Implementación de un sistema de gestión de seguridad de la información para el sector bancario (página 2)
La pretensión de este artículo es la de
que el lector pueda identificar todos los elementos necesarios
para implantar un SGSI en una entidad financiera al igual que
presentar un procedimiento
adecuado, ordenado y lógico que le permita a un banco nacional,
implementar un sistema de
gestión
de seguridad de la
información que cumpla con las regulaciones
legales, que se ajuste a las normativas internacionales y que
garantice una protección efectiva de la información
y de los sistemas que la
procesan.
Sociedad e
Información
Es difícil recrear en la mente un escenario de
sociedad sin
información. Vivimos en una sociedad de fuertes
transiciones, dimos el salto de la era mecánica e industrial a la era de la
información. De acuerdo con Ibarra (2002), el uso de los
medios
tecnológicos y de información ha afectado todos los
ámbitos sociales, ha modificado la forma de
interrelacionarnos y ha impactado los medios de producción y las
economías.
Para Delarbre (2001), el mundo en el que vivimos
está pletórico de datos, frases e
íconos. Hemos aprendido a organizarlos y la
información que de ellos deriva rige muchas de nuestras
decisiones. La percepción
que los seres humanos tenemos de nosotros mismos ha cambiado, en
vista de que se ha modificado la apreciación que tenemos
de nuestro entorno. Nuestra circunstancia no es más la del
barrio o la ciudad en donde vivimos, ni siquiera la del
país en donde nacemos. Nuestros horizontes son, al menos
en apariencia, de carácter planetario. Estas
características definen esta sociedad que conformamos, la
sociedad de la información.
La
información y las organizaciones
Luego de las dos primeras guerras
mundiales, las sociedades,
las economías y las organizaciones
empiezan a sufrir cambios drásticos, los acontecimientos
históricos son de escala global, el
sector secundario y el terciario o de servicios
cobran mayor presencia dentro de la economía
mundial y su importancia estará sustentada en la
información.
La segunda mitad del siglo XX estuvo marcada por el
incremento en sistemas generadores de información y en
actividades propias de este nuevo medio productivo.
Velásquez (1998), al respecto señala que: La
economía global se abre paso luego de la
decadencia del mundo bipolar, es el nacimiento de un nuevo
paradigma, la
información, pero no como una acumulación de datos
sino y gracias a medios procesamiento electrónico,
transformada en conocimiento,
el cual hace parte entonces de la estructura
económica de las organizaciones post-capitalistas (p.
20).
Será necesario replantear la estructura de las
organizaciones, su misión y
sus objetivos, la
manera en que se ejecutan sus procesos y la
forma en que se aprende y se desarrolla. Tal como lo plantea
Velásquez (1998, p. 21) "las nueva organización debe tener como principales
variables la
innovación, la agilidad y el aprendizaje
organizacional si quiere tener éxito"
(p. 29). Así mismo Alonso (1998) señala que siempre
han sido la información y conocimiento esenciales en los
sistemas económicos, la posesión y dominio de la
información y su control
tecnológico posibilitan una mayor productividad.
"…el mundo se está volviendo no de uso
intensivo de de mano de obra, no de uso intensivo de materiales, no
de uso intensivo de energía, sino de uso intensivo de
conocimientos…" (Drucker, 1992, p. 72), y es ahí
donde cobra su mayor importancia la información y la
capacidad de las organizaciones de transportar, procesar y
transformarla de forma rápida, económica y
segura.
La
información, un activo siempre expuesto al
riesgo
En los sistemas complejos siempre existirán
riesgos que
pueden poner en juego la
estabilidad y el futuro de las mismas y la información
como nuevo factor generador de ventajas competitivas no es la
excepción. Oz (2001), establece que son los datos y los
medios de procesamiento, activos valiosos
pero altamente vulnerables, expuestos a riesgos, amenazas y a
hechos que van en contra de la seguridad de los mismos, que
afectan su disponibilidad, su integridad y su
confidencialidad.
Siendo la información uno de sus activos
más importantes, requiere ser protegida de forma adecuada
frente a cualquier amenaza que ponga en peligro la continuidad
del negocio. Esta situación ha conllevado a que las
organizaciones respondan a tales riesgos reordenando sus estructuras y
abriendo campo a nuevas disciplinas y habilidades gerenciales que
ayuden a minimizar tales riesgos.
Se inicia entonces, todo un proceso para
gestionar la seguridad de la información, se establecen
normas
internacionales y se definen políticas
locales que buscan garantizar integridad, confidencialidad y
disponibilidad en la información. Las organizaciones
actuales están llamadas a diseñar políticas
orientadas a gestionar el riesgo sobre la
información y los sistemas que la procesan y a
diseñar sistemas eficientes para gerenciar el riesgo de
tales sistemas.
El sistema
bancario colombiano y la seguridad de la
información
El sistema bancario Colombiano como sector
económico organizado, es un sistema con mas de 70
años de existencia, Campos & Duque (2001)
señalan que ha lo largo de toda su historia, el sector bancario
nacional ha demostrado ser un sector sólido, rentable, y
generador de desarrollo en
la economía.
Con la reforma financiera de 1990[1]se
des-regulariza el sector financiero, creando esquemas de matrices y
filiales y autorizando la inversión
extranjera sin limites en estas entidades, entre los cambios
mas significativos, este movimiento
hacia la banca universal
es el principio de una nueva estructura bancaria.
Según López & Sebastián (1998)
la nueva banca ejerce un papel protagónico en materia de
transformaciones ya que casi todo, incluyendo el fundamento de su
actividad, está cambiando. Consecuentemente, la banca ha
diversificado sus productos y
mercados,
desarrollando canales alternativos de distribución, adoptando sistemas de
gestión y formulando estrategias
competitivas entre otras iniciativas de innovación (p.
12).
De acuerdo con Peña, Aguilar, Belloso & Parra
(2005) en el sector bancario, los sistemas de
información se convierten en articuladores de sus
dinámicas productivas y se convierten en elementos claves
para reaccionar frente a cambios y satisfacer los requerimientos
del entorno; mas aun cuando las transformaciones que se han
producido en las últimas décadas, se fundamentan en
nuevas valoraciones de la información y el
conocimiento como materia prima
para alcanzar mayor productividad en la
gestión.
