Caso de Estudio - Institucion Bancaria - Final

7/21/2019 Caso de Estudio - Institucion Bancaria - Final

1/47

MAESTRIA EN SEGURIDAD INFORMTICAUniversidad de Buenos Aires

DOCUMENTACIN Y PROYECTOS DE SEGURIDADProfesor: Mg. Gustavo Diaz Ao 2010.

1 / 47MATERIAL ELABORADO SLO PARA FINES DIDCTICOS. LOS EJEMPLOS CITADOS SURGEN DE LA REALIZACIN DE UN PROCESO IMAGINATIVO.

CASO DE ESTUDIO BANCO NACIONAL DE AHORRO Y FOMENTO.

NOTA.

Los ejemplos citados en el presente documento no corresponden con ninguna institucinBancaria de la Republica Argentina ni el Exterior. Los mismos son el resultado de la

realizacin de un proceso imaginativo desarrollado por el autor.


2/47




Contenido

1. Presentacin..................................................................................................................................................................................32. Situacin Inicial - Sistemas y Tecnologas................................................................................................................................... 5

A. Adquisicin, Desarrollo y Mantenimiento de los Sistemas de Informacin.................................................................6B. Arquitectura Tecnolgica............................................................................................................................................6C. Infraestructura tecnolgica..........................................................................................................................................6D. Infraestructura de Comunicaciones............................................................................................................................ 7E. Procesos internos de Sistemas y Tecnologa............................................................................................................. 7F. Estructura Organizativa............................................................................................................................................... 7G. Sistemas y Tecnologas Anlisis FODA................................................................................................................... 83. Situacin Inicial Seguridad Informtica. .....................................................................................................................................9

A. Polticas de Seguridad de la Informacin..................................................................................................................10B. Aspectos Organizativos de la Seguridad de la Informacin...................................................................................... 10C. Gestin de Activos. ...................................................................................................................................................12D. Seguridad Ligada a los Recursos Humanos............................................................................................................. 13E. Seguridad Fsica y Ambiental ...................................................................................................................................14F. Gestin de Comunicaciones y Operaciones............................................................................................................. 16G. Control de Accesos...................................................................................................................................................18H. Adquisicin, Desarrollo y Mantenimiento de los Sistemas de Informacin............................................................... 19I. Gestin de Incidentes en la Seguridad de la Informacin......................................................................................... 20J. Gestin de la Continuidad.........................................................................................................................................21K. Cumplimiento. ........................................................................................................................................................... 224. Informacin detallada para la Planificacin del Proyecto............................................................................................................ 23

A. Polticas de Seguridad de la Informacin..................................................................................................................24B. Aspectos Organizativos de la Seguridad de la Informacin...................................................................................... 24C. Gestin de Activos. ...................................................................................................................................................26D. Seguridad Ligada a los Recursos Humanos............................................................................................................. 27

E. Seguridad Fsica y Ambiental ...................................................................................................................................28F. Gestin de Comunicaciones y Operaciones............................................................................................................. 29G. Control de Accesos...................................................................................................................................................30H. Adquisicin, Desarrollo y Mantenimiento de los Sistemas de Informacin............................................................... 31I. Gestin de Incidentes en la Seguridad de la Informacin......................................................................................... 32J. Gestin de la Continuidad.........................................................................................................................................33K. Cumplimiento. ........................................................................................................................................................... 345. Informacin de Avance del Proyecto........................................................................................................................................... 35

A. Polticas de Seguridad de la Informacin..................................................................................................................36B. Aspectos Organizativos de la Seguridad de la Informacin...................................................................................... 36C. Gestin de Activos. ...................................................................................................................................................36D. Seguridad Ligada a los Recursos Humanos............................................................................................................. 37E. Seguridad Fsica y Ambiental ...................................................................................................................................37

F. Gestin de Comunicaciones y Operaciones............................................................................................................. 38G. Control de Accesos...................................................................................................................................................38H. Adquisicin, Desarrollo y Mantenimiento de los Sistemas de Informacin............................................................... 38I. Gestin de Incidentes en la Seguridad de la Informacin......................................................................................... 39J. Gestin de la Continuidad.........................................................................................................................................39K. Cumplimiento. ........................................................................................................................................................... 396. Informacin de Cierre del Proyecto............................................................................................................................................. 41


3/47





1. Presentacin.


4/47




El caso de estudio refiere a una organizacin financiera, especficamente un Banco de envergadura con una clientela distribuidaa nivel nacional que realiza transacciones comerciales para individuos y empresas. La Casa Central se encuentra en la Capitaldel Pas pero posee un total de 500 sucursales distribuidas a lo largo del pas

Asimismo, posee 8 sucursales en el exterior que ofrecen ciertos servicios financieros en las ciudades de Madrid, Paris, Berln,New York, Lisboa, Shangai, Miami, Bogot.

Las actividades de la entidad se encuentran reguladas por el Banco Central del Pas a travs de las diversas normativasemitidas. La entidad posee alrededor de 1.000.000 de clientes de los cuales 970.000 son personas y 30.000 son empresas.

Los clientes realizan diversas transacciones de negocio: aperturas de cuentas (Cajas de Ahorro, Cuentas Corriente, etc.),consultas de saldos, transferencias, pagos, prstamos, comercio exterior, inversiones financiera, etc. en cualquiera de lassucursales.

A nivel canales, posee una pgina de Internet Banking para empresas e individuos y una red de cajeros automticos de ms de2.000 puntos, los canales se completan con el servicio de Terminales de Autoconsulta, Banca Telefnica y Celular que la entidad

ofrece a sus clientes.

Para el soporte de sus procesos de negocio el Banco dispone de un Sistema Integral Core Banking System que soporta lasoperaciones comerciales en forma integral y completa en todas las sucursales. Dicho sistema se complementa con otrossistemas satlite para la operatoria Bancaria entre los que podemos destacar: Sistema de Scoring, Sistema de Mora, Sistemade Firmas, Sistemas de Cheques, Sistemas de Comercio Exterior, etc.

A nivel operativo, la entidad dispone de diversos sistemas de soporte que incluyen: Sistema ERP, Sistema de RecursosHumanos, etc.

Existe cierta operatoria que se realiza manualmente:

- Ciertos informes gerenciales se preparan en planillas de clculo y se elevan mensualmente a la Gerencia General.

- Las lneas de prstamos anteriores al ao 1995 son gestionadas por planillas de clculo a nivel central.- Parte de los regimenes informativos que se remiten al Banco Central se confeccionan manualmente.

Para la gestin de los sistemas de informacin posee una Gerencia de Sistemas que administra y opera los aplicativos y latecnologa informtica y de comunicaciones de todo el Banco.

Por su parte existe una Gerencia de Seguridad Informtica que gestiona los aspectos de proteccin de los activos de informacinpara todo el Banco.

El Banco ha invertido en los ltimos tres aos para mejorar la infraestructura, los procesos, sistemas y la tecnologa queadministra la Gerencia de Sistemas no obstante, la seguridad de la informacin ha quedado relegada a un segundo plano.

Esta diferenciacin entre el rea de sistemas y seguridad, esta dada por los siguientes aspectos:

- El Banco posea un atraso importante en lo referente a sistemas y tecnologas de la informacin y por lo tanto laDireccin priorizo la inversin en tecnologa para la Gerencia de Sistemas.

- El rea de Seguridad Informtica originalmente dependa de la Gerencia de Sistemas, y debido a las normativas delBanco Central fue necesario lograr su independencia, no obstante no se ha consolidado como Gerencia.

- La mxima direccin del Banco no es consciente de la importancia de la Seguridad de la Informacin y en el fondo nocomprende para que deberan invertir y mejorar los aspectos de seguridad, no comprenden que contribucin brindan alnegocio.

- El rea de seguridad no ha realizado actividades para que se entienda la Seguridad de la Informacin y se comprendasu valor agregado para toda la organizacin.


5/47





2. Situacin Inicial - Sistemas y Tecnologas.

El presidente del Banco ha requerido la realizacin de un estudio interno acerca de la situacin del Banco en relacin a lossistemas y la tecnologa de la informacin.

Paradjicamente, dicho informe no incluye aspectos relacionados con la Seguridad de la Informacin. No obstante la informacin

que puede extraerse de l es de vital importancia para delimitar los proyectos de Seguridad Informtica que la institucin deberallevar adelante.


