Documente Academic
Documente Profesional
Documente Cultură
Por
Alberto G. Alexander, Ph.D.
aalexan@pucp.edu.pe
Las organizaciones hoy en da, con la sofisticacin tecnolgica y la complejidad en el
manejo de informacin, enfrentan distintas amenazas que muchas veces explotan sus
vulnerabilidades. El riesgo esta siempre presente. La confidencialidad, integridad y
disponibilidad de la informacin en la empresa, es fundamental para el aumento de la
competitividad de la firma. Las organizaciones estn obligadas si desean continuar
operando, de instaurar Sistemas de Gestin de Seguridad de Informacin que
permitan asegurar que tienen identificados sus activos vitales de informacin, que han
determinado de manera sistemtica que activos son los de riesgo y puedan con
precisin instituir los controles pertinentes.
En el presente ensayo, se utiliza un caso real en la Banca Latinoamericana. Se detallan
los pasos metodolgicos seguidos para identificar el alcance para establecer el
estndar BS 7799-2:2002 en el proceso de cuentas corrientes. Seguidamente se
presentan los pasos para efectuar el anlisis y evaluacin del riesgo en el referido
proceso.
Figura N 1
Modelo Sistema de Gestin de Seguridad de Informacin
PARTES
INTERESADAS
REQUERIMIENTOS Y
EXPECTATIVAS DE LA
SEGURIDAD
DE INFORMACIN
PARTES
INTERESADAS
PLAN
ESTABLECER
EL SGSI 4.2
IMPLEMENTAR
Y OPERAR EL
EL SGSI 4.2.2
DO
Desarrollar,
mantener
y mejorar
el ciclo
MANTENER Y
MEJORAR
EL SGSI 4.2.4
SEGURIDAD
DE
INFORMACIN
MANEJADA
ACT
MONITOREAR
Y REVISAR
EL SGSI 4.2.3
CHECK
Definicin del Alcance del Modelo en el Banco.En la seccin 4.2 (a) del estndar, se exige como punto de partida para establecer el SGSI
que la empresa:
defina el alcance del SGSI en trminos de las caractersticas del negocio, la organizacin,
alcance. Esto se determina en la elipse concntrica. (Ver figura N2) Los procesos bsicos
que componen el proceso de cuentas corrientes son: (1) solicitudes, (2) depuracin, (3)
emisin. El paso a seguir sera el de determinar con los usuarios y dueos de esos procesos
cules son los activos de informacin vitales?.
El segundo paso en la metodologa, es el de identificar en la elipse intermedia las distintas
interacciones que los subprocesos de la elipse concntrica, tienen con otros procesos de la
organizacin. Seguidamente, tambin se deben identificar con los dueos de esos procesos,
los activos de informacin involucrados en las interacciones con la elipse concntrica. Las
flechas indican las interacciones.
En la elipse externa, se identifican aquellas organizaciones extrnsecas a la empresa que
tienen cierto tipo de interaccin con los subprocesos identificados en la elipse concntrica.
Las flechas indican la interaccin. Aqu tambin se deben identificar los distintos tipos de
activos de informacin, con miras a averiguar el tipo de memorando de entendimiento que
existe o debiera de elaborarse as como los contratos existentes y los grados de acuerdos
necesarios.
La metodologa de las elipses, es un mtodo sencillo que permite identificar los distintos
tipos de activos de informacin existentes dentro del alcance del modelo.
Figura N2
Metodologa de las Elipses
Superintendencia
Bancos
Informtica
Servicio
al cliente
Solicitudes
Depura
cin
Y
Negocios
Bur de
Crdito
Emisin
Suministro
Imprenta
chequeras
Identificacin de
Activos
Tasacin de
Activos
Identificacin de
Amenazas
Posibilidad de
Ocurrencia de
Amenazas
Identificacin de
Vulnerabilidades
Posible Explotacin
de Vulnerabilidades
Posibilidad de
Ocurrencia del
Riesgo
Tabla N1
Realizacin del Anlisis y Evaluacin del Riesgo
Amenazas
Posibilidad
ocurrencia
Vulnerabilidad
Posible
explotacin
de vulnerabilidad
- Plagio
- Falsificacin
- Alteracin
- Privacidad
- Prdida documento
- Retraso en entrega
- Ilegibilidad de datos
- Cargos incorrectos
- Alteracin incorrecta
- Ignorancia cambios
- Ofertas
B
B
B
A
A
A
B
M
B
M
A
- Deficiencia org.
