Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria

Capítulo V EVALUACIÓN DE RIESGOS, AMENAZAS Y

Anuncio 
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Capítulo V
EVALUACIÓN DE RIESGOS, AMENAZAS Y VULNERABILIDADES
Con el propósito de obtener un adecuado entendimiento de la implicancia que
tiene el uso de tecnología, las amenazas y vulnerabilidades, así como las
iniciativas del negocio sobre la seguridad de la información del Banco, se
efectuaron entrevistas, de las cuales se obtuvo las siguientes tres matrices, que
nos muestran la implicancia en seguridad que presentan cada uno de los
factores mencionados anteriormente, así como el estándar o medida a aplicar
para minimizar los riesgos correspondientes.
5.1 Matriz de uso y estrategia de tecnología
Esta matriz muestra la tecnología utilizada actualmente por el Banco y los
cambios estratégicos planificados que impactan en ella, las implicancias de
seguridad asociadas al uso de tecnología y los estándares o medidas
propuestas para minimizar los riesgos generados por la tecnología empleada.
Tecnología
Implicancia de seguridad
Estándar o medida de
seguridad a aplicar
Actual
Windows NT,
Se debe contar con controles
Estándar de mejores
Windows 2000
de acceso adecuados a la data
prácticas de seguridad para
y sistemas soportados por el
Windows NT
Sistema Operativo.
Estándar de mejores
prácticas de seguridad para
Windows 2000.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Tecnología
OS/400
Estándar o medida de
Implicancia de seguridad
seguridad a aplicar
Se debe contar con controles
Estándar de mejores
de acceso adecuados a la data
prácticas de seguridad para
y sistemas soportados por el
OS/400.
computador Central. Los
controles que posee este
servidor deben ser lo más
restrictivos posibles pues es el
blanco potencial de la mayoría
de intentos de acceso no
autorizado.
Base de datos
Se debe contar con controles
Estándar de mejores
SQL Server
de acceso a información de los
prácticas de seguridad para
sistemas que soportan el
bases de datos SQL Server.
negocio de la Compañía.
Banca electrónica
•
El servidor Web se
•
Estándares de
a través de
encuentra en calidad de
encripción de
Internet.
"hosting" en Telefónica
información transmitida.
Data, se debe asegurar
•
•
Cláusulas de
que el equipo cuente con
confidencialidad y
las medidas de seguridad
delimitación de
necesarias, tanto físicas
responsabilidades en
como lógicas.
contratos con
La transmisión de los datos
proveedores.
es realizada a través de un
•
Acuerdos de nivel de
medio público (Internet), se
servicios con
debe contar con medidas
proveedores, en los
adecuadas para mantener
cuales se detalle el
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Tecnología
Estándar o medida de
Implicancia de seguridad
•
•
seguridad a aplicar
la confidencialidad de la
porcentaje mínimo de
información (encripción de
disponibilidad del
la data).
sistema.
El servidor Web que es
•
Evaluación
accedido por los clientes
independiente de la
puede ser blanco potencial
seguridad del servidor
de actividad vandálica con
que brinda el servicio, o
el propósito de afectar la
acreditación de la misma
imagen del Banco.
por parte del proveedor.
La disponibilidad del
sistema es un factor clave
para el éxito del servicio.
Banca telefónica
•
•
Transmisión de información •
Establecimiento de
por medios públicos sin
límites adecuados a las
posibilidad de protección
operaciones realizadas
adicional.
por vía telefónica.
Imposibilidad de mantener
Posibilidad de registrar
la confidencialidad de las
el número telefónico
operaciones con el
origen de la llamada.
proveedor del servicio
•
•
•
Controles en los
telefónico.
sistemas de grabación
Posibilidad de obtención de
de llamadas telefónica.
números de tarjeta y
•
Evaluar la posibilidad de
contraseñas del canal de
notificar al cliente de
transmisión telefónico.
manera automática e
inmediata luego de
realizada la operación.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Tecnología
Sistema Central
Estándar o medida de
Implicancia de seguridad
•
Core Bancario
El sistema central es el
seguridad a aplicar
•
Estándar de mejores
sistema que soporta gran
prácticas de seguridad
parte de los procesos del
para OS/400.
negocio del Banco, por lo
•
Revisión periódica de los
tanto, todo acceso no
accesos otorgados a los
autorizado al servidor
usuarios del sistema.
representa un riesgo
•
potencial para el negocio.
Monitoreo periódico de
la actividad realizada en
el servidor.
•
Verificación del control
dual de aprobación en
transacciones sensibles.
