implementación de un sgsi sobre un sitio de comercio electrónico para una nueva institución banca

ESCUELA SUPERIOR POLITCNICA DEL LITORAL

ESCUELA DE DISEO Y COMUNICACIN VISUAL

PROYECTO DE GRADUACIN

PREVIO A LA OBTENCIN DEL TTULO DEANALISTA Y PROGRAMADOR DE SISTEMAS

TEMAImplementacin de un Sistema de Gestin de Seguridad de la Informacin usando la

norma ISO27000 sobre un sitio de comercio electrnico para una nueva institucinbancaria aplicando los dominios de control ISO27002:2005 y utilizando la

metodologa Magerit

AUTORESMarcel Eduardo Len LafebrEvelyn Anabell Mota Orrala

Joffre Manuel Navarrete Zambrano

DIRECTORIng. Vctor Muoz Chachapoya

AO2011

AGRADECIMIENTO

Agradecemos a Dios por habernos permitido llegar a este punto en nuestra vidaestudiantil, a nuestras familias que con su apoyo incondicional supieron apoyarnos enlos momentos difciles, a nuestros maestros que da a da impartieron sus conocimientospara enfrentarnos a un mejor maana y a nuestros compaeros por permitirnoscompartir gratos momentos en el transcurso nuestra carrera.

Marcel Len LafebrEvelyn Mota Orrala

Joffre Navarrete Zambrano

DEDICATORIA

Dedicamos este logro a nuestros padres, hermanos y allegados que estuvieronincondicionalmente apoyndonos a lo largo de nuestras carreras, permitindonos de talmanera hacer la entrega de este proyecto.A nuestros maestros que supieron enrumbarnos con sus metodologas por el caminocorrecto logrando as a ser profesionales competitivos en el campo laboral.Finalmente a todas aquellas personas que se nos escape mencionar pero que siempre lostendremos presente.

Marcel Len LafebrEvelyn Mota Orrala


DECLARACIN EXPRESA

Los autores nos responsabilizamos por el anlisis, estudio y las conclusionesrealizadas en este Proyecto de Graduacin. As mismo declaramos que el patrimoniointelectual del mismo pertenece a la ESCUELA SUPERIOR POLITCNICA DELLITORAL".

FIRMA EL DIRECTOR DEL PROYECTO Y MIEMBRODEL TRIBUNAL DE GRADUACIN

Ing. Vctor Muoz ChachapoyaDirector del Proyecto

Mae. Enrique Salazar MezaDelegado

FIRMA DE LOS AUTORES DEL PROYECTO

Marcel Len Lafebr Evelyn Mota Orrala


RESUMEN

El presente documento contiene la informacin tcnica de la revisin de las seguridadesde un sitio web transaccional con el fin de encontrar y analizar las posiblesvulnerabilidades y amenazas para poder minimizarlas y gestionar el riesgocorrespondiente con la finalidad de lograr tener un sistema de seguridad de lainformacin lo mas ptimo posible.

Considerando la importancia y sensibilidad de la informacin de los clientes en unainstitucin bancaria, hemos realizado este exhaustivo estudio, mediante el cual hemospodido aplicar varios controles de los diferentes dominios existentes en la norma ISO-27000, la cual se escogi para desarrollar este proyecto

CONTROL DEL DOCUMENTO

FECHA REVISIN OBSERVACIONES02-Mayo-2011 Versin 1.0 Elaboracin de borrador

inicial del documento16-Mayo-2011 Versin 1.1 Ordenar contenido de

captulos22-Mayo-2011 Versin 1.2 Depuracin del captulo de

Anlisis y Gestin deRiesgo

06-Mayo-2011 Versin 1.3 Verificacin general delcontenido del documento

1-Septiembre-2011 Versin 1.4 Correccin de formatos

NDICE GENERAL

CAPTULO 1: INTRODUCCIN

1.INTRODUCCIN....................................................................................................................................

1.1.ANTECEDENTES

..................................................................

121.2.OBJETIVOS

........................................................................

131.2.1. OBJETIVO GENERAL

.........................................................

131.2.2. OBJETIVOS ESPECFICOS

.................................................

13

2.GENERALIDADES.................................................................................................................................

2.1.DEFINICIN DE CONCEPTOS

................................................

152.1.1.P.D.C.A.:

.........................................................................

152.1.2.LA GESTIN POR PROCESOS

.............................................

