Plan de Seguridad Informtica para una Entidad Financiera.

Crdova Rodrguez, Norma Edith.

Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Captulo V
EVALUACIN DE RIESGOS, AMENAZAS Y VULNERABILIDADES
Con el propsito de obtener un adecuado entendimiento de la implicancia que
tiene el uso de tecnologa, las amenazas y vulnerabilidades, as como las
iniciativas del negocio sobre la seguridad de la informacin del Banco, se
efectuaron entrevistas, de las cuales se obtuvo las siguientes tres matrices, que
nos muestran la implicancia en seguridad que presentan cada uno de los
factores mencionados anteriormente, as como el estndar o medida a aplicar
para minimizar los riesgos correspondientes.
5.1 Matriz de uso y estrategia de tecnologa
Esta matriz muestra la tecnologa utilizada actualmente por el Banco y los
cambios estratgicos planificados que impactan en ella, las implicancias de
seguridad asociadas al uso de tecnologa y los estndares o medidas
propuestas para minimizar los riesgos generados por la tecnologa empleada.
Tecnologa Implicancia de seguridad
Estndar o medida de
seguridad a aplicar
Actual
Windows NT,
Windows 2000
Se debe contar con controles
de acceso adecuados a la data
y sistemas soportados por el
Sistema Operativo.
Estndar de mejores
prcticas de seguridad para
Windows NT
Estndar de mejores
prcticas de seguridad para
Windows 2000.
Plan de Seguridad Informtica para una Entidad Financiera.
Crdova Rodrguez, Norma Edith.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Tecnologa Implicancia de seguridad
Estndar o medida de
seguridad a aplicar
OS/400 Se debe contar con controles
de acceso adecuados a la data
y sistemas soportados por el
computador Central. Los
controles que posee este
servidor deben ser lo ms
restrictivos posibles pues es el
blanco potencial de la mayora
de intentos de acceso no
autorizado.
Estndar de mejores
prcticas de seguridad para
OS/400.
Base de datos
SQL Server
Se debe contar con controles
de acceso a informacin de los
sistemas que soportan el
negocio de la Compaa.
Estndar de mejores
prcticas de seguridad para
bases de datos SQL Server.
Banca electrnica
a travs de
Internet.
El servidor Web se
encuentra en calidad de
"hosting" en Telefnica
Data, se debe asegurar
que el equipo cuente con
las medidas de seguridad
necesarias, tanto fsicas
como lgicas.
La transmisin de los datos
es realizada a travs de un
medio pblico (Internet), se
debe contar con medidas
adecuadas para mantener
Estndares de
encripcin de
informacin transmitida.
Clusulas de
confidencialidad y
delimitacin de
responsabilidades en
contratos con
proveedores.
Acuerdos de nivel de
servicios con
proveedores, en los
cuales se detalle el
Plan de Seguridad Informtica para una Entidad Financiera.
Crdova Rodrguez, Norma Edith.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Tecnologa Implicancia de seguridad
Estndar o medida de
seguridad a aplicar
la confidencialidad de la
informacin (encripcin de
la data).
El servidor Web que es
accedido por los clientes
puede ser blanco potencial
de actividad vandlica con
el propsito de afectar la
imagen del Banco.
La disponibilidad del
sistema es un factor clave
para el xito del servicio.
porcentaje mnimo de
disponibilidad del
sistema.
Evaluacin
independiente de la
seguridad del servidor
que brinda el servicio, o
acreditacin de la misma
por parte del proveedor.
Banca telefnica
Transmisin de informacin
por medios pblicos sin
posibilidad de proteccin
adicional.
Imposibilidad de mantener
la confidencialidad de las
operaciones con el
proveedor del servicio
telefnico.
Posibilidad de obtencin de
nmeros de tarjeta y
contraseas del canal de
transmisin telefnico.
Establecimiento de
lmites adecuados a las
operaciones realizadas
por va telefnica.
Posibilidad de registrar
el nmero telefnico
origen de la llamada.
Controles en los
sistemas de grabacin
de llamadas telefnica.
Evaluar la posibilidad de
notificar al cliente de
manera automtica e
inmediata luego de
realizada la operacin.
Plan de Seguridad Informtica para una Entidad Financiera.
Crdova Rodrguez, Norma Edith.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Tecnologa Implicancia de seguridad
Estndar o medida de
seguridad a aplicar
Sistema Central
Core Bancario
El sistema central es el
sistema que soporta gran
parte de los procesos del
negocio del Banco, por lo
tanto, todo acceso no
autorizado al servidor
representa un riesgo
potencial para el negocio.
Estndar de mejores
prcticas de seguridad
para OS/400.
Revisin peridica de los
accesos otorgados a los
usuarios del sistema.
Monitoreo peridico de
la actividad realizada en
el servidor.
Verificacin del control
dual de aprobacin en
transacciones sensibles.
