Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith. Capítulo V EVALUACIÓN DE RIESGOS, AMENAZAS Y VULNERABILIDADES Con el propósito de obtener un adecuado entendimiento de la implicancia que tiene el uso de tecnología, las amenazas y vulnerabilidades, así como las iniciativas del negocio sobre la seguridad de la información del Banco, se efectuaron entrevistas, de las cuales se obtuvo las siguientes tres matrices, que nos muestran la implicancia en seguridad que presentan cada uno de los factores mencionados anteriormente, así como el estándar o medida a aplicar para minimizar los riesgos correspondientes. 5.1 Matriz de uso y estrategia de tecnología Esta matriz muestra la tecnología utilizada actualmente por el Banco y los cambios estratégicos planificados que impactan en ella, las implicancias de seguridad asociadas al uso de tecnología y los estándares o medidas propuestas para minimizar los riesgos generados por la tecnología empleada. Tecnología Implicancia de seguridad Estándar o medida de seguridad a aplicar Actual Windows NT, Se debe contar con controles Estándar de mejores Windows 2000 de acceso adecuados a la data prácticas de seguridad para y sistemas soportados por el Windows NT Sistema Operativo. Estándar de mejores prácticas de seguridad para Windows 2000. Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith. Tecnología OS/400 Estándar o medida de Implicancia de seguridad seguridad a aplicar Se debe contar con controles Estándar de mejores de acceso adecuados a la data prácticas de seguridad para y sistemas soportados por el OS/400. computador Central. Los controles que posee este servidor deben ser lo más restrictivos posibles pues es el blanco potencial de la mayoría de intentos de acceso no autorizado. Base de datos Se debe contar con controles Estándar de mejores SQL Server de acceso a información de los prácticas de seguridad para sistemas que soportan el bases de datos SQL Server. negocio de la Compañía. Banca electrónica • El servidor Web se • Estándares de a través de encuentra en calidad de encripción de Internet. "hosting" en Telefónica información transmitida. Data, se debe asegurar • • Cláusulas de que el equipo cuente con confidencialidad y las medidas de seguridad delimitación de necesarias, tanto físicas responsabilidades en como lógicas. contratos con La transmisión de los datos proveedores. es realizada a través de un • Acuerdos de nivel de medio público (Internet), se servicios con debe contar con medidas proveedores, en los adecuadas para mantener cuales se detalle el Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith. Tecnología Estándar o medida de Implicancia de seguridad • • seguridad a aplicar la confidencialidad de la porcentaje mínimo de información (encripción de disponibilidad del la data). sistema. El servidor Web que es • Evaluación accedido por los clientes independiente de la puede ser blanco potencial seguridad del servidor de actividad vandálica con que brinda el servicio, o el propósito de afectar la acreditación de la misma imagen del Banco. por parte del proveedor. La disponibilidad del sistema es un factor clave para el éxito del servicio. Banca telefónica • • Transmisión de información • Establecimiento de por medios públicos sin límites adecuados a las posibilidad de protección operaciones realizadas adicional. por vía telefónica. Imposibilidad de mantener Posibilidad de registrar la confidencialidad de las el número telefónico operaciones con el origen de la llamada. proveedor del servicio • • • Controles en los telefónico. sistemas de grabación Posibilidad de obtención de de llamadas telefónica. números de tarjeta y • Evaluar la posibilidad de contraseñas del canal de notificar al cliente de transmisión telefónico. manera automática e inmediata luego de realizada la operación. Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith. Tecnología Sistema Central Estándar o medida de Implicancia de seguridad • Core Bancario El sistema central es el seguridad a aplicar • Estándar de mejores sistema que soporta gran prácticas de seguridad parte de los procesos del para OS/400. negocio del Banco, por lo • Revisión periódica de los tanto, todo acceso no accesos otorgados a los autorizado al servidor usuarios del sistema. representa un riesgo • potencial para el negocio. Monitoreo periódico de la actividad realizada en el servidor. • Verificación del control dual de aprobación en transacciones sensibles. MIS (Management • El acceso a repositorios de • Estándares de seguridad Information información sensible debe de Windows 2000, bases System) ser restringido de datos. adecuadamente. • Adecuados controles de acceso y otorgamiento de perfiles a la aplicación. Desarrollo de • Los proyectos de desarrollo • Estándar de mejores aplicaciones para en periodos muy cortos, prácticas de seguridad las unidades de comprenden un acelerado para Windows 2000, negocio, en desarrollo de sistemas; la OS/400. periodos muy aplicación de medidas de cortos. seguridad, debería desarrollo de encontrarse incluida en el aplicaciones. desarrollo del proyecto. • • Metodología para el Procedimientos de Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith. Tecnología Estándar o medida de Implicancia de seguridad • seguridad a aplicar control de cambios. El tiempo de pase a producción de un nuevo • Evaluación de sistema que soportará un requerimientos de producto estratégico, es seguridad de los muy importante para el sistemas antes de su éxito del negocio, lo cual pase a producción. puede originar que no se • Estándar de mejores tomen las medidas de prácticas de seguridad seguridad necesarias antes para aplicaciones del pase a producción de distribuidas. los nuevos sistemas. Computadoras • personales. • • Se debe contar con • Concientización y adecuados controles de entrenamiento de los acceso a información usuarios en temas de existente en computadoras seguridad de la personales. información. Se requieren adecuados • Implementación de controles de accesos a la mayores controles de información de los sistemas seguridad para desde las computadoras computadoras personales de usuarios. personales. La existencia de diversos • Finalización del proyecto sistemas operativos en el de migración de la parque de computadores plataforma de personales, tales como, computadoras Windows 95, Windows 98, personales al sistema Windows NT, Windows operativo Windows 2000 Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith. Tecnología Estándar o medida de Implicancia de seguridad seguridad a aplicar 2000 Professional, Windows XP, impide • y Windows XP. • estandarizar la prácticas de seguridad configuración de los para estaciones de sistemas. trabajo. Debe existir un control • Actualización periódica sobre los dispositivos que de inventarios del pudieran facilitar fuga de software instalado. información (disqueteras, • grabadoras de cd's, impresoras personales, • Estándares de mejores Monitoreo periódico de carpetas compartidas. • Monitoreo de actividad etc.) de los usuarios, Se debe controlar y sistemas de detección monitorear las aplicaciones de intrusos. y sistemas instalados en las PC´s Correo electrónico • • Posibilidad de Se debe contar con interceptación no estándares de encripción autorizada de mensajes de para los mensajes de correo electrónico. correo electrónico que Riesgo de acceso no contengan información autorizado a información confidencial. del servidor. • • • Estándares de mejores Posibilidad de utilización de prácticas de seguridad recursos por parte de para Windows NT y personas no autorizadas, Lotus Notes. para enviar correo • Configuración de anti- Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith. Tecnología Estándar o medida de Implicancia de seguridad seguridad a aplicar electrónico a terceros (relay no autorizado). • • Implementación de un Posibilidad de recepción de sistema de seguridad del correo inservible (SPAM). contenido SMTP. Riesgos de accesos no • Políticas de seguridad. Internet y redes autorizados desde Internet • Estándares de mejores públicas / Firewall. y redes externas hacia los prácticas de seguridad sistemas del Banco. para servidores Adecuado uso del acceso a Windows NT, Windows Internet por parte de los 2000, correo electrónico, usuarios. servidores Web y Los dispositivos que equipos de permiten controlar accesos, comunicaciones. Conexión a • relay. • • tales como, firewalls, Delimitación de servidores proxy, etc. responsabilidades Deben contar con medidas referentes a la seguridad de seguridad adecuadas de información en para evitar su manipulación contratos con por personas no proveedores. autorizadas. • • • Mejores prácticas de Riesgo de acceso no seguridad para autorizado desde socios de configuración de negocios hacia los Firewalls. sistemas de La Compañía. • Diseño e implementación de una arquitectura de seguridad de Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith. Tecnología Estándar o medida de