PDF de programación - Sistema de gestión de seguridad de información para una institución financiera

TESIS PUCP



Esta obra ha sido publicada bajo la licencia Creative Commons

Reconocimiento-No comercial-Compartir bajo la misma licencia 2.5 Perú.

Para ver una copia de dicha licencia, visite

http://creativecommons.org/licenses/by-nc-sa/2.5/pe/





PONTIFICIA UNIVERSIDAD CATOLICA DEL PERU

FACULTAD DE CIENCIAS E INGENIERIA



SISTEMA DE GESTION DE SEGURIDAD DE INFORMACION PARA UNA

INSTITUCION FINANCIERA

TESIS PARA OPTAR EL TÍTULO DE INGENIERO INFORMÁTICO

PRESENTADO POR:

MOISES ANTONIO VILLENA AGUILAR



LIMA – PERÚ

2006

______________________________________________________________________
Sistema de Gestión de Seguridad de Información Página 1 de 71



DEDICATORIA

A mis padres Carolina y Francis por su incansable e ilimitado apoyo y amor
incondicional a lo largo de toda mi vida de estudiante, y por ser hoy lo que soy gracias
a ellos.
A mi hermano Gerardo por su inmenso amor y apoyo en todos los aspectos de mi
vida.
A mi enamorada Susana por su amor sin fronteras y por su constante ánimo en
concluir exitosamente este trabajo.



______________________________________________________________________
Sistema de Gestión de Seguridad de Información Página 2 de 71





trabajo.

AGRADECIMIENTOS

Al Ingeniero Manuel Tupia por su apoyo y asesoría en la presente tesis y en mi

desarrollo de asesor académico en la universidad.

Al Ingeniero Bruno Fernández por su valioso apoyo en el desarrollo del presente

Al Ingeniero Carmen Quiroz por su valioso apoyo en mi desarrollo de asesor

académico en la universidad

______________________________________________________________________
Sistema de Gestión de Seguridad de Información Página 3 de 71



TABLA DE CONTENIDOS



RESUMEN ----------------------------------------------------------------------------------------6
I.
INTRODUCCION -------------------------------------------------------------------------7
II. OBJETIVOS Y ALCANCE --------------------------------------------------------------8
III. ESTADO DEL ARTE DEL PROBLEMA---------------------------------------------9
1. JUSTIFICACION------------------------------------------------------------------------9
2. DEFINICIONES [6] ------------------------------------------------------------------- 10
3. MARCO DE REFERENCIA -------------------------------------------------------- 11
3.1 GOBIERNO DE TI------------------------------------------------------------------ 11
3.2 BS 7799 ------------------------------------------------------------------------------- 17
3.3 ISO 17799 ---------------------------------------------------------------------------- 19
3.4 COBIT --------------------------------------------------------------------------------- 22
3.5 AS/NZS 4360:2004----------------------------------------------------------------- 25
IV. ANALISIS Y DISCUSION ------------------------------------------------------------- 31
1. Gobierno de Seguridad de Información ----------------------------------------- 31
1.1 Estrategia de Seguridad de Información: ------------------------------------- 33
1.2 Compromiso de la Administración Gerencial -------------------------------- 37
1.3 Roles y Responsabilidades ------------------------------------------------------ 38
1.4 Canales de Comunicación-------------------------------------------------------- 40
1.5 Normas Regulatorias y Legales------------------------------------------------- 41
1.6 Políticas de Seguridad de Información ---------------------------------------- 42
1.7 Procedimientos y Guías----------------------------------------------------------- 44
1.8 Análisis de Valor -------------------------------------------------------------------- 45
2. Administración de Riesgos --------------------------------------------------------- 47
2.1 Proceso de Administración de Riesgos --------------------------------------- 50
2.2 Integración en el Ciclo de Vida de los Procesos---------------------------- 50
2.3 Identificación de Riesgos y Métodos de Análisis --------------------------- 51
2.4 Mitigación de Riesgos ------------------------------------------------------------- 52
2.5 Cambios Significativos en los Riesgos ---------------------------------------- 52
3. Administración de un Programa de Seguridad de Información ----------- 54
3.1 Creación y Mantenimiento de Planes------------------------------------------ 54
3.2 Conceptos Base de Seguridad de Información ----------------------------- 56
3.3 Procesos de Negocio -------------------------------------------------------------- 56
3.4 Actividades relacionadas a la infraestructura tecnológica ---------------- 57
3.5 Actividades en el ciclo de vida de la institución financiera --------------- 58
3.6 Impacto en los Usuarios Finales ------------------------------------------------ 59
3.7 Responsabilidad -------------------------------------------------------------------- 59
3.8 Métricas ------------------------------------------------------------------------------- 60
3.9 Recursos Internos y Externos para la Seguridad de Información ------ 60
4. Gestión de la Seguridad de Información---------------------------------------- 61
4.1 Reglas de uso para los Sistemas de Información -------------------------- 61
4.2 Procedimientos Administrativos para Sistemas de Información -------- 62
4.3 Proveedores Externos------------------------------------------------------------- 62
4.4 Uso de métricas para medir, monitorear y reportar ------------------------ 63
4.5 Gestión de Cambios --------------------------------------------------------------- 63
4.6 Evaluación de Vulnerabilidades------------------------------------------------- 64
4.7 Aspectos de no cumplimiento --------------------------------------------------- 64
4.8 Cultura, Comportamiento y Educación en Seguridad de Información- 65
5. Administración de Respuestas a Incidentes ----------------------------------- 65