6/47




A.Adquis ic in, Desarrol lo y Mantenimiento de los Sis temas de Informacin.

El Banco ha finalizado la migracin de la totalidad de sucursales y delegaciones al sistema (Core Banking System).

Existe un sistema de gestin y planificacin de recursos de la empresa (ERP - Enterprise Resource Management) que estimplementado en las principales reas para la gestin central del Banco, con una funcionalidad acorde con las exigenciasactuales. No obstante no se han implementado funcionalidades especficas para controlar los gastos de las diversas sucursalessino que se mantiene un esquema de gestin central.

La gestin de los Recursos Humanos se soporta en el aplicativo ERP, que brinda la funcionalidad necesaria para laadministracin de los recursos y la liquidacin de todos los haberes del banco.

A nivel distribuido, el Banco se encuentra en una etapa de actualizacin tecnolgica de los principales sistemas:

- Gestin de Mora,- Comercio Exterior,- Gestin de Acciones y Titulos

B.Arqu itectura Tecnolg ica

Actualmente, existe una plataforma heterognea que se encuentra definida por cada uno de los sistemas aplicativos que tiene elBanco, con bajo nivel de integracin entre aplicaciones.

No existen metodologas, procedimientos ni polticas que aseguren la correcta toma de decisiones acerca de la evolucin de laarquitectura de los sistemas de aplicacin del Banco.

Se ha avanzado en las definiciones tendientes a evolucionar hacia una arquitectura orientada a servicios compuesta de mltiplescapas con funciones especficas basadas en un ESB (Enterprise Service Bus).

C. Infraestructura Tecnolgica

Esta soportada por dos Centros de Procesamiento: el Principal situado en dependencias del Banco y el Alternativo propio.

Actualmente, se encuentra emplazado en el Centro de Procesamiento Principal un equipo Mainframe donde reside el ambientede Produccin. Asimismo, se est en pleno proyecto de implementacin de una solucin Activo-Activo para ambos Centros.

Para soportar el procesamiento de los sistemas departamentales existen soluciones diversas que involucran servidores UNIX /Windows dedicados.

A nivel de infraestructuras abiertas, se implement la consolidacin de plataformas Windows utilizando tecnologa Blade Server.Asimismo, se adquirieron e implementaron dispositivos NAS y se conform una red SAN para el almacenamiento de datos endicha plataforma.

Un aspecto a considerar es la necesidad de mejorar las polticas y acciones de resguardo y almacenamiento de datos, a efectosde lograr un mejor aprovechamiento de los dispositivos de almacenamiento en el corto y mediano plazo.

A nivel sucursales, la plataforma de atencin comercial esta soportada por servidores de arquitectura abierta con sistemaoperativo Microsoft, existiendo diversidad y desactualizacin de las versiones instaladas.


7/47




D. Infraestructura de Comunicaciones

El Banco dispone de una Red Wan que interconecta la totalidad de las localizaciones actuales. Dicha Red se complementa conun anillo de Fibra ptica que interconecta los principales puntos de trfico del Banco.

La Red Wan abarca tambin la conexin al Centro de Procesamiento Alternativo, as como los vnculos necesarios paradireccionar las comunicaciones de las sucursales hacia dicho punto en caso de contingencia.

A nivel local, el Banco dispone de redes Lan que interconectan los diversos terminales existentes en cada una de las sucursales.Dichas redes son continuamente mantenidas y ampliadas segn las necesidades puntuales de las sucursales.

E. Procesos internos de Sistemas y Tecnologa

1. Procesos de Desarrollo y Construccin de Aplicaciones

Si bien existe una metodologa desarrollada para soportar el ciclo de vida de los sistemas aplicativos, dicha metodologa no estimplementada ni ha sido adoptada en su totalidad.

Esto provoca una falta de visualizacin integral del proceso de desarrollo de software, ya sea que se trate de desarrollo inhouse o externo.

2. Procesos de Gestin de Proyectos

Si bien la gerencia ejecuta anualmente un considerable conjunto de proyectos, no existen herramientas para brindar tanto a lagerencia como a la direccin del Banco la informacin necesaria para conocer el grado de avance de los proyectos, susproblemas y para poder tomar dediciones sobre ellos en el tiempo y forma.

3.

Management Interno

Un aspecto evidenciado es la necesidad de profundizar la integracin y comunicacin entre las diversas reas que componen laGerencia.

F. Estructura Organizativa

Si bien se ha logrado la aprobacin de una nueva estructura organizacional, no se ha implementado dicha estructura en laprctica. La estructura actual, no asegura la integracin entre los distintos departamentos que la conforman, lo cual se transformaen un serio problema para brindar un servicio de calidad para atender las necesidades de negocio del Banco y la normativavigente.


8/47




G. Sistemas y Tecnologas Anlisis FODA.

FORTALEZAS DEBILIDADES

APLICATIVOS,

DATOSY

PROCESOS

- nico Core Banking con buena capacidad en

todas las sucursales del Banco.

- Sistemas de Administracin y RRHH en

funcionamiento.

- Extensin de capacidades comerciales

mediante nuevos Sistemas Departamentales

en proceso de implementacin.

- Baja calidad de datos en la Base de Clientes.

- Bajo nivel funcional en los sistemas de Inteligencia de

Negocio y Gestin de Performance.

- Existencia de sistemas satelite sin integracin y con

carencias de soporte al negocio.

- Falta de polticas de arquitectura, de datos,

aplicaciones, infraestructura y procesos.

TECNOLOGIA

- Red Corporativa con cobertura yfuncionamiento correctos.

- Equipamiento de procesamiento y

almacenamiento central robusto.

- Bajo nivel de documentacin de procesos y polticastecnolgicas.

- Falta de herramientas y procesos para la

administracin de sistemas.

PERSONAL

- Personal con alto nivel de compromiso. - Falta de Recursos Humanos especializados.

- Debilidades en planificacin, gestin y metodologas.

- Bajo nivel de comunicacin interna entre las reas.

AMENAZAS OPORTUNIDADES

APLICATIVOS,

DATOSY

PROCESOS

- La competencia es exitosa en capturar

oportunidades de negocio en los segmentos m

y comercial a bancarizar y desarrollar.

- Competidores con alta efectividad en las

campaas comerciales.

- Entorno regulatorio impulsa la orientacin estratgica

de las tecnologas como apoyo y contribucin al

negocio.

- La tendencia al aumento del nivel de bancarizacin a

nivel nacional.

TECNOLOGIA

- La competencia gestiona de forma completa y

estratgica el riesgo operacional.

- Disponibilidad de tecnologas modernas en el mercado.

PERSONAL

- Alta rotacin de personal informtico. - Disponibilidad de mejores prcticas y metodologas

maduras para la gestin de reas de sistemas y

tecnologas.


9/47





3. Situacin Inicial Seguridad Informtica.

Por otra parte, se ha realizado un estudio profundo de la situacin del Banco en relacin a los sistemas y la seguridadinformtica. Asimismo, los informes de la auditoria interna y externa y la revisin realizada por el Banco Central han arrojadociertas debilidades que han alertado al Directorio en este aspecto. En consecuencia, el Directorio del Banco ha contratado una

consultora para la realizacin de un estudio en profundidad de las debilidades de la organizacin en materia de seguridad ysistemas.

La referida consultora ha confeccionado el siguiente informe el cual incluye tambin los resultados de los diversos ciclos deauditoria referenciados.


10/47




A. Polticas de Seguridad de la Informacin.

Si bien se evidenci que existen ciertas polticas, normas y procedimientos de seguridad, se observaron las siguientesdebilidades:

1. No existe un esquema o marco de procesos transversales que vincule los aspectos de seguridad en forma integralque abarque a la Gerencia de Sistemas y la Gerencia de Seguridad.

2. Muchas de las normas y polticas estn desactualizadas habindose evidenciado que no se cumplen en sutotalidad.

3. No existe un esquema de actualizacin y revisin peridica de dicha normativa. Existen Polticas, Normas yProcedimientos que no han sido revisados en los ltimos dos aos.

B. Aspectos Organizat ivos de la Seguridad de la Informac in.

El Banco dispone de un plan estratgico para el rea de Sistemas que incluye diversos lineamientos para la gestin del rea.Asimismo, existe un Comit de Sistemas y Seguridad, que se encarga de aprobar la planificacin operativa y tomar lasdecisiones en materia sistemas y seguridad.