Implicancia de seguridad seguridad a aplicar red.Utilización de sistemas de detección de intrusos. • Especificación de acuerdos de nivel de servicio con el proveedor. • Controles y filtros para el acceso a Internet. En Proyecto Cambios en la • Los cambios en la • Elaboración de una infraestructura de infraestructura de red arquitectura de red con red. pueden generar nuevas medidas de seguridad puertas de entrada a adecuadas. intrusos si los cambios no • • Establecer controles de son realizados con una acceso adecuados a la adecuada planificación. configuración de los Una falla en la equipos de configuración de equipos comunicaciones. de comunicaciones puede • generar falta de Plan de migración de infraestructura de red. disponibilidad de sistemas. • Un diseño de red inadecuado puede facilitar el ingreso no autorizado a la red de datos. Software de Riesgo de acceso no • Estándar de seguridad Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith. Tecnología Estándar o medida de Implicancia de seguridad administración autorizado a las consolas de remota de PC´s y administración y agentes de servidores. administración remota. seguridad a aplicar para Windows NT • Estándar de seguridad para Windows 2000 • Estándar de seguridad para Windows XP • Controles de acceso adecuados a las consolas y agentes de administración remota. • Establecimiento de adecuados procedimientos para tomar control remoto de PC´s o servidores. • Adecuada configuración del registro (log) de actividad realizada mediante administración remota. Migración de • Posibilidad de error en el servidores traslado de los usuarios y Windows NT permisos de acceso a los Server a Windows directorios de los nuevos 2000 Server. servidores. • • para Windows 2000. • Procedimientos de control de cambios. • Posibilidad de existencia de vulnerabilidades no Estándares de seguridad Plan de migración a Windows 2000. • Políticas de seguridad. conocidas anteriormente. Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith. Tecnología Implantación de Estándar o medida de Implicancia de seguridad • Datawarehouse. Información sensible seguridad a aplicar • almacenada en un Seguridad para Windows repositorio centralizado, 2000. requiere de controles de • acceso adecuados. • Estándares de La disponibilidad del en bases de datos SQL. • sistema debe ser alta para no afectar las operaciones Estándar de seguridad Plan de implantación de Datawarehouse. • que soporta. Procedimientos para otorgamiento de perfiles. • Políticas de seguridad. 5.2 Matriz de Evaluación de Amenazas y Vulnerabilidades En esta matriz se muestra los riesgos y amenazas identificadas, las implicancias de seguridad y los estándares o medidas de seguridad necesarias para mitigar dicha amenaza. Amenaza / Estándar o medida de Implicancia de Seguridad Vulnerabilidad seguridad a aplicar Riesgos/ Amenazas • Interés en obtener La existencia de información información atractiva para competidores de para servidores estratégica del negocio tales como Windows 2000, Banco, por parte información de clientes e Windows NT y OS/400. de competidores información de marketing de negocio. implica la aplicación de aplicaciones del Banco. controles adecuados para el Revisión y depuración • Estándares de seguridad Control de acceso a las Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith. Amenaza / Vulnerabilidad Estándar o medida de Implicancia de Seguridad seguridad a aplicar acceso a información. periódica de los accesos otorgados. • Restricciones en el manejo de información enviada por correo electrónico hacia redes externas, extraída en disquetes o cd´s e información impresa. • Verificación de la información impresa en reportes, evitar mostrar información innecesaria en ellos. • Políticas de seguridad. • Estándares de seguridad Interés en obtener Debido al volumen de dinero beneficios que es administrado por es para Windows NT, económicos administrado por una entidad Windows 2000, OS/400 mediante actividad financiera, la amenaza de y bases de datos SQL. fraudulenta. intento de fraude es una • Controles de accesos a posibilidad muy tentadora los menús de las tanto para personal interno del aplicaciones. Banco, así como para personal • externo. Revisiones periódicas de los niveles de accesos de los usuarios. • Evaluación periódica de la integridad de la Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith. Amenaza / Estándar o medida de Implicancia de Seguridad Vulnerabilidad seguridad a aplicar