______________________________________________________________________
Sistema de Gestión de Seguridad de Información Página 4 de 71



5.1 Procesos para detectar, identificar y analizar eventos de seguridad -- 65
5.2 Desarrollo de Planes de Respuesta y Recuperación---------------------- 67
5.3 Documentación---------------------------------------------------------------------- 68
6. Conclusiones -------------------------------------------------------------------------- 69
REFERENCIAS BIBLIOGRAFICAS ------------------------------------------------------ 70



______________________________________________________________________
Sistema de Gestión de Seguridad de Información Página 5 de 71





RESUMEN


En la actualidad, las inversiones en seguridad que realizan las empresas se
destinan cada vez menos a la compra de productos, destinando más bien parte
de su presupuesto a la gestión de la seguridad de la información. El concepto
de seguridad ha variado, acuñándose uno nuevo, el de seguridad gestionada,
que va desplazando poco a poco al de “seguridad informática”. Las medidas
que comienzan a tomar las empresas giran entorno al nuevo concepto de
gestión de la seguridad de la información. Éste tiene tres vertientes: técnica,
legal y organizativa, es decir, un planteamiento coherente de directivas,
procedimientos y criterios que permiten desde la administración de las
empresas asegurar la evolución eficiente de la seguridad de los sistemas de
información, la organización afín y sus infraestructuras.

Para gestionar la seguridad de la información de una entidad se debe partir de
una premisa fundamental y es que la seguridad absoluta no existe. Tomando lo
anterior como punto de partida, una entidad puede adoptar algunas de las
normas existentes en el mercado que establecen determinadas reglas o
estándares que sirven de guía para gestionar la seguridad de la información,

La presente tesis ha realizado una investigación de las normas y estándares
que van difundiéndose con mayor énfasis en el mercado peruano, en especial
en el sector financiero. Se rescataron los aspectos más saltantes de cada
norma y estándar, a partir de los cuales se plantea un esquema de gestión de
seguridad de información que puede ser empleado por una institución
financiera en el Perú, lo cual permitirá que ésta cumpla con las normas de
regulación vigentes en lo relacionado a la Seguridad de Información.



______________________________________________________________________
Sistema de Gestión de Seguridad de Información Página 6 de 71


I. INTRODUCCION



formas:


La información es el principal activo de toda organización según los más
modernos paradigmas de la administración empresarial, pudiendo hacer su
aparición de muchas
impresa o escrita en papel, almacenada
electrónicamente, transmitida por correo, ilustrada en películas o hablada en
conversaciones. En el ambiente de negocios competitivo de hoy, esa información
está constantemente bajo la amenaza de muchas fuentes, que pueden ser
internas, externas, accidentales o maliciosas para con la organización. Con el
incremento del uso de nueva tecnología para almacenar, transmitir y recobrar
información se han abierto canales para un mayor número y variedad de
amenazas.

Se requiere