Escolar Documentos
Profissional Documentos
Cultura Documentos
ii
DECLARACIN
Yo, Ing. Anbal Rubn Mantilla Guerra declaro bajo juramento que el trabajo
aqu descrito es de mi autora; que no ha sido previamente presentada para
ningn grado o calificacin profesional; y, que he consultado las referencias
bibliogrficas que se incluyen en este documento.
A travs de la presente declaracin cedo mis derechos de propiedad
intelectual correspondientes a este trabajo, a la Escuela Politcnica Nacional,
segn lo establecido por la Ley de Propiedad Intelectual, por su Reglamento
y por la normatividad institucional vigente.
iii
CERTIFICACIN
Certifico que el presente trabajo fue desarrollado por el Ing. Anbal Rubn Mantilla
Guerra, bajo mi supervisin.
iv
AGRADECIMIENTO
A todos quienes han hecho posible esta Tesis.
DEDICATORIA
A mi amado padre Wilson Mantilla,
por todo el amor prodigado.
vi
INDICE GENERAL
Pg.
RESUMEN. xiii
INTRODUCCION..
xiv
CAPTULO 1.
MARCO DE REFERENCIA..
1.1
1.1.1
Seguridad informtica...
1.1.2
Vulnerabilidades y amenazas..
1.1.3
10
1.1.4
12
1.2
16
1.2.1
16
1.2.2
17
1.2.3
17
1.2.4.
23
1.2.5.
24
1.3
26
1.3.1
26
1.3.2
...
30
1.3.3
.....
35
1.4
40
1.4.1
40
1.4.2
42
1.4.3
43
vii
CAPTULO 2.
DISEO DEL SISTEMA DE GESTIN DE SEGURIDAD DE LA
INFORMACIN PARA COOPERATIVAS DE AHORRO Y CRDITO..
2.1
2.1.1
46
2.1.2
45
47
73
2.2
77
2.2.1
78
2.2.2
84
2.2.3
88
2.2.4
89
2.2.5
91
2.2.6
93
2.3
100
2.3.1
100
2.3.2
102
CAPTULO 3.
CASO DE ESTUDIO...
3.1
106
3.1.1
3.1.2
3.1.3
SEGURIDAD DE LA INFORMACIN
107
Diagnstico
Aspectos evaluados
Resultados.
107
108
108
viii
3.1.4
3.2
110
111
3.2.1
112
3.2.2
121
CAPTULO 4.
CONCLUSIONES Y RECOMENDACIONES.
137
4.1
Conclusiones
138
4.2
Recomendaciones
140
BIBLIOGRAFA...
141
ANEXOS .
144
ANEXO 1
La Norma ISO 27001....
145
ANEXO 2
Documentos exigidos por el ISO 27001
172
ANEXO 3
Estadsticas de las Cooperativas de Ahorro y Crdito Ecuatorianas.
178
ANEXO 4
Cuestionarios preparados para determinar la situacin de la Gestin de la Seguridad
Informtica en las Cooperativas de Ahorro y Crdito...
187
GLOSARIO DE TERMINOS.
204
ix
NDICE DE FIGURAS
Figura 1.1
Figura 1.2
Figura 1.3
Figura 1.4
Figura 1.5
12
Figura 1.6
13
Figura 1.7
14
Figura 1.8
16
Figura 1.9
17
Figura 1.10
18
Figura 1.11
20
Figura 1.12
24
Figura 1.13
36
Figura 1.14
38
Figura 1.15
38
Figura 1.16
39
Figura 1.17
40
Figura 1.18
41
Figura 1.19
43
Figura 2.1
47
Figura 2.2
55
Figura 2.3
57
Figura 2.4
59
Figura 2.5
60
Figura 2.6
63
Figura 2.7
64
Figura 2.8
78
Figura 2.9
79
Figura 2.10
82
Figura 2.11
85
Figura 2.12
87
Figura 2.13
89
Figura 2.14
91
Figura 2.15
Exposicin a riesgos..
95
Figura 2.16
100
Figura 3.1
112
Figura 3.2
117
179
Figura 2
179
Figura 3
180
Figura 4
180
Figura 5
181
Figura 6
Evolucin del activo fijo del total CAC versus bancos privados
181
Figura 7
181
Figura 8
182
Figura 9
182
Figura 10
182
Figura 11
183
Figura 12
183
Figura 13
184
Figura 14
184
Figura 15
184
xi
INDICE DE TABLAS
Tabla 1.1
Tabla 1.2
19
Tabla 1.3
25
Tabla 1.4
36
Tabla 1.5
37
Tabla 2.1
74
Tabla 2.2
75
Tabla 2.3
76
Tabla 2.4
93
Tabla 2.5
94
Tabla 2.6
96
Tabla 2.7
97
Tabla 2.8
98
Tabla 2.9
99
Tabla 2.10
99
Tabla 3.1
109
Tabla 3.2
113
Tabla 3.3
115
Tabla 3.4
116
Tabla 3.5
118
Tabla 3.6
119
Tabla 3.7
120
Tabla 3.8
122
Tabla 3.9
124
Tabla 3.10
125
Tabla 3.11
126
Tabla 3.12
126
Tabla 3.13
127
Tabla 3.14
128
Tabla 3.15
129
Tabla 3.16
130
xii
Tabla 3.17
Tabla 3.18
131
132
Tabla 3.19
133
Tabla 3.20
134
Tabla 3.21
135
Tabla 3.22
136
185
186
xiii
RESUMEN
En esta Tesis se dise un Sistema de Gestin de Seguridad de la Informacin
para Cooperativas de Ahorro y Crdito, en base a la norma ISO 27001, la Ley de
la Superintendencia de Bancos y Seguros, la Ley de Cooperativas de Ahorro y
Crdito, considerando adems, su evolucin y problemtica en el Sistema
Financiero Nacional. De manera metodolgica, cientfica y objetiva, se muestra
como identificar, evaluar y gestionar el riesgo, en Cooperativas de Ahorro y
Crdito, presentando incluso ejemplos para su aplicacin prctica. Este diseo de
Sistema de Gestin, fue aplicado a una Cooperativa de Ahorro y Crdito Caso
de Estudio, demostrndose la validez del mismo. En los Anexos se presenta la
Norma ISO 27001 y sus exigencias documentales, estadsticas de las
Cooperativas de Ahorro y Crdito Ecuatorianas, as como cuestionarios para
determinar las condiciones en las que se encuentra su Seguridad de la
informacin.
xiv
INTRODUCCIN
El trabajo de realizacin de esta Tesis de Grado de Maestra, lo inici con un
anlisis completamente amplio de posibilidades de Temas, relacionados
directamente y de la mejor manera con mi formacin tcnica de Ingeniera en
Electrnica y Control, y mi formacin de posgrado a nivel de Maestra, en Gestin
de las Comunicaciones y Tecnologas de la Informacin. Esto a su vez, directa y
estrechamente relacionado con las necesidades del Pas y de nuestra sociedad, y
de los ms altos propsitos Institucionales de la Escuela Politcnica Nacional, de
contribuir al desarrollo del Pas, como lo ha venido haciendo a lo largo de su
fructfera existencia. Por otra parte tambin estuvo la consideracin fundamental
de que el trabajo de desarrollo de la Tesis estuviera enmarcado en los ms altos y
actuales niveles y avances de la ciencia y la tecnologa. Tambin mantuve
incluidas, las orientaciones fundamentales impartidas por la Facultad en la que
estudi la Ingeniera, y la Facultad en la que estudi la Maestra.
Con el avance de los anlisis correspondientes, fui definiendo el campo de
realizacin de mi Tesis, en el mbito financiero del Pas. Despus fui haciendo
diversos anlisis de posibilidades, llegando a concluir, despus de los anlisis
indicados, estudios y numerosas consultas, que el Tema estara orientado a las
Cooperativas de Ahorro y Crdito, por la cantidad de este tipo de Instituciones que
existen en el Pas, por el monto de participacin en el Sistema Financiero
Nacional, por el nmero de personas vinculadas al Sistema Cooperativo, y por la
evidente necesidad de introducir mejoras en el manejo de las Cooperativas de
Ahorro y Crdito, en el aspecto de la Seguridad de la Informacin. La Ciencia y
Tecnologas aplicables, no se utilizan an en nuestro medio, al menos en forma
significativa, y son tendencias mundiales que van ganando importancia en cada
vez ms pases, a partir de los del primer mundo, con el fin de lograr significativas
y muy importantes mejoras, para hacer de las Organizaciones, como las
Cooperativas de Ahorro y Crdito, Instituciones con las mejores condiciones de
eficiencia, seguridad, crecimiento, y lo que quiz es especialmente importante en
la actualidad, los ms altos ndices de competitividad, a nivel local, regional y
global, de acuerdo a las exigencias de evolucin a nivel mundial.
xv
de
Ahorro
Crdito;
Caso
de
estudio;
Conclusiones
CAPTULO 1.
MARCO DE REFERENCIA
en
sus
cuatro
aspectos
bsicos:
Organizacin,
Personas,
1.1
NATURALEZA
DE
UN
SISTEMA
DE
GESTIN
DE
SEGURIDAD DE LA INFORMACIN
Para toda organizacin, es fundamental contar con un sistema de gestin de
seguridad de informacin. Numerosas organizaciones creen tener sistemas
eficientes y eficaces para proteger y asegurar la informacin; tienen controles,
software para aplicar los controles, disean controles, pero los aplican solo
cuando aparecen los incidentes de seguridad; de manera que actan solo de
forma reactiva, sin tener un enfoque claro y bien estructurado de un sistema para
gestionar la seguridad de la informacin.
En la organizaciones se requiere un sistema que permita asegurar la informacin
de manera preactiva, sin embargo, hay organizaciones que han diseado
verdaderos sistemas de gestin de seguridad de la informacin, pero que al
momento resultan caducos, o incluso no aplican sus controles; otras
organizaciones ni siquiera cuentan con un sistemas de seguridad de la
informacin.
La seguridad de la informacin involucra a la tecnologa, las personas, la
estructura organizacional, las normativas, lo cual hace necesario un amplio
conocimiento sobre la gestin de todos estos recursos. Sin embargo, esta gestin
puede servir de parcialmente, poco o nada si existen fallas de hardware, de
software, fallas humanas, desastres naturales, ataques terroristas, entre otros, sin
que la organizacin haya estado preparada para estos eventos.
Es fundamental en todo este proceso, saber de proteger, de qu proteger, y cmo
proteger, esta es la clave para poder direccional adecuadamente el diseo, la
implantacin y el mejoramiento continuo del sistema de gestin de seguridad de la
informacin.
Dada la competencia que la globalizacin y las nuevas formas de comercio
internacional, las empresas, sin importar su tamao, su actividad o ubicacin,
deben estar preparadas para asegurar su informacin, de manera preactiva, de
manera tal que su productividad mejore, y alcance sus objetivos institucionales.
GENTE
PROCESOS
Aplicaciones
(Web, SAP, people soft)
Servidores de aplicacin
(IIS, SQL, WebSphere, Notes)
Sistemas operativos
(Windows, Unix, Linux, OS/400)
Red
(TCP/IP, FW, Router, Switch)
Dependencias, Amenazas,
Vulnerabilidades, Impacto
Usuarios
Polticas, Estndares,
Procedimientos y controles
TECNOLOGA
Clientes
FIGURA 1.1
Elementos de un sistema informtico 1
ELABORADO POR
Ing. Mantilla Anbal
Administracin
del riesgo
Continuidad
del negocio
Conformidad
Usuarios y
administradore
s del sistema
Disponibilidad
Integridad
Proteccin de
activos y bienes
Actores
Propietarios
del sistema
SI
Fiabilidad
Proteccin
de la marca
Confidencialidad
Requerimientos
Requerimientos
de negocio
FIGURA 1.2
Aspectos de la seguridad informtica2
ELABORADO POR
Ing. Mantilla Anbal
2.
3.
4.
5.
Plano Humano
Sensibilizacin y formacin
Funciones, obligaciones y
responsabilidades del personal
Control y supervisin de los
empleados
Plano Tcnico
Seleccin, instalacin,
configuracin y actualizacin de
soluciones HW y SW.
Criptografa
Estandarizacin de productos
Desarrollo seguro de
aplicaciones
Organizacin
Polticas, Normas y
Procedimientos.
Legislacin
Planes de Contingencia y
Respuesta a Incidentes
Cumplimiento y adaptacin a
la legislacin vigente:
FIGURA 1.3
Planos sobre los que acta la seguridad de la informacin3
ELABORADO POR
Ing. Mantilla Anbal
Reducir la probabilidad de
que se produzcan
incidentes de seguridad.
Revisin y
actualizacin de las
medidas de seguridad
implantadas (auditora)
La Seguridad
como Proceso
Conseguir la rpida
recuperacin de los
daos experimentados.
FIGURA 1.4
3y4
Facilitar la rpida
deteccin de los
incidentes de seguridad
Minimizar el impacto en
el sistema de
informacin.
ELABORADO POR
Confidencialidad
Integridad
Disponibilidad
No repudio
Extorsiones y secuestros
Daos y perjuicios
IMAGEN
VOLUMEN DE NEGOCIO
PRODUCTIVIDAD Y
PRESTACION DEL
SERVICIO
-Disminucin rendimiento
de cliente
-Posibles indemnizaciones a
laboral
terceros
-Interrupciones en
proveedores
-Posibles sanciones
procesos productivos
-Prdida de oportunidades de
- Retraso en entregas
otras partes
negocio
- Cese de transacciones
- Etc.
acciones
- Etc.
-Etc.
TABLA 1.1
Fuente: www.nexusasesores.com
ELABORADO POR
Errores de programacin
Descuido de fabricantes
Virus
Espionaje en redes
Ciber terrorismo
Piratas informticos
Ex - empleados
Lammers
Intrusos remunerados
Consideraciones econmicas
Diversin
Ideologa
Suplantacin de identidad
Introduccin de malware
Denegacin de servicio
Marcadores telefnicos
10
Y LA
Proxy,
planes,
polticas),
pueden
resultar
intiles
ante
el
11
los servicios ofrecidos, realizar pruebas y auditorias peridicas. Junto con estos
aspectos, es fundamental hacer referencia a:
-
Adquisicin de productos
Vigilancia de la red
Copias de seguridad
Antivirus
Servidores de autenticacin
Gestores de contraseas
Firma electrnica
Protocolos criptogrficos
Servidores Proxy
Cortafuegos (firewall)
Zona desmilitarizada
12
13
Personas
Tecnologa
Sensibilizacin y formacin
Seleccin, instalacin,
configuracin y actualizacin de
soluciones HW y SW
Obligaciones y
responsabilidades del personal
Criptografa
Control y supervisin
Estandarizacin de productos
Colectivos a considerar:
Directivos,
Administradores,
Programadores,
Usuarios,
Personal Externo
Desarrollo seguro de
aplicaciones
S.G.S.I
Legislacin
Organizacin
Polticas, Normas y
Procedimientos.