información por parte del propietario de la misma. • Revisiones periódicas de los registros (logs) de los sistemas y operaciones realizadas. • Mejores prácticas para configuración de firewalls, servidores y equipos de comunicaciones. Actividad • La actividad desarrollada • Estándares de seguridad vandálica por “hackers” o “crackers” para servidores realizada por de sistemas, puede afectar Windows 2000. “hackers” o la disponibilidad, integridad “crackers” y confidencialidad de la para servidores información del negocio. Windows NT. Estos actos vandálicos • • • Estándares de seguridad Delimitación de pueden ser desarrollados responsabilidades y por personal interno o sanciones en los externo al Banco. contratos con Adicionalmente si dicha proveedores de servicios actividad es realizada en calidad de “hosting”. contra equipos que • Verificación de proveen servicios a los evaluaciones periódicas clientes (página Web del o certificaciones de la banco) la imagen y seguridad de los Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith. Amenaza / Estándar o medida de Implicancia de Seguridad Vulnerabilidad seguridad a aplicar reputación del Banco se sistemas en calidad de podría ver afectada en un “hosting”. grado muy importante. • Concientización y compromiso formal de los usuarios en temas relacionados a la seguridad de información. Pérdida de • El riesgo de pérdida de • Políticas de Seguridad. • Adecuada arquitectura e información información por virus implementación del producto de informático es alto si no se sistema antivirus. infección por virus administra adecuadamente informático. el sistema Antivirus y los la actualización del usuarios no han sido antivirus de concientizados en computadoras seguridad de información personales y servidores. • • Verificación periódica de Generación periódica de reportes de virus detectados y actualización de antivirus. Fuga de • Los accesos otorgados al • Control adecuado de los información a personal temporal deben través del personal ser controlados que ingresa de adecuadamente, asimismo accesos otorgados a los manera temporal la actividad realizada por sistemas. accesos otorgados. • Depuración periódica de Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith. Amenaza / Estándar o medida de Implicancia de Seguridad Vulnerabilidad seguridad a aplicar • en sustitución de los mismos en los sistemas empleados en debe ser periódicamente a correo electrónico y vacaciones. monitoreada. transferencia de El personal temporal podría archivos hacia Internet. • realizar actividad no • Restricciones en acceso Adecuada configuración autorizada, la cual podría y revisión periódica de ser detectada cuando haya los registros (logs) de finalizado sus labores en el aplicaciones y sistema Banco. operativo. Vulnerabilidades • No se cuenta con El control sobre la actividad de un inventario de los usuarios en los sistemas es inventario de los perfiles de acceso llevado a cabo en muchos accesos que poseen los a las aplicaciones. casos, mediante perfiles de usuarios sobre las usuarios controlando así los aplicaciones. privilegios de acceso a los • sistemas. Se debe contar con un Revisiones periódicas de los perfiles y accesos de los usuarios por parte del propietario de la información. • Exceso de La necesidad de utilizar contraseñas contraseñas distintas para posible la estructura de manejadas por los cada sistema o aplicación del las contraseñas usuarios. Banco, puede afectar la empleadas y sus fechas seguridad en la medida que el de renovación. usuario no sea capaz de • Uniformizar dentro de lo Implementar un sistema Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith. Amenaza / Vulnerabilidad Estándar o medida de Implicancia de Seguridad seguridad a aplicar retener en la memoria, la de Servicio de directorio, relación de nombres de el cual permita al usuario usuario y contraseñas identificarse en él, y utilizadas en todos los mediante un proceso sistemas. La necesidad de automático, éste lo anotar las contraseñas por identifique en los parte de los usuarios, expone sistemas en los cuales las mismas a acceso por parte posee acceso. de personal no autorizado. • Existencia de El ambiente de producción usuarios del área debe contar con controles de de perfiles de acceso de desarrollo y acceso adecuados con que poseen los usuarios personal temporal respecto los usuarios de de desarrollo en el con acceso al desarrollo, esto incluye las entorno de producción. entorno de