MIS (Management
•
El acceso a repositorios de
•
Estándares de seguridad
Information
información sensible debe
de Windows 2000, bases
System)
ser restringido
de datos.
adecuadamente.
•
Adecuados controles de
acceso y otorgamiento
de perfiles a la
aplicación.
Desarrollo de
•
Los proyectos de desarrollo
•
Estándar de mejores
aplicaciones para
en periodos muy cortos,
prácticas de seguridad
las unidades de
comprenden un acelerado
para Windows 2000,
negocio, en
desarrollo de sistemas; la
OS/400.
periodos muy
aplicación de medidas de
cortos.
seguridad, debería
desarrollo de
encontrarse incluida en el
aplicaciones.
desarrollo del proyecto.
•
•
Metodología para el
Procedimientos de
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Tecnología
Estándar o medida de
Implicancia de seguridad
•
seguridad a aplicar
control de cambios.
El tiempo de pase a
producción de un nuevo
•
Evaluación de
sistema que soportará un
requerimientos de
producto estratégico, es
seguridad de los
muy importante para el
sistemas antes de su
éxito del negocio, lo cual
pase a producción.
puede originar que no se
•
Estándar de mejores
tomen las medidas de
prácticas de seguridad
seguridad necesarias antes
para aplicaciones
del pase a producción de
distribuidas.
los nuevos sistemas.
Computadoras
•
personales.
•
•
Se debe contar con
•
Concientización y
adecuados controles de
entrenamiento de los
acceso a información
usuarios en temas de
existente en computadoras
seguridad de la
personales.
información.
Se requieren adecuados
•
Implementación de
controles de accesos a la
mayores controles de
información de los sistemas
seguridad para
desde las computadoras
computadoras
personales de usuarios.
personales.
La existencia de diversos
•
Finalización del proyecto
sistemas operativos en el
de migración de la
parque de computadores
plataforma de
personales, tales como,
computadoras
Windows 95, Windows 98,
personales al sistema
Windows NT, Windows
operativo Windows 2000
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Tecnología
Estándar o medida de
Implicancia de seguridad
seguridad a aplicar
2000 Professional,
Windows XP, impide
•
y Windows XP.
•
estandarizar la
prácticas de seguridad
configuración de los
para estaciones de
sistemas.
trabajo.
Debe existir un control
•
Actualización periódica
sobre los dispositivos que
de inventarios del
pudieran facilitar fuga de
software instalado.
información (disqueteras,
•
grabadoras de cd's,
impresoras personales,
•
Estándares de mejores
Monitoreo periódico de
carpetas compartidas.
•
Monitoreo de actividad
etc.)
de los usuarios,
Se debe controlar y
sistemas de detección
monitorear las aplicaciones
de intrusos.
y sistemas instalados en
las PC´s
Correo electrónico
•
•
Posibilidad de
Se debe contar con
interceptación no
estándares de encripción
autorizada de mensajes de
para los mensajes de
correo electrónico.
correo electrónico que
Riesgo de acceso no
contengan información
autorizado a información
confidencial.
del servidor.
•
•
•
Estándares de mejores
Posibilidad de utilización de
prácticas de seguridad
recursos por parte de
para Windows NT y
personas no autorizadas,
Lotus Notes.
para enviar correo
•
Configuración de anti-
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Tecnología
Estándar o medida de
Implicancia de seguridad
seguridad a aplicar
electrónico a terceros (relay
no autorizado).
•
•
Implementación de un
Posibilidad de recepción de
sistema de seguridad del
correo inservible (SPAM).
contenido SMTP.
Riesgos de accesos no
•
Políticas de seguridad.
Internet y redes
autorizados desde Internet
•
Estándares de mejores
públicas / Firewall.
y redes externas hacia los
prácticas de seguridad
sistemas del Banco.
para servidores
Adecuado uso del acceso a
Windows NT, Windows
Internet por parte de los
2000, correo electrónico,
usuarios.
servidores Web y
Los dispositivos que
equipos de
permiten controlar accesos,
comunicaciones.
Conexión a
•
relay.
•
•
tales como, firewalls,
Delimitación de
servidores proxy, etc.
responsabilidades
Deben contar con medidas
referentes a la seguridad
de seguridad adecuadas
de información en
para evitar su manipulación
contratos con
por personas no
proveedores.
autorizadas.
•
•
•
Mejores prácticas de
Riesgo de acceso no
seguridad para
autorizado desde socios de
configuración de
negocios hacia los
Firewalls.
sistemas de La Compañía.