Cumplimiento y adaptacin
a la legislacin vigente:
Planes de Contingencia y
Respuesta a Incidentes
Para esto debe tenerse en cuenta el marco legal, los estndares, las
metodologas, los requerimientos; entre otros aspectos fundamentales.
14
SEGURIDAD DE LA
INFORMACIN
Elementos constitutivos
Necesarios para construir una infraestructura y una
Continuidad del
negocio
Control de acceso
Arquitectura segura de
red y aplicacin
Administracin de:
Configuraciones,
Actualizaciones y
Cambios
Monitoreo de la
seguridad y manejo del
incidente
Auditora, rastreo y
monitoreo de
cumplimiento
Documentacin y
evidencia de procesos
y operaciones
Entrenamiento en
seguridad y
sensibilizacin
FIGURA 1.7
Proyectos que constituyen un SGSI 8
ELABORADO POR
Ing. Mantilla Anbal
un
evento
que
ocasionara
una
interrupcin
mayor
en
su
funcionamiento.
15
mayores
de
una
interrupcin
menor.
Especifica
El Plan de Continuidad del Negocio PCN (o por sus siglas en ingls BCP
Business Continuity Plan) integra el alcance y los objetivos de todos estos
enfoques.
16
1.2
implementacin,
operacin,
monitorizacin,
revisin,
Fuente: www.nexusasesores.com
17
Evolucin normativa
10
Fuente: www.nexusasesores.com
18
C)
D)
FIGURA1.10
Esta Norma adopta el modelo "Planificar, Hacer, Verificar, Actuar" (PHVA), el cual
se aplica para estructurar todos los procesos del SGSI, y tiene por objeto:
establecer, gestionar y documentar el SGSI, responsabilizando a la Direccin,
incluso en el monitoreo, auditoria y mejoramiento continuo.
Para cumplir con este objetivo, la norma ISO 27001 ha sido estructurada de forma
metodolgica con CLAUSULAS y Anexos, que incluyen objetivos de control y
controles, as como tambin su relacin con otras normas ISO. Como punto de
partida, la norma en referencia presenta un prefacio, de manera seguida se
presentan las clusulas y anexos. En la tabla siguiente se muestra esta
estructura:
11
Fuente:www.nexusasesores.com
19
CLAUSULA
INTRODUCCIN
OBJETO
REFERENCIAS NORMATIVAS
TRMINOS Y DEFINICIONES
SECCIN
SUBSECCIN
4.1Requisitos
Generales
4.2.1 Establecer el SGSI
4.2.2 Implementar y operar el SGSI
SISTEMA DE GESTIN DE
SEGURIDAD DE LA
INFORMACIN
4.2 Establecer y
Gestionar el SGSI
4.3 Documentar el
SGSI
5.1 Compromiso de la
direccin
RESPONSABILIDAD DE LA
DIRECCIN
AUDITORAS INTERNAS DEL
SGSI
6
7.1 Generalidades
7.2 Elementos de
entrada para revisin
7.3 Resultados de la
revisin
8.1Mejoramiento
continuo
8
MEJORA DEL SGSI
ANEXOS
B. Informativo
C. Informativo
TABLA 1.2
Estructura de la Norma ISO 27001
ELABORADO POR
Ing. Mantilla Anbal
20
Poltica de seguridad
B)
C)
Gestin de activos
D)
E)
F)
G)
Control de accesos
H)
I)
J)
K)
En la siguiente figura, puede verse como el objetivo final de la norma ISO 27001
es preservar la disponibilidad, la confidencialidad, la integridad, y el no repudio de
la informacin.
21
Poltica de seguridad
Se necesita una poltica que refleje las expectativas de la organizacin en materia
de seguridad con el fin de suministrar administracin con direccin y soporte, la
cual tambin se puede utilizar como base para el estudio y evaluacin en curso.
disear
una
estructura
de
administracin
que
establezca
la
Gestin de activos
Muestra la necesidad de un inventario de los recursos de informacin de la
organizacin y con base en este conocimiento, asegurar que se brinde un nivel
adecuado de proteccin.
Fuente: www.nexusasesores.com
22
Control de accesos
Establece la importancia de monitorear y controlar el acceso a la red y los
recursos de aplicacin para proteger contra los abusos internos e intrusos
externos.
23
24
FIGURA1.12
1.2.5
13
Fuente: www.ISO27000.es
25
Japn
2997
Islandia
12
Oman
India
435
Pakistn
12
Per
Reino Unido
370
Holanda
11
Portugal
Taiwn
221
Singapur
11
Vietnam
China
180
Filipinas
10
Bangladesh
Alemania
112
Federacin Rusa
10
Canad
USA
85
Araba Saudita
10
Isla de Man
Korea
82
Grecia
Marruecos
Repblica Checa
70
Eslovenia
Yemen
Hungra
64
Suecia
Armenia
Italia
58
Eslovakia
Blgica
Polonia
35
Sur frica
Egipto
Hong Kong
31
Bahrain
Irn
Espaa
30
Colombia
kazakhstan
Austria
29
Croacia
Kyrgyzstan
Australia
28
Indonesia
Lbano
Irlanda
26
Kuwait
Lituania
Malasia
26
Suiza
Luxemburgo
Brasil
20
Bulgaria
Macedonia
Mxico
20
Gibraltar
Moldavia
Tailandia
20
Noruega
Nueva Zelanda
UAE
18
Qatar
Ucrania
Turqua
17
Sri Lanka
Uruguay
Rumania
15
Chile
Francia
12
Macau
Total
Absoluto
TABLA 1.3
Organizaciones certificadas con ISO 27001 en el mundo, por pases 14
ELABORADO POR
Ing. Mantilla Anbal
14
5206
26
1.3
Las Cooperativas de Ahorro y Crdito han alcanzado una participacin que llega
al 10% del Sistema Financiero Nacional, incidiendo directamente en la actividad
de aproximadamente tres millones de personas. Existen en el Ecuador alrededor
de mil trescientas Cooperativas de Ahorro y Crdito, de las cuales solo algo ms
de treinta son controladas por la Superintendencia de Bancos y Seguros. En
forma general, ao tras ao, desde hace cinco aos, los depsitos y el nmero de
socios de las Cooperativas de Ahorro y Crdito han ido en aumento. A
continuacin se presenta el aspecto reglamentario y estadsticas referentes a este
sector de la economa.
1.3.1
27
de
Bancos
Seguros,
denominadas
instituciones
prdidas
financieras
atribuibles
al
riesgo
operativo,
deben
ser
Procesos
Personas
Tecnologa de informacin
Eventos externos
28
debe
asumir,
compartirlo,
evitarlo
transferirlo,
reduciendo
sus
29
Evaluar y someter a aprobacin del directorio u organismo que haga sus veces
los planes de contingencia y de continuidad del negocio, asegurar la
aplicabilidad y el cumplimiento de los mismos
30
1.3.2
La Asamblea General
B)
El Consejo de Administracin
C)
El Presidente
D)
El Comit de Auditoria
E)
El Comit de Crdito
F)
G)
H)
A.
31
Conocer y resolver las reformas del estatuto social, las que entrarn en
vigencia una vez aprobadas por la Superintendencia.
32
B.
Sancionar
los
socios
que
infrinjan
las
disposiciones
legales,
33
C.
EL PRESIDENTE DE LA COOPERATIVA
D.
EL COMIT DE AUDITORA
E.
EL COMIT DE CRDITO
Cada cooperativa tendr un comit de crdito integrado por tres miembros, dos de
los cuales sern designados por el Consejo de Administracin de entre los
funcionarios de la entidad, y por el Gerente General de la cooperativa quien lo
presidir. La funcin de comit ser resolver sobre las solicitudes de crdito en el
34
F.
para
lo
que
informar
previamente
al
Consejo
de
G.
35
H.
36
A)
9,0%
8,0%
7,0%
6,0%
PORCENTAJE DE
5,0%
PARTICIPACION
4,0%
3,0%
2,0%
1,0%
0,0%
2001
2002
2003
2004
PERIODO
15
37
TIPO
Nmero de Instituciones
Activos
(Millones de USD)
Participacin en
el mercado (%)
CAC
Supervisadas
39
1343
8,3
CAC No
Supervisadas
1300
300
2,0
TABLA 1.5
Participacin de cooperativas en el sistema financiero nacional en ao 200717
ELABORADO POR
Ing. Mantilla Anbal
B)
NMERO DE SOCIOS
16
17
38
1500
1000
500
0
2001
2002
2003
2004
2005
2006
2007
2008
PERIODO
C)
DEPSITOS
En la figura siguiente, puede verse como han evolucionado los depsitos en las
Cooperativas de Ahorro y Crdito controladas, de acuerdo a informacin de la
Superintendencia de Bancos y Seguros. En el 2005 los depsitos alcanzaban los
540 millones de dlares, mientras que para el ao 2008 se haba alcanzado la
cifra de 1100 millones de dlares, es decir que se haba duplicado.
DEPOSITOS EN
CAC EN MILLONES DE
USD
1200
1000
800
600
400
200
0
2005
2006
2007
2008
PERIODO
39
D)
CARTERA
1400
1200
1000
CARTERA EN MILLONES
DE DOLARES
800
600
400
200
0
2005
2006
2007
2008
PERIODO
40
1.4
Riesgos
Financieros
Estructura
Rentabilidad
De Crdito
De Liquidez
De tasa de
inters
De Mercado
De Moneda
Riesgos de
Negocios
Riesgos de
Poltica
Riesgo pas
Riesgo de Crisis
Bancarias
Riesgos de
Operaciones
Procesos
Tecnologa
Personas
Incidentes
FIGURA 1.17
Actuacin del SGSI sobre el Riesgo Operativo
ELABORADO POR
Ing. Mantilla Anbal
41
Clientes y negocios
locales
Clientes y negocios
extranjeros
Gobierno
Inversionistas
extranjeros
Regulacin
Inversionistas/socios
potenciales
FIGURA 1.18 Actores del sistema cooperativo 18
ELABORADO POR
Ing. Mantilla Anbal
18
42
43
Servicios tradicionales
Operacin regional-global
Operacin local
Presencia en el mercado
Evolucin
Incremento en valor
Reglamentacin local
Reglamentacin internacional
Reconocimiento
FIGURA 1.19
Retos de las Cooperativas de Ahorro y Crdito 19
ELABORADO POR
Ing. Mantilla Anbal
Dado que la norma ISO 27001:2005, esta enfocada en los procesos, en la mejora
continua, en base al ciclo de Deming (planificar, actuar, medir, corregir), es un
excelente soporte para lograr el xito organizacional en la Gestin de la
Seguridad de la Informacin.
En el mbito regional latinoamericano, existen tambin grandes desafos para las
Cooperativas de Ahorro y Crdito; estos son:
Los desafos en el mbito regional latinoamericano son:
1.
2.
3.
4.
Competitividad y calidad
19
44
5.
6.
Responsabilidad social
7.
Cumplimiento de estndares
8.
9.
20
CAPTULO 2.
DISEO DEL SISTEMA DE GESTIN DE SEGURIDAD DE
LA INFORMACIN PARA COOPERATIVAS DE
AHORRO Y CRDITO
46
de Ahorro y Crdito,
2.1
ANLISIS
DETERMINACIN
DEL
SGSI
PARA
47
ESTABLECER EL SGSI
4.2.1
4.3 DOCUMENTACION
4.3.1 Generalidades
4.3.2 Control de documentos
4.3.3 Control de registros
5. RESPONSABILIDAD DE LA DIRECCION
5.1 Compromiso de la direccin
5.2 Gestin de los recursos
IMPLEMENTAR
Y OPERAR EL
SGSI
4.2.2
REVISIN GERENCIAL
MANTENER Y
MEJORAR EL
SGSI
4.2.4
MONITOREAR Y REVISAR EL
SGSI 4.2.3
CLAUSULAS FOCALES
CLAUSULAS GLOBALES
FIGURA 2.1
Secciones de la Clusulas focales y globales de la Norma ISO 2700121
ELABORADO POR
Ing. Mantilla Anbal
INTRODUCCIN
El modelo ISO 27001:2005 est diseado bajo una ptica de enfoque a procesos.
El SGSI est conceptualizado para funcionar en cualquier tipo de organizacin,
operando bajo el enfoque de procesos, sin embargo, cada SGSI se elabora de la
manera ms adecuada para cada empresa. En el caso de las Cooperativas de
Ahorro y Crdito, son un sector en constante crecimiento, que representa a una
21
48
parte importante del Sistema Financiero Nacional, razn por la cual requieren un
SGSI acorde a su naturaleza y objetivos.
CLUSULA 1.
OBJETO
En esta clusula se indica los requerimientos del estndar que no pudiesen ser
aplicados debido a la naturaleza de una organizacin y su negocio, considerando
as, exclusiones. Adems especifica los requisitos para la implementacin de
controles de seguridad adaptados a la organizacin o parte de ella. El objeto en
este caso, hace referencia a las ms de mil trescientas Cooperativas de Ahorro y
Crdito Ecuatorianas, considerando que dependiendo de los montos que
manejan, estructura y organizacin, tienen, unas ms que otras, la posibilidad de
enfocarse en los procesos de la norma ISO 27001.
CLUSULA 2.
REFERENCIAS NORMATIVAS
la
norma
ISO
27001,
son
aquellas
establecidas
por
la
CLUSULA 3.
TRMINOS Y DEFINICIONES
49
CLUSULA 4.
Los Requisitos Generales para los SGSI de las Cooperativas de Ahorro y Crdito,
son aquellos propios a la naturaleza, operacin y riesgos
sometidas.
La implementacin de un SGSI requiere el despliegue de recursos significativos;
por esto las organizaciones deben estar conscientes sobre sus razones para
implantar el sistema. Diferentes organizaciones tendrn distintos estmulos para
implantar el SGSI. Los motivos podrn estar derivados de aspectos regulatorios,
legales, su estado, el tamao de la firma, su ubicacin geogrfica, el tipo de
negocio en que estn inmiscuidas o el servicio que ofrecen. La razn de por qu
implementar el SGSI, debe estar claramente documentada, y debe plantear los
costos en contraposicin a los beneficios que puedan obtenerse al incrementar la
habilidad, al gestionar el riesgo de la informacin en la empresa.
50
ESTABLECRE EL SGSI
Las fases que se listan a continuacin, son aquellas que deben seguirse para
poder establecer el SGSI:
A)
B)
C)
D)
E)
51
F)
G)
H)
I)
A.
52
B.
debiendo
ser
revisadas
peridicamente
para
asegurar
su
aplicabilidad en la organizacin.
Diseo claro de los procesos, los cuales deben ser adaptables y dinmicos
53
del
Consejo
de
Administracin.