Si bien el Banco ha creado recientemente un rea especfica para administrar la seguridad informtica (antes dicha readependa de la Gerencia de Sistemas), en el trabajo de revisin se evidenciaron debilidades de importancia en aspectosrelacionados con la gestin de la seguridad de la informacin, dichas vulnerabilidades atentan contra la confidencialidad,integridad, disponibilidad y la tecnologa informtica. Entre las vulnerabilidades detectadas podemos describir:

1. El rol de gestin integral de la seguridad no se ha podido implementar en su totalidad, especficamente en relacina la aplicacin de las misiones y funciones definidas para el rea por las mximas autoridades. Se evidencia que

existen actividades que todava desarrolla el rea de Sistemas y que la Gerencia de Seguridad no participa entodos los Comits de Sistemas y Seguridad.

2. Asimismo, se evidenci una baja participacin en las etapas de definiciones de los proyectos estratgicos. De los15 proyectos estratgicos relacionados con la implementacin de sistemas, la Gerencia de Seguridad slo haparticipado en 5 de ellos y adems no se encontraron evidencias de dicha participacin ni de definiciones acercadel tipo o alcance de participacin que debe tener el rea de seguridad en los proyectos del Banco.

3. Por otra parte, las aplicaciones productivas no son administradas en su totalidad por la Gerencia de Seguridad encuanto a los aspectos de proteccin de la informacin. Esto se evidencia por la falta de esquemas de seguridad enlos sistemas aplicativos; la existencia de niveles de seguridad dbiles en ciertas aplicaciones productivas, la faltade definicin de los perfiles en toda la organizacin, etc.

4.

No se ha evidenciado un esquema de gestin integral de la seguridad de la informacin que permita implementarla proteccin integral de activos de informacin. Esto se evidencia principalmente por la falta de una estrategiaespecfica de Seguridad (si bien existe un plan estratgico de seguridad, el mismo no ha sido actualizado desdehace 2 aos y no se ha evaluado el avance de dicho plan). Asimismo, no existe un plan que aglutine los diversosproyectos de seguridad, sino que existen planes aislados confeccionados de diversa manera y profundidad segncada lder de proyecto.

5. El presupuesto destinado a la seguridad informtica representa tan solo el 2% del total del presupuesto que laentidad destina a los sistemas de informacin y las tecnologas. Esto evidencia un bajo peso de la seguridad en laorganizacin.


11/47




6. Los contratos ms crticos con proveedores de servicios relacionados con sistemas y tecnologas no poseenclusulas de confidencialidad especficas.

7. El Banco no ha realizado evaluaciones o tests independientes destinados a analizar el estado de la seguridad y delos mecanismos de control implementados, ni tampoco figuran como parte de la estrategia.

8. Se han evidenciado debilidades en el control de las actividades propias de la Entidad delegadas en terceros, lasque podran afectar la confidencialidad, cumplimiento y confiabilidad de los sistemas, la tecnologa informtica ysus recursos asociados. Principalmente no se realiza una evaluacin de riesgo previo a la tercerizacin de unproceso ni existe un control de los accesos fsicos y lgicos que realizan los proveedores contratados.

9. Si bien se evidenciaron ciertas mediciones y comparativos mensuales referidas a mantenimiento de cuentas yperfiles y seguimiento de los proyectos, se pudo corroborar que no se han implementado mediciones relacionadascon el cumplimiento o avances registrados con el modelo estratgico de seguridad establecido; la utilizacin deusuarios con niveles de acceso altos; etc.

10. No existe un conocimiento de la importancia de la seguridad de la informacin en la institucin en tanto no seevidencia un fuerte involucramiento por parte de la mxima Direccin.


12/47




C. Gestin de Act ivos.

Se observ que la entidad posee una bajo nivel de implementacin en la gestin integral de los activos de informacin quedispone. Se entiende necesario profundizar en una metodologa integral que si bien ha sido encarada, an no contiene suficientedetalle abarcativo y participativo de todos los entornos y reas de la Entidad para la deteccin de escenarios adversos en cuantoa los sistemas de informacin, la tecnologa informtica y sus recursos asociados. Esto se evidencia en los siguientes aspectos:

1. Se han observado deficiencias en el contenido de las Polticas, Normas y Metodologas para la Clasificacin deActivos y la Administracin de Riesgos Tecnolgicos, particularmente dadas porque existe una metodologaespecfica para la gestin de activos sin vinculacin con la metodologa de gestin de riesgos tecnolgicos.

2. Asimismo, no se encuentran definidos los roles y responsabilidades de los participantes de la organizacin en laGestin de Riesgos Informticos y la Clasificacin de Activos.

3. El Banco an no ha finalizado con los procesos de clasificacin de los activos de informacin ya que tampoco hapodido concluir con el inventario previo de los mismos.

4. No se ha logrado una vinculacin con el propietario de los activos de informacin ni la concientizacin relacionadacon la proteccin de dichos activos.

5. La clasificacin de activos se ha realizado en forma parcial y sin la participacin del rea de Sistemas, asimismo laevaluacin de los riesgos se ha realizado en forma no coordinada entre la Gerencia de Sistemas y la Gerencia deSeguridad.

6. No se encuentran establecidos cuales van a ser los documentos resultantes de los anlisis de riesgos efectuados,formatos, periodicidad.

7. Algunos activos fueron tratados de manera general, sin contemplar riesgos especficos y/o individuales por activo

y la descripcin de los riesgos identificados es muy general

8. No existe un mapa integral de riesgos de la organizacin, no permitiendo as la gestin de los activos en funcindel riesgo evaluado.


13/47




D. Seguridad Ligada a los Recursos Humanos.

Se observ que la entidad no ha implementado los aspectos relacionados con la seguridad de los recursos humanos y seevidencia que no existe una conciencia en los empleados en relacin con la seguridad de la informacin.

Especficamente, este factor es una vulnerabilidad de importancia en tanto la industria financiera est basada en la gestin de lainformacin. A continuacin se resumen los principales aspecto evidenciados:

1. Se ha evidenciado que el Banco no posee documentado los perfiles, roles y responsabilidades de los empleadosa incorporar en relacin a la seguridad de la informacin especficamente en lo que a contratistas y tercerosrefiere.

2. Por otra parte no se ha encontrado evidencia de investigaciones de los antecedentes de los candidatos previos asu incorporacin, as como de los contratistas y terceros que debieran llevarse a cabo en concordancia con las

regulaciones internas relacionadas con la clasificacin de la informacin a la cual se va a tener acceso y losriesgos percibidos.

3. La evidencia encontrada respecto a las obligaciones contractuales relacionadas con la seguridad de lainformacin para empleados, proveedores y terceros representa slo el 10% de los involucrados. Si bien todos losinvolucrados estn vinculados bajo un contrato especfico, no se han encontrado clusulas especficas deaceptacin y firma de trminos y condiciones que establezca las responsabilidades y las de la organizacin paracon la seguridad de la informacin.

4. No se han evidenciado comunicaciones masivas tendientes a concienciar respecto a la importancia de que losempleados, contratistas y terceras personas apliquen la seguridad en concordancia con polticas y procedimientosestablecidos por la organizacin.

5. En los ltimos aos la Gerencia de Seguridad Informtica no ha realizado actividades de educacin y capacitacinen relacin con la seguridad de los activos de informacin con foco en los empleados, contratistas y terceraspersonas que involucre una adecuada capacitacin en seguridad y actualizaciones regulares sobre las polticas yprocedimientos organizacionales conforme.

6. Las polticas de la organizacin no contemplan aspectos especficos en relacin a la disciplina que los empleadosvinculadas con la seguridad de los activos de informacin.

7. Las responsabilidades en relacin a la terminacin de la relacin laboral estn claramente definidas en el rea derecursos humanos, no obstante en relacin a los contratistas y terceras partes no se ha evidenciado que exista laaplicacin de aspectos relacionados con el cierre de la relacin en cuanto a la seguridad y divulgacin de lainformacin.

8.

No existen definidas responsabilidades ni un procedimiento establecido en relacin a la devolucin de los activosque tengan en su posesin en el caso de que un empleado, proveedor y/o tercera parte se desvinculen con elBanco.

9. Se ha evidenciado que muchos de los empleados y sobre todo, los contratistas que han abandonado laorganizacin por diversos motivos, poseen actualmente los derechos de acceso a los sistemas y/o centros deprocesamiento.


