Microsoft de Guatemala, S.A. Tel.

+(502) 379 3003

14 calle 2-51 Zona 10 Fax +(502) 367 6484
Edificio Intercontinental Of. 11-01 Web http://www.microsoft.com/guatemala
Guatemala City, Guatemala C.A. 01010

M
jueves, 29 de julio de 2004

Sr.
Ariel Rodas
Banco De Guatemala

A continuacin, algunas recomendaciones sobre la organizacin de seguridad dentro del Banco de

Guatemala

Parte de los objetivos que esta organizacin debe cumplir son:

Confeccin de la visin del Banco en cuanto a seguridad de bienes y la estrategia a seguir para
cumplir con esa visin.
La creacin, mantenimiento y publicacin de las polticas de seguridad del Banco.
Generacin de requerimientos y arquitecturas necesarias para cumplir con los ms altos
estndares de seguridad que soporten la operabilidad del Banco.
Mejorar la comprensin que se tiene de las funciones de las diferentes direcciones y
dependencias que requieran el uso de tecnologas de informacin.
Identificar recursos y servicios, as como los usuarios de esos recursos y servicios
reconociendo su nivel de prioridad para el negocio y de satisfaccin hacia los servicios
recibidos.
Dar a conocer y establecer un plan continuo de comunicacin hacia el personal del Banco
sobre la importancia de los aspectos de seguridad en las operaciones del negocio.
Revisar peridicamente las responsabilidades de los funcionarios del rea de seguridad y los
procesos de servicios.
Establecer mecanismos de responsabilidad patrimonial y rendicin de cuentas tanto de los
funcionarios de la direccin como de todos los funcionarios de la institucin en cuanto a los
recursos de informacin a su cargo.
Solicitar el mejoramiento de los procedimientos de control de los diferentes recursos de
informacin y colaborar para que se implanten.
Promover la contencin del gasto en recursos informticos relacionados con seguridad
utilizando para ello hardware y software de alto rendimiento, reutilizable por varias
plataformas al mejor costo posible (aprovechando economas de escala, alianzas, etc).
Crear, desarrollar, mantener y lograr nuevas normas de procedimiento que ponderen
adecuadamente el desempeo individual por equipo tanto de la direccin como en el uso de
los recursos por la institucin.

Your Potential. Our Passion.

Microsoft Corporation is an equal opportunity employer.
...........................
.
 Impreso 29/07/04
Pag. 2 Ref. 359563906.doc
Establecer una infraestructura flexible y sin compromisos de intereses decididos externamente
que sea capaz de responder a necesidades futuras de la institucin.
Atraer y retener un capital humano altamente capacitado, motivado y satisfecho, quizs con
un modelo de incentivos basados en capacitacin continua.
Asegurar una comunicacin interna a la Direccin que sea consistente y actualizada.
Mejorar la gestin de proyectos dentro de la Direccin.
Mejorar la cooperacin y el trabajo entre las diferentes coordinaciones de la direccin.
Participar directamente en los procesos de planificacin estratgica de la institucin toda vez
que muchos dependern de los recursos de seguridad actuales y de los que se requieran.

Las responsabilidades principales del CISO (aka Oficial de Seguridad) en una organizacin como la
sugerida en este primer escenario deben ser:
Administracin de riesgos: informar a los ejecutivos del Banco sobre los riesgos que amenazan
el negocio, en la implementacin o no de tecnologa utilizada para la operacin del negocio.
Programa de seguridad: establecer los programas de seguridad y administracin de la
infraestructura para asegurar que los riesgos son identificados y controlados de acuerdo a las
capacidades del Banco (costo/beneficio).

Las responsabilidades especficas del CISO deben ser:

Desarrollar y administrar los programas de seguridad, incluyendo polticas, estndares y
guas.
Desarrollar y administrar los procesos de clasificacin de la informacin.
Desarrollar y administrar el proceso de inventario, anlisis y aceptacin de riesgos.
Promover el conocimiento y aceptacin de los programas de seguridad a travs de
entrenamiento a los funcionarios del Banco.
Informar a los estrategas, personal operativo y tcnico de la implementacin de los programas
de seguridad en las respectivas reas.
Ejecutar las actividades necesarias para asegurar el xito de la implementacin de los
programas de seguridad.
Actuar como enlace entre auditoria de sistemas y IT, revisando todos los reportes de auditoria
y verificando el cumplimiento en tiempo y efectividad de las acciones correctivas.
Servir como miembro del comit tcnico para evaluar las nuevas tecnologas.
Actuar como enlace entre las reas estratgicas y operativas del negocio, para tratar temas
relacionados con la seguridad de la informacin como: verificacin de la hoja de vida del
solicitante o aspirante, ruptura de contrato por el no cumplimiento de las polticas,
amonestaciones por faltas a las directrices de seguridad, identificacin constante de toda
persona que se encuentre dentro de las instalaciones del Banco, etc).
Consultar a las reas estratgicas sobre cambios en la operabilidad del negocio y los planes
tcnicos para asegurar que los eventuales vulnerabilidades estn contrarrestadas desde inicios
de los proyectos.
Consultar peridicamente con la alta gerencia las crisis internas y externas de seguridad, para
asegurar que estn atendidas apropiadamente.
Informar a los estrategas del Banco sobre los cambios tcnicos, legales y regulaciones que
afecten la seguridad de los activos de la institucin.
 Impreso 29/07/04
Pag. 3 Ref. 359563906.doc
Los requisitos deseables en la persona que ocupe el puesto de CISO, son:
Facilidad para balancear las necesidades del negocio y el crecimiento en el nmero de
controles requeridos para mitigar el riesgo.
Capacidad de traducir los trminos tcnicos en trminos de negocio, que los administradores
y estrategas del Banco puedan comprender.
Licenciado o Ingeniero en Computacin.
Master en Administracin de Negocios.
Bilinge (Espaol/Ingls).
Cinco aos como mnimo en el campo de la seguridad tecnolgica y/o fsica.
Experiencia comprobada en administracin de personal.
Amplio conocimiento de tecnologa (AS/400, RS6000, Windows, Redes).
Amplio conocimiento de las actividades bancarias.
Amplio conocimiento de la legislacin guatemalteca sobre el tema de seguridad bancaria.
Amplio conocimiento en auditoria interna y/o de sistemas, preferiblemente certificado como
CISA.
Amplio conocimiento de metodologas de administracin de tecnologa (CobIT, MOF, ITIL,
PRINCE, ISO 17799, ISO 13335, GASSP, CASPR, CMM), preferiblemente certificado.
Certificado (GIAC, CISSP, SSCP) de alguna institucin de seguridad (SANS, (ISC)2).

El rol del CISO es estratgico dentro de la organizacin del Banco, actuando como el enlace entre las
reas del negocio y las reas operativas y tecnolgicas. Este rol debe ser estructurado de tal forma que
asegure la independencia entre la generacin de los planes y polticas de seguridad y su implementacin.

En espera que esta informacin le sea de utilidad,

Atentamente

Freddy Arvalo
Microsoft Enterprise Services
fredar@microsoft.com