MAESTRIA

UMSA_2015

CASO DE ESTUDIO FINAL DE LA MAESTRIA

SISTEMA DE GESTION DE SEGURIDAD DE INFORMACION & CONTINUIDAD DEL NEGOCIO
CONTEXTO:
El constante desarrollo tecnolgico y la adopcin de nuevas tecnologas de informacin y
comunicaciones por parte de las entidades financieras, para la implementacin de sus procesos de
negocio, ha redefinido el escenario de riesgo de operaciones; teniendo en cuenta que los activos de
informacin, estn expuestos a un nmero cada vez ms elevado de amenazas y vulnerabilidades
tcnicas, que tienen el potencial de exponer a las entidades a diversas formas de: fraude, espionaje,
sabotaje, vandalismo o interrupciones. Los virus informticos, el hacking o los ataques de denegacin
de servicio son algunos ejemplos comunes y conocidos.
Asimismo se tuvo problemas con la informacin de clientes, que fueron cambiados con accesos a la
base de datos, lo que genera grandes interrogantes sobre la integridad de la informacin de esta
entidad financiera.
CASO PARTICULAR:
El Banco de la Ciudad y la Gente (BCG), durante la gestin 2014, ha sido afectado por diversos
incidentes de seguridad de informacin, que totalizan 265, segn el siguiente detalle.
Mes

Malware

Web
Defacement

Phishing

ATM
Skimming

DDoS

Enero
Febrero
Marzo
Abril
Mayo
Junio
Julio
Agosto
Septiembre
Octubre
Noviembre
Diciembre

3
4
5
5
8
9
9
12
7
8
9
11

0
0
1
0
0
0
0
1
1
1
0
1

0
0
0
0
0
0
2
5
7
8
7
12

0
0
0
0
0
0
0
5
7
8
1
8

0
0
0
2
1
2
0
2
0
2
3
4

Base de
Datos
(Clientes)
2
0
1
0
4
3
5
0
6
7
10
9

Total

90

41

29

16

47

Otros*

Total

0
0
0
1
2
3
5
6
8
1
3
8

5
4
7
8
15
17
21
31
36
35
33
53

37

265

La situacin descrita es de preocupacin, por parte de la Direccin y Ejecutivos del BCG, teniendo en
cuenta que los incidentes de seguridad de informacin, son cada vez ms sofisticados y han expuesto la
debilidad de los actuales controles de seguridad de informacin que implementa el Banco; esta
situacin se hace evidente observando las estadsticas, respecto a los incidentes de seguridad de
informacin de las ltimas gestiones. Adems por los reclamos de los clientes que cada da son ms
frecuentes por la veracidad de los saldos de cuentas y la posibilidad de alteraciones en la informacin
particular de sus saldos y cuentas.

JCLP/2015

MAESTRIA

2009

# Incidentes de
Seguridad de
Informacin
75

2010

80

2011

67

2012

115

2013

152

2014

265

Gestin

UMSA_2015

265

250
200
150

115

100
50

152

80
75

Total

67

0
2009 2010 2011 2012 2013 2014

Por otra parte, los incidentes de seguridad de informacin, han producido prdidas financieras y dao a
la imagen pblica del BCG, teniendo en cuenta que fraudes informticos como el Phishing y el ATM
Skimming, han afectado a los clientes del Banco y la entidad ha tenido que cubrir las prdidas y tambin
ha tenido que pagar multas por los daos y perjuicios ocasionados.
Teniendo en cuenta los antecedentes descritos, el BCG ha decidido contratar los Servicios de un Oficial
de Seguridad de Informacin experimentado para la implementacin del Sistema de Gestin de
Seguridad de Informacin (SGSI), basado en la norma ISO-IEC 27001:2013; Asimismo tener la posibilidad
de asegurar la integridad de la informacin de su base de datos y procesos internos , efectuando anlisis
considerando COBIT 5. Con esta contratacin la Direccin del BCG, busca los siguientes beneficios :

Cumplimiento legal (requerimiento de entidades supervisoras)

Reducir los riesgos de seguridad de informacin
Reducir perdidas inesperadas, ocasionadas por los impactos de incidentes de Seguridad de
Informacin
Focalizar el gasto en seguridad de la informacin (controles eficaces)
Mejorar la relacin con terceras partes (Proveedores, Clientes, Socios, Entidades de control y
supervisin, etc.)
Mejora la imagen y reputacin del BCG, certificando SGSI y manteniendo la integridad de la
informacin controlada en base a estndares internacionales como: ISO-IEC 27001:2013 y
COBIT 5
Continuidad operativa para los procesos crticos de la entidad.