14/47




E. Seguridad Fsica y Ambiental

Se observaron debilidades de seguridad fsica en los centros de procesamiento de datos, entre las que se puede destacar:

1. En el centro de procesamiento alternativo se posee un nico cuarto sin divisiones fsicas, con lo que no es posibleindividualizar los permisos de acceso de los usuarios segn su rea funcional;

2. En el centro de procesamiento principal, se observa una excesiva cantidad de usuarios con permiso a todos losrecintos.

3. Asimismo, no se evidencian controles sobre las actividades registradas en el log de los sistemas de control deacceso a los sitios restringidos del centro de procesamiento principal.

4. Se evidenciaron debilidades relacionadas con el acceso a ambos centros de procesamiento en tanto cuandoingresa una persona autorizada no se controla si dicha persona ingresa acompaada. No existe ningn

mecanismo que asegure que slo ingresan a los centros, exclusivamente las personas autorizadas.

5. En el centro de procesamiento alternativo se evidenci que existe material no adecuado que genera un serioriesgo de incendio (Cajas de Cartn, Papeles, etc.)

6. Se evidenci que no existe un procedimiento formal donde se establezca de que manera los contratistas debenrealizar los trabajos de soporte y/o mantenimiento sobre el equipamiento productivo.

7. No se cuenta con personal de vigilancia en la puerta de la sala de servidores del Centro de ProcesamientoAlternativo.

8. El cuaderno en donde se registran las visitas est dentro de la sala de servidores del Centro de ProcesamientoAlternativo (es decir que la visita entra antes de registrarse).

9. Si bien la entrada a la Sala de Servidores del Centro de Procesamiento Alternativo cuenta con el lector de tarjetasse constat que con el resto de las tarjetas del Banco permiten ser abiertas.

10. Para acceder a la sala de servidores del Centro de Procesamiento Alternativo se debe pasar previamente por laSala de Microinformtica o por la Sala de Redes.

11. No se cuenta con un procedimiento formal de control de accesos.12. El registro de visitas se realiza en un cuaderno del Banco y no se evidencian controles sobre la informacin all

descripta como as tampoco controles que garanticen que no se arranquen hojas del mismo, en el Centro deProcesamiento Alternativo. La informacin que se registra es: Fecha, Nombre, DNI, rea, Horario de Entrada,Horario de Salida. No se deja constancia en el libro de ingresos de: Persona autorizante de la visita y Motivo de la

visita. No me solicitan DNI para verificar que los datos informados por el visitante sean correctos.13. Se observo que los backups de las copias generadas en el Centro de Procesamiento Alternativo se encuentran en

una caja de seguridad que no tiene llave ni candado.

14. Se observ que ninguna de las cmaras de vigilancia apunta a la Caja de Seguridad (que NO tiene llave) endonde se encuentran los backups.

15. Las condiciones de higiene no son ptimas dado que el piso estaba sucio y con polvillo.16. Algunos Racks tenan las puertas abiertas exponindolos aun ms al polvillo del ambiente.


15/47




17. Las placas del piso tcnico estn desacomodadas.18. Se observ que una de las placas del piso por donde pasa el cableado del estabilizador haba sido retirada y se

encontraba apoyada sobre la pared.

19. Se observ que el cableado de los Racks estaba desprolijo lo que en algunos casos imposibilita cerrar las puertasde los mismos.

20. Se observ que algunos Racks no tienen puertas21. Se observo que dentro de algunos Racks, apoyadas sobre los equipos, haba pequeas cajas de cartn.22. Las cajas de seguridad en donde se encuentran las cintas tanto en el centro de procesamiento principal como

alternativo estn en un pasillo en el cual se encuentran cajas de cartn y muebles de madera.


16/47




F. Gestin de Comunicaciones y Operaciones.

Se han evidenciado importantes debilidades respecto de la gestin, proceso y el control operativo de los centros deprocesamiento de datos, la gestin de las comunicaciones y las operaciones que debilitan la posicin de la Entidad y atentacontra la efectividad, eficiencia, integridad, disponibilidad, cumplimiento, y confiabilidad de la informacin, y se ven reflejados enlas siguientes debilidades.

1. Los procedimientos de operacin no se encuentran totalmente documentados y actualizados en tanto no reflejanlos ltimos cambios realizados sobre la estructura de la Gerencia de Sistemas y la Gerencia de Seguridad.Asimismo, dichos procedimientos no se encuentran publicados para conocimiento de todos los involucrados.

2. No existe un sector en toda la organizacin encargado de controlar los cambios en los medios y sistemas deprocesamiento de la informacin.

3. No se ha evidenciado un registro nico y central de los cambios significativos realizados sobre sistemasaplicativos, software, hardware y configuraciones. Tampoco se han evidenciado evaluaciones de impacto previasa la realizacin de los cambios, incluyendo los impactos de seguridad.

4. La organizacin no cuenta con un procedimiento de aprobacin formal para los cambios propuestos sobre lossistemas aplicativos, software de base y hardware, ni la comunicacin de los detalles del cambio para todos laspersonas relevantes.

5. Existen debilidades relacionadas con la segregacin de funciones en el rea de Desarrollo de Aplicaciones que nopermiten evitar modificaciones no autorizada en el ambiente de produccin del sistema core del Banco.

6. En la mayora de los aplicativos de plataformas abiertas, no se ha evidenciado la existencia de ambientesespecficos para desarrollo, prueba y operacin.

7. Las ampliaciones del equipamiento central de procesamiento y de los dispositivos de almacenamiento se realizansin una planificacin especfica, sino cuando se encuentran problemas de saturacin lo que obliga a acelerar losprocesos de adquisicin cuando la plataforma se encuentra en una situacin crtica de funcionamiento. No seevidenciaron estudios previos y/o proyecciones de la capacidad (Capacity Planning) que permitan asegurar ladisponibilidad de la capacidad y los recursos adecuados para entregar el desempeo del sistema requerido.

8. Muchas de las funcionalidades se pasan a produccin sin estar acabadamente documentadas y probados losrequerimientos de operacin mnimos.

9. No existe un procedimiento claro del ciclo completo de pase a produccin de nuevos sistemas o actualizacionespara todas las plataformas disponibles. Asimismo, en la plataforma donde el procedimiento se ha encontradoformalizado, se evidenciaron pases a produccin de mejoras que no pasaron por todos los ambientes exigidos(prueba, pre produccin, produccin).

10. Se observ que la entidad posee diversas herramientas para la deteccin de cdigos maliciosos como virus,toryanos, etc. Las herramientas existentes en muchos casos estn desactualizadas y no pueden gestionarse enforma central e integrada. Muchos usuarios descargan herramientas libres para proteger sus equipos y por lo tantoesto representa un alto riesgo para la institucin.

11. Las herramientas utilizadas por la Gerencia de Seguridad para la Deteccin de Intrusos en la Red se encuentrandesactualizadas y no abarcan toda la red de la institucin.

12. No existen herramientas de software para el anlisis de vulnerabilidades de las diversas plataformas disponibles.


17/47




13. En muchas de las plataformas disponibles no se observa un procedimiento de respaldo de la informacin deproduccin.

14. En muchas de las plataformas disponibles no se realiza respaldo de la informacin de produccin incluyendo ladoble copia con esquema de seguridad y proteccin, tal como lo exige la normativa del Banco Central.

15. Se observ que no se realizaron prueba de los resguardos para la totalidad de sistemas crticos de laorganizacin. No existe un plan anual de prueba de los resguardos realizados.

16. En general la gestin de las redes de comunicaciones es de buen nivel, la institucin posee sus Redes WANcontratadas a travs de enlaces provistos por un nico proveedor de mercado.

17. El monitoreo de las redes se hace en forma interna por un sector que solo tiene alcance para el tema decomunicaciones sin tener ingerencia en el monitoreo integral del resto de la plataforma.

18. No existe procedimientos y estndares para proteger la informacin y los medios fsicos que contiene lainformacin en-trnsito.

19. No existe una consola central que permita monitorear los sistemas y reportar los eventos de seguridad de lainformacin. No se evidenciaron las bitcoras de operador y los registros de las fallas para asegurar que seidentifiquen los problemas en los sistemas de informacin.


18/47




G. Control de Accesos

1. Se ha evidenciado la existencia de niveles de acceso excesivos asignados a personal del rea de Sistemas, enalgunos casos autorizados mediante cartas o notas, que no se ajustan con las polticas, normas y procedimientosaprobados y publicados, y con las funciones desempeadas por estas personas en la institucin.