•
Diseño e
implementación de una
arquitectura de
seguridad de
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Tecnología
Estándar o medida de
Implicancia de seguridad
seguridad a aplicar
red.Utilización de
sistemas de detección
de intrusos.
•
Especificación de
acuerdos de nivel de
servicio con el
proveedor.
•
Controles y filtros para el
acceso a Internet.
En Proyecto
Cambios en la
•
Los cambios en la
•
Elaboración de una
infraestructura de
infraestructura de red
arquitectura de red con
red.
pueden generar nuevas
medidas de seguridad
puertas de entrada a
adecuadas.
intrusos si los cambios no
•
•
Establecer controles de
son realizados con una
acceso adecuados a la
adecuada planificación.
configuración de los
Una falla en la
equipos de
configuración de equipos
comunicaciones.
de comunicaciones puede
•
generar falta de
Plan de migración de
infraestructura de red.
disponibilidad de sistemas.
•
Un diseño de red
inadecuado puede facilitar
el ingreso no autorizado a
la red de datos.
Software de
Riesgo de acceso no
•
Estándar de seguridad
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Tecnología
Estándar o medida de
Implicancia de seguridad
administración
autorizado a las consolas de
remota de PC´s y
administración y agentes de
servidores.
administración remota.
seguridad a aplicar
para Windows NT
•
Estándar de seguridad
para Windows 2000
•
Estándar de seguridad
para Windows XP
•
Controles de acceso
adecuados a las
consolas y agentes de
administración remota.
•
Establecimiento de
adecuados
procedimientos para
tomar control remoto de
PC´s o servidores.
•
Adecuada configuración
del registro (log) de
actividad realizada
mediante administración
remota.
Migración de
•
Posibilidad de error en el
servidores
traslado de los usuarios y
Windows NT
permisos de acceso a los
Server a Windows
directorios de los nuevos
2000 Server.
servidores.
•
•
para Windows 2000.
•
Procedimientos de
control de cambios.
•
Posibilidad de existencia de
vulnerabilidades no
Estándares de seguridad
Plan de migración a
Windows 2000.
•
Políticas de seguridad.
conocidas anteriormente.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Tecnología
Implantación de
Estándar o medida de
Implicancia de seguridad
•
Datawarehouse.
Información sensible
seguridad a aplicar
•
almacenada en un
Seguridad para Windows
repositorio centralizado,
2000.
requiere de controles de
•
acceso adecuados.
•
Estándares de
La disponibilidad del
en bases de datos SQL.
•
sistema debe ser alta para
no afectar las operaciones
Estándar de seguridad
Plan de implantación de
Datawarehouse.
•
que soporta.
Procedimientos para
otorgamiento de perfiles.
•
Políticas de seguridad.
5.2 Matriz de Evaluación de Amenazas y Vulnerabilidades
En esta matriz se muestra los riesgos y amenazas identificadas, las
implicancias de seguridad y los estándares o medidas de seguridad necesarias
para mitigar dicha amenaza.
Amenaza /
Estándar o medida de
Implicancia de Seguridad
Vulnerabilidad
seguridad a aplicar
Riesgos/ Amenazas
•
Interés en obtener
La existencia de información
información
atractiva para competidores de
para servidores
estratégica del
negocio tales como
Windows 2000,
Banco, por parte
información de clientes e
Windows NT y OS/400.
de competidores
información de marketing
de negocio.
implica la aplicación de
aplicaciones del Banco.
controles adecuados para el
Revisión y depuración
•
Estándares de seguridad
Control de acceso a las
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Amenaza /
Vulnerabilidad
Estándar o medida de
Implicancia de Seguridad
seguridad a aplicar
acceso a información.
periódica de los accesos
otorgados.
•
Restricciones en el
manejo de información
enviada por correo
electrónico hacia redes
externas, extraída en
disquetes o cd´s e
información impresa.
•
Verificación de la
información impresa en
reportes, evitar mostrar
información innecesaria
en ellos.
•
Políticas de seguridad.
•
Estándares de seguridad
Interés en obtener
Debido al volumen de dinero
beneficios
que es administrado por es
para Windows NT,
económicos
administrado por una entidad
Windows 2000, OS/400
mediante actividad
financiera, la amenaza de
y bases de datos SQL.
fraudulenta.
intento de fraude es una
•
Controles de accesos a
posibilidad muy tentadora
los menús de las
tanto para personal interno del
aplicaciones.
Banco, así como para personal •
externo.
Revisiones periódicas de
los niveles de accesos
de los usuarios.
•
Evaluación periódica de
la integridad de la
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Amenaza /
Estándar o medida de
Implicancia de Seguridad
Vulnerabilidad
seguridad a aplicar
información por parte del
propietario de la misma.
