“PROPUESTA DE PLAN DE SEGURIDAD INFORMÁTICA PARA UNA ENTIDAD FINANCIERA”

[pic 1]

ESCUELA DE POSTGRADO NEUMANN

ALUMNOS:

José Lenín, Pereyra Briones

Vilma Aurelia Flores Zapata

Jaffet, Sillo Sosa

“PROPUESTA DE PLAN DE SEGURIDAD

INFORMÁTICA PARA UNA ENTIDAD FINANCIERA”

ASIGNATURA: SEGURIDAD INFORMÁTICA

MAESTRÍA: MAESTRÍA EN TECNOLOGÍAS DE LA INFORMACIÓN

ÍNDICE

ÍNDICE        2

INTRODUCCIÓN        4

1.        OBJETIVOS Y ALCANCES        5

2.        METODOLOGÍA Y PROCEDIMIENTO DESARROLLADO        5

2.1.        METODOLOGÍA CRAMM        5

2.2.        PROCESOS O FASES DE CRAMM        6

2.2.1.        IDENTIFICACIÓN Y VALORACIÓN DE ACTIVOS        6

2.2.2.        DE AMENAZAS Y EVALUACIÓN DE LA VULNERABILIDAD        6

2.2.3.        CONTRAMEDIDAS SELECCIÓN Y RECOMENDACIÓN        7

3.        DIAGNÓSTICO DE LA SITUACIÓN ACTUAL DE LA ADMINISTRACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN        8

3.1.        EVALUACIÓN        8

3.2.        ALCANCES        8

4.        SEGURIDAD DE LA INFORMACIÓN        9

4.1.        SITUACIÓN ACTUAL        9

4.2.        ROLES Y RESPONSABILIDADES DE LA ESTRUCTURA ORGANIZACIONAL DE SEGURIDAD DE INFORMACIÓN        10

4.2.1.        INGENIERO DE SEGURIDAD DE LA INFORMACIÓN        10

4.2.2.        COMITÉ DE SEGURIDAD        10

4.3.        ORGANIZACIÓN DEL ÁREA DE SEGURIDAD INFORMÁTICA PROPUESTA        11

4.3.1.        AUDITORES INFORMÁTICOS        11

4.3.2.        CUSTODIOS DE INFORMACIÓN        11

4.3.3.        ÁREA DE SEGURIDAD DE LA INFORMACIÓN        11

4.3.4.        PROPIETARIOS DE LA INFORMACIÓN        11

4.3.5.        USUARIOS        11

5.        EVALUACIÓN DE RIESGOS, AMENAZAS Y VULNERABILIDADES        11

6.        POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN        15

6.1.        DEFINICIÓN        15

6.2.        CUMPLIMIENTO OBLIGATORIO        15

6.3.        ORGANIZACIÓN DE LA SEGURIDAD        16

6.4.        EVALUACIÓN DE RIESGO        16

6.5.        SEGURIDAD DEL PERSONAL        18

6.5.1.        RESPONSABILIDADES DE LOS USUARIOS        18

6.5.2.        ENTRENAMIENTO        18

6.6.        ADMINISTRACIÓN DE COMUNICACIONES Y OPERACIONES        19

6.7.        CONTROL DE ACCESO DE DATOS        19

6.8.        DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS        20

6.9.        CUMPLIMIENTO NORMATIVO        21

6.9.1.        PROTECCIÓN LEGAL        21

6.9.2.        NORMATIVIDAD        21

7.        PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL        22

7.1.        MATRIZ DE APLICACIÓN DE ALTO NIVEL        22

7.2.        ETAPAS DE APLICACIÓN        22

7.2.1.        IDENTIFICACIÓN DE ACTIVOS        22

7.2.2.        VALORACIÓN DE ACTIVOS        23

7.2.3.        VALORACIÓN DE AMENAZAS Y VULNERABILIDADES        24

7.2.4.        SELECCIÓN DE CONTRAMEDIDAS        25

7.3.        CRONOGRAMA DE APLICACIÓN        26

8.        CONCLUSIONES Y RECOMENDACIONES        27

9.        ENLACES Y REFERENCIAS        28

INTRODUCCIÓN

El presente trabajo se basa en los documentos proporcionados en el curso de Seguridad de la Información de la Maestría en Gestión de Tecnologías de la Información, el cual se estructura de una parte metodológica y otra aplicativa, teniendo en cuenta que el alcance inicial se basa a la aplicación a una entidad financiera y sus posibles complicaciones en cuanto a seguridad.

En la primera parte se desarrolla un debate y priorización de metodologías existentes en priorización de riesgos, luego se escoge una de las metodologías en base a los objetivos y características de la organización.

Así mismo se propone una forma práctica de aplicación de la metodología teniendo en cuenta elementos técnicos para su aplicación, así como recomendaciones generales de la teoría presentada y consultada.

Se menciona que la información presentada no va dirigida a una entidad financiera con nombre propio, ya que al ser información de seguridad se debe tener cuidado en su divulgación. Sin embargo, hay que mencionar que se trata de una Caja de Ahorro y Crédito de operación en el ámbito nacional.

1. OBJETIVOS Y ALCANCES

El objetivo principal del presente documento es proponer un Plan de Seguridad Informática para una entidad financiera.

Sin embargo, se han considerado algunos objetivos adicionales que por la naturaleza del trabajo no quedan sin ser expuestos:

• Identificar y valorar vulnerabilidades organizaciones y tecnológicas en cuanto a seguridad de la información.
• Recolectar información acerca del tema de seguridad informática y exponerla de manera clara y precisa.

Lo alcances del presente Plan, son parte de la operatividad organizacional, así mismo se basan en la normativa que rige el ente regulador en cuanto a seguridad de la información, por tanto, este documento se sustenta en lineamientos planteados en la norma ISO 27001:2013 Seguridad de la Información, Análisis de Brechas ISO 27001, ISO 22301, circulares G-140-2009-SBS, G-140-2009-SBS, Ley de Protección de Datos Personales e Implementación del PCI-DSS (Tarjetas de pago).

...