Implementación de un sistema de gestión de seguridad de la información para el sector bancario (página 2)
Enviado por Cesar Augusto Granada Corrales
La pretensión de este artículo es la de que el lector pueda identificar todos los elementos necesarios para implantar un SGSI en una entidad financiera al igual que presentar un procedimiento adecuado, ordenado y lógico que le permita a un banco nacional, implementar un sistema de gestión de seguridad de la información que cumpla con las regulaciones legales, que se ajuste a las normativas internacionales y que garantice una protección efectiva de la información y de los sistemas que la procesan.
Sociedad e Información
Es difícil recrear en la mente un escenario de sociedad sin información. Vivimos en una sociedad de fuertes transiciones, dimos el salto de la era mecánica e industrial a la era de la información. De acuerdo con Ibarra (2002), el uso de los medios tecnológicos y de información ha afectado todos los ámbitos sociales, ha modificado la forma de interrelacionarnos y ha impactado los medios de producción y las economías.
Para Delarbre (2001), el mundo en el que vivimos está pletórico de datos, frases e íconos. Hemos aprendido a organizarlos y la información que de ellos deriva rige muchas de nuestras decisiones. La percepción que los seres humanos tenemos de nosotros mismos ha cambiado, en vista de que se ha modificado la apreciación que tenemos de nuestro entorno. Nuestra circunstancia no es más la del barrio o la ciudad en donde vivimos, ni siquiera la del país en donde nacemos. Nuestros horizontes son, al menos en apariencia, de carácter planetario. Estas características definen esta sociedad que conformamos, la sociedad de la información.
La información y las organizaciones
Luego de las dos primeras guerras mundiales, las sociedades, las economías y las organizaciones empiezan a sufrir cambios drásticos, los acontecimientos históricos son de escala global, el sector secundario y el terciario o de servicios cobran mayor presencia dentro de la economía mundial y su importancia estará sustentada en la información.
La segunda mitad del siglo XX estuvo marcada por el incremento en sistemas generadores de información y en actividades propias de este nuevo medio productivo. Velásquez (1998), al respecto señala que: La economía global se abre paso luego de la decadencia del mundo bipolar, es el nacimiento de un nuevo paradigma, la información, pero no como una acumulación de datos sino y gracias a medios procesamiento electrónico, transformada en conocimiento, el cual hace parte entonces de la estructura económica de las organizaciones post-capitalistas (p. 20).
Será necesario replantear la estructura de las organizaciones, su misión y sus objetivos, la manera en que se ejecutan sus procesos y la forma en que se aprende y se desarrolla. Tal como lo plantea Velásquez (1998, p. 21) "las nueva organización debe tener como principales variables la innovación, la agilidad y el aprendizaje organizacional si quiere tener éxito" (p. 29). Así mismo Alonso (1998) señala que siempre han sido la información y conocimiento esenciales en los sistemas económicos, la posesión y dominio de la información y su control tecnológico posibilitan una mayor productividad.
"…el mundo se está volviendo no de uso intensivo de de mano de obra, no de uso intensivo de materiales, no de uso intensivo de energía, sino de uso intensivo de conocimientos…" (Drucker, 1992, p. 72), y es ahí donde cobra su mayor importancia la información y la capacidad de las organizaciones de transportar, procesar y transformarla de forma rápida, económica y segura.
La información, un activo siempre expuesto al riesgo
En los sistemas complejos siempre existirán riesgos que pueden poner en juego la estabilidad y el futuro de las mismas y la información como nuevo factor generador de ventajas competitivas no es la excepción. Oz (2001), establece que son los datos y los medios de procesamiento, activos valiosos pero altamente vulnerables, expuestos a riesgos, amenazas y a hechos que van en contra de la seguridad de los mismos, que afectan su disponibilidad, su integridad y su confidencialidad.
Siendo la información uno de sus activos más importantes, requiere ser protegida de forma adecuada frente a cualquier amenaza que ponga en peligro la continuidad del negocio. Esta situación ha conllevado a que las organizaciones respondan a tales riesgos reordenando sus estructuras y abriendo campo a nuevas disciplinas y habilidades gerenciales que ayuden a minimizar tales riesgos.
Se inicia entonces, todo un proceso para gestionar la seguridad de la información, se establecen normas internacionales y se definen políticas locales que buscan garantizar integridad, confidencialidad y disponibilidad en la información. Las organizaciones actuales están llamadas a diseñar políticas orientadas a gestionar el riesgo sobre la información y los sistemas que la procesan y a diseñar sistemas eficientes para gerenciar el riesgo de tales sistemas.
El sistema bancario colombiano y la seguridad de la información
El sistema bancario Colombiano como sector económico organizado, es un sistema con mas de 70 años de existencia, Campos & Duque (2001) señalan que ha lo largo de toda su historia, el sector bancario nacional ha demostrado ser un sector sólido, rentable, y generador de desarrollo en la economía.
Con la reforma financiera de 1990[1]se des-regulariza el sector financiero, creando esquemas de matrices y filiales y autorizando la inversión extranjera sin limites en estas entidades, entre los cambios mas significativos, este movimiento hacia la banca universal es el principio de una nueva estructura bancaria.
Según López & Sebastián (1998) la nueva banca ejerce un papel protagónico en materia de transformaciones ya que casi todo, incluyendo el fundamento de su actividad, está cambiando. Consecuentemente, la banca ha diversificado sus productos y mercados, desarrollando canales alternativos de distribución, adoptando sistemas de gestión y formulando estrategias competitivas entre otras iniciativas de innovación (p. 12).
De acuerdo con Peña, Aguilar, Belloso & Parra (2005) en el sector bancario, los sistemas de información se convierten en articuladores de sus dinámicas productivas y se convierten en elementos claves para reaccionar frente a cambios y satisfacer los requerimientos del entorno; mas aun cuando las transformaciones que se han producido en las últimas décadas, se fundamentan en nuevas valoraciones de la información y el conocimiento como materia prima para alcanzar mayor productividad en la gestión.
Como lo establece Obrien (2001 citado en Peña, Aguilar, Belloso & Parra, 2005) para las entidades bancarias, las tecnologías de la información les han ayudado en la automatización de procesos, apoyo para el análisis, toma de decisiones gerenciales; pero en las últimas dos décadas la naturaleza del uso de la información para los bancos ha cambiado, pues la información y no el dinero se convierten en la materia prima de la industria gracias a la nueva cultura financiera, "un banco está definido casi únicamente por su capacidad para agregar valor a la relación con el cliente, que se traduce en adquirir, analizar e integrar información sobre y para beneficio de este". (Tapscott, 1999 citado en Peña, Aguilar, Belloso & Parra, 2005)
La seguridad de esta gran cantidad de información se convierte en un factor esencial en el desarrollo del negocio bancario, en elemento indispensable para garantizar confianza en el uso de las tecnologías de información y comunicaciones (TIC) no solo para las entidades bancarias sino en general para la nueva sociedad digital. Esta seguridad es viable si existen métodos y sistemas correctamente estructurados, confiables, de fácil manejo y acompañados de una gestión eficiente que garantice su vigencia y su funcionalidad.
En el campo de la tecnología de información para todo tipo de organizaciones a nivel mundial, la Organización Internacional de Estándares (ISO) y la Comisión Internacional de Electrotecnia (IEC), a través de su comité técnico, han definido el estándar oficial internacional ISO/IEC 27005 para la administración de la seguridad de la Información cuyo objetivo es el de permitir a las organizaciones identificar, tratar y limitar amenazas en los activos de información, o sea, estructurar de forma organizada la seguridad de la información.
Actuando bajo estos mismos lineamientos, la Superintendencia Financiera de Colombia (SFC) publicó la circular 052 de 2007 denominada Requerimientos mínimos de seguridad y calidad en el manejo de información a través de medios y canales de distribución de productos y servicios, con la cual se busca establecer un referente básico para la seguridad informática del sector Bancario Colombiano.
Tanto el estándar internacional como la normatividad local definen lineamientos básicos y políticas generales para garantizar la seguridad de los activos de información, sin embargo, son las mismas entidades bancarias quienes interpretan de manera eficaz y práctica tales políticas para convertirlas en sistemas eficientes que cumplan con tales exigencias.
En los siguientes numerales se definirá entonces un procedimiento adecuado, ordenado y lógico, para que una entidad bancaria pueda implementar un sistema de gestión de seguridad de la información (SGSI), que se cumpla con normatividad nacional y se ajuste a los estándares internacionales. Tal sistema tiene que estar en capacidad de actuar de forma proactiva, garantizando que tiene la capacidad de gerenciar el riesgo, previniendo y minimizando los incidentes de seguridad, lo que a su vez permita asegurar a clientes, inversionistas y entidades de regulación que se dispone de un sistema de información en el que se pueda confiar.
Establecimiento de un Sistema de Gestión de Seguridad de la Información (SGSI) para una entidad bancaria
Diseñar e implementar un SGSI dependerá de los objetivos estratégicos del negocio y las necesidades de la entidad bancaria siendo estos los parámetros básicos para la definición del alcance de su implementación. Promover la ejecución de este proyecto proviene de las áreas directivas responsables del buen funcionamiento de la entidad y se convierte en un requisito indispensable para garantizar el éxito del proyecto.
Un SGSI varía según el tipo de organización y el sector económico en el que se encuentre, sin embargo y de acuerdo con Alexander (2007), el procedimiento para la implementación y mantenimiento independiente del tipo de organización, debe seguir un ciclo de mejora continua. Para el autor el círculo de Deming2, es el método más adecuado para la implementación de un SGSI ya que propone una estrategia de mejora continua en 4 pasos: Planear, hacer verificar y actuar. Las fases que a continuación se describen, definidas por el ciclo Deming, permiten entender todo el procedimiento de implementación del SGSI para las entidades bancarias.
Fase I – Definición del alcance del SGSI
El alcance de un SGSI dependerá de la identificación de aquellos procesos considerados críticos y sobre los cuales se implementará el SGSI, Para Alexander et al., (2007) y Puig et al., (2008) al momento de definir el alcance del SGSI, el responsable del proyecto debe tener claros los siguientes aspectos:
Las características del negocio. Tipos de productos y/o servicios ofrecidos, y clientes objetivo.
Modelo de organización de la entidad bancaria. Por procesos, por productos o por funciones.
Ubicación y área de cubrimiento. Presencia nacional y/o internacional, grado de penetración frente a las demás entidades bancarias dentro del total de personas bancarizadas en el país.
Clasificación de todos los activos de la entidad bancaria
De acuerdo con la Organización Internacional de Estándares[2]dentro del estándar ISO/IEC 27001:2005, para definir el alcance se incluyen:
Todas las interfaces que operan en la organización
Todas las áreas involucradas en los procesos
Todos aquellos proveedores que incidan en el SGSI
Alexander (2007), señala que el método mas preciso para determinar el alcance de un SGSI, es la metodología de elipses. Este método establece que se han de tomar cada uno de los procesos de una organización y separarlos para su análisis de la siguiente manera:
Identificar los procesos básicos y listar los subprocesos de cada uno de ellos. Estos se ubican en la elipse central o concéntrica
Ubicar en la elipse intermedia las interacciones que el proceso analizado tiene con otros procesos dentro de la organización, ligándolos a través de flechas
En la ultima elipse o capa mas externa, se identifican y se ligan las organizaciones externas a la entidad y que tienen alguna relación o con el proceso analizado.
Sin embargo existen otros métodos para su definición, Ambriz (2004), señala que una herramienta práctica, sencilla y de fácil aplicación son los mapas mentales, para Ambriz et al. estos mapas son herramienta fundamental en la gestión de cualquier proyecto, que permite la memorización, organización y representación de los procesos.
Fase II – Planeación de un SGSI
Gran parte de los proyectos que se llevan a cabo en las organizaciones fracasan antes de concluir por la falta de una planeación apropiada. La buena planeación, concentrada en el modelado del futuro, junto con la supervisión y el control de los procesos, son la clave para el éxito en un proyecto tal como lo concluye Oz (2001).
En la planeación entonces, se incluirán todas aquellas actividades que ayudarán a lograr la implementación exitosa del SGSI. Para Alexander et al. (2007), en esta fase se deben tener identificados los siguientes aspectos:
Definir un objetivo y el alcance del proyecto.
Establecer el presupuesto necesario para ejecutar el proyecto.
Nombrar un gerente del proyecto.
Nombrar un equipo de trabajo quien asumirá diferentes responsabilidades referentes al proyecto.
Conocer toda la documentación relativa a los procesos de negocio para los cuales se implementará el SGSI y las Políticas de Seguridad existentes en la Organización.
Definir y documentar roles, responsabilidades y dedicación en tiempo de los integrantes del equipo de trabajo para garantizar una selección idónea.
Estructurar el plan detallado de actividades para el alcance definido.
Desarrollar un cronograma de actividades que contenga tiempos, responsables, presupuesto y fecha de entrega para la implementación del SGSI.
Aclarados estos aspectos del proyecto, se hace necesaria la definición de una metodología de trabajo, según Domínguez (2009), a la hora de seleccionar un estándar de trabajo en la gerencia del proyecto se debe tener en cuenta lo siguiente:
Utilizar una terminología común. Revisar la terminología a usar al interior del equipo de trabajo para reducir riesgos de inconsistencias y simplificar la comunicación.
Definir un ciclo de vida para el proyecto.
Seguir estrictamente las directrices del estándar escogido para la gerencia del proyecto.
Ejecutar rigurosamente el procedimiento de trabajo escogido, verificando los avances, el cumplimiento de los compromisos y el chequeo constante de todos los aspectos esenciales del mismo, lo cual garantiza el cumplimiento de los ítems anteriores.
Fase III – Estructuración del SGSI
Luego de determinar el alcance y todas aquellas actividades propias de la planeación, se da inicio al proceso de definición del SGSI a través de una serie de actividades de recolección de información y de análisis de la misma para la toma de decisiones. La definición del SGSI comprende la realización de las siguientes actividades:
Diagnóstico de Seguridad de la Información
El Diagnóstico de Seguridad persigue la identificación del estado de la Seguridad de una Organización, para ello existen básicamente dos aproximaciones. La primera, implica la realización de un análisis de riesgos de los sistemas de información, mientras que la segunda se lleva a cabo mediante la determinación del estado de la seguridad de una entidad frente a un estándar. De acuerdo con el (Guía de implantación de un sistema de gestión de seguridad de la información basado en el estándar ISO/IEC27001:2005, 2008), el mejor diagnóstico al interior de las entidades bancarias parte de la evaluación comparativa frente al estándar ISO 27002:2005
El diagnóstico comprende entonces una serie de acciones definidas a continuación.
Análisis de Cumplimiento de la norma internacional (ISO/IEC 27002:2005):
De acuerdo con el diagnóstico de seguridad, esta primera acción tiene por objeto analizar el grado de cumplimiento de los controles de seguridad que tiene actualmente la entidad bancaria con relación a los definidos por la norma ISO/IEC 27002:2005 mediante la revisión de la documentación existente en la organización, entrevista con personal clave en los diferentes procesos, evaluación de la reglamentación existente y revisión de la legislación aplicable a la organización. Los resultados de este análisis deberán ser documentados en un informe de nivel de cumplimiento de acuerdo con los estándares internacionales.
Estudio de Riesgos de Seguridad
Otro elemento fundamental del diagnóstico de seguridad consiste en establecer el nivel de seguridad actual, determinar los riesgos y con base en estos resultados definir el modelo de seguridad más apropiado (Alexander et, al. 2007)
De acuerdo con Daltabuit & Velasquez et al., (2007), esta etapa es considerada como una de las más críticas dentro del proceso de definición del SGSI y es uno de los resultados en los que una futura auditoria de certificación enfocará su revisión para observar el nivel de riesgo obtenido y las opciones de tratamiento definidas.
El desarrollo del análisis de riesgos (Risk Assessment) estará basado en la metodología recomendada por el estándar BS7799-3:2006 – Guidelines for Information Security Risk Management, obteniéndose como resultado el informe de análisis de riesgos, en el cual se mostrará el nivel de riesgo de cada activo de información, resultado de evaluar el impacto, vulnerabilidades, amenazas, y factor de ocurrencia de amenazas y vulnerabilidades.
En líneas generales, para actualizar y obtener la respectiva matriz de riesgos se seguirán una serie de tareas recomendadas que se describen a continuación:
Identificación de activos de información y valoración del riesgo.
De acuerdo con los conceptos básicos de contabilidad, todos aquellos bienes tangibles e intangibles y los derechos que tienen valor o utilidad son considerados activos que posee cualquier empresa, ahora, un concepto más cercano al objeto de investigación es el que ofrece el Consejo Superior de Administración Electrónica [CSAE], (2006), quien denomina a los activos como "los recursos del sistema de información o relacionados con este, necesarios para que la organización funcione correctamente y al alcance los objetivos propuestos por su dirección" (p. 17). Sin embargo y para delimitar de forma correcta el alcance de un sistema de seguridad de información, solo se pondrán en consideración los llamados activos de información. Según Vittoriano (2008) la información es considerada como insumo fundamental que actúa como facilitador para los objetivos de la organización, con base en ella se desarrolla su negocio y es un elemento vital para el desarrollo modelo de negocio de la organización. En el contexto de la norma ISO 27001:2005, un activo de información será: "…algo a lo que una organización directamente le asigna un valor y, por lo tanto, la organización debe proteger".
Con base en los procesos definidos en el alcance del SGSI, se listan los activos de información asociados a estos, igualmente se listan los componentes críticos tales como software, hardware e infraestructuras que soporten dichos procesos. De acuerdo con Puig (2008) la identificación de estos activos es esencial para saber que hay que proteger y para hacer una correcta clasificación mediante criterios de confidencialidad, integridad y disponibilidad.
Siguiendo los estándares de la norma ISO 17799:2005, los activos de información para las entidades del sector bancario se pueden clasificar en las siguientes categorías:
Activos de Información. Ficheros, bases de datos de clientes, bases transaccionales, documentos del sistema, manuales de usuario, procedimientos documentados, planes de continuidad, información archivada en medios digitales o impresos.
Documentos legales. Contratos con proveedores relacionados con los procesos críticos.
Activos de Software. De aplicación, del sistema operativo, nuevos desarrollos que puedan exponer información critica del negocio.
Activos de Hardware. Servidores de aplicación
Personas. Clientes y empleados.
Otros. Imagen corporativa, objetivos, reputación.
Dado que los activos de información abarcan diferentes elementos, es básico que se tenga claro este concepto y sus diferentes clasificaciones, sin embargo y con base en el método de elipses se puedan categorizar e identificar dichos activos de forma más exacta.
La tasación de activos (Alexander et al, 2007), se puede determinar con base en instrumentos de recolección de datos, la escala Likert[3]como método estadístico permite clasificar y jerarquizar con base en las preguntas realizadas, los activos que afectan la confidencialidad, integridad y disponibilidad.
La responsabilidad sobre cada uno de estos activos recae en cada uno de sus propietarios quien tiene la tarea de clasificar su nivel de seguridad, derechos de acceso y el mantenimiento de controles apropiados.
Análisis y evaluación de riesgos
Según el concepto de Summers (1997 citado en Daltabuit & Vázquez et al., 2007), el análisis de riesgos facilita la selección de los mecanismos de protección, permiten estimar las pérdidas potenciales que dichos mecanismos ayudan a reducir facilitando la selección de los mismos. Como lo señala Puig et al., 2008, el documento que de esta etapa se derive, será el que se implantará durante la fase de implementación del SGSI y sus acciones serán de corto, mediano y largo plazo.
Para Muñoz (2004), la metodología de análisis y gestión de riesgos de los sistemas de información – MAGERIT – es el núcleo de las actuaciones relacionadas con el análisis, la evaluación y la gestión del riesgo. Esta metodología analiza los riesgos, identifica las amenazas y su impacto y gestiona el riesgo basado en:
Elementos (activos, amenazas, vulnerabilidades, riesgos, impactos, salvaguardas)
Eventos (estáticos, dinámicos organizativos, dinámicos físicos)
Procesos (planificación, análisis de riesgos, gestión de riesgos, selección de salvaguardas)
Amenazas.
De acuerdo con la normas ISO 27000, se considera amenaza aquella causa potencial de un incidente no deseado, el cual puede causar daño a un sistema o a una organización.
Los autores Alexander et al., 2007; Daltabuit & Velasquez et al., 2007; Puig et al, 2008 coinciden en que las amenazas se pueden clasificar en grandes grupos para facilitar la toma de decisiones genéricas que reduzcan grupos de amenazas bajo una sola acción. Los grupos propuestos son:
Naturales. Fuego, inundación, terremotos, etcétera.
Humanas Accidentales. Desconocimiento, negligencia, despidos, pérdida no intencional de información.
Humanas Intencionales. Robo de información, ataques.
Tecnológicas. Virus, hacker, crackers, pérdida de datos, fallas de software, hardware ó de red
Para Alexander et al. (2007) las amenazas reales y exitosas en su intención son aquellas que dejan al descubierto varias vulnerabilidades en los sistemas, aplicaciones o servicios
Luego de identificadas todas las amenazas, se evalúa su probabilidad de ocurrencia bajo el modelo Likert, a cargo del grupo de expertos de la organización. El resultado de esta evaluación permitirá identificar las amenazas de mayor a menor concurrencia y la decisión sobre cuales atacar y cuales descartar de acuerdo con criterios técnicos, legales y de costos.
Vulnerabilidades.
Las vulnerabilidades están asociadas a debilidades de los activos de información. De acuerdo con el CSAE et, al. (2006), la vulnerabilidad en el contexto de los sistemas de información, es considerada como la ausencia o debilidad en los controles que ayudan a mitigar un riesgo, aumentando el nivel de impacto y el factor de exposición. Para Peltier (2001, citado en Alexander et al., 2007), es una debilidad en el sistema, aplicación, infraestructura, control o diseño de flujo que puede ser explotada para violar la integridad del sistema. En general se puede considerar entonces que el concepto de vulnerabilidad se centra en la incapacidad que pueda tener un sistema de seguridad.
De acuerdo con la norma ISO 17799-2005, las vulnerabilidades son clasificables según como lo indica la tabla anexa 1.
En esta parte del proyecto, el equipo de trabajo tiene por objetivo identificar las ausencias o debilidades que potencializan los riesgos. Un proceso de entrevistas individuales de manera estructurada, profunda y directa con las personas que tienen a su cargo la tarea de ejecutar las políticas de seguridad de la organización, permitirá evidenciar posibles fallas en los sistemas de información y en la implementación de los mecanismos de control y de defensa que actualmente se tienen, adicionalmente se deberá realizar un conjunto de pruebas de vulnerabilidad e intrusiones sobre la infraestructura tecnológica que soporta los procesos para los cuales se va a implementar el SGSI con el objetivo de verificar su nivel de seguridad e identificar los riesgos existentes en estos dispositivos. El modelo de Likert es un método útil para identificar y jerarquizar las vulnerabilidades que luego servirán para determinar los procedimientos para mitigar los riesgos a los que se expongan los sistemas de información.
Dado que las amenazas y las vulnerabilidades tienen interrelación, se parte de la pregunta sobre cuáles vulnerabilidades son aprovechadas por las amenazas, pues, una vulnerabilidad identificada genera amenazas que se convierten en un riesgo expuesto sobre cualquier sistema de información de una entidad bancaria, esto es lo que para expertos en temas de seguridad de información se conoce como la relación causa-efecto entre el elementos del análisis de riesgo, por lo tanto, el siguiente paso será el de integrar estos elementos para analizar y definir los niveles de riesgo que luego permitirán implementar los procedimientos que ayudarán a mitigar tales riesgos y eliminar las vulnerabilidades.
Procedimiento para el análisis y evaluación de riesgos.
Un procedimiento ordenado y lógico para el análisis de riesgo contiene los siguientes pasos (CSAE et al., 2006):
1. Identificación de activos relevantes para la organización. El valor y la interrelación se basan en el costo del perjuicio que este genere.
2. Determinación de los controles de seguridad dispuestos y su eficacia
3. Identificación de las vulnerabilidades para cada activo de información.
4. Determinación de las amenazas a las que están expuestas estos activos
5. Cálculo de la probabilidad de ocurrencia de una amenaza sobre las vulnerabilidades identificadas.
6. Estimación del nivel de riesgo, definido como la magnitud del impacto sobre la explotación exitosa de la vulnerabilidad.
El análisis de riesgo permitirá identificar y calcular el riesgo sobre los activos basados en amenazas y vulnerabilidades, sin embargo, para cada organización, el concepto de riesgo varía según su objeto de negocio y los activos de información que posee. Para Del Carpio, (2006), se considera riesgo a cualquier hecho definido como incierto que genera impactos negativos, sin embargo y llevando el concepto de riesgo a la información misma, se considerará el riesgo en los activos de información como la probabilidad de que una amenaza se materialice aprovechando las vulnerabilidades de un sistema de información (Guía de de implantación de un sistema de gestión de seguridad de la información basado en el estándar ISO/IEC27001:2005, 2008).
Una vez se listan y clasifican los activos y se identifican las amenazas y vulnerabilidades, se procede al cálculo del riesgo. Este cálculo utilizará valores cuantitativos pues el valor de un activo de información se tasa en el impacto en pérdidas económicas que el mismo genera si es vulnerado. Para Daltabuit & Velasquez et al., (2007), el análisis de riesgo se puede realizar de 2 formas:
Análisis cuantitativo. Basado en la métrica y el cálculo de valores que determinen el costo-beneficio, su cálculo demanda un gran esfuerzo, pero permiten la comparación de valores.
Análisis cualitativo. Es más ágil, pero sus resultados son más subjetivos los cuales no se basan en cifras y contienen análisis sencillos. No permiten la comparación de valores más allá del orden relativo.
Los expertos en temas de seguridad de información coinciden en afirmar que el análisis de riesgo es un proceso permanente pues las organizaciones son sistemas abiertos, complejos y en constante readaptación, por lo que los análisis cualitativos pueden ofrecer los mejores resultados, sin embargo y tal como lo plantea Del Carpio, (2006), serán la naturaleza del proyecto y la disponibilidad de tiempo y dinero las que influyan en la técnica a utilizar.
Las entidades del sector bancario colombiano, dada su infraestructura, los altos costos de operación, la complejidad de sus sistemas de información, la sensibilidad de la información allí almacenada y otros aspectos tales como la determinación de primas de reaseguradoras, hacen que sea necesaria la aplicación de técnicas cuantitativas, dado que la implementación de un sistema de seguridad de información es visto como un proyecto de gran escala y de alta complejidad. Para Del Carpio et, al. (2006), los métodos cuantitativos y de modelamiento mas recomendados son el análisis de árboles de decisión, la simulación y el análisis de sensibilidad.
Plan de tratamiento de riesgos
A partir del informe de evaluación de riesgos se procede a examinar cual es el tratamiento más adecuado para cada uno de los riesgos que han sido identificados. Alexander et, al. (2007).
Para el (CSAE et al., 2006) y siguiendo los lineamientos del al norma ISO 27001:2005, el tratamiento de riesgos comprende los siguientes enfoques:
Determinar si el riesgo es aceptable o si requiere un tratamiento, en cuyo caso se identificará una de las siguientes alternativas:
Reducir el riesgo a un nivel aceptable, implantando algún control (combinación de personas, procesos y herramientas).
Aceptar el riesgo porque no es posible realizar un tratamiento o porque éste resulta demasiado costoso.
Evitar el riesgo.
Transferir el riesgo a una tercera parte (Por ejemplo, Compañías de Seguros).
En caso de que se decida mitigar el riesgo se debe definir que controles del SGSI se deben implementar. Además, si se considera necesario se pueden seleccionar controles específicos adicionales.
Preparar un documento de Declaración de Aplicabilidad (DDA), en el que se detalle la relación de controles que se van a implantar.
Establecer el nivel de riesgo aceptable para la Organización.
Obtener la aprobación de la dirección a la DDA y a los riesgos no cubiertos.
Formular un plan de tratamiento de riesgos en el que se establecerán las acciones necesarias para conseguir mitigar los riesgos a un nivel aceptable y para implantar los controles que se consideren necesarios según requerimiento de la norma ISO/IEC 27001:2005 en sus numerales 4.2.1.f, g y h.
Preparar los procedimientos necesarios para la implantación de controles. En cada procedimiento se detallarán los objetivos que se pretenden cubrir, las razones para su elección, cómo se implanta el control y las responsabilidades asociadas
Desarrollo del modelo de seguridad según el estándar internacional ISO/IEC 27001:2005
La implementación de este modelo de seguridad requiere de unas políticas claras y la ejecución de todas aquellas actividades tendientes a gestionar el riesgo.
Definición de las políticas de seguridad
Luego de establecer el alcance del SGSI, será necesario definir y documentar la política de seguridad. Según Daltabuit & Vázquez et al., (2007), "concebir y redactar la política recae sobre los responsables del funcionamiento de la misma (…) el elemento fundamental de estos documentos es que expresan el consenso de quienes conocen mejor que nadie los principios operativos, económicos y éticos que conducirán al éxito colectivo". En opinión de Howard (Citado en Tipton y Krause, 2007) la política incluirá los siguientes principios básicos:
Reconocimiento y concientización de la importancia de la seguridad de la información para los resultados del negocio.
Señalar el riesgo al que están expuestos los sistemas de información y a su vez el efecto inmediato sobre las operaciones del negocio bancario.
Seguimiento estricto a las normas legales y los estándares internacionales para el manejo seguro de la información.
Coparticipación, compromiso y co-responsabilidad de todos los miembros de la organización de manera individual y como organización.
Visión de largo plazo pero con capacidad de autoevaluación y reajuste
Tal como lo concluye Steer (2008), estas políticas se convierten entonces en una declaración expresa de la intención de conseguir algo que contribuye a la seguridad de la información, definiendo que necesita protegerse y cómo hacerlo, oponiéndose a las amenazas identificadas y satisfaciendo las exigencias de seguridad de la información que definen las normas legales y los estándares internacionales.
De acuerdo con Puig et al., (2008), la política de seguridad tendrá como mínimo los siguientes elementos:
Una definición de seguridad de la información y sus objetivos globales.
El establecimiento del objetivo de la dirección que soporte los objetivos y principios de la seguridad de la información.
Una explicación detallada de las políticas, principios, normas y requisitos mas importantes para la entidad bancaria:
Conformidad con los requisitos legislativos y contractuales
Requisitos de capacitación en temas de seguridad
Prevención y detección de virus y software malicioso
Gestión de continuidad del negocio
Consecuencias sobre la violación de la política de seguridad
Requisitos de uso para sistemas de información
Controles técnicos
Controles a proveedores externos y el teletrabajo.
Desarrollo de procedimientos para la Gestión de la Seguridad de la Información
Todas las amenazas y las vulnerabilidades evidenciadas hay que enfrentarlas, lo que requiere una planificación constante de las diferentes alternativas de solución, por lo tanto luego de haber sido definidas las políticas de seguridad de la información, se elaborarán los procedimientos de seguridad para soportar el SGSI y el modelo de seguridad diseñado.
Para el CSAE et, al. 2006, el desarrollo de procedimientos para la gestión de seguridad de la información se traduce en el desarrollo de políticas, normas y procedimientos y junto a ellos la aplicación de salvaguardas y controles que verifican y garantizan que cada amenaza tiene su respuesta adecuada.
La definición de estos procedimientos de gestión de seguridad facilita la transferencia de conocimiento que en el futuro ayudará en la aplicación de mejoras al sistema de gestión por cuenta del personal interno de la organización.
Todo este conjunto de políticas y procedimientos de seguridad para establecer un SGSI, deben estar alineados con el estándar ISO/IEC 27001:2005 que se compone de 11 dominios:
1) Política de seguridad
2) Organización de la seguridad de la información
3) Administración de recursos
4) Seguridad de los recursos humanos
5) Seguridad física y del entorno
6) Administración de las comunicaciones y operaciones
7) Control de acceso
8) Adquisición, desarrollo y mantenimiento de sistemas de información
9) Administración de los incidentes de seguridad
10) Administración de la continuidad de negocio
11) Cumplimiento (requerimientos legales, estándares, técnico y auditorías)
Durante la ejecución del proyecto se considera el desarrollo de los siguientes procedimientos esenciales en seguridad, indicados por el estándar ISO/IEC 27001:2005, a saber:
Control de Documentos
Control de Registros
Controles de acceso
Proceso de auditorías internas
Acciones Preventivas (Salvaguardas técnicas, físicas, medidas de organización)
Acciones Correctivas
Proceso de revisión Gerencial
Gestión de Incidentes de seguridad
Gestión de copias de respaldo y Backup de Información
Gestión de RR.HH. (Políticas de personal, Administración de Usuarios y Contraseñas)
Control de Cambios
Inventario y Clasificación de Activos de información
Seguridad de los Medios e Información en Tránsito
Fase IV – Plan de Concientización en Seguridad de la información
Esta fase comprende las actividades necesarias, para establecer la estrategia de sensibilización y divulgación de políticas y procedimientos para la Gestión de la Seguridad de la Información, con el propósito de establecer al interior de la organización un grado de compromiso y concientización con respecto al SGSI.
Las actividades de concientización no solo se deben orientar hacia los temas de seguridad que es importante que se refuercen mediante una campaña de comunicación. Un criterio igualmente importante es la respuesta de la audiencia frente a los diferentes medios de difusión o divulgación de los contenidos.
Existen diferencias en el aprendizaje de las personas que deben ser contempladas a la hora de diseñar una campaña de concientización. Un enfoque muy eficaz consiste en determinar para una audiencia dada los siguientes criterios:
El estilo preferido de aprendizaje.
El nivel de conocimientos actual
Debido a que la seguridad de la información es una preocupación nueva para las organizaciones y que el tema de concientización es considerado parte integral de las soluciones de seguridad, se proponen las siguientes actividades:
Determinar cuál es el estado actual de conciencia sobre la seguridad de la información en las áreas de la Organización involucradas en la implementación del SGSI. Una forma de llevar a cabo esta actividad, es mediante la selección de un grupo de funcionarios seleccionados por muestreo para que contesten un cuestionario sobre conceptos básicos de seguridad de la información. Esta información será tabulada y se generaran las estadísticas que permitan conocer el grado de cultura en seguridad que tiene la organización. En esta fase también se evaluarán los medios que actualmente posee la organización para los procesos de divulgación y que hayan resultado efectivos.
Una vez se determine el estado de concientización en la organización, se contará con la información necesaria para el diseño y documentación de la mejor estrategia para la concientización y divulgación de los aspectos de seguridad y del SGSI de la organización.
Fase V – El Monitoreo y control al SGSI
El rápido avance en el desarrollo de la tecnología impacta los planes de seguridad de la información en cualquier organización y ello hace que los mecanismos de seguridad implementados puedan deteriorase con el paso del tiempo. Un plan de monitoreo ayudará como lo precisa Alexander et al., (2007) a revelar nivel de deterioro en el que se encuentra el SGSI y a definir las acciones correctivas necesarias.
"El monitoreo y el control de riesgos involucra la ejecución de los procesos de la administración del riesgo para responder a los eventos que comprometen la seguridad de la información" (Del Carpio, 2006, p. 107).
La revisión es un ejercicio práctico con resultados métrico orientado a calcular el nivel de eficiencia en la respuesta del SGSI. Los procedimientos para llevar a cabo este monitoreo y la revisión están detalladas en la ISO 27001:2005 y de acuerdo con Guía de implantación et al. 2008 su ejecución debe ayudar a:
Detectar errores
Identificar las fallas de seguridad
Controlar que las actividades de seguridad se realicen de acuerdo a lo establecido
Definir las acciones a implementar para corregir errores y fallas
La norma ISO 27001:2005 estipula las siguientes actividades orientadas al monitoreo y revisión del SGSI:
Identificación de eventos de seguridad y evasión de incidentes de seguridad.
Evaluar la efectividad de las acciones ejecutadas para resolver los incidentes de seguridad.
Establecimiento de criterios de medición de la efectividad de los controles.
Revisión periódica de la política y del alcance del SGSI
Revisión de los riesgos residuales y los riesgos aceptables
Auditorias internas y externas del SGSI
En el caso de las auditorías, la misma norma recomienda la aplicación de auditorias periódicas pues esta actividad ayuda a determinar que los controles, los objetivos, los procesos y los procedimientos continúan actuando en conformidad con la norma y para analizar y planificar las acciones de mejora. (Corletti, 2006)
En este sentido los diferentes autores citados coinciden en que las auditorías internas y externas pueden ayudar a arrojar información mas confiable, objetiva y relevante para la ejecución de planes de mantenimiento o mejoras al SGSI.
Hasta acá entonces, se ha logrado dividir, conceptualizar y detallar paso a paso todas aquellas actividades que le permiten a una entidad financiera implementar un sistema de gestión de seguridad de la información, como todo sistema es evolutivo y su capacidad de respuesta y adaptación estará condicionado por las buenas practicas adoptadas desde la definición y hasta la puesta en marcha del proyecto. Existen otras actividades asociadas a este proyecto, pero se han dejado claras las mas relevantes y de mayor incidencia para el mismo y con las cuales garantizar su éxito.
Discusión
Hablar de seguridad de la información y de políticas y procedimientos para el manejo de la misma en Colombia es un tema que trascendió de la novedad a la exigencia y de ahí a ser inherente al desarrollo de un negocio. Todo este bagaje bibliográfico abordado para desarrollar el tema me ha permitido observar como la sociedad ha evolucionado. Décadas atrás el tema de la información como factor crítico del negocio era lejano, considerado por muchos como un intangible que carecía de fuerza para vulnerar la estabilidad y el futuro de una organización.
El avance tecnológico y el salto revolucionario no solo rompe con los esquemas en los que la humanidad ha vivido sino que dejan al descubierto nuevos valores y nuevos riesgos asociados a los mismos y es allí donde la información como cobra su papel preponderante. Las entidades financieras no difieren de cualquier otro tipo de organización de otros sectores, son sistemas abiertos, que reciben insumos de todo tipo que luego de ser procesados se convierten en productos y servicios para el mercado, sin embargo dentro de los insumos de entrada, es la información el que tiene mayor relevancia.
Los modelos de CRM, modelos predictivos, modelos de riesgo, estrategias comerciales selectivas, todo este conocimiento estratégico propio del negocio se basa en la información que se extrae de los clientes y del medio, pero es una información que está expuesta a riesgos, por lo tanto si las empresas no establecen sistemas que aseguren la integridad, la confidencialidad y la disponibilidad de la información jamás podrán mantenerse compitiendo en el mundo globalizado.
Implementar un modelo de SGSI de acuerdo con todos los autores es el camino correcto para garantizar que la información circulante dentro de una entidad financiera, se hace de forma segura. La problemática que se pueda estar presentando hoy es que tal vez las entidades financieras consideren que sus sistemas de seguridad de información son eficientes y que sus controles son adecuados, pero dichos sistemas y controles son meramente reactivos y no proactivos.
Uno de los elementos esenciales que deja este rastreo bibliográfico al tema de la gestión de seguridad de la información, es que los procedimientos son cíclicos y que la tecnología tiene vida y evoluciona cada vez con mayor complejidad por lo tanto no puede concebirse que un SGSI mida su eficiencia en la capacidad de adaptarse a cada riesgo asociado a los incidentes que van apareciendo. La verdadera capacidad de un SGSI debe ser la de poder atenuar el riesgo antes de que pueda atacar, por lo tanto los SGSI se implementan exclusivamente para mitigar los riesgos a los que están sujetos los activos de información y no para responder de forma reactiva en forma de ensayo y error cuando los incidentes ocurren.
Conclusiones
Aunque el modelo presentado en este artículo y la normatividad internacional relacionada con el tema de la implementación de modelos de seguridad de la información son aplicables a cualquier tipo de organización, la implantación de un SGSI en entidades financieras tienen una mayor repercusión e importancia dada la diversidad de activos de información que estas organizaciones manejan y el nivel de criticidad de los mismos. Vulnerar la seguridad en la información de una entidad financiera no solo tiene un costo muy alto a nivel financiero sino también a nivel de imagen tanto de la entidad afectada como del sector financiero en general, sobre el cual recae la mayor parte del peso del desarrollo económico nacional y sobre el cual se ha depositado la confianza de miles de usuarios del sector bancario.
Una de las razones mas importantes para implementar un SGSI es la de atenuar los riesgos propios de los activos de información de las entidades financieras. Una acertada identificación de tales activos, una definición correcta del alcance y unas políticas de seguridad claras y completas, son determinantes para la correcta implantación del SGSI.
Un SGSI en una entidad bancaria no puede ajustarse cada vez que se genera un incidente de seguridad, pues la labor de quienes tienen la función de gerenciar la seguridad de la información en las entidades financieras no puede ser únicamente la de administrar los controles creados para cada situación de riesgo. Se debe actuar de manera proactiva para tratar de anticiparse a tales hechos y para ello el SGSI debe estar en capacidad de ayudar a la alta dirección en la definición de acciones que mitigan los riesgos sobre los activos más críticos sin tener que esperar a que los eventos ocurran.
La implantación de un SGSI requiere de una alta participación a nivel estratégico y su papel es protagónico, pues dicha implantación es un proyecto que reclama tiempos, actividades, recursos, por lo tanto la alta gerencia debe conocer y ser conciente de la importancia de la seguridad y de las consecuencias de no llevar a cabo su implementación.
La implantación y operación de un SGSI ofrece ventajas para las entidades bancarias al disponer de una metodología dedicada a la seguridad de la información reconocida internacionalmente, contar con un proceso definido para evaluar, implementar, mantener y administrar la seguridad de la información, diferenciarse en el mercado frente a otras entidades financieras, satisfacer requerimientos de clientes, proveedores y organismos de control, formalizar las responsabilidades operativas y legales de los usuarios internos y externos de la Información y ayuda en el cumplimiento de las disposiciones legales nacionales e internacionales.
Referencias
Alexander, A. G. (2007). Diseño de un sistema de gestión de seguridad de la información. Bogotá: Alfaomega.
Alonso, M.C. (1998). Impacto social de las tecnologías de la información en las formas de vida. Ahciet:Revista de Telecomunicaciones, 75.
Ambriz, R. (2004, Enero 14). Una herramienta práctica y sencilla para definir el alcance del proyecto: los mapas mentales. The project manager"s homepage, Articulo 67924, Extraído el 8 de marzo de 2009 en:
http://www.allpm.com/modules.php?op=modload&name=News&file=article&sid=937&mode=thread&order=0&thold=0
Campos J. M. & Duque G. (2001). Comportamiento y evolución del sistema bancario colombiano de 1990 al 2001. Memorias para optar el título de Magister en Ingeniería Industrial, Escuela de Ingeniería, Universidad de los Andes, Bogotá D.C.
Corlettti, A. (2006, Abril 4). Análisis de ISO-27001:2005. Articulos de seguridad informática. Extraído el 13 de abril de 2009 en:
Daltabuit, E., Hernández, L., Mallen, G. & Vasquez, J. (2007). La seguridad de la información. Mexico: Limusa Ediciones
Drucker, P. (1992). Gerencia para el futuro. Bogotá: Norma.
Del Carpio, G. (2006). Análisis del riesgo en la administración de proyectos de tecnología de información, [Versión electrónica], Industrial Data, 1 (9), 104-107
España, Consejo Superior de Administración Electrónica. (2006). Metodología de análisis y gestión de riesgos de los sistemas de información [Versión electrónica].
Colombia, Etek International Holding Corp. (2008). Guía de implantación de un sistema de gestión de seguridad de la información basado en el estándar ISO/IEC27001:2005. Manuscrito no publicado.
Hernández, J. (1991). La gestión de la información en las organizaciones: Una disciplina emergente. [Versión electrónica]. Documentación de las ciencias de la información, 13, 133-148.
López, J. & Sebastian, A. Gestión Bancaria. Los nuevos retos en un entorno global. España: McGraw Hill/Interamericana.
López, N. (2005). La seguridad más que un valor agregado en los sistemas de información. Revista universidad católica de oriente. 19, 107 – 117
Muñoz, J.J. (2004). Metodología para la incorporación de medidas de seguridad en sistemas de información de gran implantación: confianza dinámica y regulación del nivel de servicio para sistemas y protocolos de internet. Trabajo de grado para optar al título de doctor, Escuela de ingeniería de sistemas telemáticos, Universidad Politécnica de Madrid, Madrid, España.
Ozz, E. (2001). Administración de Sistemas de Información (2ª ed). México: Thomson Learning.
Puig, T. (2008, Mayo 15). Implantación de un sistema de gestión de seguridad. Cursos de Tecnologías de Información. Extraído el 15 de marzo de 2009 en: http://www.mailxmail.com/curso/empresa/gestiondeseguridad
Peña, D., Aguilar, M., Belloso, N., & Parra, J. (2003). Factores de cambio en los sistemas de información del sector bancario [Versión electrónica]. Revista Venezolana de gerencia, 23, 480-495
Tipton H. F., Krause M. (2007). Information security management handbook. Palm Beach, FL: CRC Press.
Vittoriano E. (2008, Agosto). La información como activo. Conferencia presentada en la Conferencia latinoamericana de auditoria, control y seguridad (Latin America CACS) 2008, Santiago, Chile.
Velásquez M., Mauricio A. (1998). Ceros y unos: La economía de la información. Informática al día, 111, 19-23
Cesar Augusto Granada Corrales
[1] El Congreso de Colombia estableció una nueva reforma financiera, buscando garantizar la estabilidad de este sector, ello debido a la crisis de la década de los 80€™s, se sanciona entonces esta ley por medio de la cual se expiden normas en materia de intermediación financiera.
[2] La Organización Internacional para la Estandarización o ISO (del griego iso, "igual", y cuyo nombre en inglés se interpreta como International Organization for Standardization), que nace después de la Segunda Guerra Mundial, es el organismo encargado de promover el desarrollo de normas internacionales de fabricación, comercio y comunicación para todas las ramas industriales a excepción de la eléctrica y la electrónica. Su función principal es la de buscar la estandarización de normas de productos y seguridad para las empresas u organizaciones a nivel internacional.
[3] Método desarrollado por Rensis Likert a principios de los años 30, que consiste en un conjunto de ítems presentados en forma de afirmaciones o juicios, ante los cuales se pide la reacción del sujeto consultado mediante escalas de valor.
Página anterior | Volver al principio del trabajo | Página siguiente |