1

I. DEDICATORIA



PRIMERAMENTE A DIOS POR
HABERME PERMITIDO LLEGAR HASTA
ESTE PUNTO Y HABERME DADO
SALUD, SER EL MANANTIAL DE VIDA
Y DARME LO NECESARIO PARA
SEGUIR ADELANTE DA A DA PARA
LOGRAR MIS OBJETIVOS, ADEMS
DE SU INFINITA BONDAD Y AMOR.
A LOS DOCENTES DE ISTP
JOAQUIN REATEGUI MEDINA POR
SU GRAN APOYO Y MOTIVACIN
PARA LA CULMINACIN DE
NUESTROS ESTUDIOS
PROFESIONALES, POR SU APOYO
OFRECIDO EN ESTE TRABAJO, POR
HABERME TRANSMITIDOS LOS
CONOCIMIENTOS OBTENIDOS Y
HABERME LLEVADO PAS A PASO EN
EL APRENDIZAJE

2
II. TTULO






PASOS DEL PLAN DE SEGURIDAD
INFORMTICA DE UNA ENTIDAD
BANCARIA

3
III. INTRODUCCIN


Los eventos mundiales recientes han generado un mayor sentido de
urgencia que antes con respecto a la necesidad de tener mayor
seguridad - fsica y de otro tipo.
Las empresas pueden haber reforzado las medidas de seguridad, pero
nunca se sabe cundo o cmo puede estar expuesta.
A fin de brindar la ms completa proteccin de informacin, se requiere
de un sistema exhaustivo de seguridad. Es vital implementar un plan de
seguridad.
Sin embargo, implementar un plan proactivo que indique cmo
sobrevivir a los mltiples escenarios tambin preparar a las empresas
en el manejo de las amenazas inesperadas que podra afrontar en el
futuro.


4
IV. OBJETIVOS



El objetivo del presente trabajo es realizar un diagnstico de la situacin
actual en cuanto a la seguridad de informacin que el Centro
Educativo actualmente administra y disear un Plan de Seguridad de la
Informacin (PSI) que permita desarrollar operaciones seguras basadas
en polticas y estndares claros y conocidos por todo el personal del
colegio.




5
V. TEMAS Y SUBTEMAS
PLAN DE SEGURIDAD INFORMTICO DE UNA ENTIDAD
BANCARIA
La mayora de las empresas ha invertido tiempo y dinero en la
construccin de una infraestructura para la tecnologa de la
informacin que soporte su compaa, esa infraestructura de TI podra
resultar ser una gran debilidad si se ve comprometida.

Para las organizaciones que funcionan en la era de la informtica
interconectadas y con comunicacin electrnica, las polticas de
informacin bien documentadas que se comunican, entienden e
implementen en toda la empresa, son herramientas comerciales
esenciales en el entorno actual para minimizar los riesgos de seguridad.

Imagine lo que sucedera si:

La informacin esencial fuera robada, se perdiera, estuviera en
peligro, fuera alterada o borrada.
Los sistemas de correo electrnico no funcionaran durante un da
o ms.

Cunto costara esta improductividad?



Los clientes no pudieran enviar rdenes de compra a travs de la
red durante un prolongado periodo de tiempo.


6
Prepararse para mltiples escenarios parece ser la tendencia
creciente. En un informe publicado por Giga Information Group con
respecto a las tendencias de TI estimadas para el ao 2002, se espera
que los ejecutivos corporativos se interesen cada vez ms en la
prevencin de desastres fsicos, ciberterrorismo y espionaje de libre
competencia.

Implementar una poltica de seguridad completa le da valor
intrnseco a su empresa. Tambin mejorar la credibilidad y reputacin
de la empresa y aumentar la confianza de los accionistas principales,
lo que le dar a la empresa una ventaja estratgica.


Cmo desarrollar una poltica de seguridad?



Identifique y evale los activos: Qu activos deben protegerse y cmo
protegerlos de forma que permitan la prosperidad de la empresa.


Identifique las amenazas: Cules son las causas de los potenciales
problemas de seguridad? Considere la posibilidad de violaciones a la
seguridad y e impacto que tendran si ocurrieran. Estas amenazas son
externas o internas:

o Amenazas externas: Se originan fuera de la
organizacin y son los virus, gusanos, caballos de Troya,
intentos de ataques de los hackers, retaliaciones de ex-
empleados o espionaje industrial.

o Amenazas internas: Son las amenazas que
provienen del interior de la empresa y que pueden ser
muy costosas porque el infractor tiene mayor acceso y
perspicacia para saber dnde reside la informacin

7
sensible e importante. Las amenazas internas tambin
incluyen el uso indebido del acceso a Internet por
parte de los empleados, as como los problemas que
podran ocasionar los empleados al enviar y revisar el
material ofensivo a travs de Internet.

