Caso de ISO27005

Alcance
Metas actuales del negocio

Fortalecer el servicio a los clientes a traves del mejor uso de TI Fortalecer la eficiencia de los adminsitradores de cuenta a traves del mejor uso de soporte de TI Optimizar costos a traves de outsourcing selectivo, estandarizacion y mejoras generales de la eficiencia.

ativo

Fortalecer el servicio a los clientes a traves del mejor uso de TI Fortalecer la eficiencia de los adminsitradores de cuenta a traves del mejor uso de soporte de TI Optimizar costos a traves de outsourcing selectivo, estandarizacion y mejoras generales de la eficiencia.

x x

x x

x x

Perso nas
x x

dez

Merc ad

credi to

o Legal

Oper

Liqui

TI

Perso nas
x x x x x x x

Proce sos BCP Regu lator io

Umbrales: Impacto 1 2 3 Bajo Medio Alto

Umbrales: Probabilidad 1 2 3 Poco frecuente Frecuente Muy Frecuente

1-10 1-3 4-8 9-10

Probabilidad

Muy frecuente Frecuente Poco frecuente Bajo Medio Impacto Alto

Meta

Tipo de Riesgo

Activos de Informacion

TI

Sistemas Operativos

TI

Bases de Datos

Procesos

Documentacion

Personas

Personal

Fortalecer el servicio a los TI clientes a traves del mejor uso de TI

App-Interna

TI

Red

TI

Red

TI

Hardware

TI

App-Externa

Riesgo Inherente Amenazas # 1 Corrupcion del SO. 2 3 No respaldos de BD cliente 4 Tecnologia Tecnologia Tecnologia No existen contingencias del SO No exista hardening en BD No existen contingencias del BD 6 10 6 Areas Tecnologia Vulnerabilidades No exista hardening en SO Probabilidad 10

5 Falta de documentacion formal 6

Informacion no Operacin del Negocio disponible para la ejecucion de proceso de atencion al cliente.

Operacin del Negocio Falta de control para validacion de documentacion Operacin del Negocio Falta de capacitacion referente a tecnologia Capacitaciones no adecuadas para el uso Operacin del Negocio de TI orientada al servicio Falta de recursos para atencion de requerimientos Tecnologia inesperados de atencion al cliente. Tecnologia Falta de integracion de aplicaciones del area de atencion al cliente. Posibilidad de intermitencia de la red en area de atencion al cliente.

10

7 No se dispone de actitudes tecnologicas 8

10

9 No se dispone de Administrador de seguridad dedicado 10

10

11 Obsolescencia de la red

Tecnologia

10

Obsolescencia de la red 12 Tecnologia

Dimensionamiento de plataforma tecnica basada en supuestos

13

Tecnologia

Falta de admisnitracion interna de los equipos de comunicacin No disponibilidad de hardware para reemplazar equipos daados en banca de servicio. Falta de actualizacion tecnologica en hardware. Uso de aplicaciones de seguridad no propietarias sin soporte tecnologico.

10

14

Tecnologia

15 No se dispone de Administrador de seguridad dedicado 16

Tecnologia

10

Tecnologia

Aplicaciones desarroladas personal experiencia ambientes web.

por sin en

Riesgo Inherente Impacto Alto Medio Alto Medio Zonificacion Control R A No existe R A No existe No existe No existe

Control Riesgo de Control Tipo de Implementac control ion Probabilidad Impacto 10 Alto

6 Medio 10 Alto

6 Medio

Bajo

V no existe 4 Bajo

Bajo

A No existe 10 Bajo

Alto

R No existe 10 Alto

Alto

A No existe 7 Alto

Bajo

V No existe 2 Bajo

MEdio

R No existe 10 MEdio

Alto

R No existe 10 Alto

Alto

R No existe 10 Alto

Medio

V No existe 3 Medio

Medio

A No existe 8 Medio

Alto

R Correctivo Acuerdo de servicios SLA Administrativo 5 Medio

Alto

A Correctivo Asistencia porPreventivo especialista en Administrativo eventos de seguridad externo. 3 MEdio

go de Control Exposicion R A R A

Brechas de Control Agrupamiento No exista hardening en SO No existen contingencias del SO Gestion de aseguramiento No exista hardening de plataforma en BD No existen contingencias del BD Informacion no disponible para la ejecucion de proceso Procedimentacion de de atencion al cliente. manejo de documentos del atencion al cliente, y digitalizacion de los mismos Falta de control para validacion de documentacion Gestion aseguramiento plataforma de de Estrategia Proyectos

Mitigar

Procedimentacion de manejo de documentos del atencion al cliente, y digitalizacion de los mismos Mitigar

Falta de capacitacion referente a tecnologia Capacitaciones no adecuadas para el uso de TI orientada al servicio Falta de recursos para atencion de requerimientos inesperados de atencion al cliente.

Proyecto de capacitacion interna el uso de TI

Proyecto de capacitacion interna el uso de TI Mitigar

Contratacion de personal para area de atencion de seguridad. Mitigar

Contratacion de personal para area de atencion de seguridad. Proyecto de integracion de aplicaciones de atencion al cliente.

Proyecto de integracion de Falta de integracion de aplicaciones de atencion al aplicaciones del area cliente. de atencion al cliente. Evitar Posibilidad de intermitencia de la red en area de atencion al cliente.

Proyecto

de

Falta de admisnitracion interna de los equipos de Proyecto de actualizacion comunicacin Mitigar No disponibilidad de tecnologica del Banco. hardware para reemplazar equipos daados en banca de servicio. Falta de actualizacion tecnologica en hardware. Problemas que el personal no pudo solucionar a tiempo o desconoce la solucion. Proyecto de capacitacion interna el uso de TI + Que no se corrija las programacion en ambientes fallas de seguridad o web. funcionalidad del aplicativo por falta de conocimiento de solucion.