aplicaciones y bases de datos producción. de las mismas. • Inventario y depuración Adecuada segregación de funciones del personal del área de sistemas. • Procedimiento de pase a producción. • Aplicaciones cuyo El área de seguridad acceso no es informática debe participar en responsabilidades del controlado por el el proceso de asignación de área de seguridad área de seguridad accesos a las aplicaciones del informática. informática. Banco y verificar que la • Formalización de roles y Traslado de la solicitud de accesos sea responsabilidad del coherente con el cargo del control de accesos a Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith. Amenaza / Vulnerabilidad Estándar o medida de Implicancia de Seguridad seguridad a aplicar usuario. aplicaciones al área de El gerente que aprueba la seguridad informática. solicitud es el responsable de los accesos que solicita para los usuarios de su área. • Falta de El personal del Banco es el conciencia en vínculo entre la política de capacitación del Banco seguridad por seguridad y su implementación en temas relacionados a parte del personal final para aplicar la política de la seguridad de del Banco. seguridad, se pueden información. establecer controles y un • Programa de Capacitación mediante monitoreo constante, pero la charlas, videos, persona es siempre el punto presentaciones, afiches, más débil de la cadena de etc., los cuales seguridad, este riesgo se recuerden puede incrementar si el permanentemente al usuario no recibe una usuario la importancia adecuada capacitación y de la seguridad de orientación en seguridad de información. información. • Falta de personal Para una adecuada con conocimientos administración de la seguridad personal técnico en técnicos de informática se requiere temas de seguridad de seguridad personal capacitado que información o inclusión informática. pueda cumplir las labores de nuevo de personal con elaboración de políticas y conocimientos de administración de seguridad seguridad de Capacitación del Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith. Amenaza / Estándar o medida de Implicancia de Seguridad Vulnerabilidad seguridad a aplicar en el área de seguridad información para las informática, así como áreas de seguridad implementación de controles y informática y sistemas. configuración de sistemas en el área de sistemas. • Falta de controles El acceso hacia Internet por adecuados para la medios como correo del servidor Proxy y la información que electrónico, ftp (file transfer herramienta Surf envían los protocol) o incluso web en Control. usuarios hacia algunos casos, puede facilitar Internet. la fuga de información reportes de la confidencial del Banco. efectividad de los El Banco ha invertido en la controles aplicados. implementación de una • • Configuración adecuada Generación periódica de Implementación de una herramienta para el filtrado de adecuada arquitectura las páginas web que son de red. accedidas por los usuarios, se • Mejores prácticas para debe asegurar que dicho la configuración de control sea adecuadamente Firewalls. aplicado. • Implementación y administración de Vulnerabilidades: herramientas para la • No existen controles inspección del contenido adecuados sobre el de los correos personal autorizado a electrónicos enviados. enviar correo electrónico al exterior. Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith. Amenaza / Estándar o medida de Implicancia de Seguridad Vulnerabilidad • seguridad a aplicar No existen herramientas de inspección de contenido para correo electrónico. • Se pudo observar que usuarios que no se han identificado en el dominio del Banco, pueden acceder al servicio de navegación a través del servidor Proxy. • No existen Existe información controles almacenada en las procedimiento formal adecuados para la computadoras personales de que contemple la información los usuarios que requiere generación de copia de almacenada en las ciertos niveles de seguridad. respaldo de información computadoras Los usuarios deben contar con importante de los personales. procedimientos para realizar usuarios. copias de respaldo de su • Establecimiento de un Concluir el proceso de información importante. migración del sistema Vulnerabilidades: operativo de las • El sistema operativo computadoras Windows 95/98 no permite personales a Windows otorgar niveles apropiados 2000 Professional o de seguridad a la Windows XP. información existente en • • Concientización de ellas. usuarios