Evalu los riesgos: ste puede ser uno de los componentes ms
desafiantes del desarrollo de una poltica de seguridad. Debe
calcularse la probabilidad de que ocurran ciertos sucesos y determinar
cules tiene el potencial para causar mucho dao. El costo puede ser
ms que monetario - se debe asignar un valor a la prdida de datos, la
privacidad, responsabilidad legal, atencin pblica indeseada, la
prdida de clientes o de la confianza de los inversionistas y los costos
asociados con las soluciones para las violaciones a la seguridad.



Asigne las responsabilidades: Seleccione un equipo de desarrollo que
ayude a identificar las amenazas potenciales en todas las reas de la
empresa. Sera ideal la participacin de un representante por cada
departamento de la compaa. Los principales integrantes del equipo
seran el administrador de redes, un asesor jurdico, un ejecutivo
superior y representantes de los departamentos de Recursos Humanos
y Relaciones Pblicas.


Establezca polticas de seguridad: Cree una poltica que apunte a los
documentos asociados; parmetros y procedimientos, normas, as
como los contratos de empleados. Estos documentos deben tener
informacin especfica relacionada con las plataformas informticas,
las plataformas tecnolgicas, las responsabilidades del usuario y
la estructura organizacional. De esta forma, si se hacen cambios

8
futuros, es ms fcil cambiar los documentos subyacentes que la
poltica en s misma.


Implemente una poltica en toda la organizacin: La poltica que se
escoja debe establecer claramente las responsabilidades en cuanto a
la seguridad y reconocer quin es el propietario de los sistemas y
datos especficos. Tambin puede requerir que todos los empleados
firmen la declaracin; si la firman, debe comunicarse claramente. stas
son las tres partes esenciales de cumplimiento que debe incluir la
poltica:


o Cumplimiento: Indique un procedimiento para
garantizar el cumplimiento y las consecuencias
potenciales por incumplimiento.

o Funcionarios de seguridad: Nombre individuos que
sean directamente responsables de la seguridad de la
informacin. Asegrese de que no es la misma persona
que supervisa, implementa o revisa la seguridad para
que no haya conflicto de intereses.

o Financiacin: Asegrese de que a cada departamento
se le haya asignado los fondos necesarios para
poder cumplir adecuadamente con la poltica de
seguridad de la compaa.

Administre el programa de seguridad: Establezca los procedimientos
internos para implementar estos requerimientos y hacer obligatorio su
cumplimiento.




9
CONSIDERACIONES IMPORTANTES

A travs del proceso de elaboracin de una poltica de seguridad, es
importante asegurarse de que la poltica tenga las siguientes
caractersticas:

Se pueda implementar y hacer cumplir

Sea concisa y fcil de entender

Compense la proteccin con la productividad

Una vez la poltica se aprueba totalmente, debe hacerse asequible a
todos los empleados porque, en ltima instancia, ellos son responsables
de su xito. Las polticas deben actualizarse anualmente (o mejor an
cada seis meses) para reflejar los cambios en la organizacin o cultura.

Se debe mencionar que no debe haber dos polticas de seguridad
iguales puesto que cada empresa es diferente y los detalles de la
poltica dependen de las necesidades exclusivas de cada una. Sin
embargo, usted puede comenzar con un sistema general de polticas
de seguridad y luego personalizarlo de acuerdo con sus requerimientos
especficos, limitaciones de financiacin e infraestructura existente.

Una poltica completa de seguridad de la informacin es un recurso
valioso que amerita la dedicacin de tiempo y esfuerzo. La poltica
que adopte su empresa brinda una base slida para respaldar el plan
general de seguridad. Y una base slida sirve para respaldar una
empresa slida.




10
BANCO
ABC
En el presente trabajo desarrollaremos el Plan de Seguridad para una
entidad financiera a la cual llamaremos el Banco ABC.

El Banco ABC es un banco de capital extranjero, tiene 35 agencias
a nivel nacional, ofrece todos los productos financieros conocidos,
posee presencia en Internet a travs de su pgina web, es un banco
mediano cuenta con 500 empleados y es regulado por la
Superintendencia de Banca y Seguros.

A lo largo de todo el desarrollo del trabajo describiremos mas en
detalle su estructura interna, evaluaremos los riesgos a los cuales estn
expuestos, para lo cual se realizara un diagnostico objetivo de la
situacin actual y como se deben contrarrestar, para finalmente
terminar diseando el Plan de Seguridad y las principales actividades
que deben ejecutarse para la implementacin de las polticas de
seguridad.

A continuacin describiremos brevemente la situacin actual de los
aspectos ms importantes en la elaboracin del Plan de Seguridad;
como son la organizacin, el propio Plan y la adecuacin al Plan.