MIS (Management
Information
System)
El acceso a repositorios de
informacin sensible debe
ser restringido
adecuadamente.
Estndares de seguridad
de Windows 2000, bases
de datos.
Adecuados controles de
acceso y otorgamiento
de perfiles a la
aplicacin.
Desarrollo de
aplicaciones para
las unidades de
negocio, en
periodos muy
cortos.
Los proyectos de desarrollo
en periodos muy cortos,
comprenden un acelerado
desarrollo de sistemas; la
aplicacin de medidas de
seguridad, debera
encontrarse incluida en el
desarrollo del proyecto.
Estndar de mejores
prcticas de seguridad
para Windows 2000,
OS/400.
Metodologa para el
desarrollo de
aplicaciones.
Procedimientos de
Plan de Seguridad Informtica para una Entidad Financiera.
Crdova Rodrguez, Norma Edith.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Tecnologa Implicancia de seguridad
Estndar o medida de
seguridad a aplicar
El tiempo de pase a
produccin de un nuevo
sistema que soportar un
producto estratgico, es
muy importante para el
xito del negocio, lo cual
puede originar que no se
tomen las medidas de
seguridad necesarias antes
del pase a produccin de
los nuevos sistemas.
control de cambios.
Evaluacin de
requerimientos de
seguridad de los
sistemas antes de su
pase a produccin.
Estndar de mejores
prcticas de seguridad
para aplicaciones
distribuidas.
Computadoras
personales.
Se debe contar con
adecuados controles de
acceso a informacin
existente en computadoras
personales.
Se requieren adecuados
controles de accesos a la
informacin de los sistemas
desde las computadoras
personales de usuarios.
La existencia de diversos
sistemas operativos en el
parque de computadores
personales, tales como,
Windows 95, Windows 98,
Windows NT, Windows
Concientizacin y
entrenamiento de los
usuarios en temas de
seguridad de la
informacin.
Implementacin de
mayores controles de
seguridad para
computadoras
personales.
Finalizacin del proyecto
de migracin de la
plataforma de
computadoras
personales al sistema
operativo Windows 2000
Plan de Seguridad Informtica para una Entidad Financiera.
Crdova Rodrguez, Norma Edith.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Tecnologa Implicancia de seguridad
Estndar o medida de
seguridad a aplicar
2000 Professional,
Windows XP, impide
estandarizar la
configuracin de los
sistemas.
Debe existir un control
sobre los dispositivos que
pudieran facilitar fuga de
informacin (disqueteras,
grabadoras de cd's,
impresoras personales,
etc.)
Se debe controlar y
monitorear las aplicaciones
y sistemas instalados en
las PCs
y Windows XP.
Estndares de mejores
prcticas de seguridad
para estaciones de
trabajo.
Actualizacin peridica
de inventarios del
software instalado.
Monitoreo peridico de
carpetas compartidas.
Monitoreo de actividad
de los usuarios,
sistemas de deteccin
de intrusos.
Correo electrnico Posibilidad de
interceptacin no
autorizada de mensajes de
correo electrnico.
Riesgo de acceso no
autorizado a informacin
del servidor.
Posibilidad de utilizacin de
recursos por parte de
personas no autorizadas,
para enviar correo
Se debe contar con
estndares de encripcin
para los mensajes de
correo electrnico que
contengan informacin
confidencial.
Estndares de mejores
prcticas de seguridad
para Windows NT y
Lotus Notes.
Configuracin de anti-
Plan de Seguridad Informtica para una Entidad Financiera.
Crdova Rodrguez, Norma Edith.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Tecnologa Implicancia de seguridad
Estndar o medida de
seguridad a aplicar
electrnico a terceros (relay
no autorizado).
Posibilidad de recepcin de
correo inservible (SPAM).
relay.
Implementacin de un
sistema de seguridad del
contenido SMTP.
Conexin a
Internet y redes
pblicas / Firewall.
Riesgos de accesos no
autorizados desde Internet
y redes externas hacia los
sistemas del Banco.
Adecuado uso del acceso a
Internet por parte de los
usuarios.
Los dispositivos que
permiten controlar accesos,
tales como, firewalls,
servidores proxy, etc.
Deben contar con medidas
de seguridad adecuadas
para evitar su manipulacin
por personas no
autorizadas.
Riesgo de acceso no
autorizado desde socios de
negocios hacia los
sistemas de La Compaa.
Polticas de seguridad.
Estndares de mejores
prcticas de seguridad
para servidores
Windows NT, Windows
2000, correo electrnico,
servidores Web y
equipos de
comunicaciones.
Delimitacin de
responsabilidades
referentes a la seguridad
de informacin en
contratos con
proveedores.
Mejores prcticas de
seguridad para
configuracin de
Firewalls.
Diseo e
implementacin de una
arquitectura de
seguridad de
Plan de Seguridad Informtica para una Entidad Financiera.