Mientras
que
el
Consejo
de
C.
se establece el marco
conceptual para escoger el enfoque para hacer el clculo del riesgo, describiendo
los elementos obligatorios que el proceso del clculo del riesgo debe contener.
Los elementos obligatorios a tener en cuenta son:
-
54
Cobertura de todos los aspectos del alcance del SGSI. El enfoque escogido
por la empresa, para el clculo del riesgo debe contemplar un anlisis
exhaustivo de todos los controles presentados en el Anexo A del ISO
27001:2005.
55
D.
IDENTIFICACIN DE
ACTIVOS DE
INFORMACIN
TASACIN DE
ACTIVOS DE
INFORMACIN
IDENTIFICACIN
DE AMENAZAS Y
POSIBILIDADES
DE OCURRENCIA
IDENTIFICACIN DE
VULNERABILI
DADES Y
POSIBILIDADES DE
SER EXPLOTADAS
POR LAS
MAENAZAS
ESTIMACIN DE LA
EXPOSICIN AL
RIESGO DE LOS
ACTIVOS DE
INFORMACIN
PRIORIZACIN DE
LAS AMENAZAS
POR SU
EXPOSICIN AL
RIESGO
FIGURA 2.2
ELABORADO POR
22
56
57
AMENAZAS
NATURALES
AMENAZAS A
INSTALACIONES
AMENAZAS
HUMANAS
AMENAZAS
TECNOLOGICA
AMENAZAS
OPERACIONALES
AMENAZAS
SOCIALES
Para que una amenaza cause dao a algn activo de informacin tendra que
explotar una o ms vulnerabilidades del sistema, aplicaciones o servicios usados
por la organizacin a efectos de poder ser exitosa en su intencin de hacer dao.
Una vez identificadas las distintas amenazas que pueden afectar un activo, se
debe evaluar su posibilidad de ocurrencia. Una amenaza con baja posibilidad de
58
59
Una vez identificadas las vulnerabilidades, por cada una de ellas, se debe evaluar
la posibilidad de que sean explotadas por la amenaza; para ello se puede utilizar
la escala de Likert: 1 Muy bajo,hasta 5 Muy alto.
Las vulnerabilidades y las amenazas deben presentarse juntas, para poder causar
incidentes que pudiesen daar los activos.
Control de acceso
Seguridad de
los recursos
humanos
Mantenimiento,
desarrollo y adquisicin
de sistemas de
informacin
Seguridad fsica
y ambiental
Gestin de
operaciones y
comunicacin
Entre las amenazas, existen las vulnerabilidades, los riesgos y los activos de
informacin, una secuencia de relacin de causalidad y probabilidad de
ocurrencia.
60
Amenazas
CAUSA
Vulnerabilidad
PROBABILIDAD
Riesgo
Activos de
informacin
EFECTO
23 Fuente:
61
Evaluar el riesgo
Una vez realizado el clculo del riesgo por cada activo, en relacin con su
amenaza, se debe determinar cules son aquellas amenazas cuyos riesgos son
los mas significativos. A este proceso se denomina evaluacin del riesgo.
Los criterios que Alberto Alexander, Ph.D. recomienda para determinar los niveles
o importancia del riesgo son:
-
E.
62
63
(1)
OPCIN DE REDUCCIN DEL
RIESGO
SI
LOS CONTROLES
ES ECONMICAMENTE FACTIBLE
IMPLANTARLOS?
NO
(2)
OPCIN DE EVITAR EL
RIESGO
NO
SI
(3)
OPCIN DE TRANSFERENCIA
DEL RIESGO
LOS CONTROLES
PERMITEN REDUCIR
EL RIESGO A
NIVELES
ACEPTABLES?
NO
(4)
OPCIN DE ACEPTACIN DEL
RIESGO
SI
Riesgo residual
Despus de implementar las decisiones relacionadas con el tratamiento de un
riesgo, siempre habr un remanente de ese mismo riesgo. Justamente el riesgo
que queda, despus de implantar el plan de tratamiento, se denomina riesgo
residual, que puede ser difcil de calcular, pero por lo menos debe realizarse una
evaluacin para asegurar que logra la proteccin suficiente.
Si el riesgo residual se considerara inaceptable, deben tomarse decisiones para
resolver su caso. Una opcin es identificar diferentes opciones de tratamiento de
riesgo; otra es instaurar ms controles, o hacer arreglos con aseguradoras para
24
64
Nivel de riesgo
Riesgo residual
Contramedidas implantadas
(esfuerzo tcnico y econmico)
FIGURA 2.7 Nivel de riesgo residual 25
ELABORADO POR Ing. Mantilla Anbal
F.
SELECCIONAR
LOS
OBJETIVOS
DE
CONTROL
PARA
EL
25
65
G.
H.
OBTENER
LA
AUTORIZACIN
DE
LA
DIRECCIN
PARA
gama
de
subactividades
requeridas
para
poder
distribuir
las
I.
Todos los objetivos de control y controles escogidos del Anexo A forman parte de
la declaracin de aplicabilidad. La declaracin de aplicabilidad debe incluir todos
los objetivos de control, los controles seleccionados y se exige que se haga una
breve explicacin de las razones para su seleccin. Tambin deben incluirse los
objetivos de control y controles existentes y, por ltimo, detallarse la exclusin de
cualquier objetivo de control y controles del Anexo A, con la respectiva explicacin
de su exclusin.
66
67
DOCUMENTAR EL SGSI
CLUSULA 5.
68
69
70
de
las
aplicaciones,
formalmente
establecidos,
que
Conocer
aprobar
esquemas
de
administracin,
que
incluyan
71
CLUSULA 6.
Esta clusula establece que la organizacin debe realizar auditorias internas del
SGSI a intervalos planeados para determinar si los objetivos, controles, procesos
y procedimientos de su SGSI.
El esquema de administracin del riesgo operativo de las instituciones controladas
debe estar sujeto a una auditoria interna efectiva e integral, por parte de personal
competente, debidamente capacitado y operativamente independiente. La funcin
de auditoria interna coadyuva al mejoramiento de la efectividad de la
administracin de riesgos a travs de una evaluacin peridica, pero no es
directamente responsable de la gestin del riesgo operativo. Al auditar una
entidad financiera, esta mejora en su continuidad y credibilidad de clientes y
usuarios. Es la Asamblea General de la Cooperativa de Ahorro y Crdito, quien
debe designar al auditor interno y al auditor externo, de las listas de personas
calificadas por la Superintendencia, que le presente el Consejo de Administracin
de la propuesta realizada por el comit de auditora, as como a removerlos de
conformidad con la ley. De esta manera, es el Consejo de Administracin quien
debe presentar a la asamblea general la terna de personas calificadas por la
Superintendencia para la designacin de auditor interno y auditor externo, previa
propuesta presentada por el Comit de Auditora.
72
CLUSULA 7.
Detalle de los eventos de riesgo operativo, agrupados por tipo de evento; las
fallas o insuficiencias que los originaron relacionados con los factores de
riesgo operativo y clasificado por lneas de negocio;
73
sus correspondientes
74
VALOR
DEL
CONFIDENCIALIDAD INTEGRIDAD DISPONIBILIDAD
PROPIETARIOS
ACTIVO
ACTIVOS DE
INFORMACIN
BD
AHORRO
CLIENTE
SERVIDOR DE BD
COPIAS
RESPALDO
DE
SISTEMAS
SISTEMAS
SISTEMAS
En este ejemplo, siguiendo la metodologa establecida, la confidencialidad, la integridad y la disponibilidad, han sido evaluados
de 1 a 5, dependiendo del activo de informacin, y su trascendencia para la organizacin. El valor del activo se obtiene
promediando y aproximando a nmero entero, los valores de confidencialidad, integridad, y disponibilidad. As, el valor del activo
de informacin denominado BD- Ahorro Cliente (base de datos de ahorros de los clientes), es igual a (5+5+4)/3= 4.67, con lo
cual, el valor entero aproximado es 5. Esto representa un valor muy alto para la organizacin.
Una vez determinado el activo de informacin se establece quien es el propietario del mismo, para establecer as
responsabilidades claras y definidas. Todo esto puede apreciarse en la tabla 2.1 .
Para cada activo de informacin se determinan las amenazas y la posibilidad de que ocurran en una escala de 1 a 5, de acuerdo
a la metodologa establecida. Se determinan las vulnerabilidades, y en una escala de 1 a 5 se establece la posibilidad de que
una amenaza atraviese a una vulnerabilidad.
75
ACTIVOS
DE INFORMACIN
BD
AHORRO
CLIENTE
SERVIDOR DE BD
COPIAS
RESPALDO
DE
AMENAZA
POSIBILIDAD DE
OCURRENCIA
VULNERABILIDADES
POSIBILIDAD
DE QUE AMENAZA
EXPLOTE A UNA
VULNERABILIDAD
Virus
Falta de antivirus
Dao del HD
Falla tcnica
Dao de
partes
Falla tcnica
Virus
Software
desactualizado
Dao fsico
Mal
almacenamiento
POSIBILIDAD
DE OCURRENCIA DE
AMENAZA
VALOR
TOTAL
DEL
RIESGO
20
15
12
VALOR DE
ACTIVOS
DE
RIESGOS
TABLA 2.2
Evaluacin total del riesgo de los activos de informacin
ELABORADO POR Ing. Mantilla Anbal
Se toma el valor ms elevado de la posibilidad de que una vulnerabilidad sea atravesada por una amenaza, y se multiplica por
el valor del activo de informacin. El valor obtenido, representa el riesgo al cual se encuentra expuesto el activo de informacin.
As, en la tabla 2.2 puede verse que la posibilidad de que el disco duro con la base de datos de ahorros de clientes se dae por
falla tcnica es igual a 4, mientras que la posibilidad de que virus afecten a la misma base de datos, es igual a 3. Por esta razn,
se toma el valor ms alto, esto es 4, y se multiplica por el valor del activo de informacin, en este caso igual a 5. La
multiplicacin de estos dos valores es igual a 20, que representa el riesgo al cual esta expuesta esta base de datos.
76
ACTIVOS
DE INFORMACIN
(en orden de prioridad)
BD AHORRO CLIENTE
ORDEN DE
PRIORIDAD
COPIAS DE RESPALDO
A.8.1.1
A.8.2.3
1
-Elaborar un programa detallado de capacitacin para crear
conciencia sobre la importancia de la seguridad de la informacin.
SERVIDOR DE BD
CONTROLES
A.8.2.2
A.6.1.3
A.9.2.3
A.9.2.4
A.10.4.1
A.8.2.3
A.10.5.1
TABLA 2.3
Priorizacin, planes para tratamiento del riesgo y controles
ELABORADO POR Ing. Mantilla Anbal
Una vez evaluado el riesgo para cada activo de informacin, se establece el orden de prioridad, se analizan las opciones para el
tratamiento del riesgo, y se elaboran planes. Del Anexo A (normativo) de la norma ISO 27001, se seleccionan los controles y los
objetivos de control a aplicarse en cada uno de los planes para el tratamiento del riesgo.
Esto puede verse en la tabla 2.3.
77
2.2
(Ph.D.
Gestionar el riesgo
78
entregables
FASE I
Gestionar el
Riesgo
entregables
Impacto al Negocio
Procesos crticos,
operacionales y
financieros
Requerimientos de
recuperacin
FASE IV
Desarrollar
un Plan de
Continuidad del Negocio
Riesgo y Controles
Amenazas, exposiciones, niveles de riesgo y
controles.
FASE III
FASE II
Analizar el impacto
al negocio
Estrategia de Continuidad
Recursos crticos,
opciones, servicios y
mtodos de recuperacin
entregables
Desarrollar el plan
de reanudacin de
operaciones
Plan de Continuidad
del Negocio
Documentado
FASE V
Ensayar el Plan de
Continuidad de
Negocio
entregables
Plan de Continuidad
del Negocio
Validado
26
79
necesario identificar los controles a instaurar para minimizar el dao del impacto
de un posible desastre en la empresa.
En la metodologa del PCN, un resultado esperado del clculo del riesgo es
determinar los distintos escenarios de amenazas que pueden presentarse a los
procesos esenciales de la empresa, los cuales se usarn para elaborar las
estrategias de continuidad y desarrollo de los planes de reanudacin de
operaciones.
Identificar
las
distintas
amenazas
que
podran
impedir
el
normal
C)
Revisar los controles actuales para reducir el riesgo o mitigar las prdidas.
D)
E)
Identificar las
Amenazas
Identificar las
Vulnerabilidades
Calcular el Nivel de
Exposicin al Riesgo
Determinar los
Escenarios de
Amenazas
FIGURA 2.9
Metodologa para el clculo del riesgo 27
ELABORADO POR
Ing. Mantilla Anbal
27
80
A.
Las amenazas que se desea identificar son aquellas que afectan los activos de
las funciones organizacionales. El mtodo recomendado para buscar las
amenazas tiene dos etapas:
Anlisis general de amenazas. Aqu se revisan las distintas potenciales
amenazas que pueden afectar la organizacin. Uno de los objetivos de esta etapa
es identificar las exposiciones especficas que puedan requerir medidas
protectoras y as minimizar la probabilidad de que las amenazas pudiesen causar
dao a la organizacin. Este anlisis es conducido en las instalaciones de la
empresa y puede usualmente atender los aspectos siguientes: ubicacin de
instalaciones, seguridad interna y externa, ambiente fsico, proteccin de activos,
proteccin del personal, proteccin de informacin y anlisis de la cobertura de
plizas.
Anlisis de procesos esenciales. Aqu, en esta investigacin se hace especial
hincapi en las interrupciones a las que los procesos esenciales estn expuestos
por la prdida de recursos bsicos, tales como: instalaciones, sistemas de
cmputo, registros vitales, sistemas telefnicos, personal clave, conectividad de la
red, equipo especializado, materias primas y material de empaque. En este nivel
de anlisis el objetivo es identificar las funciones organizacionales que tienen la
mayor exposicin a la interrupcin, y poder identificar los recursos de los que
dependen las funciones organizacionales.
81
B.
C.
D.
82
E.
Una vez calculada la exposicin al riesgo por cada amenaza potencial y por
funciones organizacionales en la empresa, se elaboran escenarios particulares de
riesgos que la empresa pudiera tener y el dao que pudiesen causar a las
operaciones de la empresa.
Los escenarios de amenazas se clasifican desde los menos graves, que en este
caso son el escenario 1, hasta los ms complejos que son el escenario 5. Para
cada escenario identificado, se requiere elaborar, segn la metodologa del PCN,
las FASES III, IV Y V. Es decir, para cada escenario hay que desarrollar las
respectivas estrategias de continuidad del negocio, los planes de continuidad y los
ensayos respectivos para cada plan.