152.1.3.LA ISO

............................................................................

152.1.4.INFORMACIN

.................................................................

152.1.5.RECURSO O ACTIVO DE TECNOLOGA INFORMTICA YCOMUNICACIONES (TIC)

...........................................................

152.1.6.POLTICA

........................................................................

152.1.7.DIRECTIVAS

....................................................................

152.1.8.ESTNDAR

......................................................................

152.1.9.PROCEDIMIENTO

..............................................................

152.1.10.ACTIVO

.........................................................................

152.1.11.ANLISIS DE RIESGO

.....................................................

152.1.12.CONTROL

......................................................................

152.1.13.CRIPTOGRAFA

...............................................................

152.1.14.ELECTROTCNICA

...........................................................

152.1.15.EVALUACIN DE RIESGO

.................................................

152.1.16.EVENTO DE SEGURIDAD DE LA INFORMACIN

...................

152.1.17.GESTIN DE RIESGO

......................................................

162.1.18.INCIDENTE DE SEGURIDAD DE LA INFORMACIN

...............

162.1.19.LINEAMIENTO

................................................................

162.1.20.MTRICA

.......................................................................

162.1.21.RIESGO

.........................................................................

162.1.22.TERCERA PERSONA

.........................................................

162.1.23.VULNERABILIDAD

...........................................................

162.2.DEFINICIN DE LA EMPRESA

................................................

162.2.1. PERFIL DE LA EMPRESA

....................................................

162.2.2.ESQUEMA DE PROCESO

....................................................

172.2.2.1.GESTIN DE PROYECTOS

...............................................

182.2.2.2.DESARROLLO DE TRANSACCIONES

..................................

18

9

2.2.2.3.IMPLEMENTACIN EN PRODUCCIN

.................................

182.2.2.4.MANTENIMIENTO Y RESPALDO

........................................

182.2.2.5.OPERACIONES

..............................................................

182.2.3. PLATAFORMA DE LA BANCA VIRTUAL

.................................

18

3.ALCANCE DEL PROYECTO.................................................................................................................

3.1.ALCANCE A ALTO NIVEL

.......................................................

203.2.DESCRIPCIN AL DETALLE DEL ALCANCE

...............................

203.3. JUSTIFICACIN

.................................................................

20

4.POLTICA DE SEGURIDAD..................................................................................................................

4.1.OBJETIVO Y ALCANCE

..........................................................

224.2.MBITO DE APLICACIN

......................................................

224.3.NORMATIVA MARCO (NORMATIVAS SUPERIOR DEREFERENCIA)

...........................................................................

224.4.DISPOSICIONES GENERALES Y TRANSITORIAS

.......................

224.5.ROLES Y RESPONSABILIDADES

.............................................

224.6.POLTICA GENERAL DE SEGURIDAD DE LA INFORMACIN

........

234.6.1.PRINCIPALES DIRECTIVAS:

...............................................

234.6.2.CLASIFICACIN Y CONTROL DE ACTIVOS DE INFORMACIN

..............................................................................................

234.6.3.ADMINISTRACIN DE RIESGOS DE SEGURIDAD

...................

234.6.4.COMPETENCIA DEL PERSONAL EN MATERIA DE SEGURIDADDE LA INFORMACIN

................................................................

234.6.5.SEGURIDAD FSICA Y DE ENTORNO

....................................

234.6.6.ADMINISTRACIN DE EQUIPAMIENTO, OPERACIONES YCOMUNICACIONES

...................................................................

234.6.7.CONTROLES DE ACCESO

...................................................

234.6.8.DESARROLLO Y MANTENIMIENTO DE SISTEMAS

...................

234.6.9.ADMINISTRACIN DE LA CONTINUIDAD DEL NEGOCIO

.........

23

5.ANLISIS Y GESTIN DE RIESGOS...................................................................................................

5.1.METODOLOGA

...................................................................

265.2.ANLISIS DE GESTIN DE RIESGO

.......................................

265.3.IDENTIFICACIN DE ACTIVOS

..............................................

265.4.VALORACIN DE ACTIVOS

...................................................

275.5.INTERRELACIN DE LOS ACTIVOS

........................................

275.6.AMENAZAS

.........................................................................

295.7.VALORACIN DEL IMPACTO

..................................................

29

Capacidad de Operar............................................................295.8.CONTROLES

.......................................................................

