Plan de Seguridad Informtica para una Entidad Financiera .

Crdova Rodrguez, Norma Edith.

Captulo IV

SEGURIDAD DE LA INFORMACIN ROLES Y ESTRUCTURA

ORGANIZACIONAL

4.1

Situacin actual

La administracin de seguridad de informacin se encuentra distribuida

principalmente entre las reas de sistemas y el rea de seguridad informtica.
En algunos casos, la administracin de accesos es realizada por la jefatura o
gerencia del rea que utiliza la aplicacin.

Las labores de seguridad realizadas actualmente por el rea de seguridad

informtica son las siguientes:
-

Creacin y eliminacin de usuarios

Verificacin y asignacin de perfiles en las aplicaciones

Las labores de seguridad realizadas por el rea de sistemas son las siguientes:
-

Control de red

Administracin del firewall

Administracin de accesos a bases de datos

Las funciones de desarrollo y mantenimiento de polticas y estndares de

seguridad no estn definidas dentro de los roles de la organizacin.
Cabe mencionar que el acceso con privilegio administrativo al computador
central es restringido, el rea de seguridad informtica define una contrasea,
la cual es enviada a la oficina de seguridad (Gerencia de Administracin) en un
sobre cerrado, en caso de necesitarse acceso con dicho privilegio, la
contrasea puede ser obtenida por el gerente de sistemas o el jefe de soporte
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM

Plan de Seguridad Informtica para una Entidad Financiera .

Crdova Rodrguez, Norma Edith.

tcnico y produccin, solicitando el sobre a la oficina de seguridad. Luego

deben realizar un informe sobre la actividad realizada en el computador central.
4.2 ROLES Y RESPONSABILIDADES DE LA ESTRUCTURA
ORGANIZACIONAL DE SEGURIDAD DE INFORMACIN
El rea organizacional encargada de la administracin de seguridad de
informacin debe soportar los objetivos de seguridad de informacin del Banco.
Dentro de sus responsabilidades se encuentran la gestin del plan de
seguridad de informacin as como la coordinacin de esfuerzos entre el
personal de sistemas y los empleados de las reas de negocios, siendo stos
ltimos los responsables de la informacin que utilizan. Asimismo, es
responsable de promover la seguridad de informacin a lo largo de la
organizacin con el fin de incluirla en el planeamiento y ejecucin de los
objetivos del negocio.

Es importante mencionar que las responsabilidades referentes a la seguridad

de informacin son distribuidas dentro de toda la organizacin y no son de
entera responsabilidad del rea de seguridad informtica, en ese sentido
existen roles adicionales que recaen en los propietarios de la informacin, los
custodios de informacin y el rea de auditoria interna.
Los propietarios de la informacin deben verificar la integridad de su
informacin y velar por que se mantenga la disponibilidad y confidencialidad de
la misma.

Los custodios de informacin tienen la responsabilidad de monitorear el

cumplimiento de las actividades encargadas y el rea de auditoria interna debe
monitorear el cumplimiento de la poltica de seguridad y el cumplimiento
adecuado de los procesos definidos para mantener la seguridad de
informacin.

Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM

Plan de Seguridad Informtica para una Entidad Financiera .

Crdova Rodrguez, Norma Edith.

A continuacin presentamos los roles y responsabilidades relacionadas a la

administracin de seguridad de informacin:
rea de Seguridad Informtica.
El rea organizacional encargada de la administracin de seguridad de
informacin tiene como responsabilidades:

Establecer y documentar las responsabilidades de la organizacin en

cuanto a seguridad de informacin.

Mantener la poltica y estndares de seguridad de informacin de la

organizacin.

Identificar objetivos de seguridad y estndares del Banco (prevencin de

virus, uso de herramientas de monitoreo, etc.)

Definir metodologas y procesos relacionados a la seguridad de informacin.

Comunicar aspectos bsicos de seguridad de informacin a los empleados

del Banco. Esto incluye un programa de concientizacin para comunicar
aspectos bsicos de seguridad de informacin y de las polticas del Banco.

Desarrollar controles para las tecnologas que utiliza la organizacin. Esto

incluye el monitoreo de vulnerabilidades documentadas por los
proveedores.

Monitorear el cumplimiento de la poltica de seguridad del Banco.

Controlar e investigar incidentes de seguridad o violaciones de seguridad.

