universidad nacional del santa · chimbote, ica, piura y arequipa. se hicieron encuestas y...
TRANSCRIPT
“Sistema de Gestión de Seguridad de la Información para una Institución Financiera en el Perú”.
Docente Responsable:Dra. Diana Cecilia Muñoz Casanova
Coautores:• Dr. Guillermo Edward Gil Albarrán• Ing. Sixto Díaz Tello• Ing. Luis Ramírez Milla
Universidad Nacional del SantaFacultad de Ingeniería
EAP. Ingeniería de Sistemas e Informática
Investigación:
Contenido
• Presentación• Capitulo I: Planteamiento Metodológico• Capitulo II: Marco Teórico• Capitulo III: Materiales y Métodos• Capitulo IV: Resultados• Capitulo V: Discusión• Conclusiones • Recomendaciones• Bibliografía
PresentaciónLa presente investigación tiene por objeto establecer losprincipales lineamientos para poder implementar demanera exitosa, un adecuado modelo de sistema degestión de seguridad de información (SGSI) en unaInstitución Financiera en el Perú, el cual apunte aasegurar que la tecnología de información usada estéalineada con la estrategia de negocio y que los activos deinformación tengan el nivel de protección acorde con elvalor y riesgo que represente para la organización. Paralograr ello, se investigó sobre diversas normas yestándares que se difunden en el mercado peruano, enespecial en el Sector Financiero.
I. Planteamiento Metodológico
El ProblemaLa información es el principal activo de toda Institución segúnlos más modernos paradigmas de la administraciónempresarial, especialmente cuando se trata de InstitucionesFinancieras donde se maneja información de muchos clientes.Dicha información aparece de muchas formas: impresa oescrita en papel, almacenada electrónicamente, transmitidapor correo, ilustrada en películas o hablada enconversaciones. En el ambiente de negocios competitivo dehoy, esa información está constantemente bajo la amenaza demuchas fuentes, que pueden ser internas, externas,accidentales o maliciosas para con la organización. Con elincremento del uso de nueva tecnología para almacenar,transmitir y recobrar información se han abierto canales paraun mayor número y variedad de amenazas.
• Entonces, el manejo de la seguridad de información a todo nivel se convierte enun problema grave cuando no se le brinda el control y tratamiento apropiado.Una efectiva administración sobre este tema es un aspecto de negocio yregulación, no sólo de tecnología. A esto se suman las nuevas leyes y/o normasque van surgiendo (Basilea II, Sarbanes Oxley), las cuales en un futuro cercano,impartirán lineamientos obligatorios sobre cómo las Instituciones Financieras delPerú deberán manejar su información, los controles internos que deberánasignarse e implementarse y el presupuesto que deberán destinar a laadministración de los riesgos.
• La Gestión de la Seguridad de Información deberá lidiar con estos aspectos de unamanera proactiva y oportuna, para así poder ser considerada como efectiva,estando siempre alienada a los objetivos y estrategias de negocio de laorganización. Por el momento la Superintendencia de Banca y Seguros del Perú(SBS) viene exigiendo anualmente a las Instituciones Financieras, en oficiosmúltiples, información de gestión de sus seguros, alineados con los eventosestablecidos por Basilea II.
• Se requiere establecer por tanto, una serie de principales lineamientos quepermitan implementar de manera exitosa un adecuado modelo de Gestión deSeguridad de la Información dentro de las Instituciones Financieras, para poderasegurar la confidencialidad, integridad, disponibilidad y auditabilidad de suinformación vital, el negocio y los clientes.
Formulación del Problema
¿De qué manera la identificación de lineamientosbase en la implantación de un Sistema de Gestiónde Seguridad de la Información permitirá cumplircon sus objetivos de control a una InstituciónFinanciera en el Perú?
• La investigación es importante y se justifica debido a que todaInstitución Financiera debe contar con un Sistema de Gestión deSeguridad de Información, el cual le permita administrar toda suinformación, garantizando los aspectos de confidencialidad,integridad, disponibilidad y auditabilidad que ésta debe cumplir.