345.9.DETERMINACIN DEL RIESGO

..............................................

35

10

5.9.1.FRECUENCIA DE OCURRENCIA DE LAS AMENAZAS

...............

355.10.DOCUMENTO DE DECLARACIN DE APLICABILIDAD (SOA)

.....

375.11.CONTROLES A IMPLEMENTAR

..............................................

425.12.PROCEDIMIENTOS DOCUMENTADOS.

...................................

435.12.1.ATENCIN DE INCIDENTES

..............................................

435.12.1.1.OBJETIVO:

..................................................................

435.12.1.2.RESPONSABILIDADES:

.................................................

435.12.1.3.CLASIFICACIN DE ALERTAS

.........................................

435.12.1.4.ESTADO DE EMERGENCIA

.............................................

435.12.1.5. NOTIFICACIONES:

......................................................

445.12.2. MONITOREO DE BASE DE DATOS

.....................................


.................................................

445.12.3.MONITOREO DE REDES

...................................................

455.12.3.1.OBJETIVO

...................................................................


.................................................

455.12.3.3.PROCEDIMIENTO:

........................................................

455.12.4. MONITOREO DE SERVIDORES

.........................................

455.12.4.1.OBJETIVO

...................................................................


.................................................

465.12.4.3.PROCEDIMIENTO:

........................................................

465.12.5.POLTICA DE MONITOREO

...............................................

475.12.5.1.OBJETIVO

...................................................................

475.12.5.2.MONITOREO POR ELEMENTO

................................................

475.12.5.3.ARQUITECTURA:

..........................................................


.................................................

475.12.6.POLTICA DE CONTROL DE ACCESO

..................................

495.12.6.1.OBJETIVO

...................................................................

495.12.6.2.ALCANCE

....................................................................

495.12.6.3.PERFILES DE USUARIOS

...............................................

495.12.6.4.POLTICA:

...................................................................

495.12.7.PERMISO DE RED O SISTEMAS OPERATIVOS

......................

495.12.8.POLITCA DE CUENTA

......................................................

505.12.8.1.USUARIO SA

...............................................................

505.12.8.2.USARIO DE CONSULTA / LECTURA

.................................

505.12.8.3.APLICATICATIVOS/ACTUALIZACIONES

............................

505.12.8.4. OPERADORES

.............................................................

505.12.8.5. ADMINISTRADORES DE BASE DE DATOS

.......................

505.12.8.6. OFICIAL DE SEGURIDAD

..............................................

505.12.9.POLTICA DE PASSWORD

.................................................

505.12.10.ACTA DE COMPROMISO

.................................................

505.12.10.1.POLTICAS:

...............................................................

50

11

5.12.10.2.DECLARACIN:

..........................................................

515.12.11.POLTICA DE USO DE PENDRIVES

...................................

525.12.11.1.OBJETIVO

.................................................................

525.12.11.2.GENERALIDADES

.......................................................

525.12.11.3.MOTIVO DE LA REGULACIN

.......................................

525.12.11.4.POLTICAS

................................................................

525.12.11.4.1.DRIVER USB DESHABILITADO

...................................

525.12.11.4.2.MONITOREO DE DRIVERS HABILITADOS

....................

525.12.11.4.3.PASSWORD, ENCRIPTACIN Y RESPALDO DEARCHIVOS

...............................................................................

525.12.11.4.4.CARPETAS COMPARTIDAS DE RED

.............................

525.12.11.4.5.PEN-DRIVE AUTORIZADO

.........................................

525.12.11.5.ADVERTIR A USUARIOS

..............................................

525.12.11.6.POLTICA DE INFORMACIN COMPARTIDA

...............................

535.12.11.6.1.RIESGOS DE COMPARTIR DIRECTORIOS Y/OARCHIVOS

...............................................................................

535.12.11.6.2.SISTEMA DE DOCUMENTACIN

.................................

535.12.11.6.3.POLTICA DE CORREO ELECTRNICO E INTERNET

.......

545.12.11.6.3.1.PROCEDIMIENTO

..................................................

545.12.11.7.RECOMENDACIONES

..................................................

545.12.11.7.1.CORREO ELECTRNICO

............................................

545.12.11.7.2. NAVEGACIN EN INTERNET

............................................

55

6.CONCLUSIONES Y RECOMENDACIONES........................................................................................