Los escenarios, de acuerdo a las amenazas pueden relacionarse de la manera
siguiente:
NIVEL 1
NIVEL 2
-Amenazas para
la continuidad de
uno o ms
procesos, debido
a la prdida de un
recurso nico
pero critico en
una de las
instalaciones de
la organizacin
- Una amenaza
para la
continuidad de
muchos
procesos,
debido a un
evento que
proviene
acceso a una de
las
instalaciones
de la
organizacin,
pero no daa
recursos
crticos
NIVEL 3
-Amenazas para
la continuidad de
varios procesos,
debido a un
evento que daa o
destruye un
nmero de
recursos crticos
en una de las
instalaciones de
la organizacin.
NIVEL 4
NIVEL 5
-Una amenaza
para la
continuidad de
varios procesos,
debido a un
evento que
totalmente
destruye una de
las instalaciones
de la
organizacin, y
recursos crticos.
- Una amenaza
para la
continuidad de
muchos
procesos.
-Prdida de las
instalaciones
crticas
compartidas.
-Evento que
causa dao a
ms de una
instalacin
-Prdida del
equipo
gerencial.
FIGURA 2.10
Escenarios de riesgos en la organizacin28
ELABORADO POR
Ing. Mantilla Anbal
28
Fuente:www.eficienciagerencial.com
83
84
Identificar
los
requerimientos
de
recursos
indispensables
para
el
B)
C)
85
D)
E)
F)
EVALUAR
LOS IMPACTOS
FINANCIEROS
ESTABLECER LOS
TIEMPOS DE
RECUPERACIN
EVALUAR LOS
IMPACTOS
OPERACIONALES
IDENTIFICAR
LOS PROCESOS
CRTICOS
IDENTIFICAR LOS
REQUERIMIENTOS
DE RECURSOS
GENERAR UN
INFORME DEL BIA
FIGURA 2.11
Pasos para elaborar un BIA
ELABORADO POR
Ing. Mantilla Anbal
A.
29
2.
3.
4.
B.
29
86
C.
procesos
crticos
del
negocio.
Considerando
usualmente
la
2.
3.
4.
D.
87
MTD
RTO
RPO
Datos
perdidos
WRT
Procesar
amontona
miento de
trabajo
Recuperara
amontona
miento de
trabajo
Recuperara
datos
perdidos
Recuperacin manual
de datos
Recolectar datos
manualmente
Procedimientos
normales
Procedimiento
manual
Procedimientos
manuales de
emergencia
ULTIMO
BACKUP
EVENTO
ALTERADOR
SISTEMAS Y
RECURSOS
RECUPERADOS
INICIO DE
PROCESAMIENTO
FIGURA 2.12
Tiempos para la recuperacin ante un desastre 30
ELABORADO POR
Ing. Mantilla Anbal
E.
Fuente: www.eficienciagerencial.com
88
F.
Los resultados de los pasos que han precedido se resumen en esta fase para
convertirlos en una gua para el BIA.
PARA EL PLAN DE
CONTINUIDAD
Aqu se evalan los requerimientos y se identifican las opciones para la
recuperacin de procesos crticos y sus recursos, en el escenario en que fuesen
interrumpidos por un desastre.
Por cada escenario de amenazas se elaboran estrategias que contemplen los
escenarios de amenazas identificados.
El propsito de esta fase del proceso BCP es desarrollar estrategias de
continuidad del negocio, que satisfagan los requerimientos de recuperacin
identificados en la etapa del BIA, y en los escenarios de amenazas.
El diseo de una estrategia de continuidad consiste de cuatro fases secuenciales:
aquellas
opciones
que
no
cumplen
aquellos
tiempos
de
89
Identificar reas de
trabajo
requeridas
centro de comando
Identificar sistemas de
TI requeridos
Identificar requerimientos
de produccin, equipos,
alternativas de
produccin
Requerimientos de
datos vitales,
documentos y
registros
reas de trabajo
Sistemas de TI
Produccin
Documentos
Evaluar opciones de
recuperacin
Seleccionar opciones
de recuperacin
Documentar
estrategias de
continuidad
FIGURA 2.13
Desarrollo de una estrategia de continuidad31
ELABORADO POR
Ing. Mantilla Anbal
2.2.4 FASE
IV:
DESARROLLAR
EL
PLAN
DE
REANUDACIN
DE
OPERACIONES
Basado en las fases previas, se establece los procedimientos y lineamientos
concretos para la recuperacin y el restablecimiento de los recursos daados, y
los procesos cuyo desempeo se ha interrumpido.
El objetivo del plan de reanudacin de operaciones es la recuperacin de
procesos crticos en un determinado tiempo.
Un plan de reanudacin de operaciones son una serie de actividades
31
Fuente: www.eficienciagerencial.com
90
Es un conjunto de especialistas en
tecnologa de informacin que pueden ser activados por el grupo comando para
restablecer la infraestructura tecnolgica, los sistemas de computacin o los datos
electrnicos.
Grupo de apoyo. Es un conjunto especializado que puede ser activado por el
grupo comando para ayudar a gestionar las variadas actividades que demanda el
incidente.
La estructura del equipo para la continuidad del negocio es lo que har que los
planes funcionen o no. No existe una estructura estandarizada de equipos. El
establecimiento de una estructura que sea la correcta para la organizacin es
vital.
Los factores que deben tomarse en cuenta, al estructurar los equipos, son los
siguientes:
-
Tamao de la organizacin,
Estructura organizacional,
Cultura organizacional,
91
Estrategias de continuidad,
RESPUESTA
INICIAL Y
EVALUACIN
MEDIDAS DE
CONTINGENCIA
PROVISIONALES
APROVISIONAMIENTO
DE
RECURSOS
REANUDACIN
DE
OPERACIONES
RECONSTITUCIN
B)
B)
92
D)
Interrupcin completa. Este ensayo activa todos los componentes del plan
de reanudacin de operaciones. Este ensayo parte del hecho de que todos
los procesos esenciales se han alterado.
93
Dada la importancia que tiene el BCP, para que una organizacin pueda
recuperarse rpidamente y continuar operando, cuando sus operaciones han sido
gravemente alteradas por causas de desastres, el Sistema de Gestin de
Seguridad de la Informacin basada en la norma ISO 27001, lo enmarca
especficamente en el rea de control Gestin de la Continuidad del Negocio,
correspondiente al control A.14. Para alcanzar la certificacin con esta norma,
este control es obligatorio; debiendo ser confiable, ensayado y mantenido en el
tiempo.
A continuacin se presenta en un ejemplo, de manera resumida el proceso de
elaboracin de un Plan para la Continuidad del Negocio. En este ejemplo, se
presentan, para una Cooperativa de Ahorro y Crdito: la Gestin de Riesgos
(amenazas, nivel de severidad, exposicin - escenario de riesgos), Anlisis del
Impacto
al
Negocio
(funciones,
procesos,
impacto
financiero,
impacto
NIVELES DE SEVERIDAD
Escala
Representacin
No
aplica
Valor
----------
EXPOSICIN AL RIESGO
Baja
Moderada
Alta
10
50
100
Nivel de severidad
cobertura)
TABLA 2.4
Metodologa para el clculo de exposicin al riesgo
ELABORADO POR
Ing. Mantilla Anbal
(100%
94
94
SEVERIDAD
AMENAZAS
POTENCIALES
PRDIDA DE
FINANCIERO
N/A
20 - 39
40 - 59
60 - 79
80 - 99
PRDIDA DE ENTREGA DE
CORREO
SISTEMA
0 -19
SERVICIOS
PRDIDA
DE
TELEFNICO
INFORME
PRDIDA DE SERVICIO DE
FAX
PRDIDA DE
GENERALES
COBERTURA (EN %)
2000
400
100
EXPOSICIN
AL RIESGO
3000
1000
2000
TABLA 2.5
Clculo de exposicin al riesgo ante amenazas potenciales
ELABORADO POR
Ing. Mantilla Anbal
En la tabla 2.5, primero se determina el nivel de severidad en base a una escala de cuatro niveles, esto es N/A= no aplica, B=
Baja, M= Moderada, A= Alta; con sus correspondientes valores, como se indic en la tabla 2.4. De forma seguida se encuentran
los grados de cobertura de la seguridad, clasificados en seis categoras, y luego se calcula la exposicin al riesgo en base a la
ecuacin presentada en la tabla 2.4. Para el caso de este ejemplo, el nivel de severidad de perder la entrega de correo es 50
(nivel de severidad moderado), una cobertura entre 80 y 99. Se escoge siempre el valor ms bajo, esto es 80, y se determina la
exposicin al riesgo, multiplicando 50 con (100 - 80), el resultado obtenido es 50*20=1000, que es la medida de exposicin a
este riesgo.
95
EXPOSICION AL RIESGO
500
1000
1500
2000
2500
3000
3500
En la figura 2.15, una vez calculada la exposicin al riesgo, se presenta de forma comparativa el valor que este alcanz, para
cada amenaza potencial. En base a estos clculos y a los datos de la figura 2.10, se determinan los escenarios de riesgo en los
que pudiera encontrarse la organizacin.
96
Crditos
Marketing
MAGNITUD DE PRDIDA
FINANCIERA DIARIA (en USD)
NIVEL DE
SEVERIDAD
Generacin de solicitudes
700
10000
Promocin de productos
5000
15000
Proceso de solicitudes
30000
Servicio al cliente
TABLA 2.6 Funciones del negocio, procesos e ilustracin de impacto financiero y nivel de severidad
ELABORADO POR Ing. Mantilla Anbal
En el proceso de Anlisis del Impacto al Negocio, es necesario identificar las funciones y los procesos que son utilizadas para
apoyar la misin, las metas y los objetivos donde se encuentra el alcance del Sistema de Gestin de Seguridad de la
Informacin. Estas funciones y procesos son el aspecto fundamental para el Anlisis y Desarrollo del BIA. Una vez determinado
el Impacto financiero, se mide dicho impacto en una base de severidad, basada en el valor de la prdida monetaria. La escala
utilizada es la siguiente: Nivel de severidad 0 (impacto 0), Nivel de severidad 1 (menor impacto), Nivel de severidad 2 (impacto
intermedio), Nivel de severidad 3 (impacto mayor). En este ejemplo de aplicacin resumida de metodologa para gestionar el
riesgo a travs de un Plan de Continuidad del Negocio en CAC, se presenta en la tabla 2.6, dichas funciones y procesos, con su
correspondiente magnitud de prdida (impacto financiero) y nivel de severidad.
97
NEGOCIO
FUNCION
Confianza
inversin
Participacin
mercado
Competitividad
Satisfaccin
cliente
Generacin de solicitudes
Alto
Alto
Altsimo
Alto
Ninguno
Ninguno
Alto
Alto
Mediano
Ninguno
Promocin de productos
Mediano
Bajo
Alto
Mediano
Bajo
Bajo
Alto
Alto
Altsimo
Mediano
Mediano
Alto
Bajo
Mediano
Mediano
PROCESO
Crditos
Marketing
TABLA 2.7
Ilustracin de impactos operacionales
ELABORADO POR Ing. Mantilla Anbal
En la tabla 2.7 se muestra como se mide los Impactos Operacionales, utilizando un esquema de jerarquizacin cualitativa, en
este caso: ninguno, bajo, mediano, alto, altsimo. Con la medicin del Impacto operacional, es posible evaluar el impacto
negativo de una interrupcin, en varios aspectos de las operaciones de la organizacin. Una vez identificados los impactos
financieros y operacionales, se puede con mayor facilidad identificar los procesos crticos del negocio, en funcin de la
severidad y la jerarquizacin del impacto.
98
FUNCIONES CRTICAS
DEL NEGOCIO
PROCESOS CRTICOS
DEL NEGOCIO
MTD
(En das)
PRIORIDAD DE
RECUPERACIN
Generacin de solicitudes
Manejo
cliente
Crditos
Servicio al cliente
problemas
del
SISTEMAS DE TI
APLICACIONES
CRTICOS
TABLA 2.8
Procesos crticos de negocio, prioridad de recuperacin, sistemas crticos de TI y aplicaciones
ELABORADO POR Ing. Mantilla Anbal
En esta tabla se presentan las funciones y procesos crticos del negocio, el MTD (tiempo mximo de inactividad para la CAC sin
colapsar), las prioridades de recuperacin, y los recursos de TI crticos, que se requiere para Gestionar el Riesgo con el Plan de
Continuidad del Negocio.
99
FUNCION
CRTICA
DEL
NEGOCIO
Crditos
PROCESO CRITICO
DEL NEGOCIO
Generacin de solicitudes
APLICACIONES
CRITICAS DEL SISTEMA
A TECNOLOGA
INFORMTICA
RTO
(en das)
WRT
(en Das)
- Sistema de informacin
cliente
-Sistema
entrada
de
solicitud
- Aplicaciones e- mail
2,5
0,5
TABLA 2.9
Valores RTO y WRT para el proceso de generacin de ordenes
ELABORADO POR Ing. Mantilla Anbal
FUNCIONES CRTICAS
DEL NEGOCIO
Crdito
PROCESOS CRITICOS
DEL NEGOCIO
TIPO DE
RECURSO
DETALLES DE
RECURSOS
Maquinara
Equipos
Mquina
escribir
Copiadora
Archivadores
de
Materia prima
Hojas
formularios
Pegamentos
Carpetas
de
Generacin de solicitudes
TABLA 2.10
Recursos crticos de manufactura y produccin
ELABORADO POR Ing. Mantilla Anbal
100
B)
Nivel II - Procedimientos
C)
D)
Nivel IV - Documentos
Manual de
seguridad
Procedimiento
Instrucciones
Registros
32
Fuente: www.eficienciagerencial.com
101
A.
Declaracin de aplicabilidad
B.
NIVEL II - PROCEDIMIENTOS
C.
D.
NIVEL IV - DOCUMENTOS
Este nivel de la pirmide agrupa tanto los registros como los documentos
utilizados en un SGSI.
102
funcionamiento.
A)
B)
C)
D)
E)
F)
G)
H)
103
qu se crea el procedimiento.
Alcance. Aqu se debe definir la amplitud que tiene el procedimiento. Se debe
104
Una vez concluida la labor de desarrollar el procedimiento, hay que ubicar los
documentos que pudiesen presentarse a terceros para dar fe de que se cumpli
105
con los requisitos indicados de la norma, esto es lo que refiere a un registro. Una
metodologa adecuada y bien ejecutada para documentar el ISO 27001, debera
constituir una herramienta poderosa que ayude al establecimiento del SGSI en la
organizacin.
H.
CAPTULO 3.
