamente la integridad y coherencia de la informacin
producto de los procesos de su rea.
Auditoria Interna:
El personal de auditoria interna es responsable de monitorear el cumplimiento
de los estndares y guas definidas en las polticas internas. Una estrecha
relacin del rea de auditoria interna con el rea de seguridad informtica es
crtica para la proteccin de los activos de informacin. Por lo tanto dentro del
plan anual de evaluacin del rea de auditoria interna se debe incluir la
evaluacin peridica de los controles de seguridad de informacin definidos por
el Banco.
Auditoria interna debe colaborar con el rea de seguridad informtica en la
identificacin de amenazas y vulnerabilidades referentes a la seguridad de
informacin del Banco.
4.3 ORGANIZACIN DEL AREA DE SEGURIDAD INFORMTICA
PROPUESTA
Dado el volumen de operaciones y la criticidad que presenta la informacin
para el negocio del Banco y tomando en cuenta las mejores prcticas de la
industria, es necesaria la existencia de un rea organizacional que administre
la seguridad informtica. Como requisito indispensable, esta rea debe ser
Plan de Seguridad Informtica para una Entidad Financiera.
Crdova Rodrguez, Norma Edith.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
independiente de la Gerencia de Sistemas, la cual en muchos casos es la
ejecutora de las normas y medidas de seguridad elaboradas.
Este proceso de independizacin de la administracin de la seguridad del rea
de sistemas ya fue iniciado por el Banco al crear el rea de seguridad
informtica, la cual, reporta a la Gerencia de divisin de Administracin y
Operaciones.
Considerando la falta de recursos con el perfil requerido que puedan ser
rpidamente reasignados, el proceso de entendimiento y asimilacin de las
responsabilidades, los roles definidos correspondientes al rea de seguridad
informtica, y la necesidad de implementar un esquema adecuado de
seguridad, proponemos definir una estructura organizacional de seguridad
transitoria en la cual se crear un comit de coordinacin de seguridad de la
informacin para la definicin de los objetivos del rea y el monitoreo de las
actividades de la misma.
El comit de coordinacin de seguridad de la informacin, estar conformado
por las siguientes personas:
Gerente de divisin de Administracin y Operaciones (presidente del
comit).
Jefe del rea de seguridad informtica (responsable del comit).
Gerente de Sistemas.
Auditor de Sistemas.
Jefe del departamento de Riesgo Operativo y Tecnolgico.
Plan de Seguridad Informtica para una Entidad Financiera.
Crdova Rodrguez, Norma Edith.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Gerente de
Administracin y
Operaciones
Sistemas
Contralora
General
Operaciones
Recursos
Humanos
Administracin
Seguridad
Informtica
Comit de
Coordinacin de
Seguridad de la
Informcin
Fig. 1: Estructura organizacional transitoria propuesta para la
administracin de la seguridad de informacin.
Gerente de
Sistemas
Jefe de
Departamente de
Riesgo Operativo y
Tecnolgico
Auditor de
Sistemas
Jefe de Seguridad
Informtica
(Responsable)
Gerente de Divisin de
Administracin y
Operaciones
(Presidente del Comit)
Fig. 2: Organizacin del Comit de coordinacin de Seguridad de la
Informacin.
Este comit, determinar el gradual traslado de las responsabilidades de
seguridad al rea de seguridad informtica, monitorear las labores realizadas
por el rea, colaborando a su vez con el entendimiento de la plataforma
tecnolgica, los procesos del negocio del Banco y la planificacin inicial de
actividades que desarrollar el rea a corto plazo.
Plan de Seguridad Informtica para una Entidad Financiera.
Crdova Rodrguez, Norma Edith.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
El comit de coordinacin deber reunirse con una frecuencia quincenal, con la
posibilidad de convocar reuniones de emergencia en caso de existir alguna
necesidad que lo amerite.
Es importante resaltar que luego que el rea de seguridad informtica haya
logrado una asimilacin de sus funciones, un entendimiento de los procesos del
negocio del Banco y una adecuada interrelacin con las gerencias de las
distintas divisiones del Banco, el jefe de rea de seguridad informtica debe
reportar directamente al Gerente de divisin de Administracin y Operaciones,
convirtindose el comit de coordinacin de seguridad informtica, en un ente
consultivo, dejando la labor de monitoreo a la gerencia de divisin.