Beruflich Dokumente
Kultur Dokumente
INTRODUCCIN
La experiencia en implantar el modelo de gestin de seguridad de informacin (SGSI),
se desarroll en un Banco Comercial ubicado en la capital de un pas latinoamericano.
La institucin en el momento de implantar el modelo estaba considerada por sus
captaciones como el tercer Banco del pas. Su fortaleza estaba en la banca comercial.
La alta gerencia del Banco, ante el aumento de fraudes y riesgos en el manejo de la
informacin en la mayora de sus procesos, decidi la implantacin del ISO
27001:2005. Se decidi implantar el modelo, por razones estratgicas, en el proceso de
cuentas corrientes.
NATURALEZA DEL SGSI ISO 27001:2005
El estndar ISO 27001:2005, es parte del sistema de gestin de la organizacin. Esta
basado en un enfoque de riesgos del negocio., para establecer, implantar, operar,
monitorear, mantener y mejorar la seguridad de informacin. El sistema de gestin
de
actividades,
Figura N 1
Modelo Sistema de Gestin de Seguridad de Informacin
PARTES
INTERESADAS
REQUERIMIENTOS Y
EXPECTATIVAS DE LA
SEGURIDAD
DE INFORMACIN
PARTES
INTERESADAS
PLAN
ESTABLECER
EL SGSI 4.2
IMPLEMENTAR
Y OPERAR EL
EL SGSI 4.2.2
DO
Desarrollar,
mantener
y mejorar
el ciclo
MANTENER Y
MEJORAR
EL SGSI 4.2.4
SEGURIDAD
DE
INFORMACIN
MANEJADA
ACT
MONITOREAR
Y REVISAR
EL SGSI 4.2.3
CHECK
2
EFICIENCIA GERENCIAL Y PRODUCTIVIDAD S.A.
Calle Pedro Irigoyen # 116, Miraflores, Lima, Per
Tlf.: (511) 434 3528 fax: (511) 436 6144 www.eficienciagerencial.com
concntrica. Las flechas indican la interaccin. Aqu tambin se deben identificar los
distintos tipos de activos de informacin, con miras a averiguar el tipo de memorando
de entendimiento que existe o debiera de elaborarse as como los contratos existentes y
los grados de acuerdos necesarios.
La metodologa de las elipses, es un mtodo sencillo que permite identificar los
distintos tipos de activos de informacin existentes dentro del alcance del modelo.
Figura N2
Metodologa de las Elipses
Superintendencia
Bancos
Informtica
Servicio
al cliente
Solicitudes
Depura
cin
Y
Negocios
Bur de
Crdito
Emisin
Suministro
Imprenta
chequeras
Figura N3
Metodologa para el Anlisis y Evaluacin del Riesgo
Identificacin de
Activos
Tasacin de
Activos
Identificacin de
Amenazas
Posibilidad de
Ocurrencia de
Amenazas
Identificacin de
Vulnerabilidades
Posible Explotacin
de Vulnerabilidades
Posibilidad de
Ocurrencia del
Riesgo
En la tabla N 1, se fueron vaciando los resultados del anlisis y evaluacin del riesgo.
El primer paso que se sigui fue la (1) Identificacin de Activos.- Como resultado del
uso de la metodologa de las elipses, se identificaron seis activos de informacin vitales.
Luego se procedi a la (2) Tasacin de Activos.- Para poder identificar la proteccin
apropiada a los activos, es necesario tasar su valor en trminos de la importancia a la
gestin comercial, o dadas ciertas oportunidades determinar su valor potencial.
En el caso de los activos de informacin del proceso de cuentas corrientes, se tas su
impacto en relacin a su confidencialidad, integridad y disponibilidad. Se manej una
escala cualitativa que variaba entre: ALTO, MEDIANO y BAJO.
Una ves realizada la tasacin se efectu la (3) Identificacin de Amenazas.- Una
amenaza tiene el potencial de causar incidentes indeseables, los cuales podran resultar
causando dao al sistema, la organizacin y sus activos. A travs de la dinmica de
grupos utilizando
la tcnica de la lluvia de ideas, se hallaron las principales amenazas por cada activo de
informacin.
5
EFICIENCIA GERENCIAL Y PRODUCTIVIDAD S.A.
Calle Pedro Irigoyen # 116, Miraflores, Lima, Per
Tlf.: (511) 434 3528 fax: (511) 436 6144 www.eficienciagerencial.com
Tabla N1
Realizacin del Anlisis y Evaluacin del Riesgo
Activos
1) Datos del
cliente
2) Factura
como
Tasacin
Confide
Integri- Disponi- Tot
nbilidad al
cialidad
dad
documento
3) Tarifas
Amenazas
Posible
explotaci
Posible
Valor
n de
ocurrenci Total
activo
vulneraa
bilidad
- Deficiencia org.
B
- Deficiencia
A
envio
A
- Acceso no
M
A
M
M
autorizado
- Control
documentos
- Datos
A
incompletos
A
B
A
Desconocimiento
A
M
M
rutas
- Deficiencia
impresin
- Errores de
procesamiento
- Acceso no
M
autorizado
B
- Mal
M
A
B
B
entrenamiento
- Falta
Posibilid
ad
Vulnerabilidad
ocurren
cia
- Plagio
Falsificacin
- Alteracin
- Privacidad
B
B
B
A
- Prdida
documento
- Retraso en
entrega
- Ilegibilidad
de datos
- Cargos
incorrectos
A
A
B
M
- Alteracin
incorrecta
- Ignorancia
cambios
- Ofertas
B
M
A
6
EFICIENCIA GERENCIAL Y PRODUCTIVIDAD S.A.