Despus de un largo proceso de seleccin usted ha sido designado como Oficial de Seguridad de
Informacin; a tiempo de iniciar sus funciones el BCG, a travs la Gerencia General, le hacen entrega de
varios documentos, a objeto que se pueda desarrollar a la brevedad posible un plan de accin y
medidas para la implementacin del Sistema de Gestin de Seguridad de Informacin (SGSI) y para la
mejora de los actuales controles de seguridad de informacin.
La documentacin entregada consiste en:

Documento, especificando Productos y Servicios del BCG

Detalle Agencias del BCG
Detalle Red de ATMs del BCG
Resumen ejecutivo incidentes de seguridad informacin 2014
Estructura Organizativa
Infraestructura / Diagrama de Red

JCLP/2015

MAESTRIA

UMSA_2015

Productos y Servicios Bancarios del BCG

Crditos
Prstamos Comerciales
Lnea de Crdito
Crditos de Exportacin
Crditos Agropecuarios
Crditos de Vivienda
Crditos Hipotecarios
Micro Crditos de
Consumo
Boletas de Garanta

Captaciones
Cuenta Corrientes
Cajas de Ahorro
Depsitos a Plazo Fijo

Servicios
Banca por Internet
Banca Mvil
Cajeros Automtico
ATM's
Tarjetas de Crdito
/Debito
Giros Nacionales

JCLP/2015

MAESTRIA

UMSA_2015

Oficinas & Agencias del BCG

JCLP/2015

MAESTRIA

UMSA_2015

RED DE CAJEROS AUTOMATICOS

81 ATMS A NIVEL NACIONAL
SANTA CRUZ

COCHABAMBA

LA PAZ

Zona

Nombre

Zona

Nombre

Zona

Nombre

CENTRO

Ingavi

CENTRO

Oficina Principal

CENTRO

Oficina Principal

CENTRO

Siete Calles

CENTRO

El Prado

CENTRO

Comercio

CENTRO

Autobanco ( Discapacitados ) CENTRO

Heroinas

CENTRO

El Prado

CENTRO

Los Pozos

ESTE

Torres Soffer

EL ALTO

16 de Julio

CENTRO

Oficina Central

ESTE

Plaza Sucre

EL ALTO

La Ceja

ESTE

Hipermaxi Paragu

ESTE

Ramon Rivero

EL ALTO

Villa Adela

ESTE

Slan Paragua

LA CANCHA

Terminal de Buses

ESTE

Plaza Avaroa

ESTE

Hipermaxi Pampa de La Isla

NORTE

Toby Cbba.

MIRAFLORES Stadium La Paz

ESTE

Hot Burger

NORTE

Cala Cala

OESTE

Mi Teleferico

ESTE

Mutualista 3er Anillo Externo

NORTE

Agencia Norte

OESTE

Calatayud

ESTE

Av. Brasil - Av. Viedma

NORTE

Recoleta

OESTE

Villa Fatima

ESTE

Max Virgen de Cotoca

OESTE

IC Norte Hipodromo

OESTE

Illampu

ESTE

Pampa de la Isla

OESTE

Frankfurt

OESTE

Tumusla

ESTE

Hipermaxi Plan 3.000

OESTE

Blanco Galindo

OESTE

Gran Poder

ESTE

Super Macro Fidalga

OESTE

Tiquipaya

SUR

San Miguel

ESTE

Max Virgen Lujan

QUILLACOLLO Quillacollo

SUR

Hipermaxi Calacoto

ESTE

Max 2 de Agosto

SACABA

Sacaba

SUR

Hipermaxi Los Pinos

ESTE

Terminal Bimodal

SUR

Esteban Arze

MONTERO Montero

TRINIDAD

TARIJA

CENTRO

Oficina Principal

CENTRO

Av.9 de Abril

NORTE

La Ganga

CENTRO

Oficina Principal

NORTE

Hipermaxi Norte II

CENTRO

Plaza Sucre

OESTE

Torres Duo

OESTE

Supermercado Slan

OESTE

Biopetrol

OESTE

Mall Ventura ll

OESTE

Hipermaxi Pirai

CENTRO

Oficina Principal

OESTE

Urubo

CENTRO

Bolivar & Paseo Boulevard

SUR

Max La Barranca

SUR

Santos Dumont, La Morita

CENTRO

Oficina Principal

SUR

Hipermaxi Sur

CENTRO

Bolivar & 6 de Octubre

SUR

Santos Dumont

SUR

Irala

SUR

Plaza Blacutt

COBIJA

SUCRE

CENTRO

Oficina Principal

CENTRO

Oficina Principal

CENTRO

Av. Bahia

CENTRO

Supermercado SAS

POTOSI

ORURO

YAPACANI Yapacani

JCLP/2015

MAESTRIA

UMSA_2015

RESUMEN EJECUTIVO
INCIDENTES DE SEGURIDAD DE
INFORMACION GESTION 2014

0. DISTRIBCUON DE INCIDENTES DE SEGURIDAD DE INFORMACION (2014) X DEPARTAMENTO

35
30
25
20
15
10
5
0

Cochaba
Sucre
mba

Tarija

Santa
Trinidad Cobija
Cruz

La Paz

Oruro

Potos

Malware

20

25

30

Web Defacement

Phishing

11

16

ATM Skimming

DDoS

16

Otros*

10

1. INCIDENCIA DE MALWARE
Durante la Gestin 2014, se han registrado 21 ataques
Incidentes de Seguridad de Informacin
El equipo se ejecuta con ms lentitud de la normal.
El equipo presenta errores y le pide que reinicie con frecuencia.
El equipo se reinicia solo y se ejecuta de manera anormal.
No puede ejecutar las aplicaciones.
No tiene acceso a discos ni unidades de disco en el equipo.
No puede imprimir correctamente.
Recibe mensajes de error o ventanas emergentes poco comunes.
El navegador despliega mensajes y/o redireccin a la navegacin a sitios inusuales
No se tiene acceso a los recursos compartidos de administrador en el equipo.
Total Incidentes

Cantidad de Reportes
8
11
9
16
3
12
10
16
5
90

1.1 Posibles causas

Deficiencia de configuracin del End Point Security

JCLP/2015

MAESTRIA

UMSA_2015

Deficiencias relacionadas con la actualizacin del End Point Security

Instalacin de Software no autorizado por el BCG
Uso de Pendrives o memorias infectadas con malware.

1.2 Efectos

Prdida de productividad (continuidad operativa de los procesos relacionados al equipo)

Perdida de Confidencialidad de informacin y/o data crtica
Posibles fallos de integridad en informacin y/o data critica
Espionaje / Sabotaje

2. INCIDENCIA DE ATAQUES WEB DEFACEMENT

Durante la Gestin 2014, en 5 oportunidades el Portal Web del BCG, ha sufrido ataques de Web
Defacement por diferentes piratas cibernticos y hacktivistas, segn el siguiente detalle.
Incidentes de Seguridad de Informacion

Cantidad de Reportes

Piratatas ciberneticos - hacktivistas pro chile

hacktivistas pro seguridad de Sites Bolivianos - Bolivi@n Hacking

Piratas ciberneticos - Emperor Pirate Team

Total Incidentes

2.1 Posibles causas

Deficiencia de un programa de anlisis de vulnerabilidades del Portal Web, aplicaciones y

servicios corporativos on-line.
Diversas Vulnerabilidades Tcnicas - relacionadas al Servicio del Portal Web (Inyeccin SQL,
Cross-site scripting XSS, Vulnerabilidades conocidas del CMS.)
Deficiencias en las configuraciones

2.2 Efectos

Interrupcin de los servicios y aplicaciones web, de la plataforma Banca on Line

Dao a la imagen Pblica del BCG
Perdida financieras
Perjuicio a los clientes.

3. INCIDENCIA DE ATAQUES DDOS

Durante la Gestin 2014, en 16 oportunidades el Portal Web del BCG, ha sufrido ataques de Web
Defacement por diferentes piratas cibernticos y hacktivistas, segn el siguiente detalle.
Incidentes de Seguridad de Informacion

Cantidad de Reportes

Piratatas ciberneticos origen desconocido

15

Piratatas ciberneticos origen conocido

Total Incidentes

JCLP/2015

MAESTRIA

UMSA_2015

3.1 Posibles causas

Deficiencia de un programa de anlisis de vulnerabilidades del Portal Web, aplicaciones y

servicios corporativos on-line.
Deficiencias en las configuraciones a nivel de servidor web y router.

3.2 Efectos

Interrupcin de los servicios y aplicaciones web, de la plataforma Banca on Line

Dao a la imagen Pblica del BCG
Perdida financieras
Perjuicio a los clientes.

4. INCIDENTES ATM SKIMMING

Durante la Gestin 2014, en 29 oportunidades, clientes del BCG, reportaron saldos incorrectos en sus
cuentas de caja de ahorro, atribuibles a retiros mediante cajeros automticos. Los reclamos fueron
realizados formalmente. Despus de una verificacin de las cuentas y origen de los retiros, se pudo
identificar cajeros automticos, que fueron modificados por delincuentes.
Las modificaciones fraudulentas de ATMs, consisten en la aplicacin fsica de dispositivos de lectura de
tarjeta y teclados sobrepuestos a los dispositivos estndar de los ATMs. Algunos de estos dispositivos
fueron retirados y custodiados por el Banco como indicios de prueba del Fraude. Se pudo verificar que
los dispositivos cuentan con una memoria que almacena registros que contienen todos los datos de las
tarjetas y claves introducidas mediante teclado. Con esta esta informacin se cree que delincuentes
clonaron las tarjetas y efectuaron retiros ilegales de las cuentas de los clientes.
El BCG a fin de evitar mayores daos a su imagen pblica y reputacin, decidi devolver los fondos
financieros a todos los afectados por este tipo de fraude. El importe perdido por el BCG asciende a
97.200 Dlares Americanos.
4.1 Posibles causas

Actualmente el BCG, ha facilitado a sus clientes tarjetas de banda magntica

Carencia de tarjetas chip inteligentes (EMV)
Carencia de Inspecciones frecuentes de ATM, se verifico que en los cajeros automticos
afectados, la sealtica de nmeros de contacto del BCG, fue removida o adultera
intencionalmente
Muchos ATMs cuentan con cmaras de seguridad inadecuadas que no permiten la
identificacin del rostro de las personas que operan o manipulan el ATM.

4.2 Efectos

Dao a la imagen Pblica del BCG

Perdida financieras cuantiosa
Impacto legal
Sanciones, multas
JCLP/2015

MAESTRIA

UMSA_2015

5. INCIDENTES PHISHING
Durante la Gestin 2014, en 41 oportunidades, clientes del BCG, reportaron haber recibido u mail por
parte de la entidad que indicaba que por motivos de seguridad, deberan actualizar sus contraseas
pinchando un link que haca referencia al Portal del BCG. Minutos despus de haber realizado la accin
solicitada en el mail, los clientes recibieron mails de confirmacin que indicaban que transferencias
cuantiosas de dinero haban sido realizadas a cuentas de terceros. Los clientes aducen haber sido
afectados por fraudes informticos, debido a las dbiles medidas de seguridad implementadas por el
Banco. Al respecto han conformado un movimiento todos los afectados y presionan al Banco por la
devolucin de los Fondos (amenazan acudir a los medios de comunicacin social)
El BCG a fin de evitar mayores daos a su imagen pblica y reputacin, decidi devolver los fondos
financieros a todos los afectados por este tipo de fraude. El importe perdido por el BCG asciende a
717.500 Dlares Americanos.
5.1 Posibles causas

Carencia de sensibilizacin de clientes respecto a fraudes informticos y medidas de seguridad

en transacciones financieras.
Carencia de mecanismos de autenticacin robusta en la plataforma banca on line del BCG (No
se cuenta con un token de seguridad)

5.2 Efectos

Dao a la imagen Pblica del BCG

Perdida financieras cuantiosas
Perjuicio a los clientes.

6. PROBLEMAS EN LA BASE DE DATOS (Clientes)

En la Gestin 2014 y en el primer semestre de esta Gestin continan los reclamos por la no
confiabilidad y seguridad de la informacin de las cuentas y saldos de los clientes de esa manera que
en el ltimo trimestre se han elevado los reclamos por la integridad de la informacin.
6.1 Posibles causas

A principios de ao se definieron cambios en la Estructura de la Base de Datos y en el Sistema de

Contabilidad, lo que se procedi a implantar a mediados de ao, lo que pudo afectar a la
integridad de la informacin.
No se tiene mtricas de rendimiento en los cambios efectuados desde su concepcin hasta el
cierre.
No se tiene documentado el proceso de marcha atrs y recuperacin.
No se cuenta con documentacin del plan de conversin.
En primera instancia no se verific control adecuado de acceso a la base de datos.

JCLP/2015

MAESTRIA

UMSA_2015

6.2 Efectos

La NO seguridad de las pruebas en los cambios a la aplicacin realizados.

Reclamos de Clientes cada vez ms frecuentes.
Dao a la imagen Pblica del BCG
Posible retiro de clientes con sus depsitos a otras entidades financieras

7. OTROS INCIDENTES.
Durante la Gestin 2014, se han reportado 21 incidentes relacionados a la perdida de las carpetas
de crdito hipotecarios de clientes del BCG, en la cual se encontraban documentos originales de los
clientes respecto a sus propiedades inmobiliarias y otros documentos como testimonios,
declaraciones, etc.
7.1 Posibles causas

Carencia de un procedimiento de resguardo y clasificacin de informacin.

Deficiencias de seguridad fsica en los lugares de Archivo (No se cuenta con zonas de exclusin,
cmaras de seguridad y control de accesos)
Los oficiales de crdito no cuentan con muebles que garanticen una adecuada custodia de los
documentos.

7.2 Efectos

Dao a la imagen Pblica del BCG

Perjuicio a los clientes.
Impacto legal
Sanciones, multas

==========================================================================

JCLP/2015

10

MAESTRIA

UMSA_2015

INSTRUCCIONES DEL TRABAJO EN GRUPO

I. CONTENIDO MINIMO
DESCRIPCION
1.
2.
3.
4.
5.

% PUNTUACION (Ptos.)

Antecedentes
Relevamiento de Informacin, ,,.
Planificacin definicin del MPA y uso de estndares, priorizar recursos..
Informe Final
Anexos y otros .

5
15
30
40
10

II. PRESENTACIN
1. Ser presentado en forma fsica (Impresa) y digital (CD) con todo el contenido, incluyendo
Anexos, en el da y hora sealados.
2. Se podr poner en Anexos todo lo que se considere necesario.
3. La presentacin fsica (Impresa) en papel carta (Hojas Bond) con letra Arial (preferentemente)
de tamao 12 , con espaciado de un espacio y medio.
4. En la Cartula nombres completos de todos los participantes del Grupo
5. No se recibir ningn trabajo fuera de la fecha y hora definida

III. CALENDARIO DEL TRABAJO

1.
2.
3.
4.

Publicacin y entrega del Trabajo a los alumnos:

Consultas va mail desde:
Entrega del Trabajo:
EXAMEN FINAL

Dom. 09/08/2015
Dom. 09/08/2015 al Mie. 12/08/2015
Jue 13/08/2015 Hrs. 19:40
Hrs. 20:00

Mail: jcleaplaza@yahoo.com

JCLP/2015

11