- Deficiencia envio
- Acceso no autorizado
- Control documentos
- Datos incompletos
- Desconocimiento rutas
- Deficiencia impresin
- Errores de procesamiento
- Acceso no autorizado
- Mal entrenamiento
- Falta comunicacin
B
A
A
M
A
A
B
A
M
B
M
- Mala interpretacin
- Poco detalle
- Servicio no
solicitado
- Errores de cdigo
- Cdigos maliciosos
- Fallos tcnicos
- Errores usuario
- Falta seguridad
- Fallas funcionamiento
- Falta seguridad
- Falta personal
M
A
- Personal no calificado
- Reduccin costo
- Error digitacin
M
A
M
- Personal no calificado
- Controles acceso
- Energa elctrica
- Mal entrenamiento
- Falta polticas
- Energa elctrica
- Errores configuracin
- Poca disponibilidad
B
M
A
B
A
A
M
B
Tasacin
Activos
Confidencialidad
Integridad
Disponibilidad
Total
2) Factura como
documento
3) Tarifas
4) Servicios
brindados
5) Software de
facturacin
6) Medio de
comunicacin
y/o entrega
M
M
A
M
B
A
A
A
B
Leyenda: AltoA
Mediano..M
Bajo B
Valor
activo
Posible
ocurrencia
Total
En la tabla N 1, se fueron vaciando los resultados del anlisis y evaluacin del riesgo. El
primer paso que se sigui fue la (1) Identificacin de Activos.- Como resultado del uso de
la metodologa de las elipses, se identificaron seis activos de informacin vitales. Luego se
procedi a la (2) Tasacin de Activos.- Para poder identificar la proteccin apropiada a los
activos, es necesario tasar su valor en trminos de la importancia a la gestin comercial, o
dadas ciertas oportunidades determinar su valor potencial .
En el caso de los activos de informacin del proceso de cuentas corrientes, se tas su
impacto en relacin a su confidencialidad, integridad y disponibilidad. Se manej una
escala cualitativa que variaba entre: ALTO, MEDIANO y BAJO.
Una ves realizada la tasacin se efectu la (3) Identificacin de Amenazas.- Una amenaza
tiene el potencial de causar incidentes indeseables, los cuales podran resultar causando
dao al sistema, la organizacin y sus activos. A travs de la dinmica de grupos utilizando
la tcnica de la lluvia de ideas, se hallaron las principales amenazas por cada activo de
informacin.
El paso siguiente fue establecer la (4) Posibilidad de Ocurrencia de Amenazas.- No todas
las amenazas tienen la misma posibilidad de ocurrencia. Habrn algunas que su presencia
es remota y otras su probabilidad de que ocurran podran ser altas. Por cada amenaza, el
comit gestor, basado en su experiencia y conocimiento de los activos y las amenazas,
evalu la posibilidad de ocurrencia para cada amenaza.
Continuando con la metodologa, se procedi a la (5) Identificacin de Vulnerabilidades.Las vulnerabilidades son debilidades asociadas con cada activo de informacin. Son
condiciones que pueden permitir que las amenazas las exploten y causen dao. Aqu el
comit gestor, a travs de la dinmica de grupos, estableci por cada amenaza las
vulnerabilidades relacionadas con cada activo de informacin. Seguidamente se identific,
la (6) Posible Explotacin de Vulnerabilidades.- Tambin a travs de la dinmica de
grupos el comit gestor, evalu la posible explotacin de vulnerabilidades por cada
amenaza.
El paso siguiente de la metodologa es el de evaluar el riesgo. El riesgo se evala
contemplando dos elementos bsicos: (7) Estimado del Valor de los Activos en Riesgo.Este elemento es fundamental para evaluar el riesgo. Aqu lo que se pretende es determinar
el dao econmico que el riesgo pudiera causar a los activos de informacin. En el caso de
cuentas corrientes el comit gestor estableci el estimado. (8) Posibilidad de
Ocurrencia del Riesgo.- Aqu el comit gestor, visualizando por cada activo sus
impactos, amenazas y posibilidad de ocurrencia as como las vulnerabilidades y su
posibilidad de ser explotadas, determin la posibilidad de ocurrencia del riesgo por cada
activo de informacin.
Finalmente se estableci el (9) Valor del Riesgo de los Activos.- Se concluy siguiendo de
manera sistemtica la metodologa, que los activos de informacin: a) Software de
Informacin y b) Medio de Comunicacin y/o Entrega eran los activos de informacin
considerados de riesgo, y por lo tanto seran aquellos a los cuales habra que identificar del
Anexo A sus respectivos controles.