Como lo establece Obrien (2001 citado en Peña,
Aguilar, Belloso & Parra, 2005) para las entidades bancarias,
las tecnologías de la información les han ayudado
en la automatización de procesos, apoyo para el
análisis, toma de
decisiones gerenciales; pero en las últimas dos
décadas la naturaleza del
uso de la información para los bancos ha
cambiado, pues la información y no el dinero se
convierten en la materia prima de la industria
gracias a la nueva cultura
financiera, "un banco está definido casi únicamente
por su capacidad para agregar valor a la
relación con el cliente, que se
traduce en adquirir, analizar e integrar información sobre
y para beneficio de este". (Tapscott, 1999 citado en Peña,
Aguilar, Belloso & Parra, 2005)
La seguridad de esta gran cantidad de información
se convierte en un factor esencial en el desarrollo del negocio
bancario, en elemento indispensable para garantizar confianza en
el uso de las tecnologías de información y comunicaciones
(TIC) no solo
para las entidades bancarias sino en general para la nueva
sociedad digital. Esta seguridad es viable si existen métodos y
sistemas correctamente estructurados, confiables, de fácil
manejo y acompañados de una gestión eficiente que
garantice su vigencia y su funcionalidad.
En el campo de la tecnología
de información para todo tipo de organizaciones a
nivel mundial, la
Organización Internacional de Estándares
(ISO) y la
Comisión Internacional de Electrotecnia (IEC), a
través de su comité técnico, han definido el
estándar oficial internacional ISO/IEC 27005 para la
administración de la seguridad de la
Información cuyo objetivo es el
de permitir a las organizaciones identificar, tratar y limitar
amenazas en los activos de información, o sea, estructurar
de forma organizada la seguridad de la
información.
Actuando bajo estos mismos lineamientos, la
Superintendencia Financiera de Colombia (SFC)
publicó la circular 052 de 2007 denominada
Requerimientos mínimos de seguridad y calidad en el
manejo de información a través de medios y canales de
distribución de productos y servicios, con la
cual se busca establecer un referente básico para la
seguridad
informática del sector Bancario Colombiano.
Tanto el estándar internacional como la
normatividad local definen lineamientos básicos y
políticas generales para garantizar la seguridad de los
activos de información, sin embargo, son las mismas
entidades bancarias quienes interpretan de manera eficaz y
práctica tales políticas para convertirlas en
sistemas eficientes que cumplan con tales exigencias.
En los siguientes numerales se definirá entonces
un procedimiento adecuado, ordenado y lógico, para que una
entidad bancaria pueda implementar un sistema de gestión
de seguridad de la información (SGSI), que se cumpla con
normatividad nacional y se ajuste a los estándares
internacionales. Tal sistema tiene que estar en capacidad de
actuar de forma proactiva, garantizando que tiene la capacidad de
gerenciar el riesgo, previniendo y minimizando los incidentes de
seguridad, lo que a su vez permita asegurar a clientes,
inversionistas y entidades de regulación que se dispone de
un sistema de
información en el que se pueda confiar.
Establecimiento
de un Sistema de Gestión de Seguridad de la
Información (SGSI) para una entidad
bancaria
Diseñar e implementar un SGSI dependerá de
los objetivos estratégicos del negocio y las necesidades
de la entidad bancaria siendo estos los parámetros
básicos para la definición del alcance de su
implementación. Promover la ejecución de este
proyecto
proviene de las áreas directivas responsables del buen
funcionamiento de la entidad y se convierte en un requisito
indispensable para garantizar el éxito del
proyecto.
Un SGSI varía según el tipo de
organización y el sector económico en el que se
encuentre, sin embargo y de acuerdo con Alexander (2007), el
procedimiento para la implementación y mantenimiento
independiente del tipo de organización, debe seguir un
ciclo de mejora continua. Para el autor el círculo de
Deming2, es el método
más adecuado para la implementación de un SGSI ya
que propone una estrategia de
mejora continua en 4 pasos: Planear, hacer verificar y actuar.
Las fases que a continuación se describen, definidas por
el ciclo Deming,
permiten entender todo el procedimiento de implementación
del SGSI para las entidades bancarias.
Fase I – Definición del alcance del
SGSI
El alcance de un SGSI dependerá de la
identificación de aquellos procesos considerados
críticos y sobre los cuales se implementará el
SGSI, Para Alexander et al., (2007) y Puig et al., (2008) al
momento de definir el alcance del SGSI, el responsable del
proyecto debe tener claros los siguientes aspectos:
Las características del negocio. Tipos de
productos y/o servicios ofrecidos, y clientes
objetivo.Modelo de organización de la entidad
bancaria. Por procesos, por productos o por
funciones.Ubicación y área de cubrimiento.
Presencia nacional y/o internacional, grado de
penetración frente a las demás entidades
bancarias dentro del total de personas bancarizadas en el
país.Clasificación de todos los activos de la
entidad bancaria
De acuerdo con la Organización Internacional de
Estándares[2]dentro del estándar
ISO/IEC 27001:2005, para definir el alcance se
incluyen:
Todas las interfaces que operan en la
organizaciónTodas las áreas involucradas en los
procesosTodos aquellos proveedores que incidan en el
SGSI
Alexander (2007), señala que el método mas
preciso para determinar el alcance de un SGSI, es la metodología de elipses. Este método
establece que se han de tomar cada uno de los procesos de una
organización y separarlos para su análisis de la
siguiente manera:
Identificar los procesos básicos y listar los
subprocesos de cada uno de ellos. Estos se ubican en la
elipse central o concéntricaUbicar en la elipse intermedia las interacciones que
el proceso analizado tiene con otros procesos dentro de la
organización, ligándolos a través de
flechasEn la ultima elipse o capa mas externa, se
identifican y se ligan las organizaciones externas a la
entidad y que tienen alguna relación o con el proceso
analizado.
Sin embargo existen otros métodos para su
definición, Ambriz (2004), señala que una
herramienta práctica, sencilla y de fácil
aplicación son los mapas
mentales, para Ambriz et al. estos mapas son
herramienta fundamental en la gestión de cualquier
proyecto, que permite la memorización, organización
y representación de los procesos.
Fase II – Planeación de un
SGSI
Gran parte de los proyectos que se
llevan a cabo en las organizaciones fracasan antes de concluir
por la falta de una planeación
apropiada. La buena planeación, concentrada en el modelado
del futuro, junto con la supervisión y el control de los procesos,
son la clave para el éxito en un proyecto tal como lo
concluye Oz (2001).
En la planeación entonces, se incluirán
todas aquellas actividades que ayudarán a lograr la
implementación exitosa del SGSI. Para Alexander et al.
(2007), en esta fase se deben tener identificados los siguientes
aspectos:
Definir un objetivo y el alcance del
proyecto.Establecer el presupuesto necesario para ejecutar el
proyecto.Nombrar un gerente del proyecto.
Nombrar un equipo de trabajo quien asumirá
diferentes responsabilidades referentes al
proyecto.Conocer toda la documentación relativa a los
procesos de negocio para los cuales se implementará el
SGSI y las Políticas de Seguridad existentes en la
Organización.Definir y documentar roles, responsabilidades y
dedicación en tiempo de los integrantes del equipo de
trabajo para garantizar una selección
idónea.Estructurar el plan detallado de actividades para el
alcance definido.Desarrollar un cronograma de actividades que
contenga tiempos, responsables, presupuesto y fecha de
entrega para la implementación del SGSI.
Aclarados estos aspectos del proyecto, se hace necesaria
la definición de una metodología de trabajo,
según Domínguez (2009), a la hora de seleccionar un
estándar de trabajo en la gerencia del
proyecto se debe tener en cuenta lo siguiente:
Utilizar una terminología común.
Revisar la terminología a usar al interior del equipo
de trabajo para reducir riesgos de inconsistencias y
simplificar la comunicación.Definir un ciclo de vida para el
proyecto.Seguir estrictamente las directrices del
estándar escogido para la gerencia del
proyecto.Ejecutar rigurosamente el procedimiento de trabajo
escogido, verificando los avances, el cumplimiento de los
compromisos y el chequeo constante de todos los aspectos
esenciales del mismo, lo cual garantiza el cumplimiento de
los ítems anteriores.
Fase III – Estructuración del
SGSI
Luego de determinar el alcance y todas aquellas
actividades propias de la planeación, se da inicio al
proceso de definición del SGSI a través de una
serie de actividades de recolección de información
y de análisis de la misma para la toma de decisiones. La
definición del SGSI comprende la realización de las
siguientes actividades:
Diagnóstico de Seguridad de la
Información
El Diagnóstico de Seguridad persigue la
identificación del estado de la
Seguridad de una Organización, para ello existen
básicamente dos aproximaciones. La primera, implica la
realización de un análisis de riesgos de los
sistemas de información, mientras que la segunda se lleva
a cabo mediante la determinación del estado de la
seguridad de una entidad frente a un estándar. De acuerdo
con el (Guía de implantación de un sistema de
gestión de seguridad de la información basado en el
estándar ISO/IEC27001:2005, 2008), el mejor
diagnóstico al interior de las entidades bancarias parte
de la evaluación
comparativa frente al estándar ISO 27002:2005
El diagnóstico comprende entonces una serie de
acciones
definidas a continuación.
Análisis de Cumplimiento de la norma
internacional (ISO/IEC 27002:2005):
De acuerdo con el diagnóstico de seguridad, esta
primera acción
tiene por objeto analizar el grado de cumplimiento de los
controles de seguridad que tiene actualmente la entidad bancaria
con relación a los definidos por la norma ISO/IEC
27002:2005 mediante la revisión de la documentación existente en la
organización, entrevista con
personal clave
en los diferentes procesos, evaluación de la
reglamentación existente y revisión de la
legislación aplicable a la organización. Los
resultados de este análisis deberán ser
documentados en un informe de nivel
de cumplimiento de acuerdo con los estándares
internacionales.
Estudio de Riesgos de Seguridad
Otro elemento fundamental del diagnóstico de
seguridad consiste en establecer el nivel de seguridad actual,
determinar los riesgos y con base en estos resultados definir el
modelo de
seguridad más apropiado (Alexander et, al.
2007)
De acuerdo con Daltabuit & Velasquez et al., (2007),
esta etapa es considerada como una de las más
críticas dentro del proceso de definición del SGSI
y es uno de los resultados en los que una futura auditoria de
certificación enfocará su revisión para
observar el nivel de riesgo obtenido y las opciones de
tratamiento definidas.
El desarrollo del análisis de riesgos (Risk
Assessment) estará basado en la metodología
recomendada por el estándar BS7799-3:2006 – Guidelines for
Information Security Risk Management, obteniéndose como
resultado el informe de análisis de riesgos, en el cual se
mostrará el nivel de riesgo de cada activo de
información, resultado de evaluar el impacto,
vulnerabilidades, amenazas, y factor de ocurrencia de amenazas y
vulnerabilidades.
En líneas generales, para actualizar y obtener la
respectiva matriz de
riesgos se seguirán una serie de tareas recomendadas que
se describen a continuación:
Identificación de activos de
información y valoración del
riesgo.
De acuerdo con los conceptos básicos de contabilidad,
todos aquellos bienes
tangibles e intangibles y los derechos que tienen valor o
utilidad son
considerados activos que posee cualquier empresa, ahora,
un concepto
más cercano al objeto de investigación es el que ofrece el Consejo
Superior de Administración Electrónica [CSAE], (2006), quien denomina
a los activos como "los recursos del
sistema de información o relacionados con este, necesarios
para que la organización funcione correctamente y al
alcance los objetivos propuestos por su dirección" (p. 17). Sin embargo y para
delimitar de forma correcta el alcance de un sistema de seguridad
de información, solo se pondrán en
consideración los llamados activos de información.
Según Vittoriano (2008) la información es
considerada como insumo fundamental que actúa como
facilitador para los objetivos de la organización, con
base en ella se desarrolla su negocio y es un elemento vital para
el desarrollo modelo de negocio de la organización. En el
contexto de la norma ISO 27001:2005, un activo de
información será: "…algo a lo que una
organización directamente le asigna un valor y, por lo
tanto, la organización debe proteger".
Con base en los procesos definidos en el alcance del
SGSI, se listan los activos de información asociados a
estos, igualmente se listan los componentes críticos tales
como software,
hardware e
infraestructuras que soporten dichos procesos. De acuerdo con
Puig (2008) la identificación de estos activos es esencial
para saber que hay que proteger y para hacer una correcta
clasificación mediante criterios de confidencialidad,
integridad y disponibilidad.
Siguiendo los estándares de la norma ISO
17799:2005, los activos de información para las entidades
del sector bancario se pueden clasificar en las siguientes
categorías:
Activos de Información. Ficheros, bases de
datos de clientes, bases transaccionales, documentos del
sistema, manuales de usuario, procedimientos documentados,
planes de continuidad, información archivada en medios
digitales o impresos.Documentos legales. Contratos con proveedores
relacionados con los procesos críticos.Activos de Software. De aplicación, del
sistema operativo, nuevos desarrollos que puedan exponer
información critica del negocio.Activos de Hardware. Servidores de
aplicaciónPersonas. Clientes y empleados.
Otros. Imagen corporativa, objetivos,
reputación.
Dado que los activos de información abarcan
diferentes elementos, es básico que se tenga claro este
concepto y sus diferentes clasificaciones, sin embargo y con base
en el método de elipses se puedan categorizar e
identificar dichos activos de forma más exacta.
La tasación de activos (Alexander et al, 2007),
se puede determinar con base en instrumentos de recolección
de datos, la escala Likert[3]como
método estadístico permite clasificar y jerarquizar
con base en las preguntas realizadas, los activos que afectan la
confidencialidad, integridad y disponibilidad.
La responsabilidad sobre cada uno de estos activos
recae en cada uno de sus propietarios quien tiene la tarea de
clasificar su nivel de seguridad, derechos de acceso y el
mantenimiento de controles apropiados.
Análisis y evaluación de
riesgos
Según el concepto de Summers (1997 citado en
Daltabuit & Vázquez et al., 2007), el análisis
de riesgos facilita la selección
de los mecanismos de protección, permiten estimar las
pérdidas potenciales que dichos mecanismos ayudan a
reducir facilitando la selección de los mismos. Como lo
señala Puig et al., 2008, el documento que de esta etapa
se derive, será el que se implantará durante la
fase de implementación del SGSI y sus acciones
serán de corto, mediano y largo plazo.
Para Muñoz (2004), la metodología de
análisis y gestión de
riesgos de los sistemas de información –
MAGERIT – es el núcleo de las actuaciones relacionadas con
el análisis, la evaluación y la gestión del
riesgo. Esta metodología analiza los riesgos, identifica
las amenazas y su impacto y gestiona el riesgo basado
en:
Elementos (activos, amenazas, vulnerabilidades,
riesgos, impactos, salvaguardas)Eventos (estáticos, dinámicos
organizativos, dinámicos físicos)Procesos (planificación, análisis de
riesgos, gestión de riesgos, selección de
salvaguardas)Amenazas.
De acuerdo con la normas ISO
27000, se considera amenaza aquella causa potencial de un
incidente no deseado, el cual puede causar daño a
un sistema o a una organización.
Los autores Alexander et al., 2007; Daltabuit &
Velasquez et al., 2007; Puig et al, 2008 coinciden en que las
amenazas se pueden clasificar en grandes grupos para
facilitar la toma de decisiones genéricas que reduzcan
grupos de amenazas bajo una sola acción. Los grupos
propuestos son:
Naturales. Fuego, inundación, terremotos,
etcétera.Humanas Accidentales. Desconocimiento, negligencia,
despidos, pérdida no intencional de
información.Humanas Intencionales. Robo de información,
ataques.Tecnológicas. Virus, hacker, crackers,
pérdida de datos, fallas de software, hardware
ó de red
Para Alexander et al. (2007) las amenazas reales y
exitosas en su intención son aquellas que dejan al
descubierto varias vulnerabilidades en los sistemas, aplicaciones
o servicios
Luego de identificadas todas las amenazas, se
evalúa su probabilidad
de ocurrencia bajo el modelo Likert, a cargo del grupo de
expertos de la organización. El resultado de esta
evaluación permitirá identificar las amenazas de
mayor a menor concurrencia y la decisión sobre cuales
atacar y cuales descartar de acuerdo con criterios
técnicos, legales y de costos.
Vulnerabilidades.
Las vulnerabilidades están asociadas a
debilidades de los activos de información. De acuerdo con
el CSAE et, al. (2006), la vulnerabilidad en el contexto de los
sistemas de información, es considerada como la ausencia o
debilidad en los controles que ayudan a mitigar un riesgo,
aumentando el nivel de impacto y el factor de exposición. Para Peltier (2001, citado en
Alexander et al., 2007), es una debilidad en el sistema,
aplicación, infraestructura, control o diseño
de flujo que puede ser explotada para violar la integridad del
sistema. En general se puede considerar entonces que el concepto
de vulnerabilidad se centra en la incapacidad que pueda tener un
sistema de seguridad.
De acuerdo con la norma ISO 17799-2005,
las vulnerabilidades son clasificables según como lo
indica la tabla anexa 1.
En esta parte del proyecto, el equipo de trabajo tiene
por objetivo identificar las ausencias o debilidades que
potencializan los riesgos. Un proceso de entrevistas
individuales de manera estructurada, profunda y directa con las
personas que tienen a su cargo la tarea de ejecutar las
políticas de seguridad de la organización,
permitirá evidenciar posibles fallas en los sistemas de
información y en la implementación de los
mecanismos de control y de defensa que actualmente se tienen,
adicionalmente se deberá realizar un conjunto de pruebas de
vulnerabilidad e intrusiones sobre la infraestructura
tecnológica que soporta los procesos para los cuales se va
a implementar el SGSI con el objetivo de verificar su nivel de
seguridad e identificar los riesgos existentes en estos
dispositivos. El modelo de Likert es un método útil
para identificar y jerarquizar las vulnerabilidades que luego
servirán para determinar los procedimientos
para mitigar los riesgos a los que se expongan los sistemas de
información.
Dado que las amenazas y las vulnerabilidades tienen
interrelación, se parte de la pregunta sobre cuáles
vulnerabilidades son aprovechadas por las amenazas, pues, una
vulnerabilidad identificada genera amenazas que se convierten en
un riesgo expuesto sobre cualquier sistema de información
de una entidad bancaria, esto es lo que para expertos en temas de
seguridad de información se conoce como la
relación causa-efecto entre el elementos del
análisis de riesgo, por lo tanto, el siguiente paso
será el de integrar estos elementos para analizar y
definir los niveles de riesgo que luego permitirán
implementar los procedimientos que ayudarán a mitigar
tales riesgos y eliminar las vulnerabilidades.
Procedimiento para el análisis y
evaluación de riesgos.
Un procedimiento ordenado y lógico para el
análisis de riesgo contiene los siguientes pasos (CSAE et
al., 2006):
1. Identificación de activos relevantes
para la organización. El valor y la
interrelación se basan en el costo del perjuicio que
este genere.2. Determinación de los controles de
seguridad dispuestos y su eficacia3. Identificación de las
vulnerabilidades para cada activo de
información.4. Determinación de las amenazas a las
que están expuestas estos activos5. Cálculo de la probabilidad de
ocurrencia de una amenaza sobre las vulnerabilidades
identificadas.6. Estimación del nivel de riesgo,
definido como la magnitud del impacto sobre la
explotación exitosa de la vulnerabilidad.
El análisis de riesgo permitirá
identificar y calcular el riesgo sobre los activos basados en
amenazas y vulnerabilidades, sin embargo, para cada
organización, el concepto de riesgo varía
según su objeto de negocio y los activos de
información que posee. Para Del Carpio, (2006), se
considera riesgo a cualquier hecho definido como incierto que
genera impactos negativos, sin embargo y llevando el concepto de
riesgo a la información misma, se considerará el
riesgo en los activos de información como la probabilidad
de que una amenaza se materialice aprovechando las
vulnerabilidades de un sistema de información (Guía
de de implantación de un sistema de gestión de
seguridad de la información basado en el estándar
ISO/IEC27001:2005, 2008).
Una vez se listan y clasifican los activos y se
identifican las amenazas y vulnerabilidades, se procede al
cálculo
del riesgo. Este cálculo utilizará valores
cuantitativos pues el valor de un activo de información se
tasa en el impacto en pérdidas económicas que el
mismo genera si es vulnerado. Para Daltabuit & Velasquez et
al., (2007), el análisis de riesgo se puede realizar de 2
formas:
Análisis cuantitativo. Basado en la
métrica y el cálculo de valores que determinen
el costo-beneficio, su cálculo demanda un gran
esfuerzo, pero permiten la comparación de
valores.Análisis cualitativo. Es más
ágil, pero sus resultados son más subjetivos
los cuales no se basan en cifras y contienen análisis
sencillos. No permiten la comparación de valores
más allá del orden relativo.
Los expertos en temas de seguridad de información
coinciden en afirmar que el análisis de riesgo es un
proceso permanente pues las organizaciones son sistemas abiertos,
complejos y en constante readaptación, por lo que los
análisis cualitativos pueden ofrecer los mejores
resultados, sin embargo y tal como lo plantea Del Carpio, (2006),
serán la naturaleza del proyecto y la disponibilidad de
tiempo y
dinero las que
influyan en la técnica a utilizar.
Las entidades del sector bancario colombiano, dada su
infraestructura, los altos costos de operación, la
complejidad de sus sistemas de información, la
sensibilidad de la información allí almacenada y
otros aspectos tales como la determinación de primas de
reaseguradoras, hacen que sea necesaria la aplicación de
técnicas cuantitativas, dado que la
implementación de un sistema de seguridad de
información es visto como un proyecto de gran escala y de
alta complejidad. Para Del Carpio et, al. (2006), los
métodos cuantitativos y de modelamiento mas recomendados
son el análisis de árboles
de decisión, la simulación
y el análisis de sensibilidad.
Plan de tratamiento de riesgos
A partir del informe de evaluación de riesgos se
procede a examinar cual es el tratamiento más adecuado
para cada uno de los riesgos que han sido identificados.
Alexander et, al. (2007).
Para el (CSAE et al., 2006) y siguiendo los lineamientos
del al norma ISO 27001:2005, el tratamiento de riesgos comprende
los siguientes enfoques:
Determinar si el riesgo es aceptable o si requiere
un tratamiento, en cuyo caso se identificará una de
las siguientes alternativas:
Reducir el riesgo a un nivel aceptable, implantando
algún control (combinación de personas,
procesos y herramientas).Aceptar el riesgo porque no es posible realizar un
tratamiento o porque éste resulta demasiado
costoso.Evitar el riesgo.
Transferir el riesgo a una tercera parte (Por
ejemplo, Compañías de Seguros).
En caso de que se decida mitigar el riesgo se debe
definir que controles del SGSI se deben implementar.
Además, si se considera necesario se pueden
seleccionar controles específicos
adicionales.Preparar un documento de Declaración de
Aplicabilidad (DDA), en el que se detalle la relación
de controles que se van a implantar.Establecer el nivel de riesgo aceptable para la
Organización.Obtener la aprobación de la dirección
a la DDA y a los riesgos no cubiertos.Formular un plan de tratamiento de riesgos en el que
se establecerán las acciones necesarias para conseguir
mitigar los riesgos a un nivel aceptable y para implantar los
controles que se consideren necesarios según
requerimiento de la norma ISO/IEC 27001:2005 en sus numerales
4.2.1.f, g y h.Preparar los procedimientos necesarios para la
implantación de controles. En cada procedimiento se
detallarán los objetivos que se pretenden cubrir, las
razones para su elección, cómo se implanta el
control y las responsabilidades asociadas
Desarrollo del modelo de seguridad según
el estándar internacional ISO/IEC
27001:2005
La implementación de este modelo de seguridad
requiere de unas políticas claras y la ejecución de
todas aquellas actividades tendientes a gestionar el
riesgo.
Definición de las políticas de
seguridad
Luego de establecer el alcance del SGSI, será
necesario definir y documentar la política de
seguridad. Según Daltabuit & Vázquez et al.,
(2007), "concebir y redactar la política recae sobre
los responsables del funcionamiento de la misma (…) el
elemento fundamental de estos documentos es que
expresan el consenso de quienes conocen mejor que nadie los
principios
operativos, económicos y éticos que
conducirán al éxito colectivo". En
opinión de Howard (Citado en Tipton y Krause, 2007) la
política incluirá los siguientes principios
básicos:
Reconocimiento y concientización de la
importancia de la seguridad de la información para los
resultados del negocio.Señalar el riesgo al que están
expuestos los sistemas de información y a su vez el
efecto inmediato sobre las operaciones del negocio
bancario.Seguimiento estricto a las normas legales y los
estándares internacionales para el manejo seguro de la
información.Coparticipación, compromiso y
co-responsabilidad de todos los miembros de la
organización de manera individual y como
organización.Visión de largo plazo pero con capacidad de
autoevaluación y reajuste
Tal como lo concluye Steer (2008), estas
políticas se convierten entonces en una declaración
expresa de la intención de conseguir algo que contribuye a
la seguridad de la información, definiendo que necesita
protegerse y cómo hacerlo, oponiéndose a las
amenazas identificadas y satisfaciendo las exigencias de
seguridad de la información que definen las normas legales
y los estándares internacionales.
De acuerdo con Puig et al., (2008), la política
de seguridad tendrá como mínimo los siguientes
elementos:
Una definición de seguridad de la
información y sus objetivos globales.El establecimiento del objetivo de la
dirección que soporte los objetivos y principios de la
seguridad de la información.Una explicación detallada de las
políticas, principios, normas y requisitos mas
importantes para la entidad bancaria:
Conformidad con los requisitos legislativos y
contractualesRequisitos de capacitación en temas de
seguridadPrevención y detección de virus y
software maliciosoGestión de continuidad del negocio
Consecuencias sobre la violación de la
política de seguridadRequisitos de uso para sistemas de
informaciónControles técnicos
Controles a proveedores externos y el
teletrabajo.
Desarrollo de procedimientos para la
Gestión de la Seguridad de la
Información
Todas las amenazas y las vulnerabilidades evidenciadas
hay que enfrentarlas, lo que requiere una planificación constante de las diferentes
alternativas de solución, por lo tanto luego de haber sido
definidas las políticas de seguridad de la
información, se elaborarán los procedimientos de
seguridad para soportar el SGSI y el modelo de seguridad
diseñado.
Para el CSAE et, al. 2006, el desarrollo de
procedimientos para la gestión de seguridad de la
información se traduce en el desarrollo de
políticas, normas y procedimientos y junto a ellos la
aplicación de salvaguardas y controles que verifican y
garantizan que cada amenaza tiene su respuesta
adecuada.
La definición de estos procedimientos de
gestión de seguridad facilita la transferencia de
conocimiento que en el futuro ayudará en la
aplicación de mejoras al sistema de gestión por
cuenta del personal interno de la organización.
Todo este conjunto de políticas y procedimientos
de seguridad para establecer un SGSI, deben estar alineados con
el estándar ISO/IEC 27001:2005 que se compone de 11
dominios:
1) Política de
seguridad2) Organización de la
seguridad de la información3) Administración de
recursos4) Seguridad de los recursos
humanos5) Seguridad física y del
entorno6) Administración de las
comunicaciones y operaciones7) Control de acceso
8) Adquisición, desarrollo
y mantenimiento de sistemas de información9) Administración de los
incidentes de seguridad10) Administración de la
continuidad de negocio11) Cumplimiento (requerimientos
legales, estándares, técnico y
auditorías)
Durante la ejecución del proyecto se considera el
desarrollo de los siguientes procedimientos esenciales en
seguridad, indicados por el estándar ISO/IEC 27001:2005, a
saber:
Control de Documentos
Control de Registros
Controles de acceso
Proceso de auditorías internas
Acciones Preventivas (Salvaguardas técnicas,
físicas, medidas de organización)Acciones Correctivas
Proceso de revisión Gerencial
Gestión de Incidentes de seguridad
Gestión de copias de respaldo y Backup de
InformaciónGestión de RR.HH. (Políticas de
personal, Administración de Usuarios y
Contraseñas)Control de Cambios
Inventario y Clasificación de Activos de
informaciónSeguridad de los Medios e Información en
Tránsito
Fase IV – Plan de Concientización en
Seguridad de la información
Esta fase comprende las actividades necesarias, para
establecer la estrategia de sensibilización y
divulgación de políticas y procedimientos para la
Gestión de la Seguridad de la Información, con el
propósito de establecer al interior de la
organización un grado de compromiso y
concientización con respecto al SGSI.
Las actividades de concientización no solo se
deben orientar hacia los temas de seguridad que es importante que
se refuercen mediante una campaña de comunicación. Un criterio igualmente
importante es la respuesta de la audiencia frente a los
diferentes medios de difusión o divulgación de los
contenidos.
Existen diferencias en el aprendizaje de
las personas que deben ser contempladas a la hora de
diseñar una campaña de concientización. Un
enfoque muy eficaz consiste en determinar para una audiencia dada
los siguientes criterios:
El estilo preferido de aprendizaje.
El nivel de conocimientos actual
Debido a que la seguridad de la información es
una preocupación nueva para las organizaciones y que el
tema de concientización es considerado parte integral de
las soluciones de
seguridad, se proponen las siguientes actividades:
Determinar cuál es el estado actual de
conciencia sobre la seguridad de la información en las
áreas de la Organización involucradas en la
implementación del SGSI. Una forma de llevar a cabo
esta actividad, es mediante la selección de un grupo
de funcionarios seleccionados por muestreo para que contesten
un cuestionario sobre conceptos básicos de seguridad
de la información. Esta información será
tabulada y se generaran las estadísticas que permitan
conocer el grado de cultura en seguridad que tiene la
organización. En esta fase también se
evaluarán los medios que actualmente posee la
organización para los procesos de divulgación y
que hayan resultado efectivos.Una vez se determine el estado de
concientización en la organización, se
contará con la información necesaria para el
diseño y documentación de la mejor estrategia
para la concientización y divulgación de los
aspectos de seguridad y del SGSI de la
organización.
Fase V – El Monitoreo y control al
SGSI
El rápido avance en el desarrollo de la tecnología impacta
los planes de seguridad de la información en cualquier
organización y ello hace que los mecanismos de seguridad
implementados puedan deteriorase con el paso del tiempo. Un
plan de
monitoreo ayudará como lo precisa Alexander et al., (2007)
a revelar nivel de deterioro en el que se encuentra el SGSI y a
definir las acciones correctivas necesarias.