CASO DE ESTUDIO
107
3.1
3.1.1 DIAGNOSTICO
Para poder realizar el diagnstico, se realiz consultas, entrevistas, y visitas
tcnicas, tanto a la propia Cooperativa, como a otras organizaciones del mbito
del sector cooperativo, entre ellas la FECOAC y a la SBS. Se elabor un conjunto
de preguntas para realizar encuestas, en base a la publicacin Auditoria de la
Tecnologas de la Informacin y Comunicacin de Cooperativas de Ahorro y
Crdito, desarrollado por la Confederacin Alemana de Cooperativas. En este
proceso, entre otras personas, fue fundamental, la participacin de:
-
Presidente de la Cooperativa
Gerente
108
3.1.3 RESULTADOS
Una vez que se proces toda la informacin a la que se tuvo acceso, en la
Cooperativa de Ahorro y Crdito, fue posible realizar un diagnstico cuyos
resultados se presentan en la Tabla 3.1. Estos resultados se presentan de forma
grfica para facilitar su interpretacin.
En cada grfico de pastel, el rea de color azul muestra el grado de cumplimiento
en referencia al SGSI diseado en el captulo II; mientras que el rea blanca
indica la brecha existente con el grado de cumplimiento.
109
N ASPECTOS EVALUADOS
Poltica de seguridad
Organizacin de la seguridad de la
informacin
Gestin de activos
Control de accesos
GRADO DE
CUMPLIMIENTO
11 Cumplimiento Normativo
TABLA 3.1
Indicadores de la situacin actual de la CAC
ELABORADO POR
Ing. Mantilla Anbal
110
111
3.2
Dado que la norma ISO 27001 trabaja sobre un enfoque a procesos, una
aplicacin detallada y puntual de la misma, requiere de un manual de procesos
completa y debidamente establecidos, definidos, documentados y validados.
La aplicacin de la norma en referencia y el modelo del SGSI diseado, a ms de
proteger la informacin, hace ms dinmica la operacin de la organizacin, sin
embargo, si no se ha aplicado una reingeniera de procesos a la organizacin,
esta se vuelve muy lenta en sus operaciones.
Segn la informacin obtenida, la Cooperativa de Ahorro y Crdito del caso de
estudio no cuenta con un manual de procesos documentado, que permita analizar
sobre cada uno de ellos y en su interrelacin, las amenazas, las vulnerabilidades,
y los riesgos; identificando los activos de informacin, los custodios de dichos
activos, y ms elementos que forman parte del SGSI diseado.
Para determinar y evaluar los riesgos en una organizacin, se requiere entre
otros: especialistas en seguridad informtica, encargados de levantar flujogramas
de procesos con los actores de los mismos y su correspondiente validacin, el
compromiso de la Direccin, la participacin activa del personal de la
organizacin, los recursos necesarios, entre otros.
La elaboracin del SGSI para el caso de estudio, muestra la determinacin y
anlisis de los riesgos, a los que esta sometida la Cooperativa, incluidos aquellos
que pudieran resultar desastrosos para la organizacin, en caso de ocurrir. Tanto
la determinacin de riesgos, como el Plan para el tratamiento del riesgo, cubren
los cuatro aspectos que establece el Sistema de Gestin de Seguridad de la
Informacin: Organizacin, Personas, Tecnologa, Marco Legal.
An cuando no es posible aplicar en el caso de estudio, en forma puntual el
modelo diseado con enfoque a procesos, se sigue estrictamente los principios
metodolgicos establecidos, esto es:
-
112
COOPERATIVA DE AHORRO Y
CREDITO DEL CASO DE ESTUDIO
Personal
Tecnolgica
S.G.S.I
Legal
Organizacional
FIGURA 3.1
Aspectos que abarca el SGSI en la Cooperativa del caso de estudio
ELABORADO POR
Ing. Mantilla Anbal
Todas las tablas y su contenido fueron elaboradas por el autor de esta Tesis.
113
AREA: ORGANIZACIONAL
AMENAZA VULNERABILIDAD - RIESGO
IMPLICACIN A LA SEGURIDAD DE LA
INFORMACIN
Gestin de Tecnologas de la
Informacin y Comunicacin
TABLA 3.2
AREA: ORGANIZACIONAL
33
114
IMPLICACIN A LA SEGURIDAD DE LA
INFORMACIN
Medio de comunicacin
Inexistencia
de
manual
de
procesos para la Cooperativa de
Ahorro y Crdito
Inexistencia en el organigrama de
la
Cooperativa,
de
un
departamento
o
persona
destinado a la Gestin de la
Seguridad Informtica
Asalto o robo
Riesgo de incendio
TABLA 3.2
33
115
de sus
Sin embargo, dado que no es posible contar con todo esto para el desarrollo de
esta Tesis, no se desarroll un Plan de Continuidad de Negocio (lo cual en s
mismo podra constituir una Tesis de Grado), sino que se elabor un Plan de
Contingencias para la Organizacin. A continuacin se realiza el clculo de la
exposicin al riesgo a amenazas potenciales a los que est sometida la
Organizacin.
AMENAZAS
POTENCIALES
SEVERIDAD
N/A
AMENAZAS
34
COBERTURA (EN %)
EXPOSICIN
116
POTENCIALES
0 -19
20 39
40 59
60 79
80 99
Prdida de
Personal clave
Prdida debido a
incendios
100
AL RIESGO
1000
8000
Prdida de la red
de computadores
200
Prdida del
sistema de
comunicaciones
con el exterior
400
Prdidas debido a
robo
TABLA 3.4
6000
35
117
EXPOSICIN A RIESGOS
Prdida de personal
clave
Prdidas debido a
incendios
Prdidas de PC/LAN
Prdida del sistema de
comunicaciones
Prdidas debido a robo
0
FIGURA 3.2
1000
2000
3000
4000
5000
6000
7000
8000
Como puede ver en la figura 3.2, los riesgos de prdidas debido a incendios y de
prdidas debido a robo, superan por mucho a las otras prdidas que pudieran
producirse por amenazas potenciales.
36
118
AREA: PERSONAL
IMPLICACIN A LA SEGURIDAD DE LA
INFORMACIN
Actividad Vandlica
Controles
adecuados
para
informacin
almacenada
en
computadores personales
TABLA 3.5
37
119
AREA: TECNOLOGICA
AMENAZA VULNERABILIDAD - RIESGO
IMPLICACIN A LA SEGURIDAD DE LA
INFORMACIN
Computadores personales
Correo electrnico
Conexin a Internet
TABLA 3.6
38
120
AREA: LEGAL
AMENAZA VULNERABILIDAD - RIESGO
Existen aplicaciones
debidas licencias
las
No se cumplen normas de
seguridad en la prevencin y
control de incendios.
TABLA 3.7
39
sin
IMPLICACIN A LA SEGURIDAD DE LA
INFORMACIN
121
122
AREA ORGANIZACIONAL
En esta rea, se plantean los siguientes Subplanes para el tratamiento del riesgo:
-
Clasificar la informacin
Contratar seguros
AREA:
ORGANIZACIONAL
SUBPLAN :
DEFINIR POLITICAS DE SEGURIDAD
OBJETIVO
ACTIVIDADES
POLITICAS DE SEGURIDAD GENERALES PARA LA ORGANIZACIN
- Debe existir un comit de sistemas (informtica), conformado por funcionarios de
reas de administracin, que ser el encargado de avalar los requerimientos de
hardware o software de la CAC.
- Se debe asignar presupuesto por rea, para todo lo que tiene que ver con recursos
de informtica.
- Se debe realizar compras, cambios o eliminaciones de elementos de software o
Hardware, con las debidas justificaciones.
- Deben existir alternativas manuales que garanticen normal desempeo.
- Continuamente deben difundirse las polticas de seguridad
- Contar con respaldo tcnico y garanta tecnolgica.
- Capacitar y entrenar permanentemente a usuarios de computadores
TABLA 3.8 Subplan para Definir polticas de seguridad40
40
123
AREA:
ORGANIZACIONAL
SUBPLAN : (CONTINUACIN)
DEFINIR POLITICAS DE SEGURIDAD
ACTIVIDADES
40
124
AREA:
ORGANIZACIONAL
SUBPLAN:
CLASIFICAR LA INFORMACIN
OBJETIVO
ACTIVIDADES
- Elaborar un inventario de activos de informacin incluyendo informacin
almacenada en medios digitales e informacin impresa.
- Definir responsables por activos identificados.
- Clasificar la informacin en base a los siguientes criterios:
Informacin Restringida (R): Informacin con mayor grado de sensibilidad;
el acceso a esta informacin debe de ser autorizado caso por caso.
Informacin Confidencial (C): Informacin sensible que solo debe ser
divulgada a aquellas personas que la necesiten para el cumplimiento de sus
funciones.
Informacin de Uso Interno (I): Datos generados para facilitar las operaciones
diarias; deben de ser manejados de una manera discreta, pero no requiere de
medidas elaboradas de seguridad.
Informacin General (G): Informacin que es generada especficamente para
su divulgacin al pblico en general. Puede ser de mucha sensibilidad; el
acceso a esta informacin debe de ser autorizado caso por caso.
- Determinar las medidas de seguridad a ser aplicados para cada activo clasificado.
TABLA 3.9
41
125
AREA:
ORGANIZACIONAL
SUBPLAN :
INCORPORAR UN DEPARTAMENTO DE
SEGURIDAD INFORMATICA
OBJETIVO
Contar con un departamento con alta jerarqua organizacional, con capacidad para
intervenir en todos los aspectos de planificacin, ejecucin, control, cambio,
mantenimiento, auditoria y actualizacin, en aspectos relacionados con el Sistema de
Gestin de Seguridad de la Informacin.
ACTIVIDADES
- Crear un Departamento de Seguridad informtica con jerarqua alta y suficiente
para disponer con autoridad e independencia frente a los departamentos usuarios.
- El Departamento de Seguridad informtica debe depender directamente de la
Direccin General, as incluso, no dejar dudas sobre su ecuanimidad.
- El Director de este Departamento debe ser miembro del Comit de Direccin
- Este departamento debe incorporarse al Organigrama de la Cooperativa, y a su
vez, tener su propio organigrama.
- En este departamento deben definirse clara y documentadamente, las
responsabilidades de cada uno de sus miembros, y esta informacin debe darse a
conocer a los miembros de la organizacin relacionados con el departamento.
- Debe asegurarse la segregacin de funciones.
- Una de las responsabilidades del Departamento es el Aseguramiento en la
Calidad del servicio que prestan, en base a estndares y metodologas.
- Es fundamental que el Departamento elabore planes de contingencia para
Hardware, Software y comunicaciones. Documentados, validados y difundidos.
- Participar en la planificacin y adquisicin de los recursos de tecnologas de
informacin que requiere la organizacin, as como de auditorias relacionadas a
este aspecto.
42
126
AREA:
ORGANIZACIONAL
SUBPLAN :
REGISTRAR
E
ACCESOS
A
INFORMATICOS
INVENTARIAR
LOS
LOS
SISTEMAS
OBJETIVO
Controlar de manera adecuada el acceso de los usuarios a los sistemas de la
Cooperativa.
ACTIVIDADES
- Elaborar un inventario de las aplicaciones, los sistemas de la Cooperativa y los
perfiles de acceso en cada caso
- Verificar los perfiles definidos en los sistemas para cada usuario
- Revisar y aprobar los accesos por parte de las gerencias respectivas
- Depurar los perfiles accesos de los usuarios a los sistemas.
- Realizar mantenimiento peridico del inventario.
- Realizar revisiones peridicas de los accesos otorgados en los sistemas
TABLA 3.11
AREA:
ORGANIZACIONAL
SUBPLAN :
ADAPTAR
CONTRATOS
PROVEEDORES
CON
OBJETIVO
Asegurar el cumplimiento de las polticas de seguridad de la Cooperativa en relacin
con los proveedores, y las clusulas de los contratos establecidos con estos.
ACTIVIDADES
- Elaborar clusulas estndar referidas a seguridad de informacin, para ser
incluidas en los contratos con proveedores
- Elaborar un inventario de los contratos existentes con proveedores
- Revisar los contratos y analizar el grado de cumplimiento de la poltica de
seguridad.
- Modificar los contratos en caso de ser necesario.
- Negociar con los proveedores para la inclusin de las clusulas en los contratos.
TABLA 3.12
43
127
AREA:
ORGANIZACIONAL
SUBPLAN :
ELABORAR UN MANUAL DE SEGURIDAD
OBJETIVO
ACTIVIDADES
- Recopilar los registros y documentos relacionados con el Sistemas de Gestin de
Seguridad de la Informacin
- Aplicar una reingeniera sobre las Instrucciones de trabajo, que se realizan en la
Cooperativa, en apego a la Poltica de seguridad.
- Documentar las nuevas instrucciones de trabajo
- Revisar y modificar si es necesario, los procesos y su interrelacin.
- Documentar los procedimientos relacionados con la Seguridad de la Informacin.
- Incorporar en un solo manual, lo siguiente:
Enunciados de la poltica del SGSI
Alcance del SGSI, Procedimientos y controles de soporte
Descripcin de la metodologa de evaluacin del riesgo
Reporte de evaluacin del riesgo
Plan de tratamiento del riesgo
Declaracin de aplicabilidad
Todos aquellos documentos adicionales que la Cooperativa considere
necesarios para la Seguridad de la Informacin.
- Revisar peridicamente la validez de las tareas, instrucciones de trabajo,
procesos, enfoque de los procesos, procedimientos.
45
128
AREA:
ORGANIZACIONAL
SUBPLAN :
CONTRATAR SEGUROS
OBJETIVO
ACTIVIDADES
- Contratar un seguro que posibilite los recursos para enfrentar desastres y poder
aplicar el Plan para la Continuidad del Negocio.
TABLA 3.14
46
129
AREA:
ORGANIZACIONAL
SUBPLAN :
GESTIONAR INCIDENTES DE SEGURIDAD
OBJETIVO
ACTIVIDADES
- Definir un plan de actuacin y de procedimientos ante incidentes de seguridad,
con la adecuada documentacin de los mismos.
- Comprobar que el plan cumple con los requisitos legales
- Adquirir los medios tecnolgicos que faciliten la Gestin de incidentes
- Aislar los equipos afectados por el incidente
- Capturar y proteger toda la informacin relacionada con el incidente
- Analizar la informacin del incidente para catalogarlo
- Comunicar sobre el incidente a quienes tengan la competencia del caso
- Aplicar soluciones de acuerdo al plan de actuacin
- Eliminar los medios que faciliten un nuevo incidente similar
- Recuperar la actividad normal de los sistemas afectados
- Identificar las lecciones y conclusiones de cada incidente
- Incorporar las lecciones aprendidas a las Polticas
TABLA 3.15
47
130
AREA:
ORGANIZACIONAL
OBJETIVO
Elaborar de manera documentada y normativa, un plan que permita prevenir
incendios, actuar adecuadamente durante el siniestro, establecer condiciones
adecuadas para la organizacin despus del siniestro. En esencia, minimizar las
potenciales prdidas en la Cooperativa, y si es posible evitar el incendio.