6.1.CONCLUSIONES

..................................................................

576.2.RECOMENDACIONES

...........................................................

58

ESTANDAR DE SEGURIDAD PARA WINDOWS 2003 SERVER.........................................................

CONFIGURACIN DE SEGURIDAD PARA EL HARDWARE DE SERVIDORES..............................

DEFINICIN DE OBJETOS DEL SERVICIO DE DIRECTORIOS Y ASIGNACIN DE

PERMISOS..................................................................................................................................................

ESQUEMA DE SEGURIDAD EN ACTIVE DIRECTORY.......................................................................

ADMINISTRACIN DE RECURSOS COMPARTIDOS..........................................................................

ESTRUCTURA DE DIRECTORIOS Y PERMISOS ASIGNADOS..........................................................

ADMINISTRACIN DE RECURSOS.......................................................................................................

ESTNDAR DE SEGURIDAD PARA MS SQL SERVER 2008...............................................................

CONFIGURACIN GENERAL DE LA SEGURIDAD............................................................................

DIRECTORIOS DE INSTALACIN Y PERMISOS EN WINDOWS 2003/2008....................................

12

CONFIGURACIN DE SQL SERVER AGENT.......................................................................................

ROLES DE ADMINISTRACIN DEL SERVIDOR..................................................................................

BASES DE DATOS.....................................................................................................................................

ENCRIPTACIN DE DATOS..................................................................................................................

CONSIDERACIONES ADICIONALES DE SEGURIDAD....................................................................

ESTNDAR DE SEGURIDAD PARA INTERNET INFORMATION SERVICES 7.............................

CONSIDERACIONES GENERALES DEL SISTEMA OPERATIVO....................................................

CONSIDERACIONES BSICAS DE SEGURIDAD DEL SERVICIO WEB........................................

PERMISOS DE ACCESO A DIRECTORIOS..........................................................................................

CONSIDERACIONES DE SEGURIDAD SOBRE EL SERVICIO FTP.................................................

CONSIDERACIONES DE SEGURIDAD SOBRE EL SERVICIO SMTP..............................................

CONTROLES DE ACCESO.....................................................................................................................

DOCUMENTACIN DE REFERENCIA.................................................................................................

13

NDICE DE ILUSTRACIONES

Figura 2-1: PDCA.................................................................................15Figura 2-2: Esquema de Proceso.........................................................17Figura 2-3: Gestin de Proyectos........................................................18Figura 2-4: Desarrollo de Transacciones.............................................18Figura 2-5: Implementacin en Produccin.........................................18Figura 2-6: Mantenimiento y Respaldo...............................................18Figura 2-7: Operaciones......................................................................18Figura 2-8: Plataforma del Servicio Virtual..........................................18Figura 1: Estructura Forest..................................................................61Figura 2: Estructura de unidades organizativas..................................62Figura 11: Autenticacin de usuarios................................................107Figura 12: Sitio Web predeterminado...............................................108Figura 13: Buscador de directorio.....................................................108

14

NDICE DE TABLAS

Tabla 5-1: Identificacin de Activos....................................................26Tabla 5-2: Valoracin de Activos.........................................................27Tabla 5-3: Abreviatura de Activos.......................................................27Tabla 5-4: Interrelacin de Activos......................................................28Tabla 5-5: Amenazas...........................................................................29Tabla 5-6: Valoracin del Impacto.......................................................34Tabla 5-7: Controles............................................................................35Tabla 5-8: Anlisis estadstico.............................................................36Tabla 5-9: SOA....................................................................................41Tabla 5-10: Controles a Implementar..................................................42Tabla 5-11: Tablas...............................................................................50Tabla 0-1: Polticas de Contraseas....................................................66Tabla 0-2: Polticas de Bloqueo de Cuentas........................................66Tabla 0-3: Polticas de Kerberos..........................................................66Tabla 0-4: Derechos de Usuarios.........................................................70Tabla 0-5: Polticas de Bloqueo de Cuentas........................................71Tabla 0-6: Opciones de Seguridad......................................................78Tabla 0-7: Controladores de Dominio..................................................78Tabla 0-1: Administracin de Recursos Compartidos..........................79Tabla 0-2: Permisos por Grupo............................................................79Tabla 0-3: Permisos por Grupo............................................................79Tabla 0-4: Esquema de Carpetas Compartidas...................................79Tabla 0-1: Controladores de Dominio..................................................86Tabla 0-2: Servidores Miembro Stand Alone.......................................87Tabla 0-1: Account..............................................................................88Tabla 0-2: Profile.................................................................................88Tabla 0-3: Exchange............................................................................89Tabla 0-4: Alta de Cuentas de Servicio...............................................89Tabla 0-5: Alta de Cuenta de Servicio Password.................................90Tabla 0-6: Controladores de Dominio..................................................91Tabla 0-7: Member Servers y Stand Alone..........................................92Tabla 0-1: Cuentas de Servicio............................................................94Tabla 0-1: Directorios de Instalacin...................................................94Tabla 0-2: Permisos en Windows.........................................................94Tabla 0-3: Permisos.............................................................................95Tabla 0-1: Definicin de Grupos........................................................105