en temas No existe un procedimiento relacionados a la para verificación periódica seguridad de la Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith. Amenaza / Estándar o medida de Implicancia de Seguridad Vulnerabilidad seguridad a aplicar de las carpetas información. compartidas por los usuarios. • El procedimiento para realizar copias de respaldo de la información importante no es conocido por todos los usuarios. Arquitectura de red Posibilidad de acceso no • Diseño de arquitectura inapropiada para autorizado a sistemas por controlar accesos parte de personal externo al desde redes Banco. de elementos de control externas. Vulnerabilidades: de conexiones • (firewalls). • Existencia de redes externas se conectan con • de seguridad de red. • Adecuada configuración Implementación y la red del Banco sin la administración de protección de un firewall. herramientas de Los servidores de acceso seguridad. público no se encuentran aislados de la red interna. • Fuga de Es posible obtener la información información existente en las encripción de la data estratégica computadoras portátiles de los confidencial existente en mediante gerentes del banco mediante los discos duros de las sustracción de el robo de las mismas. computadoras portátiles. Programas para computadores Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith. Amenaza / Estándar o medida de Implicancia de Seguridad Vulnerabilidad seguridad a aplicar portátiles. Acceso no • El riesgo de contar con • Evaluación del alcance autorizado a través segmentos de red de enlaces inalámbricos sin medidas inalámbricos. de seguridad específicas segmento de red para este tipo de enlaces, inalámbrico mediante un radica en que cualquier Firewall. persona podría conectar un de la red inalámbrica. • • Separación del Verificación periódica de equipo externo al Banco la actividad realizada incluso desde un edificio desde la red cercano. inalámbrica. • Utilización de encripción . Controles de • Posibilidad de acceso no • Implementación de una acceso hacia autorizado desde la red adecuada arquitectura Internet desde la interna de datos hacia de red. red interna. equipos de terceros en • Internet. • • Posibilidad de fuga de Configuración adecuada de servidor Proxy. • Mejores prácticas para información. la configuración de Posibilidad de realización Firewalls. de actividad ilegal en • Implementación y equipos de terceros a administración de través de Internet. herramientas para la seguridad del contenido de los correos electrónicos enviados. Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith. Amenaza / Vulnerabilidad Estándar o medida de Implicancia de Seguridad seguridad a aplicar • Monitoreo periódico de la actividad, mediante el análisis de los registros (logs) de los sistemas. 5.3 Matriz de Iniciativas del Negocio / Procesos En esta matriz se muestra las iniciativas y operaciones del negocio que poseen alta implicancia en seguridad y los estándares o medidas de seguridad a ser aplicados para minimizar los riesgos generados por ellas. Iniciativa del Implicancia de Seguridad Estándar o medida de Negocio seguridad a aplicar Iniciativas del Negocio Implantación de • Datawarehouse. Información sensible Estándar de mejores almacenada en un prácticas de repositorio centralizado, seguridad para requiere de controles de Windows NT acceso adecuados. • • • Estándar de mejores La disponibilidad del prácticas de sistema debe ser alta para seguridad para no afectar las operaciones Windows que soporta. • Plan de implantación de Datawarehouse. • Procedimientos para otorgamiento de perfiles. Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith. Iniciativa del Implicancia de Seguridad Negocio Estándar o medida de seguridad a aplicar • Implementación de una arquitectura de red segura. Proyecto de • Consulta de información • Especificación de tercerización del existente en los sistemas responsabilidades y Call Center por parte de terceros. obligaciones Registro de información en referentes a la los sistemas por parte de seguridad de la terceros. información del • Banco, en los contratos con terceros. • Especificación de acuerdos de nivel de servicio. • Adecuados controles de acceso a la información registrada en el sistema Proyecto de • El acceso de personal no • Estándares de comunicación con autorizado a los medios de seguridad para la Conasev utilizando almacenamiento de llaves manipulación y firmas digitales de encripción (media, revocación de llaves (Requerimiento de smartcards, impresa) de encripción. Conasev) debilita todo el sistema de encripción de la • Implementación de controles de acceso a Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith. Iniciativa del Implicancia de Seguridad Negocio • Estándar o medida de seguridad a aplicar información. dispositivos y llaves Para los procesos de firma de encripción. y encripción de la información se requiere el ingreso de contraseñas, estas contraseñas deben ser mantenidas en forma confidencial. Digitalización • La disposición de estos • Aplicación de (scanning) de elementos en medios estándares de poderes y firmas. digitales requiere de seguridad de la adecuados niveles de plataforma que protección para evitar su contiene dicha acceso no autorizado y información. utilización con fines • ilegales. Encripción de la data digitalizada. • Restricción de accesos a los poderes y firmas tanto a nivel de aplicación, como a nivel de sistema operativo. Tercerización de • La administración de • Cláusulas de operaciones de equipos críticos de la red confidencialidad y sistemas y Help del Banco por parte de establecimiento claro Desk. terceros representa un de responsabilidades Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith. Iniciativa del Implicancia de Seguridad Negocio Estándar o medida de seguridad a aplicar riesgo en especial por la de los proveedores posibilidad de fuga de en los contratos, información confidencial. especificación de penalidades en caso de incumplimiento. • Monitoreo periódico de las operaciones realizadas por personal externo, incluyendo la revisión periódica de sus actividades en los registros (logs) de aplicaciones y sistema operativo. • Evitar otorgamiento de privilegios administrativos a personal externo, para evitar manipulación de registros. Proyecto de • El sistema SWIFT se • Estándar de mejores interconexión del encuentra en un segmento prácticas de Sistema Swift a la aislado de la red de datos seguridad para red de datos del del Banco por razones de servidores Windows Banco. seguridad de información. NT Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith. Iniciativa del Implicancia de Seguridad Negocio • Al unir el sistema Swift a la Estándar o medida de seguridad a aplicar • Controles de acceso red de datos del Banco, a la aplicación dicho sistema se va a SWIFT. encontrar expuesto a • Estándares de intentos de acceso no encripción de datos autorizados por parte de entre el sistema Swift equipos que comprenden y los terminales que la red de datos. se comunican con él. Operaciones del Negocio Almacenamiento • Las cintas de backup • Acuerdos de de copias de guardan información confidencialidad y respaldo realizado confidencial del negocio del tiempo de respuesta por Hermes. banco, adicionalmente en los contratos con deben encontrarse el proveedor. disponibles para ser • Pruebas del tiempo utilizadas en una de respuesta del emergencia y la proveedor para información que guardan transportar las cintas debe mantenerse íntegra. de backup en caso de emergencia. • Verificación periódica del estado de las cintas. Procesamiento de • El almacenamiento de • Acuerdos de transacciones de información por parte de confidencialidad y tarjetas de crédito terceros podría representar tiempo de respuesta Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith. Iniciativa del Implicancia de Seguridad Negocio Estándar o medida de seguridad a aplicar y débito realizado una fuente de divulgación en contratos con el por Unibanca. no autorizada de proveedor. información del Banco y • • Estándares de sus clientes. encripción de El acceso a los sistemas información por parte de terceros debe transmitida. ser controlado para evitar la realización de actividad no autorizada. Almacenamiento • El almacenamiento de • Acuerdos de de Documentos información por parte de confidencialidad y realizado por terceros podría representar tiempo de respuesta terceros “File una fuente de divulgación en contratos con Service” no autorizada de proveedores. información del Banco y • • Verificación periódica sus clientes. del grado de deterioro El almacenamiento de de la documentación. información debe realizarse de manera adecuada para mantener la disponibilidad de los documentos y evitar su deterioro. Impresión y • El almacenamiento de • Acuerdos de ensobrado de información por parte de confidencialidad en estados de cuenta terceros podría representar contratos con realizado por una fuente de divulgación proveedores. Napatek no autorizada de • Estándares de Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith. Iniciativa del Implicancia de Seguridad Negocio • Estándar o medida de seguridad a aplicar información del Banco y encripción de datos sus clientes. transmitidos por El envío de información correo electrónico. sensible al proveedor debe • Verificación de ser realizado por un canal integridad de la data de transmisión seguro, o transmitida. en su defecto debe contar con medidas de encripción, que impidan su utilización en caso de ser interceptada. Envío de • Se debe asegurar que la • Estándares de información información sensible encripción de datos sensible a clientes transmitida a los clientes transmitidos. y entidades cuente con medidas de recaudadoras vía seguridad adecuadas las correo electrónico cuales permitan garantizar el cumplimiento de normas como el secreto bancario. Almacenamiento • El Banco almacena • Clasificación y físico de documentos importantes etiquetado de la información de clientes, muchos de información. realizada al interior ellos con información del Banco. confidencial, asimismo controles físicos de existe información en otros acceso a la medios como discos duros, información de cintas, etc., que albergan acuerdo a su • Implementación de Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith. Iniciativa del Implicancia de Seguridad Negocio Estándar o medida de seguridad a aplicar información importante. Se debe asegurar que dicha clasificación. • Establecimiento de información cuente con condiciones medidas de seguridad apropiadas de adecuadas que aseguren almacenamiento para la integridad, disponibilidad evitar su deterioro. y confidencialidad de la • información. Mantenimiento de un registro de entrada y salida de activos de los archivos. Acceso de • Todo acceso de personal • Cláusulas de personal de externo a la red de datos confidencialidad y Rehder a la red de del Banco representa un establecimiento claro datos del Banco. riesgo potencial de acceso de responsabilidades no autorizado a los de los proveedores sistemas. en los contratos, especificación de penalidades en caso de incumplimiento. • Monitoreo de actividad realizada por personal externo. • Restricciones de acceso a Internet configurados en el firewall. Centro de • Los sistemas ubicados en • Especificación de Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith. Iniciativa del Implicancia de Seguridad Negocio Estándar o medida de seguridad a aplicar Contingencia Telefónica Data deben acuerdos de nivel de ubicado en el TIC encontrarse siempre servicio y de Telefónica disponibles para ser penalidades en caso Data. utilizados en casos de de incumplimiento en emergencia. contratos con Se debe asegurar la proveedores. integridad de la información • Pruebas del centro de existente en los sistemas contingencia. • de respaldo y el grado de • Verificación periódica actualización de la misma de la disponibilidad con respecto al sistema en de los sistemas y producción. grado de actualización de la información. Atención en Front • Office. Las aplicaciones y los Acuerdos de niveles sistemas de de servicio en comunicaciones deben contratos con encontrarse disponibles en proveedores de todo momento para no comunicaciones. afectar la atención a los • • • Verificación periódica clientes. de disponibilidad de Los periodos de los sistemas. indisponibilidad deben ser medidos. • Implementación de métricas de rendimiento y disponibilidad de los sistemas. Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith. Iniciativa del Implicancia de Seguridad Negocio Soporte de IBM al • Servidor AS/400. • El servidor AS/400 es el Estándar o medida de seguridad a aplicar • Cláusulas de que soporta la mayor confidencialidad y cantidad de procesos del establecimiento claro negocio del Banco, por lo de responsabilidades tanto se debe asegurar que de los proveedores el proveedor debe ser en los contratos, capaz de restaurar los especificación de servicios del servidor en el penalidades en caso menor tiempo posible. de incumplimiento. Asimismo dado que el • Asignación de un proveedor accede usuario distinto al periódicamente al equipo, utilizado por personal existe el riesgo de acceso del Banco con los no autorizado a privilegios mínimos información existente en el necesarios. mismo. • Inspección del log de actividades del proveedor luego de realizar mantenimiento al equipo. Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM