Maestra

Nombre: Matrcula:
Armando Quintanilla Bautista 02820658
Karla Fabiola Monjaras Govea 02791835
Amrica Olvera Corts 02832706
Hannan Mndez Uribe 02809955
Nombre del curso: Nombre del profesor:
Seguridad en sistemas de informacin Alfredo Luna
Mdulo:
Actividad:
Uno-Gobernabilidad de la seguridad de la
Evidencia 1
informacin
Fecha: 9 de Octubre 2017

Bibliografa:

1.Information Technology Security for Managers - Workshop sobre temas de Seguridad IBM
Global Service. http://www.ibm.com/services/securite
2.ISO /IEC 17799:2000 http://www.iso1799.com
3.British Standard 7799
4.INFOSECS WORST NIGHTMARES
http://www.infosecuritymag.com/2002/nov/nightmares.shtml
5. Como elaborar polticas de Seguridad efectivas?
http://www.symantec.com/region/mx/enterprisesecurity
6. Universidad Autnoma de Mxico
http://redyseguridad.fi-p.unam.mx/proyectos/seguridad/Generalidades.php
 Maestra

Ttulo: Establecer las polticas de seguridad para el Banco ABC Capital

Definicin y Delimitacin del problema

El banco ABC Capital presenta deficiencias de seguridad en las transacciones u operaciones

electrnicas ya que cuenta con carentes protocolos de seguridad y proteccin de datos, un plan
de seguridad ambiguo sin puntos de control, estrategias y falta de polticas claras para aplicar en
los diferentes tipos de riesgos que pudiera presentar la empresa.

Por los problemas sealados anteriormente el presente proyecto busca investigar ms afondo las
vulnerabilidades potenciales realizando una evaluacin de riesgos a los cuales el banco ABC
Capital se ve vulnerable hoy en da, realizando una evaluacin objetiva que nos permita tener la
base para determinar aquellos riesgos que se vern solventados por medio de las polticas de
seguridad.

Objetivo General

Crear un esquema de Seguridad de la Informacin que permita desarrollar operaciones seguras

basadas en polticas y estndares claros y conocidos por todo el personal del Banco ABC Capital.

Objetivo Especficos

1.- Disear polticas claras, basadas en estndares ISO aplicables por los responsables
designados en los diferentes niveles de resguardo de informacin del banco ABC Capital, en un
periodo de tres semanas.
2.- Analizar y ordenar la estructura de los sistemas de informacin para un mayor control, en un
periodo de tres semanas.
 Maestra

Antecedentes

Como hemos comentado el presente proyecto tendr lugar en el Banco ABC Capital. Se ha
seleccionado esta institucin bancaria debido a que la informacin que maneja es considerada
como informacin crtica altamente en riesgo por amenazas inesperadas que podran
materializarse en caso de no contar con los controles y seguridad necesaria.

El implementar polticas de seguridad basadas en estndares ISO para la mencionada institucin

financiera se considera relevante debido a que en caso de que su informacin sea robada,
alterada, borrada o estuviera inaccesible pudiera tener impactos financieros tales como que los
clientes llegarn a perder su capital y el banco su liquidez, lo cual nos lleva a que pudieran
presentarse penalizaciones legales o procesos judiciales, mientras que igualmente pudiera verse
impactado en cuanto a la reputacin del banco considerndola una institucin bancaria poco
confiable y que consecuentemente parara su productividad por falta y prdida de clientes.

A continuacin se detalla un poco ms de informacin relacionada a la institucin financiera y los

orgenes del problema y cual es su situacin actual.

Datos de la Empresa Financiera

Banco ABC Capital, 100% mexicano, esta institucin es la primera que da el salto de Sociedad
Financiera de Objeto Mltiple (Sofom) a banca mltiple, con lo que se integra como la entidad
nmero 42 en el sector bancario del pas.

Opera de forma electrnica, con una cartera en administracin de poco ms de 21,000 millones de
pesos, misma que ha crecido 160% en el ltimo ao, con un capital de 1,200 millones de pesos y
presencia en 22 estados con 37 oficinas y ms de 600 empleados.

El banco surgi en 2011 como resultado de la fusin de la SOFOM ABC Capital con Banco Amigo.

Visin

Ser lderes en los segmentos de mercado en los que participamos a travs de innovacin y
tecnologa, contando con las mejores prcticas de la industria, as como un recurso humano
motivado e identificado con los valores de la institucin.
 Maestra

La misin de la empresa

Partiendo del cliente proporcionar los servicios financieros, de captacin y de crdito

principalmente con productos empaquetados en forma masiva, contando con una operacin que
asegure la rentabilidad y sustentabilidad de la Empresa.