Crdova Rodrguez, Norma Edith.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Tecnologa Implicancia de seguridad
Estndar o medida de
seguridad a aplicar
red.Utilizacin de
sistemas de deteccin
de intrusos.
Especificacin de
acuerdos de nivel de
servicio con el
proveedor.
Controles y filtros para el
acceso a Internet.
En Proyecto
Cambios en la
infraestructura de
red.
Los cambios en la
infraestructura de red
pueden generar nuevas
puertas de entrada a
intrusos si los cambios no
son realizados con una
adecuada planificacin.
Una falla en la
configuracin de equipos
de comunicaciones puede
generar falta de
disponibilidad de sistemas.
Un diseo de red
inadecuado puede facilitar
el ingreso no autorizado a
la red de datos.
Elaboracin de una
arquitectura de red con
medidas de seguridad
adecuadas.
Establecer controles de
acceso adecuados a la
configuracin de los
equipos de
comunicaciones.
Plan de migracin de
infraestructura de red.
Software de Riesgo de acceso no Estndar de seguridad
Plan de Seguridad Informtica para una Entidad Financiera.
Crdova Rodrguez, Norma Edith.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Tecnologa Implicancia de seguridad
Estndar o medida de
seguridad a aplicar
administracin
remota de PCs y
servidores.
autorizado a las consolas de
administracin y agentes de
administracin remota.
para Windows NT
Estndar de seguridad
para Windows 2000
Estndar de seguridad
para Windows XP
Controles de acceso
adecuados a las
consolas y agentes de
administracin remota.
Establecimiento de
adecuados
procedimientos para
tomar control remoto de
PCs o servidores.
Adecuada configuracin
del registro (log) de
actividad realizada
mediante administracin
remota.
Migracin de
servidores
Windows NT
Server a Windows
2000 Server.
Posibilidad de error en el
traslado de los usuarios y
permisos de acceso a los
directorios de los nuevos
servidores.
Posibilidad de existencia de
vulnerabilidades no
conocidas anteriormente.
Estndares de seguridad
para Windows 2000.
Procedimientos de
control de cambios.
Plan de migracin a
Windows 2000.
Polticas de seguridad.
Plan de Seguridad Informtica para una Entidad Financiera.
Crdova Rodrguez, Norma Edith.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Tecnologa Implicancia de seguridad
Estndar o medida de
seguridad a aplicar
Implantacin de
Datawarehouse.
Informacin sensible
almacenada en un
repositorio centralizado,
requiere de controles de
acceso adecuados.
La disponibilidad del
sistema debe ser alta para
no afectar las operaciones
que soporta.
Estndares de
Seguridad para Windows
2000.
Estndar de seguridad
en bases de datos SQL.
Plan de implantacin de
Datawarehouse.
Procedimientos para
otorgamiento de perfiles.
Polticas de seguridad.
5.2 Matriz de Evaluacin de Amenazas y Vulnerabilidades
En esta matriz se muestra los riesgos y amenazas identificadas, las
implicancias de seguridad y los estndares o medidas de seguridad necesarias
para mitigar dicha amenaza.
Amenaza /
Vulnerabilidad
Implicancia de Seguridad
Estndar o medida de
seguridad a aplicar
Riesgos/ Amenazas
Inters en obtener
informacin
estratgica del
Banco, por parte
de competidores
de negocio.
La existencia de informacin
atractiva para competidores de
negocio tales como
informacin de clientes e
informacin de marketing
implica la aplicacin de
controles adecuados para el
Estndares de seguridad
para servidores
Windows 2000,
Windows NT y OS/400.
Control de acceso a las
aplicaciones del Banco.
Revisin y depuracin
Plan de Seguridad Informtica para una Entidad Financiera.
Crdova Rodrguez, Norma Edith.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Amenaza /
Vulnerabilidad
Implicancia de Seguridad
Estndar o medida de
seguridad a aplicar
acceso a informacin. peridica de los accesos
otorgados.
Restricciones en el
manejo de informacin
enviada por correo
electrnico hacia redes
externas, extrada en
disquetes o cds e
informacin impresa.
Verificacin de la
informacin impresa en
reportes, evitar mostrar
informacin innecesaria
en ellos.
Polticas de seguridad.
Inters en obtener
beneficios
econmicos
mediante actividad
fraudulenta.
Debido al volumen de dinero
que es administrado por es
administrado por una entidad
financiera, la amenaza de
intento de fraude es una
posibilidad muy tentadora
tanto para personal interno del
Banco, as como para personal
externo.
Estndares de seguridad
para Windows NT,
Windows 2000, OS/400
y bases de datos SQL.
Controles de accesos a
los mens de las
aplicaciones.
Revisiones peridicas de
los niveles de accesos
de los usuarios.
Evaluacin peridica de
la integridad de la
Plan de Seguridad Informtica para una Entidad Financiera.