ACTIVIDADES
-
TABLA 3.16
48
131
AREA PERSONAL
AREA:
PERSONAL
SUBPLAN :
CONCIENTIZAR A LOS FUNCIONARIOS Y
EMPLEADOS DE LA COOPERATIVA
OBJETIVO
ACTIVIDADES
- Establecer como prioridad, la interiorizacin de la necesidad y conveniencia de
tener un adecuado Sistema de Gestin de Seguridad de la Informacin, hasta que
llegue a ser parte de la cultura organizacional de la Cooperativa.
- Definir de forma fcilmente comprensible el mensaje a transmitir y material a ser
empleado para los distintos grupos de usuarios, entre ellos:
Personal en general: informacin general sobre seguridad, polticas y
estndares incluyendo proteccin contra virus, contraseas, seguridad fsica,
sanciones, correo electrnico y uso de Internet.
Personal de Sistemas: Polticas de seguridad, estndares y controles
especficos para la tecnologa y aplicaciones utilizadas.
Gerencias y jefaturas: Monitoreo de seguridad, responsabilidades de
supervisin, polticas de sancin. Identificacin del personal de cada
departamento que se encargar de actualizar a su propio grupo en temas de
seguridad.
- Establecer un cronograma de capacitacin, el cual debe incluir a los empleados
nuevos.
TABLA 3.17
49
132
AREA:
PERSONAL
SUBPLAN :
CAPACITAR AL PERSONAL EN USO
SEGURO DE LOS SERVICIOS DE INTERNET
OBJETIVO
ACTIVIDADES
- Interiorizar en las personas, las responsabilidades, amenazas y riesgos que puede
correr la persona y la Cooperativa cuando no usa de manera segura el Internet.
- Limitar el acceso a Internet a los usuarios, dependiendo de las actividades que
realizan en la Organizacin. Sin embargo, an cuando tengan accesos limitados
diferentes, afrontarn amenazas comunes al usar los servicios de Internet.
- Una vez configurados los controles de acceso para cada usuario, ste no debe
cambiarlos, pero en el caso de los programas exploradores de Internet, debe saber
como se han configurado los controles de contenido, pues puede haber
aplicaciones que pidan excepciones o consultas al usuario para poder operar.
- Capacitar al usuario en el uso seguro del correo electrnico, y un uso adecuado de
los sistemas antivirus.
- Tomar medidas para minimizar el spam
- Sobre todo dependiendo de las responsabilidades y atribuciones de los
funcionarios y empleados, debe capacitarse al personal para evitar las estafas por
Internet, especialmente por tratarse de una entidad financiera.
TABLA 3.18
50
133
AREA TECNOLOGICA
Para realizar los Subplanes del rea Tecnolgica, se han considerado aspectos
fundamentales para mejorar la Seguridad de la Informacin en la Cooperativa,
todos ellos alineados a lo que ms tarde ser documentado y normado como
Poltica de Seguridad. Estos Subplanes son:
AREA:
TECNOLOGICA
SUBPLAN:
ADAPTAR LA CONFIGURACIN DE LOS
SISTEMAS DE COMUNICACION
OBJETIVO
ACTIVIDADES
- Elaborar un inventario de equipos de comunicaciones (routers, switches, firewalls,
etc)
- Elaborar estndares de configuracin para los equipos de comunicaciones
(basarse en la poltica de seguridad definida, documentacin de proveedores, etc.)
- Evaluar equipos identificados.
- Adaptar los equipos a la poltica de seguridad.
TABLA 3.19
51
134
AREA:
TECNOLOGICA
SUBPLAN :
ADAPTAR LA ARQUITECTURA DE RED
OBJETIVO
Crear una red que sea rpida, eficiente y segura, al soportar todos los requerimientos
de la Cooperativa, y en apego a las polticas de la seguridad
ACTIVIDADES
Implementar una red DMZ: para evitar el ingreso de conexiones desde Internet
directamente hacia la red interna de datos; adems debe evitar el trfico ilegtimo
entre la Cooperativa y el Internet. Esta zona desmilitarizada consta de dos
cortafuegos; un cortafuegos protege los accesos desde el exterior hacia la zona
desmilitarizada y el otro protege los accesos desde la zona desmilitarizada hacia la
Intranet. Un ataque de Denegacin de Servicio, que saturara o comprometiera al
cortafuegos exterior, no pondra en peligro al cortafuegos interno. En esta zona
desmilitarizada se instalar un servidor Proxy, para recuperar la informacin que haya
solicitado un usuario interno, y almacenndola para que pueda ser recuperada desde
la intranet; si el requerimiento de informacin es en sentido contrario, el usuario
interno coloca esta informacin en la zona desmilitarizada, y luego esta es entregada
a un equipo externo.
52
135
AREA:
TECNOLOGICA
SUBPLAN :
ESTANDARIZAR
SOFTWARE
ACTUALIZAR
EL
OBJETIVO
Determinar fcil y rpidamente vulnerabilidades en el software, elevar los niveles de
proteccin de la informacin, disminuir los incidentes de seguridad, y responder ms
eficaz y eficientemente ante amenazas y riesgos potenciales.
ACTIVIDADES
- Elaborar un inventario de sistema operativo de servidores y computadores
personales.
- Elaborar una base de datos de aplicaciones.
- Actualizar permanente y peridicamente, los antivirus tanto de los servidores como
de los PCs de cada usuario en cada uno de los departamentos.
- Mantener el sistema operativo permanentemente actualizado
- Elaborar estndares de configuracin para los sistemas operativos de las PCs de
la Cooperativa
- Elaborar una gua para configuracin de aplicaciones
- Mantener las aplicaciones permanentemente actualizadas
- Evaluar permanentemente la estandarizacin y actualizacin del software.
- Elaborar guas de chequeo y revisin para establecer si se estn cumpliendo las
polticas de seguridad en el software que utiliza la Cooperativa.
TABLA 3.21
53
136
AREA LEGAL
AREA:
LEGAL
SUBPLAN :
VERIFICAR EL CUMPLIMIENTO LEGAL
OBJETIVO
ACTIVIDADES
- Revisar que la actividad informtica se la realiza dentro de las normas legales,
referentes a:
Normas laborales
Propiedad intelectual del software
Requisitos en la cobertura de seguros
Prevencin de riesgos.
- Debe cumplirse con la Ley en lo que corresponde a :
rgano de Supervisin y Control en el Sistema Financiero Nacional
Ley de Cooperativas de Ahorro y Crdito
Normativa propia de la Cooperativa, incluyendo los puntos especficos de la
Poltica de seguridad.
- Al implementarse medidas para la seguridad de la informacin, debe tenerse
cuidado de no contradecir los principios del derecho a la intimidad de las personas,
y aquellos establecidos en la tica laboral, personal y profesional.
- As mismo, debe verificarse el cumplimiento legal con usuarios y proveedores; no
hay que olvidar que las clusulas de confidencialidad tienen implicaciones legales,
en algunos casos penales.
54
CAPTULO 4.
CONCLUSIONES Y RECOMENDACIONES
138
CONCLUSIONES
-
139
140
4.2
-
RECOMENDACIONES
Se considera importante, que tomando como base inicial esta Tesis, se
establezcan y desarrollen Proyectos en varias Tesis de Maestra, sucesivas y
concatenadas, en los siguientes aspectos:
BIBLIOGRAFA
142
LIBROS
de
Gestin
de Seguridad
de
la
Informacin.
Requisitos.
de Tecnologas de Informacin
para
143
SITIOS WEB
-
www.dgrv.org
www.igepn.edu.ec
www.pnud.org.ec
www.stgestionriesgos.gov.ec
www.nexusasesores.com
www.eficienciagerencial.com
www.iso27000.es
www.dpya-sa.com.ar
www.comercio.com.ec
www.superban.gov.ec
www.dinacoop.gov.ec
www.acsb.fin.ec
ANEXOS
ANEXO 1
LA NORMA ISO 27001
146
PREFACIO
PRESENTACION
CLAUSULA 0.
INTRODUCCIN
CLAUSULA 1.
OBJETO
CLAUSULA 2.
REFEENCIAS NORMATIVAS
CLAUSULA 3.
TRMINOS Y DEFINICIONES
CLAUSULA 4.
CLAUSULA 5.
RESPONSABILIDAD DE LA DIRECCIN
CLAUSULA 6.
CLAUSULA 7.
CLAUSULA 8.
ANEXO A.
NORMATIVO
ANEXO B.
INFORMATIVO
ANEXO C.
INFORMATIVO
TABLA 1 del Anexo 1
ELABORADO POR
PREFACIO
Hace referencia a las razones por loas cuales fue desarrollada esta norma y su
trascendencia a nivel mundial para un manejo adecuado de la seguridad
147
CLUSULA 0.
INTRODUCCIN
55
Fuente: www.nexusasesores.com
148
CLUSULA 1.
OBJETO
CLUSULA 2.
REFERENCIAS NORMATIVAS
CLUSULA 3.
TRMINOS Y DEFINICIONES
149
CLUSULA 4.
SISTEMA
DE
GESTIN
DE
SEGURIDAD
DE
LA
INFORMACIN
CLUSULA 4: Seccin 4.1
El
SGSI
debe
ser
establecido,
implementado,
monitoreado,
corregido,
ESTABLECER EL SGSI
Actividades organizacionales
A)
B)
C)
D)
E)
F)
G)
H)
I)
Actividades organizacionales:
A)
B)
C)
D)
E)
F)
G)
150
H)
Actividades organizacionales:
A)
B)
C)
D)
E)
F)
Revisin del SGSI por parte de la direccin sobre una base regular
G)
H)
Registrar las acciones y los eventos que podran tener un efecto obre la
eficacia o el desempeo del SGSI.
Actividades organizacionales:
A)
B)
C)
D)
DOCUMENTAR EL SGSI
GENERALIDADES
Aqu, se establece que los documentos del SGSI son los siguientes:
1.
2.
151
3.
4.
5.
6.
Declaracin de aplicabilidad.
7.
8.
B)
C)
D)
E)
F)
G)
H)
I)
152
CLUSULA 5.
Seccin 5.1:
Seccin 5.2 :
B)
C)
D)
E)
Llevar
cabo
revisiones
cuando
sean
necesarias,
reaccionar
CAPACITACIN, CONOCIMIENTO Y
CAPACIDAD
2.
3.
153
4.
realizada,
capacidades
desarrolladas,
experiencias
CLUSULA 6.
B)
C)
D)
CLUSULA 7.
GENERALIDADES
Como parte del ciclo de Deming, la Direccin debe realizar continuas revisiones a
todos los elementos que forman parte del Sistema de Gestin de Seguridad de la
Informacin, con resultado documentados que deben propender oportunidades de
mejora
154
RESULTADOS DE LA REVISIN
CLUSULA 8.
MEJORAMIENTO CONTNUO
155
ACCIN CORRECTIVA
La accin correctiva se define como "accin tomada para eliminar la causa de una
no-conformidad detectada u otras situaciones indeseables" (ISO 9000:2000). En
el contexto del SGSI, una no-conformidad es el" incumplimiento de un requisito."
Cada vez que algo que se haya planificado, o un requerimiento de la norma que
no se hubiese cumplido, automticamente se debe iniciar la accin correctiva.
ACCIN PREVENTIVA
156
A.5.1.1
A.5.1.2
REQUERIMIENTO
CONTROL
157
A.6.1.1
A.6.1.2
A.6.1.3
A.6.1.4
REQUERIMIENTO
CONTROL
Compromiso de la direccin
para la seguridad de la
informacin
Coordinacin de la seguridad
de la informacin
Asignacin
de
responsabilidades Deben definirse claramente todas las responsabilidades de
sobre seguridad de la informacin
seguridad de la informacin.
Proceso de autorizacin para los
Debe definirse e implementarse un proceso de autorizacin para
recursos de procesamiento de la
cada nuevo recurso de procesamiento de la informacin.
informacin
A.6.1.5
Acuerdos de confidencialidad
A.6.1.6
A.6.1.7
Revisin independiente de la
seguridad de la informacin
A.6.1.8
REQUERIMIENTO
A.6.2.1
Identificacin de riesgos
relacionados a partes externas
CONTROL
Los riesgos a la informacin y recursos de procesamiento de la
informacin de la organizacin, para los procesos del negocio que
involucran partes externas, deben identificarse y deben
implementarse los controles apropiados antes de otorgar el
acceso.
A.6.2.2
Tratamiento de la seguridad
en las relaciones con clientes
A.6.2.3
Tratamiento de la seguridad
en los acuerdos de terceras
partes
158
REQUERIMIENTO
CONTROL
A.7.1.1
Inventario de activos
A.7.1.2
A.7.1.3
REQUERIMIENTO
CONTROL
A.7.2.1
Directrices de clasificacin
A.7.2.2
Etiquetado y manejo de la
Informacin
REQUERIMIENTO
CONTROL
Roles y responsabilidades
A.8.1.2
Seleccin
A.8.1.3
Trminos y condiciones de
Empleo
A.8.1.1
159
A.8.2.1
A.8.2.2
REQUERIMIENTO
CONTROL
Responsabilidades de la
Direccin
A.8.2.3
Proceso disciplinario
REQUERIMIENTO
CONTROL
A.8.3.1
Responsabilidades de la terminacin
A.8.3.2
A.8.3.3
160
REQUERIMIENTO
CONTROL
A.9.1.1
A.9.1.2
A.9.1.3
Seguridad de oficinas, habitaciones Debe disearse y aplicarse la seguridad fsica para oficinas,
e instalaciones.
habitaciones, e instalaciones.
A.9.1.4
A.9.1.5
A.9.1.6
Los puntos acceso, como las reas de entrega y carga y otras donde
las personas no autorizadas pueden entrar en las instalaciones,
reas de acceso al pblico, entrega
deben controlarse y, si es posible, aislarse de instalaciones de
y carga
procesamiento de la informacin para evitar el acceso no autorizado.
REQUERIMIENTO
A.9.2.1
A.9.2.2
Servicio de apoyo
A.9.2.3
A.9.2.4
Mantenimiento de equipos
A.9.2.5
A.9.2.6
A.9.2.7
CONTROL
El equipo debe ubicarse o protegerse para reducir los riesgos de
amenazas y peligros ambientales, y oportunidades para el acceso no
autorizado.
El equipo debe protegerse contra fallas de energa y otras
interrupciones elctricas causadas por fallas en los servicios de
apoyo.
El cableado de energa elctrica y de comunicaciones, que transporta
datos o brinda apoyo a los servicios de informacin, debe protegerse
contra interceptacin o dao.
Los equipos deben mantenerse adecuadamente para asegurar su
continua disponibilidad e integridad.
Seguridad de equipos fuera de las Debe aplicarse la seguridad a los equipos exteriores teniendo en
instalaciones de la organizacin
cuenta los diferentes riesgos de trabajar fuera de las instalaciones de
la organizacin.