2. Si bien se cuenta con herramientas para la deteccin y anlisis de ciertos incidentes de seguridad, la Entidad nocuenta con un sistema que concentre las anomalas de seguridad en la totalidad de los sistemas productivos y desoftware de base.

3. No se evidenciaron registros de la actividad de los usuarios encargados de asignar las funciones al resto de losusuarios generales del sistema core del Banco.

4. No existen evidencias de controles tendientes a determinar la actividad desarrollada por los usuarios de la Basede Datos del Sistema Core del Banco.

5. No se evidenci una poltica integral para el control de accesos que incluya todos los aspectos exigidos por lanormativa internacional

6. No estn definidos en la organizacin los perfiles de todos los usuarios, asimismo no existe un mecanismo deactualizacin de dichos perfiles.

7. No existe una plataforma nica para el manejo de los privilegios de los usuarios, la gestin de las claves ni serevisan peridicamente los derechos otorgados a los usuarios en las diversas aplicaciones.

8. No se evidenciaron campaas de comunicaciones interna acerca de la responsabilidad de los usuarios con elmanejo de las claves y la proteccin de los activos de informacin del Banco

9. Las polticas de uso de puestos de trabajo estn desactualizadas.10. No existe un sistema de gestin de claves secretas en la organizacin.11. Se observ que existe un conjunto de personas de la Gerencia de Sistemas que se conecta a la red del Banco a

travs de una conexin VPN pero con equipos propios no controlados por la Gerencia de Seguridad.


19/47




H. Adquis ic in, Desarrol lo y Man tenimiento de los Sis temas de Informac in.

A nivel Sistemas Aplicativos la situacin evidenciada es crtica en cuanto presenta ciertas debilidades de magnitud. Entes losprincipales aspectos podemos destacar:

1. Existen aplicaciones que no se encuentran bajo la rbita de control y monitoreo de la Gerencia de Seguridad,evidencindose falta de niveles de seguridad aceptables e inexistencia de controles de los usuarios.Principalmente el Sistema Core del Banco y el Sistema de Administracin de Recursos ERP.

2. El procedimiento actualmente utilizado para el ciclo de modificacin e implementacin de sistemas aplicativos nogarantiza la correspondencia entre programas fuentes y ejecutables (objetos), ya que en el sistema deAdministracin de Recursos ERP y en el Sistema de Comercio Exterior, entre otros no es posible asegurar que losdesarrollos pasen por todos los ambientes de control definidos, debido a que el mecanismo de pasajes es de tipomanual.

3. Se observaron algunas limitaciones en los mecanismos formales implementados relacionados con el ciclo depuesta de programas en produccin y las actualizaciones del hardware.

4. La Entidad no cuenta con documentacin tcnica, funcional o de usuarios de los principales aplicativos crticospara el negocio.

5. La documentacin tcnica existente para el sistema core, en todos sus mdulos, se considera incompleta, ya quecuentan con un diccionario de datos, pero carece de informacin referida a la descripcin de programas, objetivos,alcance, diseo, relaciones entre los distintos aplicativos, diagrama del sistema, diseo de listados y pantallas,entre otros.

6. No existe un adecuado esquema de separacin entre los ambientes informticos de procesamiento (desarrollo,prueba y produccin) de la Entidad, que asegure que los analistas y programadores de sistemas no posean

acceso al entorno productivo, ni los operadores accedan al ambiente de desarrollo.


20/47




I. Gestin de Incidentes en la Seguridad de la Informacin.

Del anlisis de las normas de seguridad existentes y del procedimiento de Gestin de Incidentes, se pudo evidenciar lassiguientes debilidades:

1. Las normas y procedimientos existentes para la gestin de incidentes se encuentran desactualizados y sonincompletos.

2. Solo se realizan controles generales sobre los incidentes recibidos.3. No se han establecido las etapas necesarias para el tratamiento y la gestin de los incidentes de seguridad.4. No existen mecanismos de tratamiento de las evidencias recolectadas.5. No se evidenci un esquema formal de notificacin de los eventos de seguridad ni de los puntos dbiles

detectados.

6. No existe una vinculacin entre el ingreso de incidentes de seguridad y la mesa de ayuda del Banco.7. No se evidenci una gestin integral de los incidentes de seguridad, ni un esquema que permita la mejora

continua a travs de una base de conocimiento y una realimentacin de las soluciones aplicadas a cada incidente.

8. El monitoreo de plataformas que realiza la Gerencia de Sistemas no posee una vinculacin que permitan conocertempranamente los posibles incidentes de seguridad.

9. Del anlisis de las normas de seguridad existentes y del procedimiento de Gestin de Incidentes con el quecuentan, se pudo evidenciar que son incompletos; por ejemplo: solamente se hace una descripcin general delcontrol a aplicar; no cuenta con el establecimiento de etapas necesarias para el tratamiento y la gestin de

incidentes; no cuenta con mecanismos de tratamiento de las evidencias recolectadas; entre otros.

10. No se evidenciaron herramientas de software para recoleccin y correlacin de eventos de seguridad.


21/47




J. Gestin de la Continuidad.

Se han evidenciado debilidades, las que estn originadas por la ausencia de alternativas probadas de solucin ante la posibleocurrencia de determinados escenarios adversos, que podran perjudicar la provisin continua de los servicios de los sistemas deinformacin, la tecnologa informtica y sus recursos asociados; y que a su vez, permitiran vulnerar la disponibilidad permanentede servicios que son de indispensable y oportuna prestacin con adecuados niveles de eficiencia y eficacia:

1. No se evidenci la existencia de un anlisis de impacto (BIA) del Plan de Continuidad de Procesamiento.2. Los planes actuales no estn realizados en base a una evaluacin de riesgo.3. Los planes son de continuidad tecnolgica e incluyen aspectos de seguridad informtica pero no son de

continuidad de negocio

4. No existe un marco de referencia para la planificacin de la continuidad del negocio.5. No hay actas que evidencien las pruebas anuales de todos los planes.6. No cuentan con equipamiento alternativo de para la plataformas abiertas.7. No se evidenci la existencia de un Plan Integral de Recuperacin en donde se mencione por ejemplo: los

distintos tipos escenarios y los procedimientos de recuperacin para cada caso, grupos de administracin, gruposde mantenimiento, entre otros.

8. Los Planes de Contingencias de las distintas plataformas abiertas se encuentra desactualizados y en algunoscasos incompletos, dado que por ejemplo: no mencionan el escenario de mxima; el Grupo Administracin delPlan se encuentra integrado por personal del proveedor; los procedimientos "Mantenimiento del Plan deRecuperacin ante Desastres del Centro de Procesamiento Principal y el de plataforma abierta" no se menciona

en detalle cmo el procedimiento y quienes lo tienen que realizar; entre otros.

9. Se evidenci la existencia de algunas objeciones en varias clusulas del contrato firmado con el proveedor por laprestacin del Servicio de Recuperacin de Contingencias en el Centro de Procesamiento de Datos; por ejemplo:el acceso irrestricto a la Superintendencia de Entidades Financieras y Cambiarias; desastres mltiples; etc.

10. La prueba anual exigida no es completa en tanto no es integral de toda la operatoria de negocio del Banco.


22/47




K. Cumplimiento.

1. En los ltimos meses, el Gobierno ha promulgado una Ley mediante la cual todas las instituciones Bancarios nopuede cobrar servicios financieros a aquellos clientes que cobren su sueldo a travs de cuentas del Banco. EstaLey es de aplicacin a partir del presente mes y se ha evidenciado que el Banco tardar ms de 6 meses enadaptar su sistema core para cumplir con la Ley.

2. El Banco Central ha emitido una nueva normativa que establece los Requisitos mnimos de gest in,implementacin y control de los riesgos relacionados con tecnologa informtica y sistemas de

informacin, si bien el Banco ha realizado una primera revisin interna las Gerencias de Sistemas y la deSeguridad no estn en condiciones de informar a la alta Direccin en que medida el Banco cumple con dichadisposicin. En consecuencia, el Banco ha decidido encarar un proceso especfico que, a travs de una consultoraexterna, obtenga el apoyo necesario para lograr un plan de cumplimiento de dicha norma.