Crdova Rodrguez, Norma Edith.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Amenaza /
Vulnerabilidad
Implicancia de Seguridad
Estndar o medida de
seguridad a aplicar
informacin por parte del
propietario de la misma.
Revisiones peridicas de
los registros (logs) de los
sistemas y operaciones
realizadas.
Mejores prcticas para
configuracin de
firewalls, servidores y
equipos de
comunicaciones.
Actividad
vandlica
realizada por
hackers o
crackers
La actividad desarrollada
por hackers o crackers
de sistemas, puede afectar
la disponibilidad, integridad
y confidencialidad de la
informacin del negocio.
Estos actos vandlicos
pueden ser desarrollados
por personal interno o
externo al Banco.
Adicionalmente si dicha
actividad es realizada
contra equipos que
proveen servicios a los
clientes (pgina Web del
banco) la imagen y
Estndares de seguridad
para servidores
Windows 2000.
Estndares de seguridad
para servidores
Windows NT.
Delimitacin de
responsabilidades y
sanciones en los
contratos con
proveedores de servicios
en calidad de hosting.
Verificacin de
evaluaciones peridicas
o certificaciones de la
seguridad de los
Plan de Seguridad Informtica para una Entidad Financiera.
Crdova Rodrguez, Norma Edith.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Amenaza /
Vulnerabilidad
Implicancia de Seguridad
Estndar o medida de
seguridad a aplicar
reputacin del Banco se
podra ver afectada en un
grado muy importante.
sistemas en calidad de
hosting.
Concientizacin y
compromiso formal de
los usuarios en temas
relacionados a la
seguridad de
informacin.
Polticas de Seguridad.
Prdida de
informacin
producto de
infeccin por virus
informtico.
El riesgo de prdida de
informacin por virus
informtico es alto si no se
administra adecuadamente
el sistema Antivirus y los
usuarios no han sido
concientizados en
seguridad de informacin
Adecuada arquitectura e
implementacin del
sistema antivirus.
Verificacin peridica de
la actualizacin del
antivirus de
computadoras
personales y servidores.
Generacin peridica de
reportes de virus
detectados y
actualizacin de
antivirus.
Fuga de
informacin a
travs del personal
que ingresa de
manera temporal
Los accesos otorgados al
personal temporal deben
ser controlados
adecuadamente, asimismo
la actividad realizada por
Control adecuado de los
accesos otorgados.
Depuracin peridica de
accesos otorgados a los
sistemas.
Plan de Seguridad Informtica para una Entidad Financiera.
Crdova Rodrguez, Norma Edith.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Amenaza /
Vulnerabilidad
Implicancia de Seguridad
Estndar o medida de
seguridad a aplicar
en sustitucin de
empleados en
vacaciones.
los mismos en los sistemas
debe ser peridicamente
monitoreada.
El personal temporal podra
realizar actividad no
autorizada, la cual podra
ser detectada cuando haya
finalizado sus labores en el
Banco.
Restricciones en acceso
a correo electrnico y
transferencia de
archivos hacia Internet.
Adecuada configuracin
y revisin peridica de
los registros (logs) de
aplicaciones y sistema
operativo.
Vulnerabilidades
No se cuenta con
un inventario de
perfiles de acceso
a las aplicaciones.
El control sobre la actividad de
los usuarios en los sistemas es
llevado a cabo en muchos
casos, mediante perfiles de
usuarios controlando as los
privilegios de acceso a los
sistemas.
Se debe contar con un
inventario de los
accesos que poseen los
usuarios sobre las
aplicaciones.
Revisiones peridicas de
los perfiles y accesos de
los usuarios por parte
del propietario de la
informacin.
Exceso de
contraseas
manejadas por los
usuarios.
La necesidad de utilizar
contraseas distintas para
cada sistema o aplicacin del
Banco, puede afectar la
seguridad en la medida que el
usuario no sea capaz de
Uniformizar dentro de lo
posible la estructura de
las contraseas
empleadas y sus fechas
de renovacin.
Implementar un sistema
Plan de Seguridad Informtica para una Entidad Financiera.
Crdova Rodrguez, Norma Edith.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Amenaza /
Vulnerabilidad
Implicancia de Seguridad
Estndar o medida de
seguridad a aplicar
retener en la memoria, la
relacin de nombres de
usuario y contraseas
utilizadas en todos los
sistemas. La necesidad de
anotar las contraseas por
parte de los usuarios, expone
las mismas a acceso por parte
de personal no autorizado.
de Servicio de directorio,
el cual permita al usuario
identificarse en l, y
mediante un proceso
automtico, ste lo
identifique en los
sistemas en los cuales
posee acceso.
Existencia de
usuarios del rea
de desarrollo y
personal temporal
con acceso al
entorno de
produccin.
El ambiente de produccin
debe contar con controles de
acceso adecuados con
respecto los usuarios de
desarrollo, esto incluye las
aplicaciones y bases de datos
de las mismas.