A) Organizacin de seguridad de la informacin



Actualmente el Banco cuenta con un rea de seguridad informtica
recientemente constituida, los roles y responsabilidades del rea no han
sido formalizados y las tareas desempeadas por el rea se limitan por
ahora al control de accesos de la mayora de sistemas del Banco.



11
Algunas tareas correspondientes a la administracin de seguridad
son desarrolladas por el rea de sistemas como la administracin de
red, firewalls y bases de datos, otras tareas son realizadas
directamente por las reas usuarias, y finalmente otras
responsabilidades como la elaboracin de las polticas y normas de
seguridad, concientizacin de los usuarios, monitoreo de incidentes de
seguridad, etc., no han sido asignadas formalmente a ninguna de las
reas.

En este sentido, en el presente trabajo detallamos los roles y
responsabilidades relacionadas a la administracin de seguridad de
la informacin que involucra no solamente a miembros de las reas
de seguridad informtica y sistemas como administradores de
seguridad de informacin y custodios de informacin, sino a los
gerentes y jefes de las unidades de negocio como propietarios de
informacin, y a los usuarios en general.

B) Diseo del plan de seguridad de la informacin

Para el diseo del Plan de seguridad de la informacin se
desarrollaran las siguientes etapas:

- Evaluacin de riesgos, amenazas y vulnerabilidades

Para la definicin del alcance de las polticas y estndares y con el
propsito de identificar las implicancias de seguridad del uso y
estrategia de tecnologa, amenazas y vulnerabilidades y nuevas
iniciativas del negocio, se desarrollarn un conjunto de entrevistas
con las Gerencias del Banco, personal del rea de sistemas, auditoria
interna y el rea de seguridad informtica. Producto de la
consolidacin de la informacin obtenida en dichas entrevistas se
elaborar unas matrices que se presentarn en el captulo N V del
presente documento.

- Polticas de seguridad de informacin.

Con el objetivo de contar con una gua para la proteccin de
informacin del Banco, se elaborarn las polticas y estndares de
seguridad de la informacin, tomando en cuenta el estndar de
seguridad de informacin ISO 17799, los requerimientos de la Circular
N G-105-2002 publicada por la Superintendencia de Banca y Seguros

12
(SBS) sobre Riesgos de Tecnologa de Informacin y las normas
establecidas internamente por el Banco.

- Diseo de arquitectura de seguridad de red.

Con el objetivo de controlar las conexiones de la red del Banco
con entidades externas y monitorear la actividad realizada a
travs de dichas conexiones, se elaborar una propuesta de
arquitectura de red la cual incluye dispositivos de monitoreo de
intrusos y herramientas de inspeccin de contenido.

C) Plan de Implementacin

De la identificacin de riesgos amenazas y vulnerabilidades
relacionadas con la seguridad de la informacin del Banco, se
lograron identificar las actividades ms importantes a ser
realizadas por el Banco con el propsito de alinear las medidas de
seguridad implementadas para proteger la informacin del
Banco, con las Polticas de seguridad y estndares elaborados.

Este plan de alto nivel incluye una descripcin de la
actividad a ser realizada, las etapas incluidas en su desarrollo y el
tiempo estimado de ejecucin.





13
VI. CONCLUSIONES

Se aprendi los pasos para realizar un plan de seguridad
informtico.

Se dio a conocer las problemticas ms comunes para realizar
dicho plan.

Se ilustro las deficiencias y debilidades de toda entidad

Se pudo corroborar que las debilidades trae grandes fortalezas

14
VII. BIBLIOGRAFA

http://www.buenastareas.com/ensayos/Plan-De-Seguridad-
Informatica-Ejemplo/2665654.html
http://sisbib.unmsm.edu.pe/bibvirtual/tesis/Basic/cordova_rn/cont
enido.htm
http://es.slideshare.net/jpfebles1/tema-6-planes-de-seguridad-
informatica
http://es.wikipedia.org/wiki/Seguridad_inform%C3%A1tica
http://www.cft.gob.mx/es/Cofetel_2008/plan_institucional_de_seg
uridad_informatica
http://html.rincondelvago.com/seguridad-informatica.html
http://prezi.com/op4bjtn38ez-/proyecto-de-seguridad-
informatica/
http://seguridadinformaticaufps.wikispaces.com/Conceptos+Basi
cos+Seguridad+Informatica
http://seguridadinformaticaufps.wikispaces.com/Politicas,+Planes
+y+Procedimientos+de+Seguridad
http://seguridadinformaticaufps.wikispaces.com/Conceptos+Basi
cos+Seguridad+Informatica

15
VIII. NDICE

I.- Dedicatoria1
II. Ttulo...2
III. Introduccin.3
IV.- Objetivos.4
V.- Temas y Subtemas5
PLAN DE SEGURIDAD INFORMTICA
VI.- Conclusin..13
VIII.- Bibliografa...14
IX.- ndice15
X.- Anexo.16


16
IX. ANEXO