•
Revisiones periódicas de
los registros (logs) de los
sistemas y operaciones
realizadas.
•
Mejores prácticas para
configuración de
firewalls, servidores y
equipos de
comunicaciones.
Actividad
•
La actividad desarrollada
•
Estándares de seguridad
vandálica
por “hackers” o “crackers”
para servidores
realizada por
de sistemas, puede afectar
Windows 2000.
“hackers” o
la disponibilidad, integridad
“crackers”
y confidencialidad de la
para servidores
información del negocio.
Windows NT.
Estos actos vandálicos
•
•
•
Estándares de seguridad
Delimitación de
pueden ser desarrollados
responsabilidades y
por personal interno o
sanciones en los
externo al Banco.
contratos con
Adicionalmente si dicha
proveedores de servicios
actividad es realizada
en calidad de “hosting”.
contra equipos que
•
Verificación de
proveen servicios a los
evaluaciones periódicas
clientes (página Web del
o certificaciones de la
banco) la imagen y
seguridad de los
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Amenaza /
Estándar o medida de
Implicancia de Seguridad
Vulnerabilidad
seguridad a aplicar
reputación del Banco se
sistemas en calidad de
podría ver afectada en un
“hosting”.
grado muy importante.
•
Concientización y
compromiso formal de
los usuarios en temas
relacionados a la
seguridad de
información.
Pérdida de
•
El riesgo de pérdida de
•
Políticas de Seguridad.
•
Adecuada arquitectura e
información
información por virus
implementación del
producto de
informático es alto si no se
sistema antivirus.
infección por virus
administra adecuadamente
informático.
el sistema Antivirus y los
la actualización del
usuarios no han sido
antivirus de
concientizados en
computadoras
seguridad de información
personales y servidores.
•
•
Verificación periódica de
Generación periódica de
reportes de virus
detectados y
actualización de
antivirus.
Fuga de
•
Los accesos otorgados al
•
Control adecuado de los
información a
personal temporal deben
través del personal
ser controlados
que ingresa de
adecuadamente, asimismo
accesos otorgados a los
manera temporal
la actividad realizada por
sistemas.
accesos otorgados.
•
Depuración periódica de
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Amenaza /
Estándar o medida de
Implicancia de Seguridad
Vulnerabilidad
seguridad a aplicar
•
en sustitución de
los mismos en los sistemas
empleados en
debe ser periódicamente
a correo electrónico y
vacaciones.
monitoreada.
transferencia de
El personal temporal podría
archivos hacia Internet.
•
realizar actividad no
•
Restricciones en acceso
Adecuada configuración
autorizada, la cual podría
y revisión periódica de
ser detectada cuando haya
los registros (logs) de
finalizado sus labores en el
aplicaciones y sistema
Banco.
operativo.
Vulnerabilidades
•
No se cuenta con
El control sobre la actividad de
un inventario de
los usuarios en los sistemas es
inventario de los
perfiles de acceso
llevado a cabo en muchos
accesos que poseen los
a las aplicaciones.
casos, mediante perfiles de
usuarios sobre las
usuarios controlando así los
aplicaciones.
privilegios de acceso a los
•
sistemas.
Se debe contar con un
Revisiones periódicas de
los perfiles y accesos de
los usuarios por parte
del propietario de la
información.
•
Exceso de
La necesidad de utilizar
contraseñas
contraseñas distintas para
posible la estructura de
manejadas por los
cada sistema o aplicación del
las contraseñas
usuarios.
Banco, puede afectar la
empleadas y sus fechas
seguridad en la medida que el
de renovación.
usuario no sea capaz de
•
Uniformizar dentro de lo
Implementar un sistema
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Amenaza /
Vulnerabilidad
Estándar o medida de
Implicancia de Seguridad
seguridad a aplicar
retener en la memoria, la
de Servicio de directorio,
relación de nombres de
el cual permita al usuario
usuario y contraseñas
identificarse en él, y
utilizadas en todos los
mediante un proceso
sistemas. La necesidad de
automático, éste lo
anotar las contraseñas por
identifique en los
parte de los usuarios, expone
sistemas en los cuales
las mismas a acceso por parte
posee acceso.
de personal no autorizado.
•
Existencia de
El ambiente de producción
usuarios del área
debe contar con controles de
de perfiles de acceso
de desarrollo y
acceso adecuados con
que poseen los usuarios
personal temporal
respecto los usuarios de
de desarrollo en el
con acceso al
desarrollo, esto incluye las
entorno de producción.
entorno de
aplicaciones y bases de datos
producción.
de las mismas.
•
Inventario y depuración
Adecuada segregación
de funciones del
personal del área de
sistemas.
•
Procedimiento de pase a
producción.
•
Aplicaciones cuyo
El área de seguridad
acceso no es
informática debe participar en
responsabilidades del
controlado por el
el proceso de asignación de
área de seguridad
área de seguridad
accesos a las aplicaciones del
informática.
informática.
Banco y verificar que la
•
Formalización de roles y
Traslado de la
solicitud de accesos sea
responsabilidad del
coherente con el cargo del
control de accesos a
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Amenaza /
Vulnerabilidad
Estándar o medida de
Implicancia de Seguridad
seguridad a aplicar
usuario.
aplicaciones al área de
El gerente que aprueba la
seguridad informática.
solicitud es el responsable de
los accesos que solicita para
los usuarios de su área.
•
Falta de
El personal del Banco es el
conciencia en
vínculo entre la política de
capacitación del Banco
seguridad por
seguridad y su implementación
en temas relacionados a
parte del personal
final para aplicar la política de
la seguridad de
del Banco.
seguridad, se pueden
información.
establecer controles y un
•
Programa de
Capacitación mediante
monitoreo constante, pero la
charlas, videos,
persona es siempre el punto
presentaciones, afiches,
más débil de la cadena de
etc., los cuales
seguridad, este riesgo se
recuerden
puede incrementar si el
permanentemente al
usuario no recibe una
usuario la importancia
adecuada capacitación y
de la seguridad de
orientación en seguridad de
información.
información.
•
Falta de personal
Para una adecuada
con conocimientos
administración de la seguridad
personal técnico en
técnicos de
informática se requiere
temas de seguridad de
seguridad
personal capacitado que
información o inclusión
informática.
pueda cumplir las labores de
nuevo de personal con
elaboración de políticas y
conocimientos de
administración de seguridad
seguridad de
Capacitación del
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Amenaza /
Estándar o medida de
Implicancia de Seguridad
Vulnerabilidad
seguridad a aplicar
en el área de seguridad
información para las
informática, así como
áreas de seguridad
implementación de controles y
informática y sistemas.
configuración de sistemas en
el área de sistemas.
•
Falta de controles
El acceso hacia Internet por
adecuados para la
medios como correo
del servidor Proxy y la
información que
electrónico, ftp (file transfer
herramienta Surf
envían los
protocol) o incluso web en
Control.
usuarios hacia
algunos casos, puede facilitar
Internet.
la fuga de información
reportes de la
confidencial del Banco.
efectividad de los
El Banco ha invertido en la
controles aplicados.
implementación de una
•
•
Configuración adecuada
Generación periódica de
Implementación de una
herramienta para el filtrado de
adecuada arquitectura
las páginas web que son
de red.
accedidas por los usuarios, se
•
Mejores prácticas para
debe asegurar que dicho
la configuración de
control sea adecuadamente
Firewalls.
aplicado.
•
Implementación y
administración de
Vulnerabilidades:
herramientas para la
•
No existen controles
inspección del contenido
adecuados sobre el
de los correos
personal autorizado a
electrónicos enviados.
enviar correo electrónico al
exterior.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Amenaza /
Estándar o medida de
Implicancia de Seguridad
Vulnerabilidad
•
seguridad a aplicar
No existen herramientas de
inspección de contenido
para correo electrónico.
•
Se pudo observar que
usuarios que no se han
identificado en el dominio
del Banco, pueden acceder
al servicio de navegación a
través del servidor Proxy.
•
No existen
Existe información
controles
almacenada en las
procedimiento formal
adecuados para la
computadoras personales de
que contemple la
información
los usuarios que requiere
generación de copia de
almacenada en las
ciertos niveles de seguridad.
respaldo de información
computadoras
Los usuarios deben contar con
importante de los
personales.
procedimientos para realizar
usuarios.
copias de respaldo de su
•
Establecimiento de un
Concluir el proceso de
información importante.
migración del sistema
Vulnerabilidades:
operativo de las
•
El sistema operativo
computadoras
Windows 95/98 no permite
personales a Windows
otorgar niveles apropiados
2000 Professional o
de seguridad a la
Windows XP.
información existente en
•
•
Concientización de
ellas.
usuarios en temas
No existe un procedimiento
relacionados a la
para verificación periódica
seguridad de la
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Amenaza /
Estándar o medida de
Implicancia de Seguridad
Vulnerabilidad
seguridad a aplicar
de las carpetas
información.
compartidas por los
usuarios.
•
El procedimiento para
realizar copias de respaldo
de la información
importante no es conocido
por todos los usuarios.
Arquitectura de red Posibilidad de acceso no
•
Diseño de arquitectura
inapropiada para
autorizado a sistemas por
controlar accesos
parte de personal externo al
desde redes
Banco.
de elementos de control
externas.
Vulnerabilidades:
de conexiones
•
(firewalls).
•
Existencia de redes
externas se conectan con
•
de seguridad de red.
•
Adecuada configuración
Implementación y
la red del Banco sin la
administración de
protección de un firewall.
herramientas de
Los servidores de acceso
seguridad.
público no se encuentran
aislados de la red interna.
•
Fuga de
Es posible obtener la
información
información existente en las
encripción de la data
estratégica
computadoras portátiles de los
confidencial existente en
mediante
gerentes del banco mediante
los discos duros de las
sustracción de
el robo de las mismas.
computadoras portátiles.
Programas para
computadores
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Amenaza /
Estándar o medida de
Implicancia de Seguridad
Vulnerabilidad
seguridad a aplicar
portátiles.
Acceso no
•
El riesgo de contar con
•
Evaluación del alcance
autorizado a través
segmentos de red
de enlaces
inalámbricos sin medidas
inalámbricos.
de seguridad específicas
segmento de red
para este tipo de enlaces,
inalámbrico mediante un
radica en que cualquier
Firewall.
persona podría conectar un
de la red inalámbrica.
•
•
Separación del
Verificación periódica de
equipo externo al Banco
la actividad realizada
incluso desde un edificio
desde la red
cercano.
inalámbrica.
•
Utilización de encripción
.
Controles de
•
Posibilidad de acceso no
•
Implementación de una
acceso hacia
autorizado desde la red
adecuada arquitectura
Internet desde la
interna de datos hacia
de red.
red interna.
equipos de terceros en
•
Internet.
•
•
Posibilidad de fuga de
Configuración adecuada
de servidor Proxy.
•
Mejores prácticas para
información.
la configuración de
Posibilidad de realización
Firewalls.
de actividad ilegal en
•
Implementación y
equipos de terceros a
administración de
través de Internet.
herramientas para la
seguridad del contenido
de los correos
electrónicos enviados.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Amenaza /
Vulnerabilidad
Estándar o medida de
Implicancia de Seguridad
seguridad a aplicar
•
Monitoreo periódico de
la actividad, mediante el
análisis de los registros
(logs) de los sistemas.
5.3 Matriz de Iniciativas del Negocio / Procesos
En esta matriz se muestra las iniciativas y operaciones del negocio que poseen
alta implicancia en seguridad y los estándares o medidas de seguridad a ser
aplicados para minimizar los riesgos generados por ellas.
Iniciativa del
Implicancia de Seguridad
Estándar o medida de
Negocio
seguridad a aplicar
Iniciativas del Negocio
Implantación de
•
Datawarehouse.
Información sensible
Estándar de mejores
almacenada en un
prácticas de
repositorio centralizado,
seguridad para
requiere de controles de
Windows NT
acceso adecuados.
•
•
•
Estándar de mejores
La disponibilidad del
prácticas de
sistema debe ser alta para
seguridad para
no afectar las operaciones
Windows
que soporta.
•
Plan de implantación
de Datawarehouse.
•
Procedimientos para
otorgamiento de
perfiles.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Iniciativa del
Implicancia de Seguridad
Negocio
Estándar o medida de
seguridad a aplicar
•
Implementación de
una arquitectura de
red segura.
Proyecto de
•
Consulta de información
•
Especificación de
tercerización del
existente en los sistemas
responsabilidades y
Call Center
por parte de terceros.
obligaciones
Registro de información en
referentes a la
los sistemas por parte de
seguridad de la
terceros.
información del
•
Banco, en los
contratos con
terceros.
•
Especificación de
acuerdos de nivel de
servicio.
•
Adecuados controles
de acceso a la
información
registrada en el
sistema
Proyecto de
•
El acceso de personal no
•
Estándares de
comunicación con
autorizado a los medios de
seguridad para la
Conasev utilizando
almacenamiento de llaves
manipulación y
firmas digitales
de encripción (media,
revocación de llaves
(Requerimiento de
smartcards, impresa)
de encripción.
Conasev)
debilita todo el sistema de
encripción de la
•
Implementación de
controles de acceso a
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Iniciativa del
Implicancia de Seguridad
Negocio
•
Estándar o medida de
seguridad a aplicar
información.
dispositivos y llaves
Para los procesos de firma
de encripción.
y encripción de la
información se requiere el
ingreso de contraseñas,
estas contraseñas deben
ser mantenidas en forma
confidencial.
Digitalización
•
La disposición de estos
•
Aplicación de
(scanning) de
elementos en medios
estándares de
poderes y firmas.
digitales requiere de
seguridad de la
adecuados niveles de
plataforma que
protección para evitar su
contiene dicha
acceso no autorizado y
información.
utilización con fines
•
ilegales.
Encripción de la data
digitalizada.
•
Restricción de
accesos a los
poderes y firmas
tanto a nivel de
aplicación, como a
nivel de sistema
operativo.
Tercerización de
•
La administración de
•
Cláusulas de
operaciones de
equipos críticos de la red
confidencialidad y
sistemas y Help
del Banco por parte de
establecimiento claro
Desk.
terceros representa un
de responsabilidades
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Iniciativa del
Implicancia de Seguridad
Negocio
Estándar o medida de
seguridad a aplicar
riesgo en especial por la
de los proveedores
posibilidad de fuga de
en los contratos,
información confidencial.
especificación de
penalidades en caso
de incumplimiento.
•
Monitoreo periódico
de las operaciones
realizadas por
personal externo,
incluyendo la revisión
periódica de sus
actividades en los
registros (logs) de
aplicaciones y
sistema operativo.
•
Evitar otorgamiento
de privilegios
administrativos a
personal externo,
para evitar
manipulación de
registros.
Proyecto de
•
El sistema SWIFT se
•
Estándar de mejores
interconexión del
encuentra en un segmento
prácticas de
Sistema Swift a la
aislado de la red de datos
seguridad para
red de datos del
del Banco por razones de
servidores Windows
Banco.
seguridad de información.
NT
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Iniciativa del
Implicancia de Seguridad
Negocio
•
Al unir el sistema Swift a la
Estándar o medida de
seguridad a aplicar
•
Controles de acceso
red de datos del Banco,
a la aplicación
dicho sistema se va a
SWIFT.
encontrar expuesto a
•
Estándares de
intentos de acceso no
encripción de datos
autorizados por parte de
entre el sistema Swift
equipos que comprenden
y los terminales que
la red de datos.
se comunican con él.
Operaciones del Negocio
Almacenamiento
•
Las cintas de backup
•
Acuerdos de
de copias de
guardan información
confidencialidad y
respaldo realizado
confidencial del negocio del
tiempo de respuesta
por Hermes.
banco, adicionalmente
en los contratos con
deben encontrarse
el proveedor.
disponibles para ser
•
Pruebas del tiempo
utilizadas en una
de respuesta del
emergencia y la
proveedor para
información que guardan
transportar las cintas
debe mantenerse íntegra.
de backup en caso de
emergencia.
•
Verificación periódica
del estado de las
cintas.
Procesamiento de
•
El almacenamiento de
•
Acuerdos de
transacciones de
información por parte de
confidencialidad y
tarjetas de crédito
terceros podría representar
tiempo de respuesta
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Iniciativa del
Implicancia de Seguridad
Negocio
Estándar o medida de
seguridad a aplicar
y débito realizado
una fuente de divulgación
en contratos con el
por Unibanca.
no autorizada de
proveedor.
información del Banco y
•
•
Estándares de
sus clientes.
encripción de
El acceso a los sistemas
información
por parte de terceros debe
transmitida.
ser controlado para evitar
la realización de actividad
no autorizada.
Almacenamiento
•
El almacenamiento de
•
Acuerdos de
de Documentos
información por parte de
confidencialidad y
realizado por
terceros podría representar
tiempo de respuesta
terceros “File
una fuente de divulgación
en contratos con
Service”
no autorizada de
proveedores.
información del Banco y
•
•
Verificación periódica
sus clientes.
del grado de deterioro
El almacenamiento de
de la documentación.
información debe realizarse
de manera adecuada para
mantener la disponibilidad
de los documentos y evitar
su deterioro.
Impresión y
•
El almacenamiento de
•
Acuerdos de
ensobrado de
información por parte de
confidencialidad en
estados de cuenta
terceros podría representar
contratos con
realizado por
una fuente de divulgación
proveedores.
Napatek
no autorizada de
•
Estándares de
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Iniciativa del
Implicancia de Seguridad
Negocio
•
Estándar o medida de
seguridad a aplicar
información del Banco y
encripción de datos
sus clientes.
transmitidos por
El envío de información
correo electrónico.
sensible al proveedor debe
•
Verificación de
ser realizado por un canal
integridad de la data
de transmisión seguro, o
transmitida.
en su defecto debe contar
con medidas de encripción,
que impidan su utilización
en caso de ser
interceptada.
Envío de
•
Se debe asegurar que la
•
Estándares de
información
información sensible
encripción de datos
sensible a clientes
transmitida a los clientes
transmitidos.
y entidades
cuente con medidas de
recaudadoras vía
seguridad adecuadas las
correo electrónico
cuales permitan garantizar
el cumplimiento de normas
como el secreto bancario.
Almacenamiento
•
El Banco almacena
•
Clasificación y
físico de
documentos importantes
etiquetado de la
información
de clientes, muchos de
información.
realizada al interior
ellos con información
del Banco.
confidencial, asimismo
controles físicos de
existe información en otros
acceso a la
medios como discos duros,
información de
cintas, etc., que albergan
acuerdo a su
•
Implementación de
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Iniciativa del
Implicancia de Seguridad
Negocio
Estándar o medida de
seguridad a aplicar
información importante. Se
debe asegurar que dicha
clasificación.
•
Establecimiento de
información cuente con
condiciones
medidas de seguridad
apropiadas de
adecuadas que aseguren
almacenamiento para
la integridad, disponibilidad
evitar su deterioro.
y confidencialidad de la
•
información.
Mantenimiento de un
registro de entrada y
salida de activos de
los archivos.
Acceso de
•
Todo acceso de personal
•
Cláusulas de
personal de
externo a la red de datos
confidencialidad y
Rehder a la red de
del Banco representa un
establecimiento claro
datos del Banco.
riesgo potencial de acceso
de responsabilidades
no autorizado a los
de los proveedores
sistemas.
en los contratos,
especificación de
penalidades en caso
de incumplimiento.
•
Monitoreo de
actividad realizada
por personal externo.
•
Restricciones de
acceso a Internet
configurados en el
firewall.
Centro de
•
Los sistemas ubicados en
•
Especificación de
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Iniciativa del
Implicancia de Seguridad
Negocio
Estándar o medida de
seguridad a aplicar
Contingencia
Telefónica Data deben
acuerdos de nivel de
ubicado en el TIC
encontrarse siempre
servicio y
de Telefónica
disponibles para ser
penalidades en caso
Data.
utilizados en casos de
de incumplimiento en
emergencia.
contratos con
Se debe asegurar la
proveedores.
integridad de la información •
Pruebas del centro de
existente en los sistemas
contingencia.
•
de respaldo y el grado de
•
Verificación periódica
actualización de la misma
de la disponibilidad
con respecto al sistema en
de los sistemas y
producción.
grado de
actualización de la
información.
Atención en Front
•
Office.
Las aplicaciones y los
Acuerdos de niveles
sistemas de
de servicio en
comunicaciones deben
contratos con
encontrarse disponibles en
proveedores de
todo momento para no
comunicaciones.
afectar la atención a los
•
•
•
Verificación periódica
clientes.
de disponibilidad de
Los periodos de
los sistemas.
indisponibilidad deben ser
medidos.
•
Implementación de
métricas de
rendimiento y
disponibilidad de los
sistemas.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Iniciativa del
Implicancia de Seguridad
Negocio
Soporte de IBM al
•
Servidor AS/400.
•
El servidor AS/400 es el
Estándar o medida de
seguridad a aplicar
•
Cláusulas de
que soporta la mayor
confidencialidad y
cantidad de procesos del
establecimiento claro
negocio del Banco, por lo
de responsabilidades
tanto se debe asegurar que
de los proveedores
el proveedor debe ser
en los contratos,
capaz de restaurar los
especificación de
servicios del servidor en el
penalidades en caso
menor tiempo posible.
de incumplimiento.
Asimismo dado que el
•
Asignación de un
proveedor accede
usuario distinto al
periódicamente al equipo,
utilizado por personal
existe el riesgo de acceso
del Banco con los
no autorizado a
privilegios mínimos
información existente en el
necesarios.
mismo.
•
Inspección del log de
actividades del
proveedor luego de
realizar
mantenimiento al
equipo.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Documentos relacionados
SERVICIOS Cada Facultad brindará los servicios que considere
SERVICIOS Cada Facultad brindará los servicios que considere
Proyecto T061
Proyecto T061
Universidad Nacional Mayor de San Marcos Orden: Privada San
Universidad Nacional Mayor de San Marcos Orden: Privada San
conclusiones
conclusiones
INTRODUCCIÓN El presente Estudio de Investigación
INTRODUCCIÓN El presente Estudio de Investigación
Descargar
Anuncio
Anuncio