• También permite el cumplimiento de las normas vigentes de laSuperintendencia de Banca y Seguros del Perú, la cual, en laactualidad y de manera paulatina, está adoptando las normas,leyes y estándares que imperan en Europa y Estados Unidosreferentes a seguridad de información, control interno y cálculode capital mínimo para riesgos, con la finalidad deimplementarlos en las instituciones financieras del país en unfuturo cercano.
Importancia y Justificación de la Investigación
Objetivo General
Formular lineamientos base en la implantaciónde un Sistema de Gestión de Seguridad de laInformación para cumplir con los objetivos decontrol de una Institución Financiera en el Perú.
Objetivos Específicos
• Recolección y revisión bibliográfica.• Analizar el Estado de Arte del problema.• Evaluar normas y estándares aplicados en el
Perú, especialmente en el sector financiero.• Discusión de resultados.
HipótesisLa identificación de lineamientos base en la implantación de un Sistema deGestión de Seguridad de la Información permitirá cumplir con sus objetivosde control a una Institución Financiera en el Perú.
Variable Independiente:• Identificación de Lineamientos Base.Variable Dependiente:• Implantación de un Sistema de Gestión de Seguridad de la
Información permitirá cumplir con sus objetivos de control a una Institución Financiera en el Perú.
Indicadores:• Número de Normas y estándares relacionados a la seguridad de la
información aplicados a Instituciones Financieras.(V.I.)• Número de Factores que influyen en implantaciones de Sistemas de
Gestión de Seguridad de la Información para alcanzar objetivos de control.(V.D.)
INFORMACIÓN: Es un activo, el cual, como cualquier otro activo de negocios, tiene valorpara una organización y consecuentemente necesita ser protegidoadecuadamente.
Seguridad de Información:Está caracterizada por la preservación de los siguientes aspectos:
Confidencialidad: Asegurando que la información sea accesible solo poraquellos que están autorizados.Integridad: Salvaguardando la exactitud de la información en suprocesamiento, así como su modificación autorizada.Disponibilidad: asegurando que los usuarios autorizados tengan acceso a lainformación y a los activos asociados cuando sea requerido.
Sistema de GestiónEs un sistema para establecer políticas y objetivos de tal manera que se puedan cumplir estos últimos. Son usados por las organizaciones para diseñar sus políticas y para poner estas en funcionamiento a través de objetivos.
Sistema de Gestión de Seguridad de la Información (SGSI):Es una forma sistemática de administrar la información sensible de unainstitución, para que permanezca segura. Abarca a las personas, losprocesos y las tecnologías de información. La forma total de la Seguridad dela Información, y la integración de diferentes iniciativas de seguridadnecesitan ser administradas para que cada elemento sea completamenteefectivo.
Objetivos de control:Declaraciones de resultados deseados o propósitos a lograr. Proveen loslineamientos necesarios para delinear las políticas de manera clara y loscontroles necesarios.
Lineamientos base: Pautas que permiten guiar el accionar de una empresa.
INSTITUCIÓN FINANCIERA: Institución financiera" es genérica y comprende a toda empresa quehabitualmente se dedica a prestar fondos o a conceder créditos, sea que lohaga con sus propios fondos o con fondos recibidos de terceros, esto últimocuando está expresamente facultada por la ley para ello.
Normas regulatorias legales -Perú:
Resolución S.B.S. Nº 2116-2009: reglamento para la administración de riesgos de operación.
Circular NºG-140-2009: señala criterios mínimos para la identificación y administración de los riesgos asociados a la tecnología de información.
1. Seguridad Lógica.2. Seguridad Personal.3. Seguridad Física y Ambiental.4. Inventario de Activos y Clasificación de la Información.5. Administración de las Operaciones y Comunicaciones.6. Adquisición, desarrollo y mantenimiento de Sistemas Informáticos.7. Procedimiento de Respaldo.8. Gestión de Incidentes de Seguridad de la Información.
Basilea I y II.
TABLA Nº 01 METODOLOGIAS DE ANALISIS DE RIESGOS YSEGURIDAD DE LA INFORMACIÓNC
Material de Estudio
• PoblaciónLa población que se vería beneficiada con el proyecto serían las Instituciones Financieras del Perú.
• MuestraInstituciones Financieras: Sucursales EDYFICAR de Nuevo Chimbote, Ica, Piura y Arequipa.
Métodos y Técnicas
• Inductivo-Deductivo.• Estrategia de Estudio.
Técnicas:Entrevistas, Encuestas, Observación.Instrumentos:Ficha de entrevista, Ficha de encuesta, Ficha de observación.
IV. Resultados
Lineamientos para un Gobierno de Seguridad de la Información.
1. Estrategia de Seguridad de la InformaciónMedidas anteimprevistoscon lossistemas
Políticas, Estándares,Procedimientos y Tecnología
PrevenciónAutenticaciónAutorizaciónEncriptamientoFirewallsEtiquetado/ manipuleo/retenciónAdministraciónSeguridad FísicaSeguridad LógicaPrevención de IntrusosEscaneo permanente de virusSeguridad Personal
Capacitación
ContenciónAutorizaciónPrivacidad de informaciónFirewalls/ seguridad de dominiosSegmentación de redesSeguridad Lógica
Seguridad Física
Detección/notificac
ión
MonitoreoMétricasAuditoriaDetección de intrusos
Detección de virus
ReacciónRespuesta ante incidentesPolítica/procedimiento de cambiosMecanismos adicionales deSeguridad
Nuevos/mejores controles
EvidenciasAuditoriaMonitoreo/ GestiónNo Repudio
Análisis Forense
RecuperaciónRespaldosContinuidad de Negocios/ Plan de
Recuperación de DesastresTABLA Nº 02 ESTRATEGIAS DE SEGURIDAD
DE LA INFORMACIÓN
2. Compromiso de la Alta Gerencia.3. Roles y Responsabilidades.4. Canales de Comunicación.5. Normas Regulatorias y Legales.6. Políticas de Seguridad de la Información.7. Procedimientos y Guías.8. Análisis de Valor.9. Administración de Riesgos.10. Plan de Implementación de Tecnologías de Seguridad de la Información.11.Cultura Organizacional y Seguridad de la Información.12. Plan de Continuidad del Negocio.
CASO: EVALUACIÓN DE LA PROPUESTA DE ESTRUCTURADE SEGURIDAD INFORMÁTICA EN EDPYMES.Evaluación de los lineamientos base que forman parte dela propuesta de una estructura de seguridad informáticaen cuatro Oficinas: Edyficar pertenecientes a: NuevoChimbote, Ica, Piura y Arequipa. Se hicieron encuestas yentrevistas aplicadas al Jefe de la Oficina Especial, Jefe deOperaciones, Asistente de Operaciones y Analista deCréditos y también de los resultados obtenidos de laverificación del cumplimiento de la Circular G-140-2009de la SBS en dichas Oficinas.
• Mayor acceso e inclusión de personas de menores recursos alSistema Financiero.
• Mejor calidad de servicio al cliente.• Desarrollo del capital humano a través de la capacitación y
actividades de esparcimiento a sus trabajadores.• Incremento de la rentabilidad y eficiencia.
CONTEXTO COMÚN DE LAS 04 OFICINAS EDYFICAR
A continuación se menciona su FODA:Fortalezas:• Conocimiento del Sector de Microfinanzas.• Plana gerencial profesional y con experiencia.• Incorporación del BCP como accionista principal.Oportunidades:• Desarrollo de nuevos productos financieros orientados a
nuevos sectores del mercado.• Mercado objetivo de 5000 micro y pequeñas empresas en
toda la Provincia donde se encuentran.