15

Tabla 0-2: Derechos de Usuarios.......................................................105Tabla 0-3: Servicios...........................................................................105Tabla 0-1: Reduccin de los Componentes www...............................105Tabla 0-1: Permiso de Acceso a Directorios......................................106Tabla 0-2: Permiso de Acceso a Directorios......................................107Tabla 0-3: Configuracin del Registro de Windows...........................107

16

CAPTULO 1INTRODUCCIN

Proyecto de Graduacin Implementacin de un SGSI usando la norma ISO-27000 sobre un sitio decomercio electrnico para una nueva institucin bancaria aplicando losdominios de control ISO27000:2005 y utilizando la metodologa Magerit

1. INTRODUCCIN

1.1. ANTECEDENTES

En la actualidad, las principales instituciones financieras del Ecuador tienen lanecesidad de estar constantemente verificando las seguridades de sus sitiostransaccionales, ya que as mismo existen personas y/u organizaciones bien o mal-intencionadas que buscan encontrar alguna vulnerabilidad en los sitios de estasempresas para robar informacin o para buscar un negocio de asesoramiento con dichasinstituciones.

Vale acotar tambin que la banca virtual es una tecnologa indispensable en laactualidad para dar un servicio de calidad a los clientes de una institucin financiera.

Es claro que todo tiene su precio, por lo cual esta nueva institucin financiera deseasacar su sitio transaccional pero est consciente de que necesita implementar un SGSIpara minimizar el riesgo en sus operaciones.

Una directriz de la implementacin de este SGSI es que va a estar aplicado en variosdominios de controles de la norma ISO.

Otro punto de mucha relevancia es determinar la metodologa que se va a utilizar para laimplementacin del SGSI.

EDCOM Pgina # 18 ESPOL


1.2. OBJETIVOS

1.2.1. OBJETIVO GENERAL

Implementar un SGSI para un sitio transaccional de comercio electrnico de una nuevainstitucin financiera bajo la norma ISO27000 aplicado a varios dominios de control yutilizando la metodologa MAGERIT para minimizar los riesgos y que el servicio no sevea afectado en lo mayormente posible.

1.2.2. OBJETIVOS ESPECFICOS

Determinacin del alcance y poltica de seguridad. Determinacin del valor de los activos. Determinacin del riesgo. Identificacin de objetivos de control y controles. Definicin e implementacin de polticas, estndares y procedimientos para

implementar los controles. Revisiones y auditoria de Certificacin del SGSI.


CAPTULO 2GENERALIDADES


2. GENERALIDADES

2.1. DEFINICIN DE CONCEPTOS

2.1.1. P.D.C.A.:Es conocido como "crculo de Deming" por Edwards Deming, es una estrategia demejora continua de la calidad en cuatro pasos, basada en un concepto ideado por WalterA. Shewhart. Tambin se denomina espiral de mejora continua. Las siglas PDCA son elacrnimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar).

Figura 2-1: PDCA

2.1.2. LA GESTIN POR PROCESOSEs la forma de gestionar toda la organizacin basndose en los Procesos. Entendiendoestos como una secuencia de actividades orientadas a generar un valor aadido sobreuna ENTRADA para conseguir un resultado, y una SALIDA que a su vez satisfaga losrequerimientos del Cliente.

2.1.3. LA ISOOrganizacin Internacional de Normalizacin. Organismo encargado de promover eldesarrollo de normas internacionales de fabricacin, comercio y comunicacin paratodas las ramas industriales a excepcin de la elctrica y la electrnica. Su funcinprincipal es la de buscar la estandarizacin de normas de productos y seguridad para lasempresas u organizaciones a nivel internacional.