Orgenes de la problemtica

Existen normas, procedimientos y controles que cubren distintos aspectos de la seguridad de la

informacin, se carece en general de una metodologa, gua o marco de trabajo que ayude a la
identificacin de riesgos y determinacin de controles para mitigar los mismos.

Dentro de los distintos aspectos a considerar en la seguridad de la Informacin, se ha podido

observar que se carece de Polticas de seguridad de la Informacin y de una Clasificacin de
Seguridad de los activos de Informacin del Banco. Cabe mencionar que se ha observado la
existencia de controles, en el caso de la Seguridad Lgica, sobre los accesos a los sistemas de
informacin as como procedimientos establecidos para el otorgamiento de dichos accesos, dee
igual manera se ha observado controles establecidos con respecto a la seguridad fsica y de
personal.

Sin embargo, estos controles no obedecen a una definicin previa de una Poltica de Seguridad ni
de una evaluacin de riesgos de seguridad de la informacin a nivel de todo el Banco. Los
controles establecidos a la fecha son producto de evaluaciones particulares efectuadas por las
reas involucradas o bajo cuyo mbito de responsabilidad recae cierto aspecto de la seguridad.

Situacin Actual

La administracin de seguridad de informacin se encuentra distribuida principalmente entre las

reas de sistemas y el rea de seguridad informtica. En algunos casos, la administracin de
accesos es realizada por la jefatura o gerencia del rea que utiliza la aplicacin.

Las labores de seguridad realizadas actualmente por el rea de seguridad informtica son las
siguientes:

- Creacin y eliminacin de usuarios

- Verificacin y asignacin de perfiles en las aplicaciones

Las labores de seguridad realizadas por el rea de sistemas son las siguientes:

- Control de red
- Administracin del firewall
- Administracin de accesos a bases de datos

Las funciones de desarrollo y mantenimiento de polticas y estndares de seguridad no estn

 Maestra

defi.nidas dentro de los roles de la organizacin

Mientras que el acceso con privilegio administrativo a la computadora central es restringido, el

rea de seguridad informtica define una contrasea, la cual es enviada a la oficina de seguridad
(Gerencia de Administracin) en un sobre cerrado, en caso de necesitar acceso con dicho
privilegio, la contrasea puede ser obtenida por el gerente de sistemas o el jefe de soporte tcnico
y produccin, solicitando el sobre a la oficina de seguridad. Luego deben realizar un informe sobre
la actividad realizada en el computador central.

Estructura Organizacional de Seguridad de Informacin

El rea organizacional encargada de la administracin de seguridad de informacin debe soportar

los objetivos de seguridad de informacin del Banco.

Dentro de sus responsabilidades se encuentran la gestin del plan de seguridad de informacin

as como la coordinacin de esfuerzos entre el personal de sistemas y los empleados de las reas
de negocios, siendo stos ltimos los responsables de la informacin que utilizan. Asimismo, es
responsable de promover la seguridad de informacin a lo largo de la organizacin con el fin de
incluirla en el planeamiento y ejecucin de los objetivos del negocio.

Es importante mencionar que las responsabilidades referentes a la seguridad de informacin son

distribuidas dentro de toda la organizacin y no son de entera responsabilidad del rea de
seguridad informtica, en ese sentido existen roles adicionales que recaen en los propietarios de
la informacin, los custodios de informacin y el rea de auditora interna.

Los propietarios de la informacin deben verificar la integridad de su informacin y velar por que
se mantenga la disponibilidad y confidencialidad de la misma.

Los custodios de informacin tienen la responsabilidad de monitorear el cumplimiento de las

actividades encargadas y el rea de auditora interna debe monitorear el cumplimiento de la
poltica de seguridad y el cumplimiento adecuado de los procesos definidos para mantener la
seguridad de informacin.
 Maestra

Grfico de Evolucin de las regulaciones de la Superintendencia de

Banca y Seguros.
 Maestra

Alcance

El alcance del diagnstico de la situacin de administracin del riesgo de Tecnologa de

Informacin, en adelante TI, comprende la revisin de las siguientes funciones al interior del rea
de sistemas:

Administracin del rea de Tecnologa de Informacin

- Estructura organizacional

- Funcin de seguridad a dedicacin exclusiva

- Polticas y procedimientos para administrar los riesgos de TI

- Subcontratacin de recursos.

Actividades de desarrollo y mantenimiento de sistemas informticos

Seguridad de la Informacin

- Administracin de la Seguridad de la Informacin.

