Plan de Seguridad Informtica para una Entidad Financiera.
Crdova Rodrguez, Norma Edith.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM Captulo IV SEGURIDAD DE LA INFORMACIN ROLES Y ESTRUCTURA ORGANIZACIONAL 4.1 Situacin actual La administracin de seguridad de informacin se encuentra distribuida principalmente entre las reas de sistemas y el rea de seguridad informtica. En algunos casos, la administracin de accesos es realizada por la jefatura o gerencia del rea que utiliza la aplicacin. Las labores de seguridad realizadas actualmente por el rea de seguridad informtica son las siguientes: - Creacin y eliminacin de usuarios - Verificacin y asignacin de perfiles en las aplicaciones Las labores de seguridad realizadas por el rea de sistemas son las siguientes: - Control de red - Administracin del firewall - Administracin de accesos a bases de datos Las funciones de desarrollo y mantenimiento de polticas y estndares de seguridad no estn definidas dentro de los roles de la organizacin. Cabe mencionar que el acceso con privilegio administrativo al computador central es restringido, el rea de seguridad informtica define una contrasea, la cual es enviada a la oficina de seguridad (Gerencia de Administracin) en un sobre cerrado, en caso de necesitarse acceso con dicho privilegio, la contrasea puede ser obtenida por el gerente de sistemas o el jefe de soporte Plan de Seguridad Informtica para una Entidad Financiera. Crdova Rodrguez, Norma Edith. Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM tcnico y produccin, solicitando el sobre a la oficina de seguridad. Luego deben realizar un informe sobre la actividad realizada en el computador central. 4.2 ROLES Y RESPONSABILIDADES DE LA ESTRUCTURA ORGANIZACIONAL DE SEGURIDAD DE INFORMACIN El rea organizacional encargada de la administracin de seguridad de informacin debe soportar los objetivos de seguridad de informacin del Banco. Dentro de sus responsabilidades se encuentran la gestin del plan de seguridad de informacin as como la coordinacin de esfuerzos entre el personal de sistemas y los empleados de las reas de negocios, siendo stos ltimos los responsables de la informacin que utilizan. Asimismo, es responsable de promover la seguridad de informacin a lo largo de la organizacin con el fin de incluirla en el planeamiento y ejecucin de los objetivos del negocio. Es importante mencionar que las responsabilidades referentes a la seguridad de informacin son distribuidas dentro de toda la organizacin y no son de entera responsabilidad del rea de seguridad informtica, en ese sentido existen roles adicionales que recaen en los propietarios de la informacin, los custodios de informacin y el rea de auditoria interna. Los propietarios de la informacin deben verificar la integridad de su informacin y velar por que se mantenga la disponibilidad y confidencialidad de la misma. Los custodios de informacin tienen la responsabilidad de monitorear el cumplimiento de las actividades encargadas y el rea de auditoria interna debe monitorear el cumplimiento de la poltica de seguridad y el cumplimiento adecuado de los procesos definidos para mantener la seguridad de informacin. Plan de Seguridad Informtica para una Entidad Financiera. Crdova Rodrguez, Norma Edith. Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM A continuacin presentamos los roles y responsabilidades relacionadas a la administracin de seguridad de informacin: rea de Seguridad Informtica. El rea organizacional encargada de la administracin de seguridad de informacin tiene como responsabilidades: Establecer y documentar las responsabilidades de la organizacin en cuanto a seguridad de informacin. Mantener la poltica y estndares de seguridad de informacin de la organizacin. Identificar objetivos de seguridad y estndares del Banco (prevencin de virus, uso de herramientas de monitoreo, etc.) Definir metodologas y procesos relacionados a la seguridad de informacin. Comunicar aspectos bsicos de seguridad de informacin a los empleados del Banco. Esto incluye un programa de concientizacin para comunicar aspectos bsicos de seguridad de informacin y de las polticas del Banco. Desarrollar controles para las tecnologas que utiliza la organizacin. Esto incluye el monitoreo de vulnerabilidades documentadas por los proveedores. Monitorear el cumplimiento de la poltica de seguridad del Banco. Controlar e investigar incidentes de seguridad o violaciones de seguridad. Realizar una evaluacin peridica de vulnerabilidades de los sistemas que conforman la red de datos del Banco. Evaluar aspectos de seguridad de productos de tecnologa, sistemas o aplicaciones utilizados en el Banco. Asistir a las gerencias de divisin en la evaluacin de seguridad de las iniciativas del negocio. Verificar que cada activo de informacin del Banco haya sido asignado a un propietario el cual debe definir los requerimientos de seguridad como Plan de Seguridad Informtica para una Entidad Financiera. Crdova Rodrguez, Norma Edith. Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM polticas de proteccin, perfiles de acceso, respuesta ante incidentes y sea responsable final del mismo. Administrar un programa de clasificacin de activos de informacin, incluyendo la identificacin de los propietarios de las aplicaciones y datos. Coordinacin de todas las funciones relacionadas a seguridad, como seguridad fsica, seguridad de personal y seguridad de informacin almacenada en medios no electrnicos. Desarrollar y administrar el presupuesto de seguridad de informacin. Reportar peridicamente a la gerencia de Administracin y Operaciones. Administracin de accesos a las principales aplicaciones del Banco. Elaborar y mantener un registro con la relacin de los accesos de los usuarios sobre los sistemas y aplicaciones del Banco y realizar revisiones peridicas de la configuracin de dichos accesos en los sistemas. Controlar aspectos de seguridad en el intercambio de informacin con entidades externas. Monitorear la aplicacin de los controles de seguridad fsica de los principales activos de informacin. Custodio de Informacin: Es el responsable de la administracin diaria de la seguridad en los sistemas de informacin y el monitoreo del cumplimiento de las polticas de seguridad en los sistemas que se encuentran bajo su administracin. Sus responsabilidades son: Administrar accesos a nivel de red (sistema operativo). Administrar accesos a nivel de bases de datos. Administrar los accesos a archivos fsicos de informacin almacenada en medios magnticos (diskettes, cintas), pticos (cds) o impresa. Implementar controles definidos para los sistemas de informacin, incluyendo investigacin e implementacin de actualizaciones de seguridad Plan de Seguridad Informtica para una Entidad Financiera. Crdova Rodrguez, Norma Edith. Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM de los sistemas (service packs, fixes, etc.) en coordinacin con el rea de seguridad informtica. Desarrollar procedimientos de autorizacin y autenticacin. Monitorear el cumplimiento de la poltica y procedimientos de seguridad en los activos de informacin que custodia. Investigar brechas e incidentes de seguridad. Entrenar a los empleados en aspectos de seguridad de informacin en nuevas tecnologas o sistemas implantados bajo su custodia. Asistir y administrar los procedimientos de backup, recuperacin y plan de continuidad de sistemas. Usuario: Las responsabilidades de los usuarios finales, es decir, aquellas personas que utilizan informacin del Banco como parte de su trabajo diario estn definidas a continuacin: Mantener la confidencialidad de las contraseas de aplicaciones y sistemas. Reportar supuestas violaciones de la seguridad de informacin. Asegurarse de ingresar informacin adecuada a los sistemas. Adecuarse a las polticas de seguridad del Banco. Utilizar la informacin del Banco nicamente para los propsitos autorizados. Propietario de Informacin: Los propietarios de informacin son los gerentes y jefes de las unidades de negocio, los cuales, son responsables de la informacin que se genera y se utiliza en las operaciones de su unidad. Las reas de negocios deben ser conscientes de los riesgos de tal forma que sea posible tomar decisiones para disminuir los mismos. Entre las responsabilidades de los propietarios de informacin se tienen: Asignar los niveles iniciales de clasificacin de informacin. Plan de Seguridad Informtica para una Entidad Financiera. Crdova Rodrguez, Norma Edith. Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM Revisin peridica de la clasificacin de la informacin con el propsito de verificar que cumpla con los requerimientos del negocio. Asegurar que los controles de seguridad aplicados sean consistentes con la clasificacin realizada. Determinar los criterios y niveles de acceso a la informacin. Revisar peridicamente los niveles de acceso a los sistemas a su cargo. Determinar los requerimientos de copias de respaldo para la informacin que les pertenece. Tomar las acciones adecuadas en caso de violaciones de seguridad. Verificar peridicamente la integridad y coherencia de la informacin producto de los procesos de su rea. Auditoria Interna: El personal de auditoria interna es responsable de monitorear el cumplimiento de los estndares y guas definidas en las polticas internas. Una estrecha relacin del rea de auditoria interna con el rea de seguridad informtica es crtica para la proteccin de los activos de informacin. Por lo tanto dentro del plan anual de evaluacin del rea de auditoria interna se debe incluir la evaluacin peridica de los controles de seguridad de informacin definidos por el Banco. Auditoria interna debe colaborar con el rea de seguridad informtica en la identificacin de amenazas y vulnerabilidades referentes a la seguridad de informacin del Banco. 4.3 ORGANIZACIN DEL AREA DE SEGURIDAD INFORMTICA PROPUESTA Dado el volumen de operaciones y la criticidad que presenta la informacin para el negocio del Banco y tomando en cuenta las mejores prcticas de la industria, es necesaria la existencia de un rea organizacional que administre la seguridad informtica. Como requisito indispensable, esta rea debe ser Plan de Seguridad Informtica para una Entidad Financiera. Crdova Rodrguez, Norma Edith. Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM independiente de la Gerencia de Sistemas, la cual en muchos casos es la ejecutora de las normas y medidas de seguridad elaboradas. Este proceso de independizacin de la administracin de la seguridad del rea de sistemas ya fue iniciado por el Banco al crear el rea de seguridad informtica, la cual, reporta a la Gerencia de divisin de Administracin y Operaciones. Considerando la falta de recursos con el perfil requerido que puedan ser rpidamente reasignados, el proceso de entendimiento y asimilacin de las responsabilidades, los roles definidos correspondientes al rea de seguridad informtica, y la necesidad de implementar un esquema adecuado de seguridad, proponemos definir una estructura organizacional de seguridad transitoria en la cual se crear un comit de coordinacin de seguridad de la informacin para la definicin de los objetivos del rea y el monitoreo de las actividades de la misma. El comit de coordinacin de seguridad de la informacin, estar conformado por las siguientes personas: Gerente de divisin de Administracin y Operaciones (presidente del comit). Jefe del rea de seguridad informtica (responsable del comit). Gerente de Sistemas. Auditor de Sistemas. Jefe del departamento de Riesgo Operativo y Tecnolgico. Plan de Seguridad Informtica para una Entidad Financiera. Crdova Rodrguez, Norma Edith. Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM Gerente de Administracin y Operaciones Sistemas Contralora General Operaciones Recursos Humanos Administracin Seguridad Informtica Comit de Coordinacin de Seguridad de la Informcin Fig. 1: Estructura organizacional transitoria propuesta para la administracin de la seguridad de informacin. Gerente de Sistemas Jefe de Departamente de Riesgo Operativo y Tecnolgico Auditor de Sistemas Jefe de Seguridad Informtica (Responsable) Gerente de Divisin de Administracin y Operaciones (Presidente del Comit) Fig. 2: Organizacin del Comit de coordinacin de Seguridad de la Informacin. Este comit, determinar el gradual traslado de las responsabilidades de seguridad al rea de seguridad informtica, monitorear las labores realizadas por el rea, colaborando a su vez con el entendimiento de la plataforma tecnolgica, los procesos del negocio del Banco y la planificacin inicial de actividades que desarrollar el rea a corto plazo. Plan de Seguridad Informtica para una Entidad Financiera. Crdova Rodrguez, Norma Edith. Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM El comit de coordinacin deber reunirse con una frecuencia quincenal, con la posibilidad de convocar reuniones de emergencia en caso de existir alguna necesidad que lo amerite. Es importante resaltar que luego que el rea de seguridad informtica haya logrado una asimilacin de sus funciones, un entendimiento de los procesos del negocio del Banco y una adecuada interrelacin con las gerencias de las distintas divisiones del Banco, el jefe de rea de seguridad informtica debe reportar directamente al Gerente de divisin de Administracin y Operaciones, convirtindose el comit de coordinacin de seguridad informtica, en un ente consultivo, dejando la labor de monitoreo a la gerencia de divisin.