2.1.4. INFORMACINSe considera informacin a los diferentes conjuntos organizados de datos que utilizaBanco.



2.1.5. RECURSO O ACTIVO DE TECNOLOGA INFORMTICA YCOMUNICACIONES (TIC)

Se considera recurso TIC a todos aquellos recursos tcnicos que almacenan, procesan otransmiten informacin de la Entidad.

2.1.6. POLTICASe considera poltica a la declaracin, por parte de la direccin de la Entidad, de unconjunto de objetivos para regir y proteger los objetivos de la misma. Dentro de estosobjetivos se encuentran prcticas generalmente aceptadas para llevar a cabo tareas decontrol interno, requerimientos de proteccin de la informacin, etc.

2.1.7. DIRECTIVASUna directiva es una declaracin que provee a los miembros de la Entidad. Lainformacin acerca de los objetivos planteados en las polticas. Las directivas sondiseadas para proveer una descripcin ms especfica de los objetivos de la Entidad,de modo que son modificadas ms frecuentemente que las polticas debido a cambiosen el entorno de negocios de la Entidad. El cumplimiento de las directivas asegura el cumplimiento de los objetivos planteadosen las polticas.

2.1.8. ESTNDARUn estndar es una declaracin que provee una gua o lineamiento para concretar losobjetivos estipulados por las directivas e indicados por las polticas.

2.1.9. PROCEDIMIENTOUn procedimiento es una declaracin que indica cmo realizar un conjunto deactividades que permitan lograr los objetivos establecidos. Un procedimiento puedetomar la forma de un manual de instalacin, una gua de usuario, un manualadministrativo, una lista de verificacin o cualquier otro tipo de documentacinoperacional.

2.1.10. ACTIVOCualquier cosa que tenga valor para la organizacin.



Amenaza: una causa potencial de un incidente no deseado, el cual puede resultar endao a un sistema u organizacin.

2.1.11. ANLISIS DE RIESGOUso sistemtico de la informacin para identificar las fuentes y calcular el riesgo.

2.1.12. CONTROLMedios para manejar el riesgo, incluyendo polticas, procedimientos, lineamientos,prcticas o estructuras organizacionales, las cuales pueden ser administrativas, tcnicas,de gestin o de naturaleza legal. El control tambin se utiliza como sinnimo desalvaguarda o contramedida.

2.1.13. CRIPTOGRAFAEs el arte o ciencia de cifrar y descifrar informacin utilizando tcnicas que haganposible el intercambio de mensajes de manera segura que slo puedan ser ledos por laspersonas a quienes van dirigidos.

2.1.14. ELECTROTCNICAEs la ciencia que estudia las aplicaciones tcnicas de la electricidad.

2.1.15. EVALUACIN DE RIESGOProceso de comparar la contingencia estimada con un criterio de la contingencia dadapara determinar la solucin del riesgo.

2.1.16. EVENTO DE SEGURIDAD DE LA INFORMACINCualquier evento de seguridad de la informacin es una ocurrencia identificada delestado de un sistema, servicio o red, indicando una posible falla en la poltica deseguridad de la informacin o falla en las salvaguardas, o una situacin previamentedesconocida que puede ser relevante para la seguridad.

2.1.17. GESTIN DE RIESGOActividades coordinadas para dirigir y controlar una organizacin con relacin alriesgo.EDCOM Pgina # 23 ESPOL


2.1.18. INCIDENTE DE SEGURIDAD DE LA INFORMACINUn incidente de seguridad de la informacin es indicado por un solo evento o una seriede eventos inesperados de seguridad de la informacin que tienen una probabilidadsignificativa de comprometer las operaciones comerciales y amenazar la seguridad dela informacin.

2.1.19. LINEAMIENTODescripcin que aclara Qu? y Cmo? se debera hacer, para lograr los objetivosestablecidos en las polticas.Medios de procesamiento de la informacin: cualquier sistema, servicio oinfraestructura de procesamiento de la informacin, o los locales fsicos que los alojan.

2.1.20. MTRICAEs una metodologa de planificacin, desarrollo y mantenimiento de sistemas deinformacin.Poltica: intencin y direccin general expresada formalmente por la gerencia.