"El monitoreo y el control de riesgos involucra la
ejecución de los procesos de la administración del riesgo para responder a
los eventos que
comprometen la seguridad de la información" (Del Carpio,
2006, p. 107).
La revisión es un ejercicio práctico con
resultados métrico orientado a calcular el nivel de
eficiencia en
la respuesta del SGSI. Los procedimientos para llevar a cabo este
monitoreo y la revisión están detalladas en la ISO
27001:2005 y de acuerdo con Guía de implantación et
al. 2008 su ejecución debe ayudar a:
Detectar errores
Identificar las fallas de seguridad
Controlar que las actividades de seguridad se
realicen de acuerdo a lo establecidoDefinir las acciones a implementar para corregir
errores y fallas
La norma ISO 27001:2005 estipula las siguientes
actividades orientadas al monitoreo y revisión del
SGSI:
Identificación de eventos de seguridad y
evasión de incidentes de seguridad.Evaluar la efectividad de las acciones ejecutadas
para resolver los incidentes de seguridad.Establecimiento de criterios de medición de
la efectividad de los controles.Revisión periódica de la
política y del alcance del SGSIRevisión de los riesgos residuales y los
riesgos aceptablesAuditorias internas y externas del SGSI
En el caso de las auditorías, la misma norma recomienda la
aplicación de auditorias
periódicas pues esta actividad ayuda a determinar que los
controles, los objetivos, los procesos y los procedimientos
continúan actuando en conformidad con la norma y para
analizar y planificar las acciones de mejora. (Corletti,
2006)
En este sentido los diferentes autores citados coinciden
en que las auditorías internas y externas pueden ayudar a
arrojar información mas confiable, objetiva y relevante
para la ejecución de planes de mantenimiento o mejoras al
SGSI.
Hasta acá entonces, se ha logrado dividir,
conceptualizar y detallar paso a paso todas aquellas actividades
que le permiten a una entidad financiera implementar un sistema
de gestión de seguridad de la información, como
todo sistema es evolutivo y su capacidad de respuesta y
adaptación estará condicionado por las buenas
practicas adoptadas desde la definición y hasta la puesta
en marcha del proyecto. Existen otras actividades asociadas a
este proyecto, pero se han dejado claras las mas relevantes y de
mayor incidencia para el mismo y con las cuales garantizar su
éxito.
Discusión
Hablar de seguridad de la información y de
políticas y procedimientos para el manejo de la misma en
Colombia es un tema que trascendió de la novedad a la
exigencia y de ahí a ser inherente al desarrollo de un
negocio. Todo este bagaje bibliográfico abordado para
desarrollar el tema me ha permitido observar como la sociedad ha
evolucionado. Décadas atrás el tema de la
información como factor crítico del negocio era
lejano, considerado por muchos como un intangible que
carecía de fuerza para
vulnerar la estabilidad y el futuro de una
organización.
El avance tecnológico y el salto revolucionario no solo
rompe con los esquemas en los que la humanidad ha vivido sino que
dejan al descubierto nuevos valores y nuevos riesgos asociados a
los mismos y es allí donde la información como
cobra su papel preponderante. Las entidades financieras no
difieren de cualquier otro tipo de organización de otros
sectores, son sistemas abiertos, que reciben insumos de todo tipo
que luego de ser procesados se convierten en productos y
servicios para el mercado, sin
embargo dentro de los insumos de entrada, es la
información el que tiene mayor relevancia.
Los modelos de
CRM, modelos
predictivos, modelos de riesgo, estrategias comerciales
selectivas, todo este conocimiento estratégico propio del
negocio se basa en la información que se extrae de los
clientes y del medio, pero es una información que
está expuesta a riesgos, por lo tanto si las empresas no
establecen sistemas que aseguren la integridad, la
confidencialidad y la disponibilidad de la información
jamás podrán mantenerse compitiendo en el mundo
globalizado.
Implementar un modelo de SGSI de acuerdo con todos los autores
es el camino correcto para garantizar que la información
circulante dentro de una entidad financiera, se hace de forma
segura. La problemática que se pueda estar presentando hoy
es que tal vez las entidades financieras consideren que sus
sistemas de seguridad de información son eficientes y que
sus controles son adecuados, pero dichos sistemas y controles son
meramente reactivos y no proactivos.
Uno de los elementos esenciales que deja este rastreo
bibliográfico al tema de la gestión de seguridad de
la información, es que los procedimientos son
cíclicos y que la tecnología tiene vida y
evoluciona cada vez con mayor complejidad por lo tanto no puede
concebirse que un SGSI mida su eficiencia en la capacidad de
adaptarse a cada riesgo asociado a los incidentes que van
apareciendo. La verdadera capacidad de un SGSI debe ser la de
poder atenuar
el riesgo antes de que pueda atacar, por lo tanto los SGSI se
implementan exclusivamente para mitigar los riesgos a los que
están sujetos los activos de información y no para
responder de forma reactiva en forma de ensayo y error
cuando los incidentes ocurren.
Conclusiones
Aunque el modelo presentado en este artículo y la
normatividad internacional relacionada con el tema de la
implementación de modelos de seguridad de la
información son aplicables a cualquier tipo de
organización, la implantación de un SGSI en
entidades financieras tienen una mayor repercusión e
importancia dada la diversidad de activos de información
que estas organizaciones manejan y el nivel de criticidad de los
mismos. Vulnerar la seguridad en la información de una
entidad financiera no solo tiene un costo muy alto a
nivel financiero sino también a nivel de imagen tanto de
la entidad afectada como del sector financiero en general, sobre
el cual recae la mayor parte del peso del desarrollo
económico nacional y sobre el cual se ha depositado la
confianza de miles de usuarios del sector bancario.
Una de las razones mas importantes para implementar un
SGSI es la de atenuar los riesgos propios de los activos de
información de las entidades financieras. Una acertada
identificación de tales activos, una definición
correcta del alcance y unas políticas de seguridad claras
y completas, son determinantes para la correcta
implantación del SGSI.