Debilidades:• Integración del nuevo sistema informático.• Alto nivel de gastos operativos.• Alta concentración de depositantes.Amenazas:• Competencia en el segmento de microfinanzas.• Sobreendeudamiento de clientes.• Deterioro de algunos sectores económicos que podrían afectar la
calidad de cartera.
Estas Oficinas cuenta con dos áreas: Negocios y Soporte. El área de Negocios comprende: Jefe de Oficina, Analista de Créditos, Analista de Créditos 1, Analista de Créditos 2, Analista de Créditos 3, Aspirante a Analista y Promotor. El área de Soporte comprende: Jefe de Operaciones, Caja y Asistente de Operaciones.
Gráfico Nº 01 Organigrama de la Financieras EDYFICAR -SEDES
CONTRASTACIONPara efectos de la Contratación de la hipótesis propuesta en la presenteinvestigación se utilizo el modelo de sucesión en línea.
O1Variable
Independiente
O2Variable Dependiente
Estímulo
La identificación de lineamientos base en la implantación de un Sistema de Gestión deSeguridad de la Información permitirá cumplir con sus objetivos de control a unaInstitución Financiera en el Perú.Donde:I = Identificación de Lineamientos Base.D = Implantación de un Sistema de Gestión de Seguridad de laInformación permitirá cumplir con sus objetivos de control a una Institución Financieraen el Perú.
Estímulo = Confiabilidad del sistema.
Gráfico Nº 02 Contrastación
Indicadores
Nivel de Integridad
Sin la Solución Con la Solución
Estrategias de seguridad 2 8
Búsqueda de información 2 8
Seguridad de la Información
confidencial 2 8
Guardar información 4 8
Reportar alertas de inseguridad 3 8
Consultas de información segura 2 8
Promedio Final 2.5 8
CONFIABILIDAD DEL SISTEMA: RANGO [10 mejor – 5 regular - 0 peor]
Tabla N° 03: Resultado de Pruebas con el Sistema de Gestión de Seguridad de la información.
Fuente: Datos de Pruebas realizadas.
LineamientosEl tiempo de implantación de un Sistema deSeguridad de la Información, sería en cuanto allineamiento de:
Tiempo (Horas)
AntesLineamien
to
DespuésLineamien
to
1. Estrategia de Seguridad de la Información Muy Alto Regular
2.Compromiso de la Alta Gerencia Muy Alto Regular
3.Roles y Responsabilidades Muy Alto Regular
4.Canales de Comunicación Alto Bajo
5.Normas Regulatorias y Legales Muy Alto Regular
6.Políticas de Seguridad de Información Muy Alto Regular
7.Procedimientos y Guías Muy Alto Regular
8.Análisis de Valor Muy Alto Regular
9.Administración de Riesgos Muy Alto Regular
10.Plan de implementación de Tecnología para la S.I. Muy Alto Regular
11.Cultura Organizacional y la S.I. Muy Alto Regular
12.Plan de Continuidad del Negocio Muy Alto Regular
TIEMPO DE IMPLANTACIÓN:
Tabla Nº04 Evaluación de Lineamientos respecto al tiempo de implantaciónFuente: Datos de pruebas realizadas
LineamientosEl costo de implantación de un Sistema deSeguridad de la Información, sería en cuanto allineamiento de:
Costo (Dinero)
AntesLineamiento
DespuésLineamiento
1. Estrategia de Seguridad de la Información Muy Alto Bajo
2.Compromiso de la Alta Gerencia Muy Alto Bajo
3.Roles y Responsabilidades Muy Alto Regular
4.Canales de Comunicación Muy Alto Regular
5.Normas Regulatorias y Legales Muy Alto Bajo
6.Políticas de Seguridad de Información Muy Alto Bajo
7.Procedimientos y Guías Muy Alto Regular
8.Análisis de Valor Muy Alto Regular
9.Administración de Riesgos Muy Alto Regular
10.Plan de implementación de Tecnología para laS.I.