2.1.21. RIESGOCombinacin de la probabilidad de un evento y su ocurrencia.Seguridad de la informacin: preservacin de confidencialidad, integracin ydisponibilidad de la informacin; adems, tambin puede involucrar otras propiedadescomo autenticidad, responsabilidad, no-reputacin y confiabilidad.Tratamiento del riesgo es un proceso de seleccin e implementacin de medidas paramodificar el riesgo.

2.1.22. TERCERA PERSONAPersona u organismo que es reconocido como independiente de las partes involucradas,con relacin al tem en cuestin.

2.1.23. VULNERABILIDADLa debilidad de un activo o grupo de activos que puede ser explotada por una o msamenazas.



2.2. DEFINICIN DE LA EMPRESA

2.2.1. PERFIL DE LA EMPRESA

Como empresa del sector financiero, la entidad tiene como objeto: la captacin defondos de entidades pblicas, empresas del sector privado y los fondos de todos susclientes para ofrecer planes de financiamiento para los sectores productivos del pascon el fin de dar, mantener y mejorar la economa de la nacin. Por ende necesita darservicios de calidad a nuestros clientes, para lo cual tiene su valor aadido del sitiotransaccional de banca virtual, que le permitir al cliente hacer un sin fin deoperaciones sin tener que ir a las diferentes centrales y sucursales del banco.

En la actualidad la institucin est presente en las 3 ms grandes ciudades del Ecuador,estando as distribuidas:

Guayaquil Matriz Quito Sucursal 1 Cuenca Sucursal 2

La empresa al adquirir la banca virtual, ofrece a sus clientes (empresas y personas) ladisponibilidad del servicio 7 x 24.

La organizacin se mueve en un sector en el que la mejora continua es esencial paramantener el nivel de competitividad que goza actualmente.

La constante innovacin tecnolgica le permite a la entidad financiera una mejoracontinua en los procesos de negocio.

La forma de actuacin de la entidad financiera sigue las pautas del P.D.C.A. (planificar,hacer, controlar y actuar), en consecuencia con una constante retroalimentacin sobre lagestin de nuestros procesos.

El objetivo primordial de la poltica de calidad es la satisfaccin y fidelidad de nuestrosclientes.La empresa considera prioritario a nivel interno:

La mejora de la competitividad de la empresa, dentro del mercado donde desarrolla suactividad.EDCOM Pgina # 25 ESPOL


El aumento de la rentabilidad de la empresa, mejorando los procesos.

Para alcanzar estos objetivos establecemos como primer paso la gestin de un sistemade Calidad segn la Norma ISO 9000 en el servicio del ATM (cajeros automticos) obtenido dicho certificado en el ao 2008.

Actualmente la entidad brinda a sus clientes por medio de su banca virtual lossiguientes servicios de calidad:

Transferencias cuentas propias Transferencias terceros mismo banco, otros bancos SPI, directo e internacionales Pago de tarjetas de crdito propias Pago de tarjetas de crdito de terceros mismo banco, otros bancos SPI, directo einternacionales. Recarga de tarjetas de crdito Servicios de consulta y pago de servicios pblicos y privados en lnea y base local Consulta de central de crdito

2.2.2. ESQUEMA DE PROCESO

La organizacin ha identificado sus diferentes procesos de negocio claves para la bancavirtual, como se indica en la figura 1.



Figura 2-2: Esquema de Proceso



2.2.2.1. GESTIN DE PROYECTOSENTRADA SALIDA

* Necesidades del cliente y oportunidad de negocio* Anlisis de las reas: - Mercadeo y Publicidad - Productos - Legal - Financiero -Tecnologa* Recursos disponibles* Viabilidad

* Satisfaccin del cliente y rentabilidad* Documentacin del proyecto* Registros del proyecto

Figura 2-3: Gestin de Proyectos

2.2.2.2. DESARROLLO DE TRANSACCIONESENTRADA SALIDA

* Definiciones de CU* Definiciones tcnicas

* Nueva transaccin de banca virtual* Orden de proceso para produccin, respaldos y procesos en lotes

Figura 2-4: Desarrollo de TransaccionesEDCOM Pgina # 28 ESPOL


2.2.2.3. IMPLEMENTACIN EN PRODUCCIN

ENTRADA SALIDA

* Requerimiento de pase a produccin* Documentacin de permisos de red a terceros

* Nueva transaccin disponible para clientes en banca virtual

Figura 2-5: Implementacin en Produccin

2.2.2.4. MANTENIMIENTO Y RESPALDO

ENTRADA SALIDA

* Documentacin de base de datos* Documentacin de procesos batch

* Inclusin en bitcora de respaldos de centro de cmputo* Ejecucin de procesos batch