Realizar una evaluacin peridica de vulnerabilidades de los sistemas que

conforman la red de datos del Banco.

Evaluar aspectos de seguridad de productos de tecnologa, sistemas o

aplicaciones utilizados en el Banco.

Asistir a las gerencias de divisin en la evaluacin de seguridad de las

iniciativas del negocio.

Verificar que cada activo de informacin del Banco haya sido asignado a un
propietario el cual debe definir los requerimientos de seguridad como

Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM

Plan de Seguridad Informtica para una Entidad Financiera .

Crdova Rodrguez, Norma Edith.

polticas de proteccin, perfiles de acceso, respuesta ante incidentes y sea

responsable final del mismo.

Administrar un programa de clasificacin de activos de informacin,

incluyendo la identificacin de los propietarios de las aplicaciones y datos.

Coordinacin de todas las funciones relacionadas a seguridad, como

seguridad fsica, seguridad de personal y seguridad de informacin
almacenada en medios no electrnicos.

Desarrollar y administrar el presupuesto de seguridad de informacin.

Reportar peridicamente a la gerencia de Administracin y Operaciones.

Administracin de accesos a las principales aplicaciones del Banco.

Elaborar y mantener un registro con la relacin de los accesos de los

usuarios sobre los sistemas y aplicaciones del Banco y realizar revisiones
peridicas de la configuracin de dichos accesos en los sistemas.

Controlar aspectos de seguridad en el intercambio de informacin con

entidades externas.

Monitorear la aplicacin de los controles de seguridad fsica de los

principales activos de informacin.

Custodio de Informacin:
Es el responsable de la administracin diaria de la seguridad en los sistemas
de informacin y el monitoreo del cumplimiento de las polticas de seguridad en
los sistemas que se encuentran bajo su administracin. Sus responsabilidades
son:

Administrar accesos a nivel de red (sistema operativo).

Administrar accesos a nivel de bases de datos.

Administrar los accesos a archivos fsicos de informacin almacenada en

medios magnticos (diskettes, cintas), pticos (cds) o impresa.

Implementar controles definidos para los sistemas de informacin,

incluyendo investigacin e implementacin de actualizaciones de seguridad

Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM

Plan de Seguridad Informtica para una Entidad Financiera .

Crdova Rodrguez, Norma Edith.

de los sistemas (service packs, fixes, etc.) en coordinacin con el rea de

seguridad informtica.

Desarrollar procedimientos de autorizacin y autenticacin.

Monitorear el cumplimiento de la poltica y procedimientos de seguridad en

los activos de informacin que custodia.

Investigar brechas e incidentes de seguridad.

Entrenar a los empleados en aspectos de seguridad de informacin en

nuevas tecnologas o sistemas implantados bajo su custodia.

Asistir y administrar los procedimientos de backup, recuperacin y plan de

continuidad de sistemas.

Usuario:
Las responsabilidades de los usuarios finales, es decir, aquellas personas que
utilizan informacin del Banco como parte de su trabajo diario estn definidas a
continuacin:

Mantener la confidencialidad de las contraseas de aplicaciones y sistemas.

Reportar supuestas violaciones de la seguridad de informacin.

Asegurarse de ingresar informacin adecuada a los sistemas.

Adecuarse a las polticas de seguridad del Banco.

Utilizar la informacin del Banco nicamente para los propsitos

autorizados.

Propietario de Informacin:
Los propietarios de informacin son los gerentes y jefes de las unidades de
negocio, los cuales, son responsables de la informacin que se genera y se
utiliza en las operaciones de su unidad. Las reas de negocios deben ser
conscientes de los riesgos de tal forma que sea posible tomar decisiones para
disminuir los mismos.
Entre las responsabilidades de los propietarios de informacin se tienen:

Asignar los niveles iniciales de clasificacin de informacin.

Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM

Plan de Seguridad Informtica para una Entidad Financiera .

Crdova Rodrguez, Norma Edith.

Revisin peridica de la clasificacin de la informacin con el propsito de

verificar que cumpla con los requerimientos del negocio.

Asegurar que los controles de seguridad aplicados sean consistentes con la

clasificacin realizada.

Determinar los criterios y niveles de acceso a la informacin.

Revisar peridicamente los niveles de acceso a los sistemas a su cargo.

Determinar los requerimientos de copias de respaldo para la informacin

que les pertenece.

Tomar las acciones adecuadas en caso de violaciones de seguridad.