Seguridad en la reutilizacin
eliminacin de equipos
Retiro de la propiedad
161
REQUERIMIENTO
A.10.1.1
Documentacin
operativos
de
DE
CONTROL
procedimientos Los procedimientos operativos deben documentarse, mantenerse, y
estar disponibles a todos los usuarios que los necesitan.
A.10.1.2
Gestin de cambio
A.10.1.3
Segregacin de tareas
A.10.1.4
Separacin de los recursos para el Deben separase los recursos para el desarrollo, prueba/ensayo y
desarrollo,
prueba/
ensayo
y operacin para reducir los riesgos del acceso no autorizado o
operacin.
cambios al sistema operativo.
A.10.2.1
A.10.2.2
A.10.2.3
REQUERIMIENTO
CONTROL
Debe asegurarse que los controles de seguridad. las definiciones
del servicio y niveles de entrega incluidos en el acuerdo de entrega
de servicio de tercera parte son implementados, operados, y
mantenidos por la tercera parte.
Los servicios, informes y registros suministrados por la tercera parte
deben ser seguidos y revisados regularmente, y deben ser llevadas
a cabo auditorias regularmente.
Los cambios para el suministro de servicios, incluyendo el
mantenimiento y mejora de las polticas, procedimientos y controles
de seguridad de informacin existentes, deben gestionarse,
tomando en cuenta la criticidad del sistemas del negocio y los
procesos involucrados y la reevaluacin de los riesgos.
REQUERIMIENTO
CONTROL
A.10.3.1
Gestin de la capacidad
A.10.3.2
162
A.10.4.2
A.10.5.1
REQUERIMIENTO
CONTROL
Copia de seguridad de la
Informacin
A.10.6.1
A.10.6.2
REQUERIMIENTO
CONTROL
Controles de red
REQUERIMIENTO
CONTROL
A.10.7.1
A.10.7.2
Disposicin de medios
A.10.7.3
A.10.7.4
163
A.10.8.1
A.10.8.2
A.10.8.3
A.10.8.4
A.10.8.5
REQUERIMIENTO
CONTROL
Polticas y procedimientos
intercambio de informacin
Acuerdos de intercambio
Mensaje electrnico
REQUERIMIENTO
CONTROL
A.10.9.1
Comercio electrnico
A.10.9.2
Transacciones en lnea
A.10.9.3
Informacin disponible
Pblicamente
A.10.10 SEGUIMIENTO
OBJETIVO:
DETECTAR LAS
AUTORIZADAS.
SECCIN
A.10.10.1
ACTIVIDADES
REQUERIMIENTO
Registro de auditora
DE
PROCESAMIENTO
DE
LA
INFORMACIN NO
CONTROL
Deben producirse y mantenerse los registros de auditorias que
registren actividades, excepciones y eventos de seguridad de la
informacin del usuario, durante un periodo definido para ayudar en
futuras investigaciones y seguimiento del control de accesos.
Deben establecerse los procedimientos para el seguimiento de la
utilizacin de los recursos de procesamiento de la informacin, y los
resultados de las actividades de seguimiento revisadas
regularmente.
A.10.10.2
Seguimiento de la utilizacin
de los sistemas
A.10.10.3
Proteccin de la informacin
del registro
A.10.10.4
Administrador y operador de
Registros
A.10.10.5
Registro de fallas
A.10.10.6
Sincronizacin de relojes
164
REQUERIMIENTO
Poltica de control de accesos
CONTROL
Debe establecerse, documentarse y revisarse una poltica de
control de accesos, basada en los requisitos del negocio y de
seguridad para el acceso.
REQUERIMIENTO
CONTROL
A.11.2.1
Registro de usuarios
A.11.2.2
Gestin de privilegios
A.11.2.3
A.11.2.4
REQUERIMIENTO
CONTROL
A.11.3.1
Uso de contraseas
A.11.3.2
Equipo desatendido
A.11.3.3
165
REQUERIMIENTO
A.11.4.1
Poltica de utilizacin de los servicios Los usuarios slo deben tener acceso a tos servicios que han sido
de red
especficamente autorizados a utilizar.
A.11.4.2
Autenticacin de usuarios
para conexiones externas
Identificacin de equipo en
Redes
A.11.4.3
A.11.4.4
CONTROL
A.11.4.5
Segregacin en redes
A.11.4.6
A.11.4.7
Control de direccionamiento
en la red
REQUERIMIENTO
CONTROL
A.11.5.1
A.11.5.2
Identificacin
usuario
A.11.5.3
A.11.5.4
A.11.5.5
A.11.5.6
autenticacin
del
REQUERIMIENTO
CONTROL
A.11.6.1
A.11.6.2
Aislamiento de sistemas
Sensibles
166
A.11.7.2
REQUERIMIENTO
CONTROL
Trabajo a distancia
Anlisis y especificacin
requisitos de seguridad
de
los
A.12.2.2
A.12.2.3
Integridad de mensaje
A.12.2.4
167
la
A.12.4.2
A.12.4.3
A.12.5.2
A.12.5.3
A.12.5.4
Fuga de informacin
A.12.5.5
A.12.6.1
Control de
tcnicas
las
DE
LAS
A.13.1.1
A.13.1.2
168
A.13.2.1
Responsabilidades y procedimientos
A.13.2.2
A.13.2.3
de
Recoleccin de evidencias
A.14.1.1
A.14.1.2
A.14.1.3
A.14.1.4
A.14.1.5
Marco de planificacin
continuidad del negocio
para
la
Prueba, mantenimiento y reevaluacin Deben probarse y actualizar con regularidad los planes de
de los planes de continuidad del continuidad del negocio, para asegurarse de su actualizacin y
negocio
eficacia.
169
A.15.1.2
A.15.1.3
A.15.1.4
Derechos
(DPI)
de
propiedad
A.15.1.5
A.15.1.6
A.15.2.1
A.15.2.2
polticas
A.15.3.1
A.15.3.2
170
Toma de conciencia
Esta actividad es parte de la etapa Hacer
Los participantes deberan estar conscientes de las
necesidad de los sistemas de seguridad de la informacin y
redes y de que pueden ellos hacer para incrementar la
seguridad.
Responsabilidad
Esta actividad es parte de la etapa Hacer
Todos los participantes son responsables de los sistemas y
de seguridad de la informacin y redes.
Respuesta
Los participantes deberan actuar de manera temprana y
cooperativa para prevenir, detectar y responder a los
incidentes de seguridad.
Gestin de la seguridad
La gestin del riesgo es un proceso que incluye la
Los participantes deben adoptar un enfoque amplio para la prevencin, la deteccin y la respuesta a los incidentes, el
gestin de la seguridad.
mantenimiento continuo, la revisin y la auditora. Todos
estos aspectos son cubiertos en las etapas Planificar,
Hacer, Verificar y Actuar.
Reevaluacin
Los participantes deben revisar y deben revaluar
la seguridad de los sistemas de informacin y redes, y
hacer modificaciones apropiadas a las polticas, prcticas,
mediciones y procedimientos de seguridad.
171
La norma esta diseada que sea compatible con el ISO 9001:2000 y con el ISO
14001:2004.
Norma ISO 27001
ISO 14001:2004
0 Introduccin
0.1 Generalidades
0.2 Enfoque de procesos
0.3 Compatibilidad con otros sistemas de
. gestin
0 Introduccin
0.1 Generalidades
0.2 Enfoque de procesos
0.3 Relacin con ISO 9004
0.4 Compatibilidad con sistemas de
Gestin
Introduccin
1 Objeto
aplicacin
2 Referencias normativas
2 Referencias normativas
2 Referencias normativas
3 Trminos y definiciones
3 Trminos y definiciones
3 Trminos y definiciones
4
Requisitos SGA
4.1 Requisitos generales
4.4
Implementacin
operacin
4.5.1Seguimiento y medicin
4.2
Requisitos de
documentacin
4.2.1 Generalidades
4.2.2 Manual de la Calidad
4.2.3 Control de los documentos
4.2.4 Control de los registros
4.4.5Control
de
la
documentacin
4.5.4 Control de los registros
5 Responsabilidad de la direccin
5.1 Compromiso de la direccin
5 Responsabilidad de la direccin
5.1 Compromiso de la direccin
5.2 Enfoque al cliente
5.3 Poltica de la calidad
5.4 Planificacin
5.5 Responsabilidad, autoridad y
Comunicacin
6
Gestin de los recursos
6.1 Provisin de recursos
6.2 Recursos humanos
6.2.2Competencia, toma de
conciencia y formacin
6.3 Infraestructura
6.4 Ambiente de trabajo
8.5 Mejora
8.5.1 Mejora continua
la
campo
de
ANEXO 2
DOCUMENTOS EXIGIDOS POR EL ISO 27001
173
2.
3.
4.
Documentar los criterios para aceptar los riesgos e identificar los niveles de
riesgo aceptables
5.
6.
7.
8.
9.
13.
174
de
educacin,
capacitacin,
capacidades,
experiencias
calificaciones
34. Definir en un procedimiento documentado las responsabilidades, los
requerimientos para la planeacin y realizacin de las auditoras y para el
reporte de resultados y mantenimiento de registros .
175
requerimientos
para asegurar la
documentado
para
recolectar,
mantener
presentar
176
177
ANEXO 3
ESTADSTICAS DE LAS COOPERATIVAS DE AHORRO Y
CRDITO ECUATORIANAS
179
1.
A)
EVOLUCIN
SOCIO
ECONMICA
DE
LAS
COOPERATIVAS
DE
AHORRO Y CRDTIO
En las siguientes figuras, puede verse como han crecido los fondos, los activos, el
nmero de socios, el nmero de empleados, indicando que es un sector en total
crecimiento financiero, lo cual no se refleja de la misma manera en el desarrollo
regional de sus actividades.
Todos estos datos estadsticos fueron extrados de la FECOAC y elaborados por
el Ing. Anbal Mantilla
EVOLUCION DEL ACTIVO FIJO CAC
(EN MILLONES USD)
40
35
30
25
20
15
10
5
0
2001
2002
2003
2004
PERIODO
180
NUMERO DE
EMPLEADOS
4000
3500
3000
2500
2000
1500
1000
500
0
2001
2002
2003
2004
PERIODOS
B)
BANCOS PRIVADOS
CAC
181
4000
3500
3000
CARTERA TOTAL EN 2500
2000
MILLONES DE
DOLARES
1500
1000
500
0
BANCOS PRIVADOS
2001
2002
CAC
2003
2004
0
2001
2002
CAC
2003
2004
Evolucin del activo fijo del total CAC versus bancos privados
182
4000
3000
2000
1000
0
2001
2002
2003
CAC
2004
BANCOS PRIVADOS
600
400
200
0
2001
2002
2003
CAC
2004
BANCOS PRIVADOS
FIGURA 9 del Anexo 3 Evolucin total de ingresos. CAC versus bancos privados
600
400
200
0
2001
2002
CAC
2003
2004
BANCOS PRIVADOS
183
120
100
UTILIDAD NETA EN
MILLONES DE
DOLARES
80
60
40
20
0
2001
2002
2003
PERIODOS
CAC
2004
BANCOS PRIVADOS
FIGURA 11 del Anexo 3 Evolucin de la utilidad neta. CAC versus bancos privados
C)
COSTA
SIERRA
ORIENTE
100
0
2001
2002
2003
2004
PERIODO
184
CAPTACIONES 400
POR REGIONES
300
(MILLONES DE
200
DOLARES)
COSTA
SIERRA
ORIENTE
100
0
2001
2002
2003
2004
PERIODO
COSTA
SIERRA
ORIENTE
0
2001
2002
2003
2004
COSTA
SIERRA
ORIENTE
200
0
2001
2002
2003
2004
PERIODO
185
De las coop`s:
Pas
tipo
total
Supervisadas
por la SB/BC
Bolivia
Brasil
23
2974
97
743
99
Bancos
12
40983
5430
CACs (DECOOP)1
Paraguay
Per
Venezuela
1460
38008
Reales
394
21467
22
10554
5961
152
2346666
1325426
1300
39
300
USD
300
39
1343
1343
Bancos
24
13735
13735
CACs supervisadas
7
Y
Cajas
no
469
51
13058
13058
CACs
168
Bancos
44
CACs
779
Bancos
14
CACs
168
Bancos
13
CACs*
1755
Bancos
54
Fuente. www.dgrv.org
740
469
Dato no disponible
USD
180
740
160
Bancos
80
CACs *
56
1460
Bolivarianos
Bancos
Trab.
supervisadas
Panam
(mill)
23
CACs no supervisadas
Nicaragua
En USD
mill.)
CACs Cerrada
Bancos
El salvador
Equivalente
CACs Abiertas
Bancos Coop.
Ecuador
Moneda
MN (en
225
160
Crdobas
12
60316
0
507
3191
Balboa/USD
56325
0
7194093
507
56325
Guaran
1515
21861093
168
2272
4602
Nuevos Soles
108349
0
251000
215864494
758
36164
Bolvares
251
2150846
186
Pas
Tipo de Instituciones
Nmero de
Activos
Participacin
instituciones
(USD Millones)
mercado (%)
1998
Bolivia
CACs supervisadas
CACs no supervisadas
Brasil
Coop. De Crdito
Bancos Coop.
Colombia
Bancos cooperativos
2007
1998
2007
256
394
3,9
6,7
103
97
99
1,7
1198
1460
2358
21,467
0,5
1,4
283
5961
0,1
0,4
1707
3,6
934
1084
2,0
1,3
451
209
1176
2326
2,5
2,8
45
0,1
CACs supervisadas
36
30
502
1510
3,3
7,4
CACs no supervisadas
74
35
89
151
0,6
0,7
Bancos cooperativos
18
CACs supervisadas
26
40
75
CACs
Organismo grado superior
Ecuador
1998
23
44
Coop. Financieras
Costa Rica
2007
17
CACs no supervisadas
1300
1,0
1343
0,8
300
2,0
Nicaragua*
CACs
180
191
225
0,4
Panam *
CACs
187
168
359
507
1,0
1,0
Paraguay
CACs
779
749
1515
7,0
22,9
Per
CACs
198
168
244
759
1,2
1,9
Repblica
Dominicana*
CACs
71
18
43
329
0,8
2,5
Venezuela*
CACs
45
1755
251
- Dato no disponible
* No se supervisa ninguna cooperativa
57
8,3
Fuente. www.dgrv.org
0,1
ANEXO 4
CUESTIONARIOS PREPARADOS PARA DETERMINAR LA
SITUACIN DE LA GESTION DE LA SEGURIDAD
INFORMTICA EN LAS COOPERATIVAS DE AHORRO Y
CRDITO
188
CUESTIONARIO 1: APLICACIONES
NOTA:
1
Casi nunca
Preguntas
No
1
Si
3 4
POLITICAS Y PROCEDIMIENTOS
Existen manuales y procedimientos que documentan la
aplicacin?
Existen diagramas de flujo de datos que documenten las
operaciones que se describan?