Proyecto actualizacion tecnologica Banco.

de del

Proyecto de capacitacion interna el uso de TI + programacion en ambientes web.

Mitigar

Portafolio Criterios de Priorizacion Titulo Objetivo Alcance

Hardening Plataforma tecnolgica

de Asegurar plataforma Banco.

la Activos de tecnologia del que afectan a la atencion del cliente.

Digitalizacion documentos

Generar de digitalizadas documentos cliente.

bases Todos de documentos del relacionados cliente

los al

Capacitacion ATC

Generar atencion al Todo el personal de cliente. canales de ATC.

Contratacion

Tener un responsable Requerimientos para temas de seguridad Seguridad.

de

Identity Manager Optimizacion de los Todas las aplicaciones integrador de tiempos en aTC. de ATC. aplicaciones

Proyecto

de Actualizacion de la

Proyecto actualizacion tecnologica Banco.

de Actualizacion de la plataforma Todo el hardware y del tecnologica del software del Banco. Banco.

Capacitacion Desarrollo

Mejorar en aplicaciones cliente externo.

las Canales web del transaccionales del cliente

afolio Duracion estimado Responsable

6 meses

Infraestructura Seguridad Informtica

1 ao

Procesos Comercial Tecnologia

2 meses

RRHH Procesos

1 mes

RRHH Seguridad Informatica Tecnologia Seguridad Informatica

1 ao

Tecnologia

3 aos

Tecnologia Administracion Banco

del

1 mes

RRHH Desarrollo Sistemas

de

# 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16

Tipo de Riesgo Riesgo Inherente Riesgo Inherente Riesgo Inherente Riesgo Inherente Riesgo Inherente Riesgo Inherente Riesgo Inherente Riesgo Inherente Riesgo Inherente Riesgo Inherente Riesgo Inherente Riesgo Inherente Riesgo Inherente Riesgo Inherente Riesgo Inherente Riesgo Inherente

Probabilidad Impacto Zonificacion 10 Alto R 6 Medio A 10 Alto R 6 Medio A 4 Bajo V 10 Bajo A 10 Alto R 7 Alto A 2 Bajo V 10 MEdio R 10 Alto R 10 Alto R 3 Medio V 8 Medio A 10 Alto R 8 Alto A

# 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16

Tipo de Riesgo Riesgo de Control Riesgo de Control Riesgo de Control Riesgo de Control Riesgo de Control Riesgo de Control Riesgo de Control Riesgo de Control Riesgo de Control Riesgo de Control Riesgo de Control Riesgo de Control Riesgo de Control Riesgo de Control Riesgo de Control Riesgo de Control

Probabilidad 10 6 10 6 4 10 10 7 2 10 10 10 3 8 5 3

Impacto Zonificacion Alto R Medio A Alto R Medio A Bajo V Bajo A Alto R Alto A Bajo V MEdio R Alto R Alto R Medio V Medio A Medio A MEdio V

Probabilidad

Muy frecuente Frecuente Poco frecuente

Umbrales: Impacto 1 2 3 Bajo Medio Alto

Umbrales: Probabilidad 1 2 3 Poco frecuente Frecuente Muy Frecuente

2 3

No exista hardening en SO No existen contingencias del SO No exista hardening en BD No existen contingencias del BD

Informacion no disponible para la ejecucion de proceso de 5 atencion al cliente. Falta de control para validacion de 6 documentacion Falta de capacitacion referente a 7 tecnologia Capacitaciones no adecuadas para el uso de TI orientada 8 al servicio Falta de recursos para atencion de requerimientos inesperados de 9 atencion al cliente. Falta de integracion de aplicaciones del area de atencion al 10 cliente. Posibilidad de intermitencia de la red en area de 11 atencion al cliente. Falta de admisnitracion interna de los equipos de 12 comunicacin

No disponibilidad de hardware para reemplazar equipos daados en banca 13 de servicio.

Falta actualizacion tecnologica 14 hardware.

de en

Problemas que el personal no pudo solucionar a tiempo o desconoce la 15 solucion. Que no se corrija las fallas de seguridad o funcionalidad del aplicativo por falta de conocimiento de 16 solucion.

Tipo de Activos Riesgo Informacion Sistemas TI Operativos TI Bases de Datos

de Rtulos de fila Personas Procesos TI TI Total general

Proces Documentacion os Person Personal as TI TI TI TI App-Interna Red Hardware App-Externa

5 6.9 Bajo

2,4,14,16 13 Medio Impacto Alto

1-10 1-3 4-8 9-10

Probabilidad

1,3,7,10,11, 12,15

Cuenta de Activos de Informacion 1 1 5 1 8

Muy frecuente Frecuente Poco frecuente 5 6.9 Bajo 2,4,14,15 13.16 Medio Impacto

Titulo

Responsable

Hardening Plataforma tecnolgica

de Infraestructura Seguridad Informtica

Hardening Plataforma tecnolgica

de Infraestructura Seguridad Informtica

Digitalizacion documentos

de

Procesos Comercial Tecnologia

Capacitacion ATC

RRHH Procesos

Contratacion

RRHH Seguridad Informatica

Identity Manager Tecnologia integrador de Seguridad aplicaciones Informatica

Proyecto actualizacion tecnologica Banco.

Tecnologia Administracion del del Banco

de

Proyecto actualizacion tecnologica Banco.

Tecnologia Administracion del del Banco

de

Capacitacion Desarrollo

RRHH Desarrollo Sistemas

de