Inventario y depuracin
de perfiles de acceso
que poseen los usuarios
de desarrollo en el
entorno de produccin.
Adecuada segregacin
de funciones del
personal del rea de
sistemas.
Procedimiento de pase a
produccin.
Aplicaciones cuyo
acceso no es
controlado por el
rea de seguridad
informtica.
El rea de seguridad
informtica debe participar en
el proceso de asignacin de
accesos a las aplicaciones del
Banco y verificar que la
solicitud de accesos sea
coherente con el cargo del
Formalizacin de roles y
responsabilidades del
rea de seguridad
informtica.
Traslado de la
responsabilidad del
control de accesos a
Plan de Seguridad Informtica para una Entidad Financiera.
Crdova Rodrguez, Norma Edith.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Amenaza /
Vulnerabilidad
Implicancia de Seguridad
Estndar o medida de
seguridad a aplicar
usuario.
El gerente que aprueba la
solicitud es el responsable de
los accesos que solicita para
los usuarios de su rea.
aplicaciones al rea de
seguridad informtica.
Falta de
conciencia en
seguridad por
parte del personal
del Banco.
El personal del Banco es el
vnculo entre la poltica de
seguridad y su implementacin
final para aplicar la poltica de
seguridad, se pueden
establecer controles y un
monitoreo constante, pero la
persona es siempre el punto
ms dbil de la cadena de
seguridad, este riesgo se
puede incrementar si el
usuario no recibe una
adecuada capacitacin y
orientacin en seguridad de
informacin.
Programa de
capacitacin del Banco
en temas relacionados a
la seguridad de
informacin.
Capacitacin mediante
charlas, videos,
presentaciones, afiches,
etc., los cuales
recuerden
permanentemente al
usuario la importancia
de la seguridad de
informacin.
Falta de personal
con conocimientos
tcnicos de
seguridad
informtica.
Para una adecuada
administracin de la seguridad
informtica se requiere
personal capacitado que
pueda cumplir las labores de
elaboracin de polticas y
administracin de seguridad
Capacitacin del
personal tcnico en
temas de seguridad de
informacin o inclusin
nuevo de personal con
conocimientos de
seguridad de
Plan de Seguridad Informtica para una Entidad Financiera.
Crdova Rodrguez, Norma Edith.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Amenaza /
Vulnerabilidad
Implicancia de Seguridad
Estndar o medida de
seguridad a aplicar
en el rea de seguridad
informtica, as como
implementacin de controles y
configuracin de sistemas en
el rea de sistemas.
informacin para las
reas de seguridad
informtica y sistemas.
Falta de controles
adecuados para la
informacin que
envan los
usuarios hacia
Internet.
El acceso hacia Internet por
medios como correo
electrnico, ftp (file transfer
protocol) o incluso web en
algunos casos, puede facilitar
la fuga de informacin
confidencial del Banco.
El Banco ha invertido en la
implementacin de una
herramienta para el filtrado de
las pginas web que son
accedidas por los usuarios, se
debe asegurar que dicho
control sea adecuadamente
aplicado.
Vulnerabilidades:
No existen controles
adecuados sobre el
personal autorizado a
enviar correo electrnico al
exterior.
Configuracin adecuada
del servidor Proxy y la
herramienta Surf
Control.
Generacin peridica de
reportes de la
efectividad de los
controles aplicados.
Implementacin de una
adecuada arquitectura
de red.
Mejores prcticas para
la configuracin de
Firewalls.
Implementacin y
administracin de
herramientas para la
inspeccin del contenido
de los correos
electrnicos enviados.
Plan de Seguridad Informtica para una Entidad Financiera.
Crdova Rodrguez, Norma Edith.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Amenaza /
Vulnerabilidad
Implicancia de Seguridad
Estndar o medida de
seguridad a aplicar
No existen herramientas de
inspeccin de contenido
para correo electrnico.
Se pudo observar que
usuarios que no se han
identificado en el dominio
del Banco, pueden acceder
al servicio de navegacin a
travs del servidor Proxy.
No existen
controles
adecuados para la
informacin
almacenada en las
computadoras
personales.
Existe informacin
almacenada en las
computadoras personales de
los usuarios que requiere
ciertos niveles de seguridad.
Los usuarios deben contar con
procedimientos para realizar
copias de respaldo de su
informacin importante.
Vulnerabilidades:
El sistema operativo
Windows 95/98 no permite
otorgar niveles apropiados
de seguridad a la
informacin existente en
ellas.
No existe un procedimiento
para verificacin peridica
Establecimiento de un
procedimiento formal
que contemple la
generacin de copia de
respaldo de informacin
importante de los
usuarios.
Concluir el proceso de
migracin del sistema
operativo de las
computadoras
personales a Windows
2000 Professional o
Windows XP.
Concientizacin de
usuarios en temas
relacionados a la
seguridad de la
Plan de Seguridad Informtica para una Entidad Financiera.
