Plan de Seguridad Informtica para una Entidad Financiera.
Crdova Rodrguez, Norma Edith.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM Captulo V EVALUACIN DE RIESGOS, AMENAZAS Y VULNERABILIDADES Con el propsito de obtener un adecuado entendimiento de la implicancia que tiene el uso de tecnologa, las amenazas y vulnerabilidades, as como las iniciativas del negocio sobre la seguridad de la informacin del Banco, se efectuaron entrevistas, de las cuales se obtuvo las siguientes tres matrices, que nos muestran la implicancia en seguridad que presentan cada uno de los factores mencionados anteriormente, as como el estndar o medida a aplicar para minimizar los riesgos correspondientes. 5.1 Matriz de uso y estrategia de tecnologa Esta matriz muestra la tecnologa utilizada actualmente por el Banco y los cambios estratgicos planificados que impactan en ella, las implicancias de seguridad asociadas al uso de tecnologa y los estndares o medidas propuestas para minimizar los riesgos generados por la tecnologa empleada. Tecnologa Implicancia de seguridad Estndar o medida de seguridad a aplicar Actual Windows NT, Windows 2000 Se debe contar con controles de acceso adecuados a la data y sistemas soportados por el Sistema Operativo. Estndar de mejores prcticas de seguridad para Windows NT Estndar de mejores prcticas de seguridad para Windows 2000. Plan de Seguridad Informtica para una Entidad Financiera. Crdova Rodrguez, Norma Edith. Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM Tecnologa Implicancia de seguridad Estndar o medida de seguridad a aplicar OS/400 Se debe contar con controles de acceso adecuados a la data y sistemas soportados por el computador Central. Los controles que posee este servidor deben ser lo ms restrictivos posibles pues es el blanco potencial de la mayora de intentos de acceso no autorizado. Estndar de mejores prcticas de seguridad para OS/400. Base de datos SQL Server Se debe contar con controles de acceso a informacin de los sistemas que soportan el negocio de la Compaa. Estndar de mejores prcticas de seguridad para bases de datos SQL Server. Banca electrnica a travs de Internet. El servidor Web se encuentra en calidad de "hosting" en Telefnica Data, se debe asegurar que el equipo cuente con las medidas de seguridad necesarias, tanto fsicas como lgicas. La transmisin de los datos es realizada a travs de un medio pblico (Internet), se debe contar con medidas adecuadas para mantener Estndares de encripcin de informacin transmitida. Clusulas de confidencialidad y delimitacin de responsabilidades en contratos con proveedores. Acuerdos de nivel de servicios con proveedores, en los cuales se detalle el Plan de Seguridad Informtica para una Entidad Financiera. Crdova Rodrguez, Norma Edith. Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM Tecnologa Implicancia de seguridad Estndar o medida de seguridad a aplicar la confidencialidad de la informacin (encripcin de la data). El servidor Web que es accedido por los clientes puede ser blanco potencial de actividad vandlica con el propsito de afectar la imagen del Banco. La disponibilidad del sistema es un factor clave para el xito del servicio. porcentaje mnimo de disponibilidad del sistema. Evaluacin independiente de la seguridad del servidor que brinda el servicio, o acreditacin de la misma por parte del proveedor. Banca telefnica Transmisin de informacin por medios pblicos sin posibilidad de proteccin adicional. Imposibilidad de mantener la confidencialidad de las operaciones con el proveedor del servicio telefnico. Posibilidad de obtencin de nmeros de tarjeta y contraseas del canal de transmisin telefnico. Establecimiento de lmites adecuados a las operaciones realizadas por va telefnica. Posibilidad de registrar el nmero telefnico origen de la llamada. Controles en los sistemas de grabacin de llamadas telefnica. Evaluar la posibilidad de notificar al cliente de manera automtica e inmediata luego de realizada la operacin. Plan de Seguridad Informtica para una Entidad Financiera. Crdova Rodrguez, Norma Edith. Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM Tecnologa Implicancia de seguridad Estndar o medida de seguridad a aplicar Sistema Central Core Bancario El sistema central es el sistema que soporta gran parte de los procesos del negocio del Banco, por lo tanto, todo acceso no autorizado al servidor representa un riesgo potencial para el negocio. Estndar de mejores prcticas de seguridad para OS/400. Revisin peridica de los accesos otorgados a los usuarios del sistema. Monitoreo peridico de la actividad realizada en el servidor. Verificacin del control dual de aprobacin en transacciones sensibles. MIS (Management Information System) El acceso a repositorios de informacin sensible debe ser restringido adecuadamente. Estndares de seguridad de Windows 2000, bases de datos. Adecuados controles de acceso y otorgamiento de perfiles a la aplicacin. Desarrollo de aplicaciones para las unidades de negocio, en periodos muy cortos. Los proyectos de desarrollo en periodos muy cortos, comprenden un acelerado desarrollo de sistemas; la aplicacin de medidas de seguridad, debera encontrarse incluida en el desarrollo del proyecto. Estndar de mejores prcticas de seguridad para Windows 2000, OS/400. Metodologa para el desarrollo de aplicaciones. Procedimientos de Plan de Seguridad Informtica para una Entidad Financiera. Crdova Rodrguez, Norma Edith. Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM Tecnologa Implicancia de seguridad Estndar o medida de seguridad a aplicar El tiempo de pase a produccin de un nuevo sistema que soportar un producto estratgico, es muy importante para el xito del negocio, lo cual puede originar que no se tomen las medidas de seguridad necesarias antes del pase a produccin de los nuevos sistemas. control de cambios. Evaluacin de requerimientos de seguridad de los sistemas antes de su pase a produccin. Estndar de mejores prcticas de seguridad para aplicaciones distribuidas. Computadoras personales. Se debe contar con adecuados controles de acceso a informacin existente en computadoras personales. Se requieren adecuados controles de accesos a la informacin de los sistemas desde las computadoras personales de usuarios. La existencia de diversos sistemas operativos en el parque de computadores personales, tales como, Windows 95, Windows 98, Windows NT, Windows Concientizacin y entrenamiento de los usuarios en temas de seguridad de la informacin. Implementacin de mayores controles de seguridad para computadoras personales. Finalizacin del proyecto de migracin de la plataforma de computadoras personales al sistema operativo Windows 2000 Plan de Seguridad Informtica para una Entidad Financiera. Crdova Rodrguez, Norma Edith. Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM Tecnologa Implicancia de seguridad Estndar o medida de seguridad a aplicar 2000 Professional, Windows XP, impide estandarizar la configuracin de los sistemas. Debe existir un control sobre los dispositivos que pudieran facilitar fuga de informacin (disqueteras, grabadoras de cd's, impresoras personales, etc.) Se debe controlar y monitorear las aplicaciones y sistemas instalados en las PCs y Windows XP. Estndares de mejores prcticas de seguridad para estaciones de trabajo. Actualizacin peridica de inventarios del software instalado. Monitoreo peridico de carpetas compartidas. Monitoreo de actividad de los usuarios, sistemas de deteccin de intrusos. Correo electrnico Posibilidad de interceptacin no autorizada de mensajes de correo electrnico. Riesgo de acceso no autorizado a informacin del servidor. Posibilidad de utilizacin de recursos por parte de personas no autorizadas, para enviar correo Se debe contar con estndares de encripcin para los mensajes de correo electrnico que contengan informacin confidencial. Estndares de mejores prcticas de seguridad para Windows NT y Lotus Notes. Configuracin de anti- Plan de Seguridad Informtica para una Entidad Financiera. Crdova Rodrguez, Norma Edith. Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM Tecnologa Implicancia de seguridad Estndar o medida de seguridad a aplicar electrnico a terceros (relay no autorizado). Posibilidad de recepcin de correo inservible (SPAM). relay. Implementacin de un sistema de seguridad del contenido SMTP. Conexin a Internet y redes pblicas / Firewall. Riesgos de accesos no autorizados desde Internet y redes externas hacia los sistemas del Banco. Adecuado uso del acceso a Internet por parte de los usuarios. Los dispositivos que permiten controlar accesos, tales como, firewalls, servidores proxy, etc. Deben contar con medidas de seguridad adecuadas para evitar su manipulacin por personas no autorizadas. Riesgo de acceso no autorizado desde socios de negocios hacia los sistemas de La Compaa. Polticas de seguridad. Estndares de mejores prcticas de seguridad para servidores Windows NT, Windows 2000, correo electrnico, servidores Web y equipos de comunicaciones. Delimitacin de responsabilidades referentes a la seguridad de informacin en contratos con proveedores. Mejores prcticas de seguridad para configuracin de Firewalls. Diseo e implementacin de una arquitectura de seguridad de Plan de Seguridad Informtica para una Entidad Financiera. Crdova Rodrguez, Norma Edith. Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM Tecnologa Implicancia de seguridad Estndar o medida de seguridad a aplicar red.Utilizacin de sistemas de deteccin de intrusos. Especificacin de acuerdos de nivel de servicio con el proveedor. Controles y filtros para el acceso a Internet. En Proyecto Cambios en la infraestructura de red. Los cambios en la infraestructura de red pueden generar nuevas puertas de entrada a intrusos si los cambios no son realizados con una adecuada planificacin. Una falla en la configuracin de equipos de comunicaciones puede generar falta de disponibilidad de sistemas. Un diseo de red inadecuado puede facilitar el ingreso no autorizado a la red de datos. Elaboracin de una arquitectura de red con medidas de seguridad adecuadas. Establecer controles de acceso adecuados a la configuracin de los equipos de comunicaciones. Plan de migracin de infraestructura de red. Software de Riesgo de acceso no Estndar de seguridad Plan de Seguridad Informtica para una Entidad Financiera. Crdova Rodrguez, Norma Edith. Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM Tecnologa Implicancia de seguridad Estndar o medida de seguridad a aplicar administracin remota de PCs y servidores. autorizado a las consolas de administracin y agentes de administracin remota. para Windows NT Estndar de seguridad para Windows 2000 Estndar de seguridad para Windows XP Controles de acceso adecuados a las consolas y agentes de administracin remota. Establecimiento de adecuados procedimientos para tomar control remoto de PCs o servidores. Adecuada configuracin del registro (log) de actividad realizada mediante administracin remota. Migracin de servidores Windows NT Server a Windows 2000 Server. Posibilidad de error en el traslado de los usuarios y permisos de acceso a los directorios de los nuevos servidores. Posibilidad de existencia de vulnerabilidades no conocidas anteriormente. Estndares de seguridad para Windows 2000. Procedimientos de control de cambios. Plan de migracin a Windows 2000. Polticas de seguridad. Plan de Seguridad Informtica para una Entidad Financiera. Crdova Rodrguez, Norma Edith. Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM Tecnologa Implicancia de seguridad Estndar o medida de seguridad a aplicar Implantacin de Datawarehouse. Informacin sensible almacenada en un repositorio centralizado, requiere de controles de acceso adecuados. La disponibilidad del sistema debe ser alta para no afectar las operaciones que soporta. Estndares de Seguridad para Windows 2000. Estndar de seguridad en bases de datos SQL. Plan de implantacin de Datawarehouse. Procedimientos para otorgamiento de perfiles. Polticas de seguridad. 5.2 Matriz de Evaluacin de Amenazas y Vulnerabilidades En esta matriz se muestra los riesgos y amenazas identificadas, las implicancias de seguridad y los estndares o medidas de seguridad necesarias para mitigar dicha amenaza. Amenaza / Vulnerabilidad Implicancia de Seguridad Estndar o medida de seguridad a aplicar Riesgos/ Amenazas Inters en obtener informacin estratgica del Banco, por parte de competidores de negocio. La existencia de informacin atractiva para competidores de negocio tales como informacin de clientes e informacin de marketing implica la aplicacin de controles adecuados para el Estndares de seguridad para servidores Windows 2000, Windows NT y OS/400. Control de acceso a las aplicaciones del Banco. Revisin y depuracin Plan de Seguridad Informtica para una Entidad Financiera. Crdova Rodrguez, Norma Edith. Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM Amenaza / Vulnerabilidad Implicancia de Seguridad Estndar o medida de seguridad a aplicar acceso a informacin. peridica de los accesos otorgados. Restricciones en el manejo de informacin enviada por correo electrnico hacia redes externas, extrada en disquetes o cds e informacin impresa. Verificacin de la informacin impresa en reportes, evitar mostrar informacin innecesaria en ellos. Polticas de seguridad. Inters en obtener beneficios econmicos mediante actividad fraudulenta. Debido al volumen de dinero que es administrado por es administrado por una entidad financiera, la amenaza de intento de fraude es una posibilidad muy tentadora tanto para personal interno del Banco, as como para personal externo. Estndares de seguridad para Windows NT, Windows 2000, OS/400 y bases de datos SQL. Controles de accesos a los mens de las aplicaciones. Revisiones peridicas de los niveles de accesos de los usuarios. Evaluacin peridica de la integridad de la Plan de Seguridad Informtica para una Entidad Financiera. Crdova Rodrguez, Norma Edith. Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM Amenaza / Vulnerabilidad Implicancia de Seguridad Estndar o medida de seguridad a aplicar informacin por parte del propietario de la misma. Revisiones peridicas de los registros (logs) de los sistemas y operaciones realizadas. Mejores prcticas para configuracin de firewalls, servidores y equipos de comunicaciones. Actividad vandlica realizada por hackers o crackers La actividad desarrollada por hackers o crackers de sistemas, puede afectar la disponibilidad, integridad y confidencialidad de la informacin del negocio. Estos actos vandlicos pueden ser desarrollados por personal interno o externo al Banco. Adicionalmente si dicha actividad es realizada contra equipos que proveen servicios a los clientes (pgina Web del banco) la imagen y Estndares de seguridad para servidores Windows 2000. Estndares de seguridad para servidores Windows NT. Delimitacin de responsabilidades y sanciones en los contratos con proveedores de servicios en calidad de hosting. Verificacin de evaluaciones peridicas o certificaciones de la seguridad de los Plan de Seguridad Informtica para una Entidad Financiera. Crdova Rodrguez, Norma Edith. Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM Amenaza / Vulnerabilidad Implicancia de Seguridad Estndar o medida de seguridad a aplicar reputacin del Banco se podra ver afectada en un grado muy importante. sistemas en calidad de hosting. Concientizacin y compromiso formal de los usuarios en temas relacionados a la seguridad de informacin. Polticas de Seguridad. Prdida de informacin producto de infeccin por virus informtico. El riesgo de prdida de informacin por virus informtico es alto si no se administra adecuadamente el sistema Antivirus y los usuarios no han sido concientizados en seguridad de informacin Adecuada arquitectura e implementacin del sistema antivirus. Verificacin peridica de la actualizacin del antivirus de computadoras personales y servidores. Generacin peridica de reportes de virus detectados y actualizacin de antivirus. Fuga de informacin a travs del personal que ingresa de manera temporal Los accesos otorgados al personal temporal deben ser controlados adecuadamente, asimismo la actividad realizada por Control adecuado de los accesos otorgados. Depuracin peridica de accesos otorgados a los sistemas. Plan de Seguridad Informtica para una Entidad Financiera. Crdova Rodrguez, Norma Edith. Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM Amenaza / Vulnerabilidad Implicancia de Seguridad Estndar o medida de seguridad a aplicar en sustitucin de empleados en vacaciones. los mismos en los sistemas debe ser peridicamente monitoreada. El personal temporal podra realizar actividad no autorizada, la cual podra ser detectada cuando haya finalizado sus labores en el Banco. Restricciones en acceso a correo electrnico y transferencia de archivos hacia Internet. Adecuada configuracin y revisin peridica de los registros (logs) de aplicaciones y sistema operativo. Vulnerabilidades No se cuenta con un inventario de perfiles de acceso a las aplicaciones. El control sobre la actividad de los usuarios en los sistemas es llevado a cabo en muchos casos, mediante perfiles de usuarios controlando as los privilegios de acceso a los sistemas. Se debe contar con un inventario de los accesos que poseen los usuarios sobre las aplicaciones. Revisiones peridicas de los perfiles y accesos de los usuarios por parte del propietario de la informacin. Exceso de contraseas manejadas por los usuarios. La necesidad de utilizar contraseas distintas para cada sistema o aplicacin del Banco, puede afectar la seguridad en la medida que el usuario no sea capaz de Uniformizar dentro de lo posible la estructura de las contraseas empleadas y sus fechas de renovacin. Implementar un sistema Plan de Seguridad Informtica para una Entidad Financiera. Crdova Rodrguez, Norma Edith. Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM Amenaza / Vulnerabilidad Implicancia de Seguridad Estndar o medida de seguridad a aplicar retener en la memoria, la relacin de nombres de usuario y contraseas utilizadas en todos los sistemas. La necesidad de anotar las contraseas por parte de los usuarios, expone las mismas a acceso por parte de personal no autorizado. de Servicio de directorio, el cual permita al usuario identificarse en l, y mediante un proceso automtico, ste lo identifique en los sistemas en los cuales posee acceso. Existencia de usuarios del rea de desarrollo y personal temporal con acceso al entorno de produccin. El ambiente de produccin debe contar con controles de acceso adecuados con respecto los usuarios de desarrollo, esto incluye las aplicaciones y bases de datos de las mismas. Inventario y depuracin de perfiles de acceso que poseen los usuarios de desarrollo en el entorno de produccin. Adecuada segregacin de funciones del personal del rea de sistemas. Procedimiento de pase a produccin. Aplicaciones cuyo acceso no es controlado por el rea de seguridad informtica. El rea de seguridad informtica debe participar en el proceso de asignacin de accesos a las aplicaciones del Banco y verificar que la solicitud de accesos sea coherente con el cargo del Formalizacin de roles y responsabilidades del rea de seguridad informtica. Traslado de la responsabilidad del control de accesos a Plan de Seguridad Informtica para una Entidad Financiera. Crdova Rodrguez, Norma Edith. Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM Amenaza / Vulnerabilidad Implicancia de Seguridad Estndar o medida de seguridad a aplicar usuario. El gerente que aprueba la solicitud es el responsable de los accesos que solicita para los usuarios de su rea. aplicaciones al rea de seguridad informtica. Falta de conciencia en seguridad por parte del personal del Banco. El personal del Banco es el vnculo entre la poltica de seguridad y su implementacin final para aplicar la poltica de seguridad, se pueden establecer controles y un monitoreo constante, pero la persona es siempre el punto ms dbil de la cadena de seguridad, este riesgo se puede incrementar si el usuario no recibe una adecuada capacitacin y orientacin en seguridad de informacin. Programa de capacitacin del Banco en temas relacionados a la seguridad de informacin. Capacitacin mediante charlas, videos, presentaciones, afiches, etc., los cuales recuerden permanentemente al usuario la importancia de la seguridad de informacin. Falta de personal con conocimientos tcnicos de seguridad informtica. Para una adecuada administracin de la seguridad informtica se requiere personal capacitado que pueda cumplir las labores de elaboracin de polticas y administracin de seguridad Capacitacin del personal tcnico en temas de seguridad de informacin o inclusin nuevo de personal con conocimientos de seguridad de Plan de Seguridad Informtica para una Entidad Financiera. Crdova Rodrguez, Norma Edith. Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM Amenaza / Vulnerabilidad Implicancia de Seguridad Estndar o medida de seguridad a aplicar en el rea de seguridad informtica, as como implementacin de controles y configuracin de sistemas en el rea de sistemas. informacin para las reas de seguridad informtica y sistemas. Falta de controles adecuados para la informacin que envan los usuarios hacia Internet. El acceso hacia Internet por medios como correo electrnico, ftp (file transfer protocol) o incluso web en algunos casos, puede facilitar la fuga de informacin confidencial del Banco. El Banco ha invertido en la implementacin de una herramienta para el filtrado de las pginas web que son accedidas por los usuarios, se debe asegurar que dicho control sea adecuadamente aplicado. Vulnerabilidades: No existen controles adecuados sobre el personal autorizado a enviar correo electrnico al exterior. Configuracin adecuada del servidor Proxy y la herramienta Surf Control. Generacin peridica de reportes de la efectividad de los controles aplicados. Implementacin de una adecuada arquitectura de red. Mejores prcticas para la configuracin de Firewalls. Implementacin y administracin de herramientas para la inspeccin del contenido de los correos electrnicos enviados. Plan de Seguridad Informtica para una Entidad Financiera. Crdova Rodrguez, Norma Edith. Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM Amenaza / Vulnerabilidad Implicancia de Seguridad Estndar o medida de seguridad a aplicar No existen herramientas de inspeccin de contenido para correo electrnico. Se pudo observar que usuarios que no se han identificado en el dominio del Banco, pueden acceder al servicio de navegacin a travs del servidor Proxy. No existen controles adecuados para la informacin almacenada en las computadoras personales. Existe informacin almacenada en las computadoras personales de los usuarios que requiere ciertos niveles de seguridad. Los usuarios deben contar con procedimientos para realizar copias de respaldo de su informacin importante. Vulnerabilidades: El sistema operativo Windows 95/98 no permite otorgar niveles apropiados de seguridad a la informacin existente en ellas. No existe un procedimiento para verificacin peridica Establecimiento de un procedimiento formal que contemple la generacin de copia de respaldo de informacin importante de los usuarios. Concluir el proceso de migracin del sistema operativo de las computadoras personales a Windows 2000 Professional o Windows XP. Concientizacin de usuarios en temas relacionados a la seguridad de la Plan de Seguridad Informtica para una Entidad Financiera. Crdova Rodrguez, Norma Edith. Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM Amenaza / Vulnerabilidad Implicancia de Seguridad Estndar o medida de seguridad a aplicar de las carpetas compartidas por los usuarios. El procedimiento para realizar copias de respaldo de la informacin importante no es conocido por todos los usuarios. informacin. Arquitectura de red inapropiada para controlar accesos desde redes externas. Posibilidad de acceso no autorizado a sistemas por parte de personal externo al Banco. Vulnerabilidades: Existencia de redes externas se conectan con la red del Banco sin la proteccin de un firewall. Los servidores de acceso pblico no se encuentran aislados de la red interna. Diseo de arquitectura de seguridad de red. Adecuada configuracin de elementos de control de conexiones (firewalls). Implementacin y administracin de herramientas de seguridad. Fuga de informacin estratgica mediante sustraccin de computadores Es posible obtener la informacin existente en las computadoras porttiles de los gerentes del banco mediante el robo de las mismas. Programas para encripcin de la data confidencial existente en los discos duros de las computadoras porttiles. Plan de Seguridad Informtica para una Entidad Financiera. Crdova Rodrguez, Norma Edith. Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM Amenaza / Vulnerabilidad Implicancia de Seguridad Estndar o medida de seguridad a aplicar porttiles. Acceso no autorizado a travs de enlaces inalmbricos. El riesgo de contar con segmentos de red inalmbricos sin medidas de seguridad especficas para este tipo de enlaces, radica en que cualquier persona podra conectar un equipo externo al Banco incluso desde un edificio cercano. Evaluacin del alcance de la red inalmbrica. Separacin del segmento de red inalmbrico mediante un Firewall. Verificacin peridica de la actividad realizada desde la red inalmbrica. Utilizacin de encripcin . Controles de acceso hacia Internet desde la red interna. Posibilidad de acceso no autorizado desde la red interna de datos hacia equipos de terceros en Internet. Posibilidad de fuga de informacin. Posibilidad de realizacin de actividad ilegal en equipos de terceros a travs de Internet. Implementacin de una adecuada arquitectura de red. Configuracin adecuada de servidor Proxy. Mejores prcticas para la configuracin de Firewalls. Implementacin y administracin de herramientas para la seguridad del contenido de los correos electrnicos enviados. Plan de Seguridad Informtica para una Entidad Financiera. Crdova Rodrguez, Norma Edith. Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM Amenaza / Vulnerabilidad Implicancia de Seguridad Estndar o medida de seguridad a aplicar Monitoreo peridico de la actividad, mediante el anlisis de los registros (logs) de los sistemas. 5.3 Matriz de Iniciativas del Negocio / Procesos En esta matriz se muestra las iniciativas y operaciones del negocio que poseen alta implicancia en seguridad y los estndares o medidas de seguridad a ser aplicados para minimizar los riesgos generados por ellas. Iniciativa del Negocio Implicancia de Seguridad Estndar o medida de seguridad a aplicar Iniciativas del Negocio Implantacin de Datawarehouse. Informacin sensible almacenada en un repositorio centralizado, requiere de controles de acceso adecuados. La disponibilidad del sistema debe ser alta para no afectar las operaciones que soporta. Estndar de mejores prcticas de seguridad para Windows NT Estndar de mejores prcticas de seguridad para Windows Plan de implantacin de Datawarehouse. Procedimientos para otorgamiento de perfiles. Plan de Seguridad Informtica para una Entidad Financiera. Crdova Rodrguez, Norma Edith. Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM Iniciativa del Negocio Implicancia de Seguridad Estndar o medida de seguridad a aplicar Implementacin de una arquitectura de red segura. Proyecto de tercerizacin del Call Center Consulta de informacin existente en los sistemas por parte de terceros. Registro de informacin en los sistemas por parte de terceros. Especificacin de responsabilidades y obligaciones referentes a la seguridad de la informacin del Banco, en los contratos con terceros. Especificacin de acuerdos de nivel de servicio. Adecuados controles de acceso a la informacin registrada en el sistema Proyecto de comunicacin con Conasev utilizando firmas digitales (Requerimiento de Conasev) El acceso de personal no autorizado a los medios de almacenamiento de llaves de encripcin (media, smartcards, impresa) debilita todo el sistema de encripcin de la Estndares de seguridad para la manipulacin y revocacin de llaves de encripcin. Implementacin de controles de acceso a Plan de Seguridad Informtica para una Entidad Financiera. Crdova Rodrguez, Norma Edith. Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM Iniciativa del Negocio Implicancia de Seguridad Estndar o medida de seguridad a aplicar informacin. Para los procesos de firma y encripcin de la informacin se requiere el ingreso de contraseas, estas contraseas deben ser mantenidas en forma confidencial. dispositivos y llaves de encripcin. Digitalizacin (scanning) de poderes y firmas. La disposicin de estos elementos en medios digitales requiere de adecuados niveles de proteccin para evitar su acceso no autorizado y utilizacin con fines ilegales. Aplicacin de estndares de seguridad de la plataforma que contiene dicha informacin. Encripcin de la data digitalizada. Restriccin de accesos a los poderes y firmas tanto a nivel de aplicacin, como a nivel de sistema operativo. Tercerizacin de operaciones de sistemas y Help Desk. La administracin de equipos crticos de la red del Banco por parte de terceros representa un Clusulas de confidencialidad y establecimiento claro de responsabilidades Plan de Seguridad Informtica para una Entidad Financiera. Crdova Rodrguez, Norma Edith. Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM Iniciativa del Negocio Implicancia de Seguridad Estndar o medida de seguridad a aplicar riesgo en especial por la posibilidad de fuga de informacin confidencial. de los proveedores en los contratos, especificacin de penalidades en caso de incumplimiento. Monitoreo peridico de las operaciones realizadas por personal externo, incluyendo la revisin peridica de sus actividades en los registros (logs) de aplicaciones y sistema operativo. Evitar otorgamiento de privilegios administrativos a personal externo, para evitar manipulacin de registros. Proyecto de interconexin del Sistema Swift a la red de datos del Banco. El sistema SWIFT se encuentra en un segmento aislado de la red de datos del Banco por razones de seguridad de informacin. Estndar de mejores prcticas de seguridad para servidores Windows NT Plan de Seguridad Informtica para una Entidad Financiera. Crdova Rodrguez, Norma Edith. Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM Iniciativa del Negocio Implicancia de Seguridad Estndar o medida de seguridad a aplicar Al unir el sistema Swift a la red de datos del Banco, dicho sistema se va a encontrar expuesto a intentos de acceso no autorizados por parte de equipos que comprenden la red de datos. Controles de acceso a la aplicacin SWIFT. Estndares de encripcin de datos entre el sistema Swift y los terminales que se comunican con l. Operaciones del Negocio Almacenamiento de copias de respaldo realizado por Hermes. Las cintas de backup guardan informacin confidencial del negocio del banco, adicionalmente deben encontrarse disponibles para ser utilizadas en una emergencia y la informacin que guardan debe mantenerse ntegra. Acuerdos de confidencialidad y tiempo de respuesta en los contratos con el proveedor. Pruebas del tiempo de respuesta del proveedor para transportar las cintas de backup en caso de emergencia. Verificacin peridica del estado de las cintas. Procesamiento de transacciones de tarjetas de crdito El almacenamiento de informacin por parte de terceros podra representar Acuerdos de confidencialidad y tiempo de respuesta Plan de Seguridad Informtica para una Entidad Financiera. Crdova Rodrguez, Norma Edith. Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM Iniciativa del Negocio Implicancia de Seguridad Estndar o medida de seguridad a aplicar y dbito realizado por Unibanca. una fuente de divulgacin no autorizada de informacin del Banco y sus clientes. El acceso a los sistemas por parte de terceros debe ser controlado para evitar la realizacin de actividad no autorizada. en contratos con el proveedor. Estndares de encripcin de informacin transmitida. Almacenamiento de Documentos realizado por terceros File Service El almacenamiento de informacin por parte de terceros podra representar una fuente de divulgacin no autorizada de informacin del Banco y sus clientes. El almacenamiento de informacin debe realizarse de manera adecuada para mantener la disponibilidad de los documentos y evitar su deterioro. Acuerdos de confidencialidad y tiempo de respuesta en contratos con proveedores. Verificacin peridica del grado de deterioro de la documentacin. Impresin y ensobrado de estados de cuenta realizado por Napatek El almacenamiento de informacin por parte de terceros podra representar una fuente de divulgacin no autorizada de Acuerdos de confidencialidad en contratos con proveedores. Estndares de Plan de Seguridad Informtica para una Entidad Financiera. Crdova Rodrguez, Norma Edith. Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM Iniciativa del Negocio Implicancia de Seguridad Estndar o medida de seguridad a aplicar informacin del Banco y sus clientes. El envo de informacin sensible al proveedor debe ser realizado por un canal de transmisin seguro, o en su defecto debe contar con medidas de encripcin, que impidan su utilizacin en caso de ser interceptada. encripcin de datos transmitidos por correo electrnico. Verificacin de integridad de la data transmitida. Envo de informacin sensible a clientes y entidades recaudadoras va correo electrnico Se debe asegurar que la informacin sensible transmitida a los clientes cuente con medidas de seguridad adecuadas las cuales permitan garantizar el cumplimiento de normas como el secreto bancario. Estndares de encripcin de datos transmitidos. Almacenamiento fsico de informacin realizada al interior del Banco. El Banco almacena documentos importantes de clientes, muchos de ellos con informacin confidencial, asimismo existe informacin en otros medios como discos duros, cintas, etc., que albergan Clasificacin y etiquetado de la informacin. Implementacin de controles fsicos de acceso a la informacin de acuerdo a su Plan de Seguridad Informtica para una Entidad Financiera. Crdova Rodrguez, Norma Edith. Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM Iniciativa del Negocio Implicancia de Seguridad Estndar o medida de seguridad a aplicar informacin importante. Se debe asegurar que dicha informacin cuente con medidas de seguridad adecuadas que aseguren la integridad, disponibilidad y confidencialidad de la informacin. clasificacin. Establecimiento de condiciones apropiadas de almacenamiento para evitar su deterioro. Mantenimiento de un registro de entrada y salida de activos de los archivos. Acceso de personal de Rehder a la red de datos del Banco. Todo acceso de personal externo a la red de datos del Banco representa un riesgo potencial de acceso no autorizado a los sistemas. Clusulas de confidencialidad y establecimiento claro de responsabilidades de los proveedores en los contratos, especificacin de penalidades en caso de incumplimiento. Monitoreo de actividad realizada por personal externo. Restricciones de acceso a Internet configurados en el firewall. Centro de Los sistemas ubicados en Especificacin de Plan de Seguridad Informtica para una Entidad Financiera. Crdova Rodrguez, Norma Edith. Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM Iniciativa del Negocio Implicancia de Seguridad Estndar o medida de seguridad a aplicar Contingencia ubicado en el TIC de Telefnica Data. Telefnica Data deben encontrarse siempre disponibles para ser utilizados en casos de emergencia. Se debe asegurar la integridad de la informacin existente en los sistemas de respaldo y el grado de actualizacin de la misma con respecto al sistema en produccin. acuerdos de nivel de servicio y penalidades en caso de incumplimiento en contratos con proveedores. Pruebas del centro de contingencia. Verificacin peridica de la disponibilidad de los sistemas y grado de actualizacin de la informacin. Atencin en Front Office. Las aplicaciones y los sistemas de comunicaciones deben encontrarse disponibles en todo momento para no afectar la atencin a los clientes. Los periodos de indisponibilidad deben ser medidos. Acuerdos de niveles de servicio en contratos con proveedores de comunicaciones. Verificacin peridica de disponibilidad de los sistemas. Implementacin de mtricas de rendimiento y disponibilidad de los sistemas. Plan de Seguridad Informtica para una Entidad Financiera. Crdova Rodrguez, Norma Edith. Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM Iniciativa del Negocio Implicancia de Seguridad Estndar o medida de seguridad a aplicar Soporte de IBM al Servidor AS/400. El servidor AS/400 es el que soporta la mayor cantidad de procesos del negocio del Banco, por lo tanto se debe asegurar que el proveedor debe ser capaz de restaurar los servicios del servidor en el menor tiempo posible. Asimismo dado que el proveedor accede peridicamente al equipo, existe el riesgo de acceso no autorizado a informacin existente en el mismo. Clusulas de confidencialidad y establecimiento claro de responsabilidades de los proveedores en los contratos, especificacin de penalidades en caso de incumplimiento. Asignacin de un usuario distinto al utilizado por personal del Banco con los privilegios mnimos necesarios. Inspeccin del log de actividades del proveedor luego de realizar mantenimiento al equipo.