Muy Alto Regular
11.Cultura Organizacional y la S.I. Muy Alto Regular
12.Plan de Continuidad del Negocio Muy Alto Regular
COSTO DE IMPLANTACIÓN:
Tabla Nº05: Evaluación deLineamientos respecto alcosto de implantaciónFuente: Datos de pruebasrealizadas
LineamientosLa Sinergia en la implantación de un Sistema deSeguridad de la Información, sería en cuanto allineamiento de:
Sinergia (Trabajo en equipo)
AntesLineamiento
DespuésLineamiento
Gobierno de Seguridad de Información
1. Estrategia de Seguridad de la Información Muy Alto Regular
2.Compromiso de la Alta Gerencia Muy Alto Regular
3.Roles y Responsabilidades Muy Alto Regular
4.Canales de Comunicación Alto Regular
5.Normas Regulatorias y Legales Alto Regular
6.Políticas de Seguridad de Información Muy Alto Regular
7.Procedimientos y Guías Muy Alto Bajo
8.Análisis de Valor Muy Alto Regular
9.Administración de Riesgos Muy Alto Regular
10.Plan de implementación de Tecnología para la S.I. Muy Alto Regular
11.Cultura Organizacional y la S.I. Muy Alto Regular
12.Plan de Continuidad del Negocio Muy Alto Regular
SINERGIA DE IMPLANTACIÓN:
Tabla Nº06:Evaluación deLineamientosrespecto a lasinergia deimplantaciónFuente: Datos depruebas realizadas
Conclusiones• Se analizó el estado del arte del problema presentado.• Se analizaron las normas y estándares aplicados en Instituciones
Financieras Peruanas.• Se identificaron normas y estándares apropiados para ser aplicados en las
Instituciones Financieras del Perú.• Se evaluaron los 12 lineamientos identificados para lograr la implantación
exitosa de un Sistema de Seguridad de la Información en las Financierasdel Perú, siendo los más relevantes de los lineamientos el apoyo de la AltaGerencia, Administración de Riesgos y Cultura Organizacional de S.I.
Recomendaciones• Contratar personal calificado en seguridad informática responsable para
que cumplan con las labores de supervisión, soporte técnico y asesoramiento.
• Capacitar y concientizar al personal sobre políticas de seguridad en forma contínua.
Bibliografía• Areitio, J. (2008). Seguridad de la Información. Barcelona. Parainfo.• Basel Committee on Banking Supervision. (2003). Sound Practices for the Management and Supervision of
Operational Risk.• Bank for International Settlements. (2008). Sound Practices for the Management and Supervision of
Operational Risk.• Cepparo, G. (2006). Basilea II y el riesgo operacional en las entidades financieras. Tesis final del Master en
Administración Financiera, Universidad de Buenos Aires.• CNVB Comisión Nacional Bancaria y de Valores de México (2005).Circular• Única de Bancos – Capítulo IV – Administración de Riesgos.• Daltabuit, E. , Hernández, L. , Mallén, G. & Vázquez, José. (2007). La Seguridad de la Información. México.
Limusa.• Indacochea, A. (2005). Una propuesta para mejorar las prácticas de Gobierno Corporativo en el Perú.
Pontificia Universidad Católica Del Perú. Recuperado dehttp://centrum.pucp.edu.pe/docentes/AIndacochea_Libros/documentos_publicados/Gobierno_Corporativo.pdf.
• Kotler, D. , Swedloff, R. (2005). The Impact of Sarbanes-Oxley on IT and Corporate Governance.Recuperado de www.serena.com
• McKinsey, L., Samandari & Simoes (2006). Better operational-risk management for banks.California.McKinsey Quarterly Bulletin.
• Nieto, M. (2005). El tratamiento del Riesgo Operacional en Basilea II. Madrid. Bancos de España.• Seivold, A. , S. Leifer, S. Ulman (2006). Operational Risk Management: An• evolving discipline. California. Supervisory Insights.• Sullivan, D. (2004). The Definite Guide to Security Management. Computer Associates. California.
Realtimepublishers.com.• SFC (2006). Circular Externa 049. Barranquilla. Superintendencia Financiera de Colombia.