Un SGSI en una entidad bancaria no puede ajustarse cada
vez que se genera un incidente de seguridad, pues la labor de
quienes tienen la función de
gerenciar la seguridad de la información en las entidades
financieras no puede ser únicamente la de administrar los
controles creados para cada situación de riesgo. Se debe
actuar de manera proactiva para tratar de anticiparse a tales
hechos y para ello el SGSI debe estar en capacidad de ayudar a la
alta dirección en la definición de acciones que
mitigan los riesgos sobre los activos más críticos
sin tener que esperar a que los eventos ocurran.
La implantación de un SGSI requiere de una alta
participación a nivel estratégico y su papel es
protagónico, pues dicha implantación es un proyecto
que reclama tiempos, actividades, recursos, por lo tanto la alta
gerencia debe conocer y ser conciente de la importancia de la
seguridad y de las consecuencias de no llevar a cabo su
implementación.
La implantación y operación de un SGSI
ofrece ventajas para las entidades bancarias al disponer de una
metodología dedicada a la seguridad de la
información reconocida internacionalmente, contar con un
proceso definido para evaluar, implementar, mantener y
administrar la seguridad de la información, diferenciarse
en el mercado frente a otras entidades financieras, satisfacer
requerimientos de clientes, proveedores y
organismos de control, formalizar las responsabilidades
operativas y legales de los usuarios internos y externos de la
Información y ayuda en el cumplimiento de las
disposiciones legales nacionales e internacionales.
Referencias
Alexander, A. G. (2007). Diseño de un sistema de
gestión de seguridad de la información.
Bogotá: Alfaomega.
Alonso, M.C. (1998). Impacto social de las
tecnologías de la información en las formas de
vida. Ahciet:Revista de
Telecomunicaciones, 75.
Ambriz, R. (2004, Enero 14). Una herramienta
práctica y sencilla para definir el alcance del proyecto:
los mapas mentales. The project manager"s homepage, Articulo
67924, Extraído el 8 de marzo de 2009 en:
http://www.allpm.com/modules.php?op=modload&name=News&file=article&sid=937&mode=thread&order=0&thold=0
Campos J. M. & Duque G. (2001). Comportamiento
y evolución del sistema bancario colombiano
de 1990 al 2001. Memorias para
optar el título de Magister en Ingeniería
Industrial, Escuela de
Ingeniería, Universidad de
los Andes, Bogotá D.C.
Corlettti, A. (2006, Abril 4). Análisis de
ISO-27001:2005. Articulos de seguridad informática. Extraído el 13 de abril
de 2009 en:
Daltabuit, E., Hernández, L., Mallen, G. &
Vasquez, J. (2007). La seguridad de la
información. Mexico: Limusa Ediciones
Drucker, P. (1992). Gerencia para el futuro.
Bogotá: Norma.
Del Carpio, G. (2006). Análisis del riesgo en la
administración de proyectos de
tecnología de información, [Versión
electrónica], Industrial Data, 1 (9), 104-107
España, Consejo Superior de Administración
Electrónica. (2006). Metodología de análisis
y gestión de riesgos de los sistemas de información
[Versión electrónica].
Colombia, Etek International Holding Corp. (2008).
Guía de implantación de un sistema de
gestión de seguridad de la información basado en el
estándar ISO/IEC27001:2005. Manuscrito no
publicado.
Hernández, J. (1991). La gestión de la
información en las organizaciones: Una disciplina
emergente. [Versión electrónica].
Documentación de las ciencias de la
información, 13, 133-148.
López, J. & Sebastian, A.
Gestión Bancaria. Los nuevos retos en un entorno
global. España:
McGraw Hill/Interamericana.
López, N. (2005). La seguridad
más que un valor agregado en los sistemas de
información. Revista universidad católica de
oriente. 19, 107 – 117
Muñoz, J.J. (2004).
Metodología para la incorporación de medidas de
seguridad en sistemas de información de gran
implantación: confianza dinámica y regulación del nivel de
servicio para
sistemas y protocolos de
internet. Trabajo
de grado para optar al título de doctor, Escuela de
ingeniería
de sistemas telemáticos, Universidad
Politécnica de Madrid,
Madrid, España.
Ozz, E. (2001). Administración
de Sistemas de Información (2ª ed). México:
Thomson Learning.
Puig, T. (2008, Mayo 15).
Implantación de un sistema de gestión de seguridad.
Cursos de Tecnologías de Información.
Extraído el 15 de marzo de 2009 en: http://www.mailxmail.com/curso/empresa/gestiondeseguridad
Peña, D., Aguilar, M., Belloso, N.,
& Parra, J. (2003). Factores de cambio en los
sistemas de información del sector bancario
[Versión electrónica]. Revista Venezolana de
gerencia, 23, 480-495
Tipton H. F., Krause M. (2007). Information
security management handbook. Palm Beach, FL: CRC
Press.
Vittoriano E. (2008, Agosto). La
información como activo. Conferencia
presentada en la Conferencia latinoamericana de auditoria,
control y seguridad (Latin America CACS) 2008, Santiago,
Chile.
Velásquez M., Mauricio A. (1998).
Ceros y unos: La economía de la información.
Informática al día, 111, 19-23
Cesar Augusto Granada
Corrales
[1] El Congreso de Colombia estableció
una nueva reforma financiera, buscando garantizar la
estabilidad de este sector, ello debido a la crisis de la
década de los 80€™s, se sanciona entonces
esta ley por medio
de la cual se expiden normas en materia de
intermediación financiera.
[2] La Organización Internacional para
la Estandarización o ISO (del griego iso, "igual", y
cuyo nombre en inglés se interpreta como International
Organization for Standardization), que nace después de
la Segunda
Guerra Mundial, es el organismo encargado de promover el
desarrollo de normas internacionales de fabricación,
comercio y
comunicación para todas las ramas industriales a
excepción de la eléctrica y la
electrónica. Su función principal es la de buscar
la estandarización de normas de productos y seguridad
para las empresas u organizaciones a nivel internacional.
[3] Método desarrollado por Rensis
Likert a principios de los años 30, que consiste en un
conjunto de ítems presentados en forma de afirmaciones o
juicios, ante los cuales se pide la reacción del sujeto
consultado mediante escalas de valor.
 Página anterior | Volver al principio del trabajo | Página siguiente  |