Verificar peridicamente la integridad y coherencia de la informacin

producto de los procesos de su rea.

Auditoria Interna:
El personal de auditoria interna es responsable de monitorear el cumplimiento
de los estndares y guas definidas en las polticas internas. Una estrecha
relacin del rea de auditoria interna con el rea de seguridad informtica es
crtica para la proteccin de los activos de informacin. Por lo tanto dentro del
plan anual de evaluacin del rea de auditoria interna se debe incluir la
evaluacin peridica de los controles de seguridad de informacin definidos por
el Banco.
Auditoria interna debe colaborar con el rea de seguridad informtica en la
identificacin de amenazas y vulnerabilidades referentes a la seguridad de
informacin del Banco.
4.3

ORGANIZACIN DEL AREA DE SEGURIDAD INFORMTICA

PROPUESTA

Dado el volumen de operaciones y la criticidad que presenta la informacin

para el negocio del Banco y tomando en cuenta las mejores prcticas de la
industria, es necesaria la existencia de un rea organizacional que administre
la seguridad informtica. Como requisito indispensable, esta rea debe ser
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM

Plan de Seguridad Informtica para una Entidad Financiera .

Crdova Rodrguez, Norma Edith.

independiente de la Gerencia de Sistemas, la cual en muchos casos es la

ejecutora de las normas y medidas de seguridad elaboradas.

Este proceso de independizacin de la administracin de la seguridad del rea

de sistemas ya fue iniciado por el Banco al crear el rea de seguridad
informtica, la cual, reporta a la Gerencia de divisin de Administracin y
Operaciones.

Considerando la falta de recursos con el perfil requerido que puedan ser

rpidamente reasignados, el proceso de entendimiento y asimilacin de las
responsabilidades, los roles definidos correspondientes al rea de seguridad
informtica, y la necesidad de implementar un esquema adecuado de
seguridad, proponemos definir una estructura organizacional de seguridad
transitoria en la cual se crear un comit de coordinacin de seguridad de la
informacin para la definicin de los objetivos del rea y el monitoreo de las
actividades de la misma.

El comit de coordinacin de seguridad de la informacin, estar conformado

por las siguientes personas:

Gerente de divisin de Administracin y Operaciones (presidente del

comit).

Jefe del rea de seguridad informtica (responsable del comit).

Gerente de Sistemas.

Auditor de Sistemas.

Jefe del departamento de Riesgo Operativo y Tecnolgico.

Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM

Plan de Seguridad Informtica para una Entidad Financiera .

Crdova Rodrguez, Norma Edith.

Comit de
Coordinacin de
Seguridad de la
Informcin

Gerente de
Administracin y
Operaciones

Seguridad
Informtica

Sistemas

Contralora
General

Recursos
Humanos

Operaciones

Administracin

Fig. 1: Estructura organizacional transitoria propuesta para la

administracin de la seguridad de informacin.

Gerente de Divisin de
Administracin y
Operaciones
(Presidente del Comit)

Gerente de
Sistemas

Jefe de
Departamente de
Riesgo Operativo y
Tecnolgico

Auditor de
Sistemas

Jefe de Seguridad
Informtica
(Responsable)

Fig. 2: Organizacin del Comit de coordinacin de Seguridad de la

Informacin.

Este comit, determinar el gradual traslado de las responsabilidades de

seguridad al rea de seguridad informtica, monitorear las labores realizadas
por el rea, colaborando a su vez con el entendimiento de la plataforma
tecnolgica, los procesos del negocio del Banco y la planificacin inicial de
actividades que desarrollar el rea a corto plazo.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM

Plan de Seguridad Informtica para una Entidad Financiera .

Crdova Rodrguez, Norma Edith.

El comit de coordinacin deber reunirse con una frecuencia quincenal, con la

posibilidad de convocar reuniones de emergencia en caso de existir alguna
necesidad que lo amerite.

Es importante resaltar que luego que el rea de seguridad informtica haya

logrado una asimilacin de sus funciones, un entendimiento de los procesos del
negocio del Banco y una adecuada interrelacin con las gerencias de las
distintas divisiones del Banco, el jefe de rea de seguridad informtica debe
reportar directamente al Gerente de divisin de Administracin y Operaciones,
convirtindose el comit de coordinacin de seguridad informtica, en un ente
consultivo, dejando la labor de monitoreo a la gerencia de divisin.

Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM