Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria
Subido por Carlos Rivero

Ejemplo 4 - Caso Propuesto a Auditar

Anuncio 
IMPLEMENTACIÓN DE UN SISTEMA DE
GESTIÓN DE SEGURIDAD DE INFORMACIÓN
(SGSI) BASADO EN LA NORMATIVA ISO/IEC
27001.
BANCO EN LA NUBE OPORTUNIDADES A PARTIR DE LA
COMUNICACIÓN A6354 DEL BCRA, UTILIDAD DE LA FAMILIA DE
NORMAS ISO/IEC 27000 EN LA TERCERIZACIÓN DE SERVICIOS DE TI Y
CUMPLIMIENTO REGULATORIO
Índice
Unidad 3. Reformulación del caso Caso.
Banco en a la nube……………………………………………………………………………………… 3
Unidad 3. Actividades individuales relacionadas.
Metodología de Riesgos .……………………………………………………………………………….5
Planificación para la implantación .……...………………...…………………………………………. 6
Identificación y análisis de riesgos ……………………………………………….………….......…….
6
Unidad 4. Actividades individuales relacionadas.
Declaración de aplicabilidad …………………………….………………………………….…….…….
7
Política de Seguridad de la Información ………………………………….…………….…..….…..…
7
Controles …………………………………………………………………………….………………..….
9
.
Unidad 5. Actividades individuales relacionadas.
Métricas ………………………..……………...……………………………………………...……….....
9
Plan de auditoría ……………………..………………………………..……..………….…..………...
10
Unidad 6. Actividades individuales relacionadas.
Acciones correctivas y de mejora ..…………………………………………………………………...
11
Estrategia de continuidad………...…………………………………………………………………... 12
2
UNIDAD 3. Presentación del Caso
Introducción
El caso que se presenta se vincula con la decisión del Banco Central de la República Argentina
(BCRA) del 3 de noviembre de 2017, en la que se actualizó la normativa bancaria, permitiendo
a estas entidades usar servicios tercerizados y desde la nube. Hasta ahora, las entidades
financieras podían almacenar datos y realizar procesos sólo en datacenters propios o de sus
entidades matrices.
Esto otorga a los bancos la posibilidad de lograr agilidad y capacidad de respuesta e
innovación, hasta ahora muy "pegados" al hardware y a los procesos clásicos de desarrollo y
los pone en una posición para competir con las “fintech” nacidas de la mano de las nuevas
tecnologías.
Teniendo la posibilidad de usar soluciones de nube se abren numerosas oportunidades,
algunas de las cuales se relacionan con la gestión centralizada de recursos distribuidos sobre
múltiples nubes (comunicaciones, almacenamiento, procesamiento de datos provistos desde
varias nubes) y también con los servicios de valor agregado que se puede montar sobre estos
servicios de nube.
Objetivo
Cumplir las regulaciones técnicas correspondientes a la naturaleza y tipo de actividades de la
institucióndescentralizando y/o tercerizando actividades de servicios de Tecnología Informática,
las mismas sujetas a auditorías de la autoridad regulatoria.
Descripción del caso
Institución
Corresponde a un caso genérico para la industria bancaria (banco extranjero de primera línea),
entidad regulada por el BCRA. El trabajo se focalizará en desarrollar el alineamiento de la
institución con la nueva resolución "A" 6354 que habilitó a las entidades financieras a tercerizar
los servicios de almacenamiento y de procesamiento de datos en la nube desde la perspectiva
de la norma ISO / IEC 27001:2013.
Dicha descentralización puede ser en instalaciones propias, de la casa matriz o controlante,
con recursos técnicos y humanos propios o de terceros. También puede tercerizar en
instalaciones de terceros con recursos técnicos y humanos propios o de terceros.
Las actividades descentralizadas y/o tercerizadas estarán sujetas a las regulaciones técnicas
correspondientes a la naturaleza y tipo de actividades.
A partir de la tercerización de servicios a la nube se proponen las siguientes mejoras en la
institución:
1. Reducir costos en infraestructura y servicios de tecnología.
2. Aumentar la velocidad de procesamiento y capacidad de storage e
integración.
3. Tener acceso a distintas fuentes de información y servicios de análisis en
múltiples nubes a fin de desarrollar inteligencia de negocios (para conocer
mejor a los clientes, saber qué quieren y qué necesitan y direccionar mejor
las promociones).
4. Reducir drásticamente los tiempos de desarrollo permitiendo tener un “time
to market” que beneficie especialmente la experiencia del usuario.
3
Alcance
Se entiende la Gestión de Seguridad de los STI tercerizados como el ciclo de procesos que
reúnen distintas tareas, especialidades y funciones, de manera integrada e interrelacionada,
repetible y constante para la administración, planificación, control y mejora continua de la
seguridad informática en los STI tercerizados. El alcance del caso cubrirá el proceso de
Control de Accesos.
Proceso
El Control de Accesos refiere a la problemática del control de acceso a los sistemas de
información. Cubre los dominios de autenticidad y confidencialidad sirviendo de control base
para asegurar una buena trazabilidad. Incluye la evaluación, desarrollo e implementación de
medidas de seguridad para la protección de la identidad, mecanismos de autenticación,
segregación de roles y funciones y demás características del acceso a los STI. Incluye los
subprocesos de Gestión de Asignación de Perfiles de Acceso, Gestión de Solicitudes de
Acceso y Gestión de Controles de Acceso.
Propuesta de equipo de trabajo
Sponsor: Director de Sistemas y Tecnología
Líder: Gerente de Seguridad Informática
Integrantes del equipo:
o Analista de Seguridad Informática
o Analista de Procesos y Cumplimiento de TI
o Consultor especializado en certificación ISO IEC 27001
Otros interesados:
o Gerente de Gestión de Servicios de Tecnología de Información.
o Gerente de Administración y Control de Tecnología de la Información
o Gerente de Desarrollo de Personas.
4
UNIDAD 3. Actividades individuales relacionadas

Bloque temático 2. Análisis de riesgo. 2. En caso de haber realizado el Curso de
Fundamentos e Introducción a SGSI, proponga aquí que Metodología de Riesgos utilizaría
en el Caso Práctico que planteo como Evaluación Integradora Final. Justifique y explique.
Metodología de riesgos

Inventario y clasificación de activos
 Identificación de los activos involucrados en los procesos del alcance
o Clasificación de los activos (hardware, software, comunicaciones y documentación
en ppio)
 Valoración de activos
o Importancia en función de la confidencialidad, integridad y disponibilidad

Identificación de amenazas
o Tipos de amenazas
o Probabilidad de ocurrencia
o Impacto o efecto
Identificación de riesgos
o Tipos de riesgos
o Determinación del riesgo
Análisis de riesgos: matriz de análisis de riesgo


Explicación:
El proceso de Gestión de Riesgos de Activos Tecnológicos, define dos instancias de
análisis: una cíclica, de acuerdo a la estrategia de gestión de riesgos de TI, y otra “ad hoc”
en caso de incorporar un nuevo activo de alta criticidad según la clasificación de activos.
El Gerente de Gestión de Servicios de Tecnología de Información:

Define los límites para el análisis de riesgos tomando como base la estrategia de
riesgos de TI y el conjunto de procesos críticos de la organización.

Realiza una evaluación primaria de los riesgos ya sea por la severidad o por el daño
que puede causar al negocio la aceptación del riesgo.

Identifica los cambios en los activos provenientes de:

o
El estado del tratamiento de vulnerabilidades cuya mitigación o eliminación
se definió en ciclos de riesgos anteriores,
o
La gestión de cambios de ítems de configuración,
o
Nuevos activos no incluidos en ciclos de gestión de riesgos anteriores,
Define quéactivos deben estar dentro del alcance de la gestión de riesgos de TI y los
revisa y modifica para su incorporación.
Definición de Controles
El Analista de riesgos de TI releva con las áreas involucradas, por tipo de activo, los
controles a implementar, las amenazas relacionadas, la severidad y probabilidad de
ocurrencia de los mismos, teniendo en cuenta:

Buenas prácticas,

Metodologías,

Manuales de fabricantes y normativas reconocidas internacionalmente,

Resultados de auditorías internas y externas,
5

Por cada incidente de Tecnología severo acontecido durante el período definido en el
alcance, examina las causas de los mismos e identifica controles a evaluar sobre los
activos.

Por cada incidente de Seguridad acontecido durante el período definido en el
alcance, examina las causas de los mismos e identifica la existencia de controles a
evaluar sobre los activos.

Además, considera los reportes de incidentes, reportes relacionados a PRD (plan de
recuperación ante desastres), así como otros informes o reportes internos relevantes.
Identificación de Riesgos

El Analista de riesgos de TI identifica y distribuye a los especialistas técnicos de cada
áreacuestionarios del análisis de riesgos.

Los especialistas técnicos realizan el análisis de riesgo evaluando el nivel de
cumplimiento de cada uno de los controles definidos para los activos a través de los
cuestionarios de la herramienta.

El Analista de riesgos de TI monitorea y controla el estado de respuesta de los
cuestionarios enviados e implementa las acciones necesarias para que los mismos
sean completados.
Evaluación de riesgos

El Analista de riesgos de TI realiza un estudio del riesgo, obteniendo para cada
activo los índices PSR (nivel de riesgo basado en la probabilidad, severidad y
probabilidad) de cada control y el Índice de Riesgo porcentual del activo y otras
estadísticas necesarias para la evaluación de riesgos.

Clasifica los riesgos en aquellos que podrían ser aceptados o tratados de acuerdo a
los límites establecidos.
Análisis de riesgos
(ver Análisis de riesgos.xlsx)
Análisis de
riesgo.xlsx
Plan de tratamiento de riesgos
(ver Plan de acción.xlsx)
Plan de acción.xlsx

Bloque temático 3. Planificación. Todos en este momento del Curso deberían estar
trabajando con un Caso Práctico, proponga una Planificación plausible para dicha
Implantación a su criterio.
(ver Plan de Acción.xlsx)
Plan de
ac t ividades.xlsx
6
UNIDAD 4. Actividades individuales relacionadas

Bloque temático 1. En base a lo estudiado hasta esta Unidad, realice una propuesta de
Alcance y Declaración de Aplicabilidad de Objetivos de Control que aplica en su
caso. Realice un resumen de su propuesta y compártala en el apartado de Caso Propuesta
Caso Práctico por Grupos.
(ver Declaración de Aplicabilidad.xlsx)
Declaración de
aplicabilidad.xlsx

Bloque temático 2.
1. Revise del siguiente documento en el caso del capítulo 6 a 9.
https://www.incibe.es/extfrontinteco/img/File/intecocert/sgsi/img/Guia_apoyo_SGSI.pdf
En caso de haber realizado el Curso de Fundamentos e Introducción a SGSI, revise del
Caso Práctico que planteo como Evaluación Integradora Final los siguientes puntos:
alcance, Política de seguridad, identificación y análisis de riesgos, selección de Controles y
Declaración de Aplicabilidad. Justifique y explique.
Controles: ver punto Unidad 5, bloque 2.
En lo que se refiere al contenido, la Política de Seguridad:




Deberá existir una Política de Control de Accesos que siga el principio del mínimo
privilegio, un usuario sólo debe tener acceso a aquella información estrictamente
necesaria para desempeñar sus funciones diarias, siempre que nos refiramos a
información confidencial. Control de acceso e identidad. Control de acceso a los
recursos, actualizaciones de seguridad y parches, gran parte de estos accesos no
autorizados se podrían evitar si los sistemas y aplicaciones estuvieran
convenientemente actualizados.
Se deberán gestionar los derechos de acceso asignados a usuarios: establecer un
sistema de clasificación de la información, para ligarlo a roles y niveles de acceso.
Deberá existir la gestión de contraseñas de usuarios.
Control de acceso a las redes y servicios asociados: algunos incidentes de seguridad
como la fuga información, son causados por el uso inadecuado de servicios en la nube
y son parecidos a los causados por uso de redes sociales y la forma de tratarlos es
muy similar.
Esquema de la Política:
Capítulo Uno.
 Definición de la seguridad de la información
 Objetivos de la política
 Alcance de la seguridad de la información en la organización
 Importancia como mecanismo de control que permite compartir la información.
Capítulo Dos.
 Declaración de la Dirección apoyando los objetivos y principios de la seguridad de la
información.
Capítulo Tres.
 Breve explicación de las políticas
Capítulo Cuatro.
 Definición de responsabilidades generales y específicas, incluyendo los roles dentro de
la organización.
7
Capítulo Cinco.
 Referencias a documentación que pueda sustentar la política:
o Procedimientos operativos de seguridad (POS): describen las actividades y
tareas de los procesos relacionados, roles y funciones que las ejecutan sin
entrar en detalles técnicos.
o Instrucciones técnicas (IT): desarrollan los POS llegando al máximo nivel
dedetalle, indicando comandos técnicosempleados para la realización de las
tareas.
o Guías de seguridad: tienen un carácter informativo y buscan ayudar a
losusuarios a aplicar correctamente las medidas de seguridad
proporcionandorazonamientos en los casos en los que no existan
procedimientos precisos.Ayudan a prevenir que se pasen por alto aspectos
importantes de seguridadque pueden materializarse de varias formas.
8
UNIDAD 5. Actividades individuales relacionadas

Bloque temático 2. Proponga alguna métrica plausible de utilizarse en el Caso Práctico a su
criterio. Justifique y explique. Compártalo en el Foro proactivo.
Controles
Métricas
A.9.1 Requisitos comerciales del control de acceso
Objetivo: limitar el acceso a las instalaciones de procesamiento de información e
información.
A.9.1.2 Acceso a las redes y servicios de red
Control: los usuarios solo recibirán acceso a la Porcentaje de sistemas y aplicaciones
red y a la red servicios que han sido corporativas
para
los
que
los
específicamente autorizados para usar.
"propietarios" adecuados han: (a) sido
identificados, (b) aceptado formalmente
sus responsabilidades, (c) llevado a cabo o encargado- revisiones de accesos y
seguridad de aplicaciones, basadas en
riesgo y (d) definido las reglas de control
de acceso basadas en roles.
A.9.2 Gestión de acceso de usuario
Objetivo: garantizar el acceso autorizado de los usuarios y evitar el acceso no autorizado a
sistemas y servicios.
A.9.2.1 Registro de usuario y des-inscripción
Control: un registro formal de usuarios y un Porcentaje de descripciones de puesto
proceso de cancelación de registro serán de
trabajo
que
incluyen
implementado para permitir la asignación de responsabilidades en seguridad de la
derechos de acceso.
información (a) totalmente documentadas
y (b) formalmente aceptadas.
A.9.2.2 Aprovisionamiento de acceso de usuario
Control: se implementará un proceso formal de Tiempo medio transcurrido entre la
provisión de acceso de usuario para asignar o solicitud y la realización de peticiones de
revocar derechos de acceso para todos los cambio de accesos
tipos de usuario a todos los sistemas y
servicios.
A.9.2.3 Gestión de derechos de privilegio de acceso
Control: la asignación y el uso de los derechos Porcentaje de sistemas y aplicaciones
de acceso privilegiado sea restringido y corporativas
para
los
que
los
controlado.
"propietarios" adecuados han: (a) sido
identificados, (b) aceptado formalmente
sus responsabilidades, (c) llevado a cabo o encargado- revisiones de accesos y
seguridad de aplicaciones, basadas en
riesgo y (d) definido las reglas de control
de acceso basadas en roles.
A.9.2.6 Remoción o ajuste de los derechos de acceso
Control: los derechos de acceso de todos los Porcentaje
de
identificadores
de
empleados y usuarios externos a las usuario pertenecientes a personas que
instalaciones de procesamiento de información han dejado la organización, separados por
e información se eliminarán al término de su las categorías de activos (pendientes de
empleo, contrato o acuerdo, o ajustado al desactivación) e inactivos (pendientes de
cambio.
archivo y borrado).
A.9.4 Sistema y control de acceso a la aplicación
Objetivo: evitar el acceso no autorizado a sistemas y aplicaciones.
A.9.4.1 Acceso a la información restricción
Control: el acceso a la información y las Estadísticas de cortafuegos, tales como
funciones del sistema de aplicación se porcentaje de paquetes o sesiones
restringido de acuerdo con la política de control salientes que han sido bloqueadas (p. ej.,
de acceso.
intentos de acceso a páginas web
9
A.9.4.4 Uso de la utilidad privilegiada
programas
Control: el uso de programas de utilidad que
podrían ser capaces de anular los controles del
sistema y de la aplicación deben ser
restringidos y estrictamente revisado.
A.9.4.5 Control de acceso al programa código
fuente
Control: el acceso al código fuente del
programa debe estar restringido.