Crdova Rodrguez, Norma Edith.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Amenaza /
Vulnerabilidad
Implicancia de Seguridad
Estndar o medida de
seguridad a aplicar
de las carpetas
compartidas por los
usuarios.
El procedimiento para
realizar copias de respaldo
de la informacin
importante no es conocido
por todos los usuarios.
informacin.
Arquitectura de red
inapropiada para
controlar accesos
desde redes
externas.
Posibilidad de acceso no
autorizado a sistemas por
parte de personal externo al
Banco.
Vulnerabilidades:
Existencia de redes
externas se conectan con
la red del Banco sin la
proteccin de un firewall.
Los servidores de acceso
pblico no se encuentran
aislados de la red interna.
Diseo de arquitectura
de seguridad de red.
Adecuada configuracin
de elementos de control
de conexiones
(firewalls).
Implementacin y
administracin de
herramientas de
seguridad.
Fuga de
informacin
estratgica
mediante
sustraccin de
computadores
Es posible obtener la
informacin existente en las
computadoras porttiles de los
gerentes del banco mediante
el robo de las mismas.
Programas para
encripcin de la data
confidencial existente en
los discos duros de las
computadoras porttiles.
Plan de Seguridad Informtica para una Entidad Financiera.
Crdova Rodrguez, Norma Edith.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Amenaza /
Vulnerabilidad
Implicancia de Seguridad
Estndar o medida de
seguridad a aplicar
porttiles.
Acceso no
autorizado a travs
de enlaces
inalmbricos.
El riesgo de contar con
segmentos de red
inalmbricos sin medidas
de seguridad especficas
para este tipo de enlaces,
radica en que cualquier
persona podra conectar un
equipo externo al Banco
incluso desde un edificio
cercano.
Evaluacin del alcance
de la red inalmbrica.
Separacin del
segmento de red
inalmbrico mediante un
Firewall.
Verificacin peridica de
la actividad realizada
desde la red
inalmbrica.
Utilizacin de encripcin
.
Controles de
acceso hacia
Internet desde la
red interna.
Posibilidad de acceso no
autorizado desde la red
interna de datos hacia
equipos de terceros en
Internet.
Posibilidad de fuga de
informacin.
Posibilidad de realizacin
de actividad ilegal en
equipos de terceros a
travs de Internet.
Implementacin de una
adecuada arquitectura
de red.
Configuracin adecuada
de servidor Proxy.
Mejores prcticas para
la configuracin de
Firewalls.
Implementacin y
administracin de
herramientas para la
seguridad del contenido
de los correos
electrnicos enviados.
Plan de Seguridad Informtica para una Entidad Financiera.
Crdova Rodrguez, Norma Edith.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Amenaza /
Vulnerabilidad
Implicancia de Seguridad
Estndar o medida de
seguridad a aplicar
Monitoreo peridico de
la actividad, mediante el
anlisis de los registros
(logs) de los sistemas.
5.3 Matriz de Iniciativas del Negocio / Procesos
En esta matriz se muestra las iniciativas y operaciones del negocio que poseen
alta implicancia en seguridad y los estndares o medidas de seguridad a ser
aplicados para minimizar los riesgos generados por ellas.
Iniciativa del
Negocio
Implicancia de Seguridad
Estndar o medida de
seguridad a aplicar
Iniciativas del Negocio
Implantacin de
Datawarehouse.
Informacin sensible
almacenada en un
repositorio centralizado,
requiere de controles de
acceso adecuados.
La disponibilidad del
sistema debe ser alta para
no afectar las operaciones
que soporta.
Estndar de mejores
prcticas de
seguridad para
Windows NT
Estndar de mejores
prcticas de
seguridad para
Windows
Plan de implantacin
de Datawarehouse.
Procedimientos para
otorgamiento de
perfiles.
Plan de Seguridad Informtica para una Entidad Financiera.
Crdova Rodrguez, Norma Edith.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Iniciativa del
Negocio
Implicancia de Seguridad
Estndar o medida de
seguridad a aplicar
Implementacin de
una arquitectura de
red segura.
Proyecto de
tercerizacin del
Call Center
Consulta de informacin
existente en los sistemas
por parte de terceros.
Registro de informacin en
los sistemas por parte de
terceros.
Especificacin de
responsabilidades y
obligaciones
referentes a la
seguridad de la
informacin del
Banco, en los
contratos con
terceros.
Especificacin de
acuerdos de nivel de
servicio.
Adecuados controles
de acceso a la
informacin
registrada en el
sistema
Proyecto de
comunicacin con
Conasev utilizando
firmas digitales
(Requerimiento de
Conasev)
El acceso de personal no
autorizado a los medios de
almacenamiento de llaves
de encripcin (media,
smartcards, impresa)
debilita todo el sistema de
encripcin de la
Estndares de
seguridad para la
manipulacin y
revocacin de llaves
de encripcin.