ESTANDARES DE DESARROLLO Y PRODUCCIN
Se evala el procedimiento de actualizacin de los estndares?
Los mantenimientos efectuados a la aplicacin se ajustan a los
estndares de desarrollo?
Se cumplen las polticas de backups?
Se verifica que todos los procesos que se corren queden
registrados?
Los procesos de almacenamiento y restauracin de datos
cumplen con los estndares de produccin?
DATOS DE ENTRADA
Se verifica la consistencia e integridad en la informacin en los siguientes aspectos?
Legibilidad de la informacin
Manejo de errores en el documento fuente
Polticas de retencin de los documentos
Control de los documentos confidenciales
Almacenamiento de los documentos no diligenciados
Sistema de control sobre documento digitado
Sistema de control de lotes o grupos de documentos procesados
Conservacin del consecutivo del documento
PROCEDIMIENTO Y ACTUALIZACIN DE INFORMACIN
Se ejecutan pruebas a los programas correspondientes a la
aplicacin?
Se verifica la consistencia de la informacin (informes o
reportes por pantalla y listados) ?
Se analiza los programas fuente para los programas ms
crticos?
Existen consistencia entre los campos de los archivos con la
informacin que debe ser almacenada en ellos?
Utiliza alguna metodologa para la actualizacin de los
archivos?
Se realizan cambios y mantenimiento de los programas
verificando las debidas autorizaciones ?
189
INFORMES DE COMPUTADOR
Se utiliza una matriz para revisar la estructura de los informes?
Se analiza el origen y destino final de los informes?
Se evala el sistema de archivo y retencin de los informes del
computador?
Se evala la informacin de salida a la luz del sistema de
informacin requerido por la gerencia?
DOCUMENTACIN
Se documentan las modificaciones que evidencian los programas?
SEGURIDAD
Se evala el sistema de seguridad lgico a travs del archivo de
seguridad y los archivos de usuarios con privilegios?
Se analiza el periodo de modificaciones de los password propios
de la aplicacin?
Se verifica en el log del sistema de los accesos que observan los
programas y archivos ms crticos?
PROCEDIMIENTOS DE RESPALADO
Existe un plan de contingencia de las aplicacin y el conocimiento
del mismo por parte de los usuarios?
Se evala el sistema de backups utilizado para los archivos de
datos?
CAPACITACION Y SOPORTE A USUARIOS
Se determina el grado de conocimiento que tienen los usuarios
para el manejo de los mdulos propios de la aplicacin?
Se revisan los procedimientos de capacitacin que son utilizados
para la instruccin de los usuarios?
Se analizan las respuestas que tienen los usuarios sobre los
problemas tanto de hardware como de programas?
190
Preguntas
No
1
PREGUNTAS CLAVE
Tienen procedimientos escritos que se manejan. Manuales
por aplicacin(sistemas y operacin) ?
Cual es el diagrama de red de la cooperativa?
Si
3
191
192
193
PLANES DE CONTINGENCIA
Creacin del plan
Existen planes de contingencias?
Estn documentados?
Est establecido el personal que participa en la definicin
del plan de contingencias. ?
Hardware
Tienen equipo de soporte?
Tienen acuerdos con otras compaas?
Tienen acuerdos con los proveedores?
Tienen dispositivos claves?
Software
Tienen procedimientos manuales que garanticen la
continuidad del servicio?
Tienen previsto personal para el plan de contingencias?
Existe matriz de sustitutos - Quien reemplaza a quien?
Se realiza difusin del plan?
Hay planes de difusin y entrenamiento?
Se realizan pruebas de simulacin (ensayos)?
194
Preguntas
No
1
Si
2 3 4
195
Preguntas
No
1
Si
3 4
POLTICAS ADMINISTRATIVAS
Existe una poltica documentada para la adquisicin de
microcomputadores?
Existe una poltica documentada para el uso de
microcomputadores?
Se mantiene una lista actualizada de todos los usuarios de
microcomputadores?
Existe un grupo de trabajo o comit para coordinar los proyectos
desarrollados en micros?
Se evalan los medios de difusin peridica de nuevos
desarrollos?
ADQUISICIN DE HARDWARE
Existe un respaldo, con anlisis de costo-beneficio, de las
solicitudes de compra de equipos por parte del usuario?
Qu documentacin existe para el hardware?
Se hace una planeacin del sitio en que se instala los equipos para garantizar:
Proteccin antimagntica?
Servicio elctrico regulado?
Conexin a la red?
Seguridad fsica?
La memoria RAM del servidor, frente al nmero de usuarios
que posee es adecuada?
La capacidad del disco duro del servidor, con relacin al
nmero de usuarios es adecuada?
Hay un registro de uso de microcomputadores para cada rea
usuaria?
ADQUISICIN DE SOFTWARE
Existen polticas para uso y adquisicin de software. ?
Tienen una lista de las versiones de paquetes en uso, en los
diferentes micros, y se verifican que sean copias originales y
licenciadas por la CAC ?
Existen alternativas manuales, para llevar a cabo las tareas que
actualmente se procesan en micros?
Existe un plan general sobre los desarrollos propuestos por los
usuarios?
196
DOCUMENTACIN
Existe un catlogo actualizado del software aplicativo,
desarrollado y adquirido por la CAC?
Existe una metodologa de desarrollo para micros?
Existe documentacin de aplicaciones desarrolladas en
microcomputadores?
COMUNICACIONES
Tomando como base los 7 niveles de red OSI:
Nivel 1. Fsico
Se evala el plano de la red, con base en los siguientes aspectos? :
Dispositivos adjuntos
Diagramas del cableado
Documentacin
Actualizacin
Se tiene procedimientos para mantenimiento peridico?
Se tiene soporte de proveedores alternos, si el proveedor falla?
Existen procedimientos para recuperacin de fallas?
Nivel 2: De enlace de datos
Existe un monitoreo de transmisiones continuo ?
Existen tasas de estadsticas de errores ?
Se investigan altas tasas de error?
Nivel 3: De redes
Verifican las estrategias para monitoreo de las tasas de trfico
de la red?
Existen tablas de ruta de la red?
Se revisa las estadsticas de trfico?
En que medida aprovecha las herramientas que provee el
sistema operativo (Monitor de eventos, Monitor del sistema,
Optimizacin del desempeo, Uso de alertas, Manejo de espacio
en disco, Servicios instalados del servidor?
Se verifica la conectividad a Internet en cuanto a:
-Controles de acceso a Internet. ?
-Firewall?
-Proxy ?
-DNS ?
-DHCP?
-Uso de correo electrnico, administracin del servicio,
definicin de usuarios etc, tamaos de adjuntos?
-Administracin del Antivirus?
Nivel 4: De transporte
Hay procedimientos actuales para la red despus de:
La instalacin inicial?
Falla o modificacin?
Operacin diaria?
Se cuenta con los medios para detectar errores y corregirlos,
en transmisiones fin a fin :
Con monitoreo ?
Con estadsticas?
Con investigacin de alzas?
Existe un registro automtico diario o huella de Auditora para
los cambios a las tablas?
Existen backups de las tablas del sistema operativo?
197
Nivel 5: De sesin
PARA CADA ESTACIN DE TRABAJO Y EL SERVIDOR DE RED:
Se verifica si se puede acceder el sistema operativo?
Se verifica si las claves de acceso son:
Usadas adecuadamente?
Compartidas?
Cambiadas peridicamente?
Cambiadas cuando el personal es transferido?
Requeridas para todas las estaciones de la red?
Requeridas por el sistema operacional de la red?
Existe un procedimiento para recuperacin de claves de acceso?
Existe un procedimiento de control para claves de acceso, a la
red de microcomputadores?
Se controla a travs del sistema operativo de la red:
Las actividades realizadas en cada estacin de trabajo?
Las violaciones de acceso realizadas por estacin de trabajo?
Los controles de acceso para tablas de seguridad son
adecuados?
Las tablas de seguridad son respaldadas frecuentemente y
almacenadas fuera del sistema?
Existe una huella de Auditora o un registro automtico diario?
Nivel 6: De presentacin
Existe criptografa por software ?
Existe criptografa por hardware?
Cuantas claves se usan?
Suministran seguridad apropiada?
Las claves son cambiadas y con qu frecuencia?
Nivel 7: De aplicacin
Se establece si las aplicaciones son individualmente seguras?
Existen limitaciones de clase de transaccin, para determinados
usuarios?
Existen restricciones establecidas para cada nivel de acceso
diferente?
Existe algn seguimiento para actividades invlidas?
El analista de la red es informado de la violacin; y ste avisa a
los usuarios involucrados?
Se usan archivos para pistas de Auditora, disco o servidor para
respaldo?
Existe un procedimiento para ayudar a los usuarios en la
recuperacin?
Existe alguien ms responsable para el respaldo del servidor?
Existe un procedimiento definido para backups?
Se revisa el software, antes de instalarse definitivamente en las
reas de Produccin?
Son adecuados los sitios de almacenamiento de la
documentacin sensible, cuando no est en uso?
Son usadas versiones de red (actualizadas) de programas de
aplicacin?
Se determina si hay violacin de rea entre los usuarios?
198
SEGURIDAD
Seguridad del hardware
Se tiene un registro de todos los nmeros seriales de los equipos
perifricos y sus partes ms relevantes (tarjetas especiales) ?
Se hacen comparaciones peridicas entre el inventario fsico y el
registro?
Estn los microcomputadores ubicados en reas de trfico
limitado?
Se puede determinar cuando un equipo ha sido destapado sin
autorizacin?
Seguridad del software
Se tiene establecido el procedimiento para autorizacin de nuevos
usuarios?
Se tienen identificados los archivos de datos confidenciales?
Se registra el acceso y uso de los equipos?
Se tienen identificados, para cada aplicacin, los archivos que
deben mantenerse residentes en el disco duro?
199
10
200
CAC
NOTA:
1
Casi nunca
CONTROL DE ACCESO
No
1
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
Si
3 4
201
23
24
25
26
27
28
202
CAC
NOTA:
1
Casi nunca
INCENDIO
No
1
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
Si
3
203
20
21
22
23
24
25
26
27
28
29
GLOSARIO DE TRMINOS
205
206
207
Ingeniera social: Conjunto de tcnicas y trucos empleados por intrusos y hackers para
extraer informacin sensible de los usuarios de un sistema informtico.
Instalaciones: Es la infraestructura que permite alojar los recursos fsicos relacionados
con la tecnologa de informacin.
Instruccin de trabajo: Las instrucciones de trabajo son informacin muy detallada
sobre el "cmo" efectuar un trabajo en particular. Pueden presentarse de varias formas.
Las ms usadas son las listas de chequeo, las tablas de decisiones, los flujogramas y
dibujos. Es la informacin que explica en detalle como se efecta una operacin
concreta.
Insumo: Es el conjunto de materiales, datos o informacin que sirven como entrada a un
proceso.
Integridad: Es la garanta de mantener la totalidad y exactitud de la informacin y de los
mtodos de procesamiento. Es la propiedad de salvaguardad la exactitud y totalidad de
los activos.
Lnea de negocio: Es una especializacin del negocio que agrupa procesos
encaminados a generar productos y servicios especializados para atender un segmento
del mercado objetivo definido en la planificacin estratgica de la entidad
Manual de Seguridad: Es el documento que especifica o describe el SGSI de la
organizacin, definiendo responsabilidades, compromisos, autoridades y metodologas.
Medios electrnicos: Son los elementos de la tecnologa que tienen caractersticas
digitales, magnticas, inalmbricas, pticas, electromagnticas u otras similares.
No repudio: Negativa de organizacin o persona de haber enviado una determinada
informacin, que efectivamente si envi.
PEA: Poblacin econmicamente activa
PCN: Plan de continuidad del negocio.
Pista de auditoria: Es el registro de datos lgicos de las acciones o sucesos ocurridos
en los sistemas aplicativos u operativos, con el propsito de mantener informacin
histrica para fines de control, supervisin y auditoria.
Plan de seguridad: Es un conjunto de decisiones que definen cursos de accin futuros,
as como los medios que se van a utilizar para conseguirlos.
Poltica de seguridad: Es una declaracin de intenciones de alto nivel que cubre la
seguridad de los sistemas informticos y que proporciona las bases para definir y
208
delimitar las responsabilidades para las diversas actuaciones tcnicas organizativas que
requieran.
Procedimiento: Es la manera especfica de desempear una actividad o proceso.
Procedimientos de seguridad: Es la definicin detallada de los pasos a ejecutar para
llevar a cabo tareas determinadas. Los procedimientos de seguridad permiten aplicar e
implantar las Polticas de Seguridad que han sido aprobadas por la organizacin.
Proceso: Es el conjunto de actividades que transforman insumos en productos o
servicios con valor para el cliente, sea interno o externo. Es cualquier actividad que utiliza
recursos, y que se gestiona para permitir que los elementos de entrada se transformen en
resultados.
Proceso crtico: Es todo proceso vital para la organizacin, establecido en trminos de
impactos financieros y operacionales.
Recursos del sistema: Son los activos proteger del sistema informtico de la
organizacin.
Registros: Son documentos que sirven como evidencia para demostrar a terceros que
un requisito del Sistema de Gestin de Seguridad de la Informacin sea cumplido.
Responsable de la informacin: Es la persona encargada de identificar y definir
claramente los diversos recursos y procesos de seguridad lgica relacionados con las
aplicaciones.
Riesgo: Es la probabilidad de que la amenaza se materialice sobre una vulnerabilidad del
sistema informtico, causando un determinado impacto en la organizacin. Es la
probabilidad de que la amenaza llegue acaecer por la existencia de una vulnerabilidad.
Es la probabilidad de que una amenaza explote a una vulnerabilidad.
Riesgo legal: Es la posibilidad de que se presenten prdidas o contingencias negativas
como consecuencia de fallas en contratos y transacciones que pueden afectar el
funcionamiento o la condicin de una institucin del sistema financiero, derivadas de
error, dolo, negligencia o imprudencia en la concertacin, instrumentacin, formalizacin
o ejecucin de contratos y transacciones.
Riesgo residual: Es el riesgo remanente despus del tratamiento del riesgo
SBS: Superintendencia de Bancos y Seguros.
Seguridad de la informacin: Son los mecanismos implantados que garantizan la
confidencialidad, integridad y disponibilidad de la informacin y los recursos relacionados
con ella. Es la preservacin de la confidencialidad, integridad y disponibilidad de la
informacin, adicionalmente pueden involucrarse otras propiedades, tales como
autenticidad, responsabilidad, no repudio y confiabilidad.
Seguridades lgicas: Se refieren a la seguridad en el uso del software, la proteccin de
los datos, procesos y programas, as como la del acceso ordenado y autorizado de los
usuarios a la informacin.
IMPLEMENTAR Y
OPERAR EL SGSI
4.2.2
209