3. El Banco no ha realizado una gestin integral de las filiales del exterior en cuanto a sistemas de informacin yseguridad. Las regulaciones de los pases donde el Banco posee sucursales con exigentes y se ha observado queno se cumplen con la mayora de las exigencias de cada pas.

4. Se ha observado que la mayora de los sistemas aplicativos crticos para el negocio no posee un contratoespecfico que establezca claramente clusulas relacionadas con derechos de propiedad intelectual y sobre el usode productos de software patentado.

5. El Banco no ha cumplido en su totalidad con las exigencias nacionales relacionadas con la proteccin de datospersonales establecidas por el registro nacional de base de datos.

6. No existen normas internas especficas que informen a los usuarios sobre los riesgos relacionados con utilizar losmedios de procesamiento de la informacin para propsitos no autorizados.

7. El Banco nunca ha realizado una evaluacin en profundidad acerca del cumplimiento de los sistemas con laspolticas y estndares de seguridad organizacional.

8. No se revisa regularmente la seguridad de los sistemas de informacin. No se evidenciaron revisiones debieranrealizarse en base a las polticas de seguridad apropiadas y las plataformas tcnicas, y los sistemas deinformacin debieran ser auditados en cumplimiento con los estndares de implementacin de seguridadaplicables y los controles de seguridad documentados.

9. El Banco recibe peridicamente un conjunto de ciclos de auditoria los cuales muchas veces interfieren en elnormal funcionamiento de las reas de sistemas y de seguridad. Se recibe anualmente:

- Ciclos de Auditoria Interna de Sistemas:a. Auditoria Semestral Comunicacin Banco Central.b. Auditoria Anual respecto a aplicativos, plataformas y software de base.c. Auditorias sobre reas de negocio que recaen en pedidos de informacin especfica para el

rea de sistemas y seguridad.- Ciclos de Auditoria Externa de Sistemas.- Auditoria Anual del Banco Central.

10. Nos existen herramientas especficas para que las reas de auditoria puedan acceder a consultas de datos de lasbases operacionales. Todos los pedidos recaen en las reas de sistemas y la de seguridad.

11. Las actividades y requerimientos de auditoria que involucran chequeos de los sistemas operacionales no serealizan en forma planeada y acordada.


23/47





4. Informacin detallada para la Planificacin del Proyecto.


24/47





- Se ha establecido llevar adelante un proyecto conjuntamente con la Gerencia de Sistemas y la de Seguridad, conel objeto de desarrollar el esquema de procesos y subprocesos que vincule todos los aspectos de gestin deambas reas.

- Para el desarrollo del esquema as como de toda la documentacin de respaldo, se estableci contratar a unaconsultora especialista en el tema, que tenga experiencia en la industria bancaria.

- Es importante considerar que el desarrollo de dicho esquema debera estar alineado con las mejores prcticas yestndares de mercado (ISO, ITIL, IT Governance, etc.).

- El desarrollo del proyecto debera demandar 12 meses en tanto el Banco tiene previsto recibir una auditora delBanco Central el ao prximo y quisiera demostrar que se est trabajando en los procesos ms importante deambas reas.

- El proveedor debera asignar un Gerente de Proyecto full time.

- El Banco realizar un contrato a precio fijo con el proveedor, si fuese necesario evaluar la posibilidad de realizarotro tipo de contratacin.

- El proyecto debe incluir todas las actividades desde la contratacin de la consultora hasta la formalizacin de todoel esquema y la documentacin de respaldo que contempla polticas, normas, metodologas procesos,procedimientos, etc.

B. Aspectos Organ izat ivos de la Seguridad de la Informacin.

El Banco ha decidido crear un proyecto integral que contemple la mejora de los aspectos relacionados con la organizacin de laseguridad de la informacin en la empresa. Dicho proyecto involucrar trabajar sobre las siguientes lneas de accin:

- Reforzar el rol de la Seguridad de la Informacin en la institucin asegurando que la Gerencia de Seguridadimplemente las misiones y funciones que tiene establecidas.

- Mejorar la interrelacin con la Gerencia de Sistemas y la participacin en los proyectos estratgicos delBanco.

- Relevar los esquemas de seguridad de todos los aplicativos administrados de la entidad a fin de establecer elesquema de control que se seguir para los que son administrados por la Gerencia de Seguridad como losque actualmente dicha rea no administra.

- Establecer un plan estratgico de seguridad a 5 aos alineado con la estrategia de sistemas y del negociocon un esquema de actualizacin permanente.

- Mejorar el nivel de inversiones y gastos en seguridad de la informacin.

- Establecer un esquema de control de terceros con el objeto de que cada contrato de tercerizacin incluya latotalidad de las clusulas relacionadas con la proteccin de los activos de informacin.

- Incorporar una poltica correspondiente a efectos de considerar la realizacin de test independientes deseguridad contemplando esto con la contratacin de una empresa especfica al efecto.


25/47




- Establecer un esquema mediante el cual todas las adquisiciones se basen en un anlisis de riesgo y que secontrole posteriormente las actividades de dichos proveedores.

- Se busca mejorar los indicadores utilizados para evaluar el avance en la implementacin de la estrategia. Porotra parte se desea desarrollar un esquema para comunicar en forma interna y externa al rea losindicadores estadsticos sobre la actividad de monitoreo de los eventos de seguridad, antivirus, filtrado decontenidos, fraudes, etc.

- El proyecto se deber desarrollar a lo largo de 24 meses. Se espera que en la planificacin se prioricen losaspectos de desarrollo.

- No se ha establecido si para el desarrollo de las actividades del proyecto, se contratar una empresa externao se realizar en forma interna.


26/47




C. Gestin de Acti vos.

El Banco ha decidido crear un proyecto integral para completar la gestin integral de activos de la informacin en la empresa.Dicho proyecto involucrar trabajar sobre las siguientes lneas de accin:

- Metodologas: Desarrollar todo el cuerpo normativo y metodolgico y el esquema integral de los activosincluyendo la gestin del riesgo tecnolgico. Para esto se ha establecido una duracin de 6 meses. La Gerenciade Sistemas propone la contratacin de una consultora especialista en temas de riesgo tecnolgico estimndoseun costo mensual se ha estimado en USD 40.000.-.

- Inventario de Activos:

Iniciar un trabajo conjunto con la Gerencia de Sistemas a los efectos de disponer de un inventario nicoactualizado conteniendo todos los activos de informacin.

Esta actividad contempla actualizar con cada rea los activos productivos, generar un repositorio centralizadoy establecer el procedimiento de actualizacin.

Se debe realizar un relevamiento detallado y conformar cada activo. Se parte de un inventario tecnolgico dems de 10.000 bienes de los cuales 300 son sistemas aplicativos, 200 son servidores, 1.000 son equipos decomunicaciones, 8.500 son puestos de trabajo, impresoras y dems equipamiento. Se ha estimado que eltotal de activos de informacin a identificar rondar los 500. Para lo cual se previ una actividad quedemandar 3 meses aproximadamente y requerir 3 recursos humanos dedicados.

- Clasificacin de Activos:

Implementar la clasificacin de todos los activos de la organizacin mejorando la vinculacin con elpropietario de la informacin y el propietario del activo.

De una estimacin realizada se concluyo un alcance de 500 activos de informacin. Por cada activo se debeidentificar el propietario del activo, el propietario de la informacin, capacitarlos y concientizar en el manejo delos activos crticos, clasificar al activo en cuanto a confidencialidad, disponibilidad y criticidad.

La clasificacin de 10 activos demand 10 das hbiles debido a que por cada activo se exigi unaexplicacin al propietario del activo y se requiri la formalizacin del nivel gerencial. Se estima que dichoesquema resultara poco ptimo para la implementacin total.

- Identificacin de Riesgos:

Iniciar el proceso de identificacin y evaluacin de riesgos para cada activo clasificado en forma conjuntaentre la Gerencia de Sistemas y la de Seguridad.

La experiencia previa en la evaluacin de riesgo se haba realizado sobre ciertos activos crticos totalizandosolamente 50 activos. Para estos activos se identificaron un total de 700 riesgos.

Para cada activo se espera la realizacin de un mapa de riesgo que en forma consolidada integre el mapaintegral de riesgos de la organizacin. Asimismo, para los activos considerados de Riesgo Alto se deberrealizar un plan de mitigacin.