Implementacin de
controles de acceso a
Plan de Seguridad Informtica para una Entidad Financiera.
Crdova Rodrguez, Norma Edith.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Iniciativa del
Negocio
Implicancia de Seguridad
Estndar o medida de
seguridad a aplicar
informacin.
Para los procesos de firma
y encripcin de la
informacin se requiere el
ingreso de contraseas,
estas contraseas deben
ser mantenidas en forma
confidencial.
dispositivos y llaves
de encripcin.
Digitalizacin
(scanning) de
poderes y firmas.
La disposicin de estos
elementos en medios
digitales requiere de
adecuados niveles de
proteccin para evitar su
acceso no autorizado y
utilizacin con fines
ilegales.
Aplicacin de
estndares de
seguridad de la
plataforma que
contiene dicha
informacin.
Encripcin de la data
digitalizada.
Restriccin de
accesos a los
poderes y firmas
tanto a nivel de
aplicacin, como a
nivel de sistema
operativo.
Tercerizacin de
operaciones de
sistemas y Help
Desk.
La administracin de
equipos crticos de la red
del Banco por parte de
terceros representa un
Clusulas de
confidencialidad y
establecimiento claro
de responsabilidades
Plan de Seguridad Informtica para una Entidad Financiera.
Crdova Rodrguez, Norma Edith.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Iniciativa del
Negocio
Implicancia de Seguridad
Estndar o medida de
seguridad a aplicar
riesgo en especial por la
posibilidad de fuga de
informacin confidencial.
de los proveedores
en los contratos,
especificacin de
penalidades en caso
de incumplimiento.
Monitoreo peridico
de las operaciones
realizadas por
personal externo,
incluyendo la revisin
peridica de sus
actividades en los
registros (logs) de
aplicaciones y
sistema operativo.
Evitar otorgamiento
de privilegios
administrativos a
personal externo,
para evitar
manipulacin de
registros.
Proyecto de
interconexin del
Sistema Swift a la
red de datos del
Banco.
El sistema SWIFT se
encuentra en un segmento
aislado de la red de datos
del Banco por razones de
seguridad de informacin.
Estndar de mejores
prcticas de
seguridad para
servidores Windows
NT
Plan de Seguridad Informtica para una Entidad Financiera.
Crdova Rodrguez, Norma Edith.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Iniciativa del
Negocio
Implicancia de Seguridad
Estndar o medida de
seguridad a aplicar
Al unir el sistema Swift a la
red de datos del Banco,
dicho sistema se va a
encontrar expuesto a
intentos de acceso no
autorizados por parte de
equipos que comprenden
la red de datos.
Controles de acceso
a la aplicacin
SWIFT.
Estndares de
encripcin de datos
entre el sistema Swift
y los terminales que
se comunican con l.
Operaciones del Negocio
Almacenamiento
de copias de
respaldo realizado
por Hermes.
Las cintas de backup
guardan informacin
confidencial del negocio del
banco, adicionalmente
deben encontrarse
disponibles para ser
utilizadas en una
emergencia y la
informacin que guardan
debe mantenerse ntegra.
Acuerdos de
confidencialidad y
tiempo de respuesta
en los contratos con
el proveedor.
Pruebas del tiempo
de respuesta del
proveedor para
transportar las cintas
de backup en caso de
emergencia.
Verificacin peridica
del estado de las
cintas.
Procesamiento de
transacciones de
tarjetas de crdito
El almacenamiento de
informacin por parte de
terceros podra representar
Acuerdos de
confidencialidad y
tiempo de respuesta
Plan de Seguridad Informtica para una Entidad Financiera.
Crdova Rodrguez, Norma Edith.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Iniciativa del
Negocio
Implicancia de Seguridad
Estndar o medida de
seguridad a aplicar
y dbito realizado
por Unibanca.
una fuente de divulgacin
no autorizada de
informacin del Banco y
sus clientes.
El acceso a los sistemas
por parte de terceros debe
ser controlado para evitar
la realizacin de actividad
no autorizada.
en contratos con el
proveedor.
Estndares de
encripcin de
informacin
transmitida.
Almacenamiento
de Documentos
realizado por
terceros File
Service
El almacenamiento de
informacin por parte de
terceros podra representar
una fuente de divulgacin
no autorizada de
informacin del Banco y
sus clientes.
El almacenamiento de
informacin debe realizarse
de manera adecuada para
mantener la disponibilidad
de los documentos y evitar
su deterioro.
Acuerdos de
confidencialidad y
tiempo de respuesta
en contratos con
proveedores.
Verificacin peridica
del grado de deterioro
de la documentacin.
Impresin y
ensobrado de
estados de cuenta
realizado por
Napatek
El almacenamiento de
informacin por parte de
terceros podra representar
una fuente de divulgacin
no autorizada de
Acuerdos de
confidencialidad en
contratos con
proveedores.