Calle Pedro Irigoyen # 116, Miraflores, Lima, Per
Tlf.: (511) 434 3528 fax: (511) 436 6144 www.eficienciagerencial.com
comunicacin
4) Servicios
brindados
5) Software
de
facturacin
6) Medio de
comunicaci
n
y/o
entrega
- Mala
interpretacin
- Poco detalle
- Servicio no
solicitado
- Errores de
cdigo
- Cdigos
maliciosos
- Fallos
tcnicos
- Errores
usuario
- Falta
seguridad
- Fallas
funcionamiento
- Falta
seguridad
- Falta
personal
M
A
M
M
A
M
B
A
A
A
B
- Personal no
calificado
- Reduccin
costo
- Error digitacin
- Personal no
calificado
- Controles
acceso
- Energa
elctrica
- Mal
entrenamiento
- Falta polticas
- Energa
elctrica
- Errores
configuracin
- Poca
disponibilidad
M
A
M
B
M
A
B
A
A
M
B
Leyenda: AltoA
Mediano..M
Bajo B
7
EFICIENCIA GERENCIAL Y PRODUCTIVIDAD S.A.
Calle Pedro Irigoyen # 116, Miraflores, Lima, Per
Tlf.: (511) 434 3528 fax: (511) 436 6144 www.eficienciagerencial.com
9
EFICIENCIA GERENCIAL Y PRODUCTIVIDAD S.A.
Calle Pedro Irigoyen # 116, Miraflores, Lima, Per
Tlf.: (511) 434 3528 fax: (511) 436 6144 www.eficienciagerencial.com
Activo de Informacin
Software de Facturacin
Objetivo de Control
Control
A.6.1
A. 6.1.1
A.6.1
A.6.1.3
A.8.2
A.8.2.2
A.8.2
A.8.2.2
A.8.2.3
A.9.1.1
A.9.1.2
A.7.1.1
A.7.1.3
A.11.2.1
A.11.2.2
A.11.2.3
A.11.3.1
A.11.3.2
A.9.1
A.7.1
A.11.2
A.11.3
Justificacin
Proporcionar direccionalidad
en la seguridad de
informacin.
Controlar el acceso a la
informacin.
Evitar el acceso no autorizado
a la computadora.
10
EFICIENCIA GERENCIAL Y PRODUCTIVIDAD S.A.
Calle Pedro Irigoyen # 116, Miraflores, Lima, Per
Tlf.: (511) 434 3528 fax: (511) 436 6144 www.eficienciagerencial.com
Activo de Informacin
Medio de Comunicacin y/o Entrega
Objetivo de Control
Control
A.6.1
A.6.1.1
A.6.1
A.8.2
A.8.2
A.7.1
A.12.2
Justificacin
Proporcionar direccionalidad
en la seguridad de informacin.
A.6.1.3
A.8.2.2
A.8.2.2
A.8.2.3
A.7.1.1
A.7.1.3
A.12.2.1
A.12.2.2
A.12.2.3
NOTA: Las clusulas de control A.14 y A.15 no se han incluido en la ilustracin de enunciado de aplicabilidad.
11
EFICIENCIA GERENCIAL Y PRODUCTIVIDAD S.A.
Calle Pedro Irigoyen # 116, Miraflores, Lima, Per
Tlf.: (511) 434 3528 fax: (511) 436 6144 www.eficienciagerencial.com
CONCLUSIONES
El establecimiento, implantacin, operacin, monitoreo, mantenimiento y mejoramiento
del SGSI ISO 27001:2005, requiere de un ingrediente bsico, el cual es el rol
protagnico que debe cumplir la alta gerencia. Es un estndar para la gestin y la
gerencia no puede delegar su rol.
En el caso presentado, la alta gerencia siempre dio su apoyo visible en todas las fases
del proceso de anlisis y evaluacin del riesgo. El comit gestor, siempre estuvo
comprometido con el establecimiento del modelo, y desarroll, a travs del
entrenamiento, las pericias pertinentes para su manejo.
Es importante entender, que el objetivo de la evaluacin del riesgo es la de identificar y
ponderar los riesgos a los cuales los sistemas de informacin y sus activos estn
expuestos, con miras a identificar y seleccionar controles apropiados.
La seleccin de los controles se debe justificar sobre la base de las conclusiones de la
evaluacin y tratamiento del riesgo. Los objetivos de control y los controles
seleccionados, as como las razones para su seleccin deben documentarse en el
enunciado de aplicabilidad.
Como se ha podido apreciar en el caso del proceso de "cuentas corrientes", la
evaluacin del riesgo esta basada en los valores de los activos y en los niveles de los
requerimientos de seguridad, considerando la existencia de los controles actuales.
La evaluacin del riesgo envuelve la consideracin sistemtica de dos elementos claves:
Siempre se debe tener claro, que no existe un mtodo "bueno" o "malo" para calcular
los riesgos. El nico requisito es que los conceptos de determinar los activos de
informacin, su tasacin, la identificacin de amenazas y vulnerabilidades se cumplan.
12
EFICIENCIA GERENCIAL Y PRODUCTIVIDAD S.A.
Calle Pedro Irigoyen # 116, Miraflores, Lima, Per
Tlf.: (511) 434 3528 fax: (511) 436 6144 www.eficienciagerencial.com