prohibidas;
número
de
ataques
potenciales
de
hacking
repelidos,
clasificados
en
insignificantes/preocupantes/críticos).
Estadísticas de vulnerabilidad de
sistemas y redes, como nº de
vulnerabilidades
conocidas
cerradas,
abiertas y nuevas; velocidad media de
parcheo
de
vulnerabilidades
(analizadas por prioridades/categorías del
fabricante o propias).
Bloque temático 3.
2. Proponga un Plan de Auditoría que aplique en el caso práctico. Justifique. Comparta su
propuesta en el Foro proactivo.
(ver Plan de Auditoría.xlsx)
Plan de
audit oría.xlsx
10
UNIDAD 6. Actividades individuales relacionadas

Bloque temático 1. En base a lo estudiado hasta aquí proponga Acciones Correctivas y
Mejoras Continuas que a su criterio apliquen en el Caso Práctico. Compártalo en el Foro
proactivo.
2. Revise el Capítulo 11 del Documento proponga una estrategia de Continuidad de
Negocio para el Caso Justifique su posición en el Foro proactivo: Compártalo en el Foro
proactivo. Incorpore sus propuestas de las Unidades anteriores al Caso Práctico
presentado.
Origen
Auditoría de
certificación
Auditoría de
certificación
Auditoría de
certificación
Auditoría de
certificación
Auditoría
documental
Hallazgo
En referencia al punto
A.9.3.1 sobre uso de
autenticación secreta
información, no existe un
plan de capacitación y
concientización de los
usuarios en el uso de
contraseñas seguras.
En referencia al punto
A.9.4.2 sobre
procedimientos de logeo
seguro, el acceso a
sistemas y las
aplicaciones no se
controla mediante un
procedimiento de inicio de
sesión seguro.
En referencia al punto
A.9.4.3 Sistema de
gestión de passwords, los
sistemas de gestión de
contraseñas no son
interactivos ni aseguran
contraseñas de calidad.
En referencia al punto
A.9.2.6 sobre remoción o
ajuste de los derechos de
acceso, no existe un
control de usuarios
pertenecientes a
personas que han dejado
la organización,
separados por las
categorías de activos
(pendientes de
desactivación) e inactivos
(pendientes de archivo y
borrado).
En referencia al punto
A.9.2.3 sobre gestión de
derechos de privilegio de
acceso, ni está
documentado el
procedimiento para la
asignación de accesos a
los sistemas y aplicativos.
Acción de mejora
Establecer planes de
capacitación y
concientización al
personal en el uso de
información de
autenticación secreta.
Responsable
Director de
Desarrollo de
Personas
Plazo
6 meses
Tipo
Mejora
Establecer un
procedimiento de
acceso seguro según
política de control de
acceso.
Gerente de
Seguridad
Informática
12
meses
Mejora
Establecer un sistema
de gestión de
contraseñas
interactivo con el
usuario que valide
calidad de la misma al
momento del ingreso
Establecer el
indicador: porcentaje
de identificadores de
usuario
pertenecientes a
personas que han
dejado la
organización,
separados por las
categorías de activos
(pendientes de
desactivación) e
inactivos (pendientes
de archivo y borrado).
Gerente de
Seguridad
Informática
12
meses
Mejora
Gerente de
Seguridad
Informática
3 meses
Correctiva
Gerente de
Seguridad
Informática
3 meses
Correctiva
Establecer un
procedimiento para la
asignación de
accesos a los
sistemas y aplicativos.
11

Bloque temático 3
2. Por último revise esta Guia. Considérela para la aplicación de la Continuidad de Negocio
en el Caso Práctico. Justifique.Comparta su propuesta en el Foro proactivo. Suba todo lo
propuesto a la Carpeta de Entrega del Caso Práctico a Revisar.
Estrategia de Continuidad
Se deberá establecer un Plan de Continuidad fijando los siguientes objetivos:

Mantener el negocio de la organización, priorizando las operaciones de negocio
críticas necesarias para continuar en funcionamiento después de un incidente no
planificado.

Reducir el número y la magnitud de las decisiones que se toman durante un
período en que los errores pueden resultar mayores.
Establecer, organizar y documentar los riesgos, responsabilidades, políticas y
procedimientos, acuerdos con entidades internas y externas.
La activación de un Plan de Continuidad deberá producirse solamente en
situaciones de emergencia y cuando las medidas de seguridad hayan fallado.


Hitos a considerar:

Análisis de Impacto: realizar un inventario de los procesos críticos de la compañía,
estableciendo los tiempos de recuperación de los mismos, antes de incurrir en pérdidas
graves.

Componentes de los procesos describir cada uno de los componentes hardware,
software, comunicaciones, etc., que conforman los procesos definidos.

Establecer tiempos máximos de recuperación de los procesos

Análisis de riesgos

Listado de amenazas

Vulnerabilidades tomando como base los objetivos de seguridad de la ISO 17799 y en
función de las Amenazas posibles, establecer los escenarios en que una amenaza
puede convertirse en un incidente de seguridad. (ESCENARIOS, NIVEL DE
PROTECCIÓN y RESPUESTA)

Evaluación de riesgos

Definir recomendaciones y contramedidas

Definir un plan de recuperación:
o
Definir Comité de Crisis
o

Definir equipo de recuperación

Definir equipo de coordinación logística

Definir equipo de relaciones públicas

Definir equipo de las unidades de negocio
Establecer fases de la alerta:

Fase de Alerta

Definir procedimiento de notificación del desastre

Definir procedimiento de ejecución del plan

Definir procedimiento de comunicaciones durante la ejecución del plan
12



Fase de transición

Definir procedimiento de concentración y traslado de recursos
humanos y materiales.

Definir procedimiento de puesta en marcha del centro de recuperación
Fase de recuperación

Definir procedimiento de restauración

Definir procedimiento de soporte y gestión durante la recuperación
Fase de vuelta a la normalidad

Realizar un análisis de impacto del desastre

Planificar adquisiciones de recursos a recuperar

Dar por finalizada la contingencia
13
Documentos relacionados
Contenido TRABAJO FINAL
Contenido TRABAJO FINAL
tp 2 medios masivos de comunicación
tp 2 medios masivos de comunicación
Trabajo práctico
Trabajo práctico
Práctico Taller Contabilidad 17/10/2011
Práctico Taller Contabilidad 17/10/2011
AUTOESTIMA COMO BASE PARA EL LOGRO DE METAS
AUTOESTIMA COMO BASE PARA EL LOGRO DE METAS
(Metodología y Ejes temáticos)
(Metodología y Ejes temáticos)
orden de servicio - Universidad de Zaragoza
orden de servicio - Universidad de Zaragoza
TRABAJO PRÁCTICO Nº1B
TRABAJO PRÁCTICO Nº1B
Equipo Gerencial Lic. Miguel Ernesto Henríquez Arce Gerente
Equipo Gerencial Lic. Miguel Ernesto Henríquez Arce Gerente
Descargar
Anuncio
Anuncio