- Herramientas de Gestin:Adquirir e implementar una herramienta de software de mercado donde a futuro seincorporar la gestin integral de los activos. Se estima que la adquisicin de dicha herramienta demandar untotal de 5 meses y una implementacin de 9 meses. El costo total estimado del proyecto asciende a USD500.000.-


27/47





El Banco ha decidido crear un proyecto integral que contemple la mejora de los aspectos relacionados con la organizacin de laseguridad de la informacin en la empresa.

En dicho proyecto trabajar conjuntamente el rea de Recursos Humanos, la Gerencias de Administracin y de Seguridad de laInformacin. Se organizar el proyecto en los siguientes subproyectos a saber:

- Aspectos Normativos y Documentales:

Involucra trabajar sobre la definicin de los perfiles, roles y responsabilidades (Identidades) detodos los recursos humanos del Banco.

Para esto debe considerarse que la organizacin posee alrededor de 10.000 empleados y msde 50 gerencias operativas, lo que junto a las 500 sucursales debe ser considerado para

dimensionar el trabajo. Dada la magnitud del tema se ha decidido contratar una consultoraexterna especialista en el tema. Se estima que la contratacin demandar ms de 5 meses y eldesarrollo ser de 18 meses.

Por otra parte es necesario adecuar las polticas de la organizacin en relacin con disciplinas deempleados, devolucin de activos, etc. Para esto ltimo se estima que podrn ser adecuadas yactualizadas en aproximadamente 4 meses y ser realizado con recursos interno provistos porRecursos Humanos.

- Mejora de la Comunicacin Interna:

Se pretende realizar una fuerte campaa de comunicacin interna por los diversos medios que laempresa dispone: intranet, correo electrnico, videoconferencia, reuniones formales, cursos a

distancia, etc. Dicha campaa estar dirigida a concientizar a todos los empleados en relacin ala importancia de la seguridad de la informacin.

Se realizar dicha campaa por un periodo de 12 meses y en la planificacin se deberconsiderar todo el esquema de la campaa desde el diseo hasta su posterior evaluacin ymejora continua segn los resultados obtenidos. Se ha establecido un presupuesto de USD500.000 para sustentar dicha campaa.

- Revisin de Contratos y Cumplimiento de Disposiciones Internas:

Se desea revisar la totalidad de los contratos actuales con proveedores, empleados y terceros alos efectos de ajustarlos a las nuevas disposiciones de seguridad, esto incluye adecuar loscontratos y proceder a su conformacin por parte de los involucrados.

Asimismo, se revisarn los accesos a sistemas disponibles con el objeto de asociarlos a loscontratos vigentes. Esto incluye establecer un procedimiento para que en el futuro exista unarelacin directa y control entre la vigencia de los contratos y los accesos.

Por otra parte se desea implementar un nuevo esquema para realizar investigaciones deantecedentes antes de la contratacin de un recurso, proveedor o tercero.

Se estima que estas ltimas actividades podrn realizarse durante 9 meses y requerirn laparticipacin de un equipo multidisciplinario entre administracin, recursos humanos y seguridada los efectos del desarrollo de las actividades.


28/47




E. Seguridad Fsica y Ambiental

El Banco ha decidido crear un proyecto integral que contemple la mejora de los aspectos relacionados con la organizacin de laseguridad de la informacin en la empresa:

Se organizar el proyecto en tres subproyectos a saber:

- El primero se encargar de cubrir las debilidades fsicas del Centro de Procesamiento Principal.

Involucra las actividades relacionadas con las mejoras en recintos, pisos tcnicos, racks, cableados,sistema anti incendio, etc.

Se estima que las actividades demandar, 3 meses en total pero la contratacin demandara 2 mesesadicionales.

El presupuesto mximo disponible es de $ 1.000.000.-

- El primero se encargar de cubrir las debilidades fsicas del Centro de Procesamiento Alternativo.

Involucra las actividades relacionadas con las mejoras en recintos, pisos tcnicos, racks, cableados,sistema anti incendio etc.



- En el tercer subproyectos se incorporar todas aquellas actividades transversales a ambos centros:

Involucra las actividades de mejora de los procedimientos, depuracin de usuarios, confeccin demanuales, implementacin de un nuevo sistema de control de acceso ergonmico centralizado, mejorasen las cmaras de vigilancia, seguridad fsica, etc.



- En ambos casos estar involucrada adicionalmente la Gerencia de Arquitectura, la Gerencia de Sistemas yde Seguridad Fsica.

- Existe una gran preocupacin por la Direccin relacionada con el acceso fsico y lgico por parte de losproveedores que realizan mantenimiento sobre el equipamiento, as que el proyecto deber considerar untratamiento especfico del tema.


29/47




F. Gestin de Comunicaciones y Operaciones.

El Banco ha decidido crear un proyecto integral que contemple la mejora de las debilidades evidenciadas.

En este caso, dada la magnitud del tema, el Banco considera necesario priorizar el tratamiento de los temas y solo incluiraquellos que, segn la evaluacin de riesgos, sean considerados prioritarios para la organizacin.

En ese sentido, se han agrupado las debilidades en los siguientes temas:

- Relacionadas con Normas, Metodologas y Procedimientos de Operacin que es necesario desarrollar.

- Relacionadas con la Gestin y el Control de Cambios.

- Relacionadas con los ambientes productivos y el pase a produccin de los sistemas aplicativos.

- Relacionadas con los Virus Informticos, la Deteccin de Intrusos y el Anlisis de Vulnerabilidades.

- Relacionadas con la gestin de los resguardos de informacin.

- Vinculadas con la gestin y la plataforma de comunicaciones.

- Vinculadas al Monitoreo de Eventos de Seguridad.

En ese sentido, se deber realizar un anlisis de riesgo para priorizar dentro del proyecto el desarrollo de 3 de los temas antesdescriptos.

De los tres temas a recomendar el nico donde ha habido un pedido expreso del Directorio es en el relacionado con las Normas,Metodologas y Procedimientos de Operacin que es necesario desarrollar, el cual deber estar incluido en el proyecto.

Para esto, el Banco ha dispuesto que se contrate una consultora que desarrolle cada una de las etapas que se establezcan en elproyecto. Dicha consultora proveer asimismo las herramientas de software que se considere necesario implementar.

Dada la importancia del tema no hay restriccin presupuestaria para el proyecto sino que el Directorio ha establecido que seregularicen los temas priorizados en un plazo no mayor a los 12 meses.


30/47




G. Control de Accesos


Se organizar el proyecto en los siguientes subproyectos a saber:

- El primer subproyecto persigue la definicin de los Roles y Perfiles de usuarios. Con esto se espera lograr ladefinicin de un perfil de usuario vinculado al puesto de trabajo que desempea cada empleado de laGerencia de Sistemas.

Esto involucra trabajar sobre 600 recursos que integran la Gerencia de Sistemas. Dada la magnitud del tema se ha decididocontratar una consultora externa especialista en el tema. Se estima que el desarrollo ser de 6 meses.

- Por su parte para resolver los siguientes aspectos se prev implementar una solucin de eProvisioning: los registros de las actividades de los usuarios, la gestin de los perfiles, la concentracin de anomala relacionadas con el acceso, la gestin de las claves, la gestin de los accesos remotos la administracin delegada de usuarios, etc.

La implementacin de dicha solucin demandar 12 meses con una inversin a tres aos de USD 1.000.000.


31/47




H. Adquis ic in, Desarrol lo y Mantenimiento de los Sistemas de In fo rmacin.

El Banco ha decidido crear un proyecto integral que contemple la mejora de los aspectos evidenciados:


- El primer subproyecto persigue la revisin de la totalidad de los aplicativos que no estn administrados a nivelseguridad por la Gerencia de Seguridad.

Esto involucra trabajar sobre 50 aplicativos crticos sobre los que es necesario realizar una evaluacin en profundidad a efectosde determinar de qu manera la Gerencia podra tomar el control de la seguridad. Esto implicara pensar un esquema alternativopara el caso de aquellos sistemas que por sus debilidades requieran realizar desarrollos especficos o adquisicin de mdulosadicionales.

Se estima que de los 50 sistemas mencionados, slo el 10% puede ser incorporado bajo la rbita de la Gerencia con pequeos

ajustes. Durante el proyecto se debern establecer los criterios mediante los cuales la Gerencia acepta que la seguridad de unsistema puede ser administrada por el rea.

Asimismo, el 40% de los sistemas requiere un desarrollo interno que se ha estimado su duracin total en 12 meses. No se hanestablecido las etapas macro para llevar adelante en forma genrica estos desarrollos.