Estndares de
Plan de Seguridad Informtica para una Entidad Financiera.
Crdova Rodrguez, Norma Edith.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Iniciativa del
Negocio
Implicancia de Seguridad
Estndar o medida de
seguridad a aplicar
informacin del Banco y
sus clientes.
El envo de informacin
sensible al proveedor debe
ser realizado por un canal
de transmisin seguro, o
en su defecto debe contar
con medidas de encripcin,
que impidan su utilizacin
en caso de ser
interceptada.
encripcin de datos
transmitidos por
correo electrnico.
Verificacin de
integridad de la data
transmitida.
Envo de
informacin
sensible a clientes
y entidades
recaudadoras va
correo electrnico
Se debe asegurar que la
informacin sensible
transmitida a los clientes
cuente con medidas de
seguridad adecuadas las
cuales permitan garantizar
el cumplimiento de normas
como el secreto bancario.
Estndares de
encripcin de datos
transmitidos.
Almacenamiento
fsico de
informacin
realizada al interior
del Banco.
El Banco almacena
documentos importantes
de clientes, muchos de
ellos con informacin
confidencial, asimismo
existe informacin en otros
medios como discos duros,
cintas, etc., que albergan
Clasificacin y
etiquetado de la
informacin.
Implementacin de
controles fsicos de
acceso a la
informacin de
acuerdo a su
Plan de Seguridad Informtica para una Entidad Financiera.
Crdova Rodrguez, Norma Edith.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Iniciativa del
Negocio
Implicancia de Seguridad
Estndar o medida de
seguridad a aplicar
informacin importante. Se
debe asegurar que dicha
informacin cuente con
medidas de seguridad
adecuadas que aseguren
la integridad, disponibilidad
y confidencialidad de la
informacin.
clasificacin.
Establecimiento de
condiciones
apropiadas de
almacenamiento para
evitar su deterioro.
Mantenimiento de un
registro de entrada y
salida de activos de
los archivos.
Acceso de
personal de
Rehder a la red de
datos del Banco.
Todo acceso de personal
externo a la red de datos
del Banco representa un
riesgo potencial de acceso
no autorizado a los
sistemas.
Clusulas de
confidencialidad y
establecimiento claro
de responsabilidades
de los proveedores
en los contratos,
especificacin de
penalidades en caso
de incumplimiento.
Monitoreo de
actividad realizada
por personal externo.
Restricciones de
acceso a Internet
configurados en el
firewall.
Centro de Los sistemas ubicados en Especificacin de
Plan de Seguridad Informtica para una Entidad Financiera.
Crdova Rodrguez, Norma Edith.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Iniciativa del
Negocio
Implicancia de Seguridad
Estndar o medida de
seguridad a aplicar
Contingencia
ubicado en el TIC
de Telefnica
Data.
Telefnica Data deben
encontrarse siempre
disponibles para ser
utilizados en casos de
emergencia.
Se debe asegurar la
integridad de la informacin
existente en los sistemas
de respaldo y el grado de
actualizacin de la misma
con respecto al sistema en
produccin.
acuerdos de nivel de
servicio y
penalidades en caso
de incumplimiento en
contratos con
proveedores.
Pruebas del centro de
contingencia.
Verificacin peridica
de la disponibilidad
de los sistemas y
grado de
actualizacin de la
informacin.
Atencin en Front
Office.
Las aplicaciones y los
sistemas de
comunicaciones deben
encontrarse disponibles en
todo momento para no
afectar la atencin a los
clientes.
Los periodos de
indisponibilidad deben ser
medidos.
Acuerdos de niveles
de servicio en
contratos con
proveedores de
comunicaciones.
Verificacin peridica
de disponibilidad de
los sistemas.
Implementacin de
mtricas de
rendimiento y
disponibilidad de los
sistemas.
Plan de Seguridad Informtica para una Entidad Financiera.
Crdova Rodrguez, Norma Edith.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Iniciativa del
Negocio
Implicancia de Seguridad
Estndar o medida de
seguridad a aplicar
Soporte de IBM al
Servidor AS/400.
El servidor AS/400 es el
que soporta la mayor
cantidad de procesos del
negocio del Banco, por lo
tanto se debe asegurar que
el proveedor debe ser
capaz de restaurar los
servicios del servidor en el
menor tiempo posible.
Asimismo dado que el
proveedor accede
peridicamente al equipo,
existe el riesgo de acceso
no autorizado a
informacin existente en el
mismo.
Clusulas de
confidencialidad y
establecimiento claro
de responsabilidades
de los proveedores
en los contratos,
especificacin de
penalidades en caso
de incumplimiento.
Asignacin de un
usuario distinto al
utilizado por personal
del Banco con los
privilegios mnimos
necesarios.
Inspeccin del log de
actividades del
proveedor luego de
realizar
mantenimiento al
equipo.