- Aspectos de la seguridad de la informacin (lgica, personal y fsica y ambiental)

- Inventario peridico de activos asociados a TI

Operaciones computarizadas

- Administracin de las operaciones y comunicaciones

- Procedimientos de respaldo

- Planeamiento para la continuidad de negocios

- Prueba del plan de continuidad de negocios

Asimismo, comprende la revisin de los siguientes aspectos:

 Maestra

Cumplimiento normativo

Privacidad de la informacin

Auditoria de sistemas

El siguiente cuadro muestra el grado de cumplimiento en los aspectos relacionados a la

adecuacin del Plan de Seguridad:

Anlisis de Contexto

La seguridad de la informacin no es un concepto nuevo ms sin embargo es algo que con forme
pasa el tiempo se van desarrollando nuevas formas de contrarrestar o mitigar los riesgos as como
las personas dedicadas al robo de informacin igualmente avanzan en sus intentos y formas de
acceder a la misma.

La Ingeniera social es la prctica de obtener informacin confidencial a travs de la manipulacin

de usuarios legtimos dndose comnmente dentro del mismo personal de la empresa a la que se
quiere afectar. Es una tcnica que pueden usar ciertas personas, tales como investigadores
privados, criminales, o delincuentes informticos, para obtener informacin, acceso o privilegios
en sistemas de informacin que les permitan realizar algn acto que perjudique o exponga la
persona u organismo comprometido a riesgo o abusos.

Durante el desarrollo del presente proyecto se realizar el anlisis de las responsabilidades

referentes a la seguridad de informacin y como estas son distribuidas dentro de toda la
 Maestra

organizacin y no son de entera responsabilidad del rea de seguridad informtica ya que muchas
veces es la falta de esta definicin la que genera vulnerabilidades.

Debido a que el Banco ABC Capital es una empresa sin mucho tiempo en el mercado los
procedimientos y polticas no son conocidos por los usuarios y en algunos casos no existen
polticas y procedimientos claros que permitan a los auditores internos y externos hacer una
revisin del cumplimiento en comparacin bajo un estndar de seguridad.

Dentro de los distintos aspectos a considerar en la seguridad de la Informacin, se ha podido

observar que se carece de Polticas de seguridad de la Informacin y de una Clasificacin de
Seguridad de los activos de Informacin del Banco

Es necesario se definan los roles de seguridad dentro de la organizacin y uno muy importante y
no definido es el que contenga las funciones de desarrollo y mantenimiento y estndares de
seguridad.

La estrategia que se utilizaremos para la planificacin y desarrollo del presente trabajo, ser
basada en la metodologa Enterprise Security Arquitecture (ESA) para el diseo de un modelo de
seguridad, como marco general establece el diseo de polticas, normas y procedimientos de
seguridad para el posterior desarrollo de controles sobre la informacin de la empresa.

A nivel poltico de acuerdo a la Universidad Autnoma de Mxico, el derecho surge como un

medio efectivo para regular la conducta del hombre en sociedad, regula la conducta y los
 Maestra

fenmenos sociales a travs de leyes; cabe sealar que el proceso de creacin de las leyes en
Mxico es largo y lento, por esto presenta un grave rezago considerable en materia de leyes
informticas, y los siguientes asuntos deberan de ser legislados:

1. Delitos Informticos
2. Contratos electrnicos y firma electrnica
3. Proteccin de la privacidad y de la informacin
4. Propiedad intelectual
5. Cmputo forense
6. Contenidos en Internet

Primera propuesta de Solucin

Por lo general se argumenta que las organizaciones requieren una Poltica de Seguridad de la
Informacin para cumplir con sus "requerimientos de seguridad de la informacin".

Ciertamente, muchas organizaciones no tienen requerimientos de seguridad de la informacin

como tal, sino que tienen necesidades empresariales que deben desarrollar e implementar. Las
empresas, especialmente las compaas cotizadas en bolsa y las organizaciones
gubernamentales, estn sujetas a las reglamentaciones operacionales de los gobiernos estatales
y locales, as como de los organismos que reglamentan la industria. En el caso de las compaas
cotizadas en bolsa, los funcionarios corporativos deben ser diligentes en sus operaciones y tener
responsabilidad fiduciaria ante los accionistas - estas estipulaciones jurdicas requieren
efectivamente que la organizacin proteja la informacin que utiliza, a la que tiene acceso o que
crea para que la compaa opere con eficiencia y rentabilidad. Entonces surge la necesidad de
proteger la informacin iniciando con el diseo de un Plan de Seguridad de la Informacin (PSI)
que permita desarrollar operaciones seguras basadas en polticas y estndares claros.

Con la finalidad de que la institucin financiera que se ha seleccionado solucione los aspectos de
vulnerabilidad que se van a detectar, analizar evaluar se realizar el diseo de polticas claras,
basadas en estndares ISO aplicables por los responsables designados en los diferentes niveles
de resguardo de informacin del banco ABC Capital, en un periodo de tres semanas as como el
anlisis y orden de la estructura de los sistemas de informacin para un mayor control.