El 30% de los proyectos no pueden ser adecuados a las exigencias de seguridad en tanto son de plataformas obsoletas o seestima que su desarrollo y/o adquisicin es excesiva.

El 20% restante puede ser resuelto mediante la adquisicin de un software que brinde el mdulo de seguridad que la Gerenciaexige para la administracin de los aplicativos. Esta adquisicin e implementacin se ha estimado en 12 meses.

- El segundo subproyecto persigue el desarrollo e implementacin de un proceso integral que establezca

claramente el pase a produccin de todos los componentes desarrollados y el esquema de separacin deambientes.

La complejidad de este aspecto radica en que depende fuertemente de la voluntad Gerencia de Sistemas. El desarrollo involucraescribir la norma y el procedimiento y avanzar en su implementacin.

Se deber evaluar si es necesario adquirir una herramientas y en caso afirmativo dimensionar su adquisicin e implementacinen tiempo y costo.

Es importante destacar que este procedimiento involucra coordinar el trabajo de ms de 15 departamentos de la Gerencia deSistemas y alrededor de 5 plataformas diferentes (Mainframe, Blade Server UNIX, Blade Server Linux, Blade Server Windows,Servidores aislados Windows.)

- El tercer subproyecto persigue la documentacin de todos los sistemas aplicativos de la entidad.Para esto el Banco ha decidido contratar a una consultora para desarrollar la documentacin de los 50 aplicativos ms crticos.

Asimismo, se requiri que la empresa desarrolle un esquema de actualizacin y provea una herramienta para tal fin.

Se estim que todo el proyecto podra demandar el trabajo de 12 meses de 3 consultores snior y 1 lder de proyecto.


32/47




I. Gestin de Incidentes en la Seguridad de la Informacin.

El Banco ha decidido crear un proyecto integral que contemple la mejora de los aspectos evidenciados:


- El primer subproyecto persigue la revisin de la totalidad de las normas, metodologas y procedimientosrelacionados con la gestin de incidentes. Esto involucra trabajar definir el esquema de gestin de incidentesen forma completa. Se estima que demandar un plazo de 4 meses y que se asignar al proyecto 3consultores snior.

- El segundo subproyecto persigue la implementacin de herramientas que permitan automatizar todo el ciclode la gestin de los incidentes y los eventos de seguridad desde la recoleccin, recoleccin evidencias,vinculacin con la Mesa de Ayuda, etc. El proyecto involucra la adquisicin e implementacin de una solucin

integral. Demandar 12 meses en total con un presupuesto de USD 500.000.-


33/47




J. Gestin de la Continuidad.


Se organizar el proyecto en los siguientes sub proyectos a saber:

- El primero se encargar de cubrir todos los aspectos relacionados con las metodologas y procedimientos detrabajo:

Involucra las actividades relacionadas con el marco de referencia para la continuidad, el anlisis deimpacto, las metodologas para construir planes, el plan integrador, etc.

Se ha estimado un desarrollo durante 6 meses que requerir la inclusin de dos consultores seniorespecialistas en el tema.

- El segundo se encargar de cubrir todos los aspectos relacionados con disponer de una infraestructura queposibilite la continuidad y contingencia:

Involucra la revisin de las diversas plataformas de procesamiento y el entendimiento de la situacin delos esquemas de contingencia, asimismo, involucra la adquisicin e implementacin del equipamientonecesario para la contingencia en plataformas abiertas.

Se ha estimado un desarrollo durante 18 meses que involucra el proceso de adquisicin eimplementacin.

El presupuesto total estimado asciende a USD 2.000.000.-

- El tercero se encargar de cubrir todos los aspectos relacionados con la adecuacin y prueba de los planesexistente:

Involucra la prueba de todos los planes, la actualizacin anual de los planes existentes, adecuacin decontratos con proveedores externos, etc.

Se estima que se realizar a lo largo de 12 meses, involucrando la prueba y actualizacin de 15manuales de contingencia.


34/47




K. Cumplimiento.

El Banco ha decidido crear un proyecto integral que contemple la mejora de los aspectos relacionados con los aspectos deconformidad legal relacionados con la seguridad de la informacin en la empresa.

En este caso, dada la magnitud del tema, el Banco considera necesario priorizar el tratamiento de los temas y slo incluir en unaprimera etapa los que, segn la evaluacin de riesgos sean considerados prioritarios para la organizacin.

En ese sentido, se deber realizar el anlisis de riesgo y priorizar dentro del proyecto el desarrollo de 3 de las debilidadesdescriptas.

De los tres temas a recomendar el nico donde ha habido un pedido expreso del Directorio es el relacionado con la gestin delas Filiales del Exterior, el cual deber estar incluido en el proyecto.

Para esto, el Banco ha dispuesto que se contrate una consultora que desarrolle cada una de las etapas que se establezcan en elproyecto. Dicha consultora proveer asimismo las herramientas de software que se considere necesario implementar.

Dada la importancia del tema no hay restriccin presupuestaria para el proyecto sino que el Directorio ha establecido que seregularice lo observado en un plazo no mayor a los 12 meses.


35/47





5. Informacin de Avance del Proyecto.

Luego de una reunin con el equipo de proyecto se concluyen de comn acuerdo en los siguientes aspectos que indican elavance del proyecto.

Asimismo, se revis durante la reunin el primer entregable parcial que permitir evaluar la calidad de los productos que elproyecto generar.


36/47





- Si bien se avanz dentro del tiempo estimado se evidencia una demora del 20% del plazo total del proyectoestimado en meses, principalmente esto se debe a que los sectores involucrados se toman ms tiempo delestablecido para la lectura y convalidacin

- Por su parte, el alcance del trabajo se desarrolla dentro de lo esperado segn los informes de calidad que serevisaron durante la reunin.

- A nivel costos, se evidencia un desvo del 10% adicional a los costos originalmente estimados para el proyecto.Esto se debe a que las demoras del Banco impactaron en el avance esperado.

- De la revisin de riesgos efectuada se concluyo que del total de riesgos identificados, se produjeron el 50% de losriesgos de alta probabilidad e impacto y fue necesario ejecutar los planes de contingencia establecidos.

- El primer entregable que se ha producido y que se debe presentar a nivel Directorio es la Plantillacon la cual sepropone elaborar la Poltica de Seguridad de la Organizacin. Esta plantilla debe contener todos los temas que serecomienda incorporar en la poltica, sin su desarrollo particular.

B. Aspectos Organ izat ivos de la Seguridad de la Informac in.

- Si bien se avanz dentro del tiempo estimado se evidencia una demora del 30% del plazo total del proyectoestimado en meses.


- A nivel costos, se evidencia un desvo del 40% adicional a los costos originalmente estimados para el proyecto

debido principalmente a que en la estimacin original no se consider la magnitud del relevamiento de losesquemas de seguridad de todos los aplicativos y en consecuencia fue necesario contratar a una consultoraexterna para tal efecto.


- El primer entregable que se ha producido y que se debe presentar a nivel Directorio es la Plantillacon la cual sepropone elaborar el Plan Estratgico de Seguridad Informtica. Esta plantilla debe contener todos los temas quese recomienda incorporar en el plan, sin su desarrollo particular.

C. Gestin de Act ivos.

- Si bien se avanz dentro del tiempo estimado se evidencia una demora del 40% del plazo total del proyectoestimado en meses. Esto se debe principalmente a demoras atribuibles al proceso de adquisicin eimplementacin de la herramienta de software.


- A nivel costos, se evidencia un desvo del 10% adicional a los costos originalmente estimados para el proyectodebido principalmente a que en la estimacin original no se consider la magnitud del relevamiento de los activosa incorporar y en consecuencia fue necesario ampliar el contrato de la empresa.


37/47





- El primer entregable que se ha producido y que se debe presentar a nivel Directorio es la Plantillacon la cual sepropone elaborar la Metodologa de Gestin de Activos (Clasificacin + Riesgo). Esta plantilla debe contenertodos los temas que se recomienda incorporar en la metodologa, sin su desarrollo particular.


- Si bien se avanz dentro del tiempo estimado se evidencia una demora del 50% del plazo total del proyectoestimado en meses. Esto se debe principalmente a que no se ha podido coordinar correctamente el trabajo de lasGerencias involucradas

Documents

Caso de Estudio - Institucion Bancaria - Final