Figura 2-6: Mantenimiento y Respaldo



2.2.2.5. OPERACIONES

ENTRADA SALIDA

* Inconvenientes reportados por clientes* DWH

* Parches de la transaccin* Anlisis de estadsticas* Conciliaciones de transacciones* Cuadres contables

Figura 2-7: Operaciones



2.2.3. PLATAFORMA DE LA BANCA VIRTUAL

Figura 2-8: Plataforma del Servicio Virtual

NOTA: Vale indicar que existen estndares de seguridad del software utilizado en losdiferentes servidores Microsoft, los cuales son los siguientes:Sistema Operativo Windows 2003 (Ver anexo de estndares)Motor de base de datos SQLServer 2008 (Ver anexo de estndares)Servicios de Informacin de Internet 7 (IIS) (Ver anexo de estndares)


CAPTULO 3ALCANCE DEL PROYECTO


3. ALCANCE DEL PROYECTO

3.1. ALCANCE A ALTO NIVELLa gestin de la seguridad de la informacin en todas las actividades y desarrollo deproyectos de servicios de comercio electrnico de la entidad financiera. Elmantenimiento, los servicios de valor aadido, los ingresos relacionados con dichosservicios, su consecucin y el otorgarle a los clientes un servicio 7 x 24 (Las 24 horasdel da y 365 das del ao). Esto est de acuerdo con el documento de Declaracin deAplicabilidad (Statement Of Applicability, SOA) fechado a Abril/01/2011, v1.0.

3.2. DESCRIPCIN AL DETALLE DEL ALCANCEComo empresa del sector financiero, la entidad tiene como objeto la captacin defondos de entidades pblicas, empresas del sector privado privado y los fondos detodos sus clientes para ofrecer planes de financiamiento para los sectores productivosdel pas con el fin de dar mantener y mejorar la economa de la nacin. Por endenecesita dar servicios de calidad a nuestros clientes, para lo cual tiene su valor aadidodel sitio transaccional de banca virtual, que le permitir al cliente hacer un sin fin deoperaciones sin tener que ir a las instalaciones de la oficina.

En la actualidad la institucin est presente en las 3 ms grandes ciudades del Ecuador,estando as distribuidas:

Guayaquil MatrizQuito Sucursal 1Cuenca Sucursal 2

La empresa al adquirir la banca virtual, ofrece a sus clientes (empresas y personas) ladisponibilidad del servicio 7 x 24.

La organizacin se mueve en un sector en el que la mejora continua es esencial paramantener el nivel de competitividad que goza actualmente.

La constante innovacin tecnolgica le permite a la entidad financiera una mejoracontinua en los procesos de negocio.

La forma de actuacin de la entidad financiera sigue las pautas del P.D.C.A. (planificar,hacer, controlar y actuar), en consecuencia con una constante retroalimentacin sobre la



gestin de nuestros procesos.

El objetivo primordial de la poltica de calidad es la satisfaccin y fidelidad de nuestrosclientes.La empresa considera prioritario a nivel interno:

La mejora de la competitividad de la empresa, dentro del mercado dondedesarrolla su actividad.

El aumento de la rentabilidad de la empresa, mejorando los procesos.

Para alcanzar estos objetivos establecemos como primer paso la gestin de un sistemade Calidad segn la Norma ISO 9000 en el servicio del ATM (cajeros automticos) obtenido dicho certificado en el ao 2008.

3.3. JUSTIFICACINLa informacin que se maneja en la banca virtual es un activo vital para el xito y lacontinuidad en el mercado de la agencia financiera. El aseguramiento de dichainformacin y de los sistemas que la procesan es, por tanto, un objetivo de primer nivelpara la organizacin.

Este manual se basa en ISO/IEC 27000, que es un conjunto de estndares desarrolladospor ISO (International Organization for Standardization) e IEC (InternationalElectrotechnical Commission), que nos permite implementar un sistema de gestin deseguridad de informacin de una forma metdica, documentada y basada en objetivosclaros de seguridad y una evaluacin de los riesgos a los que est sometida lainformacin online de la entidad financiera.

La nueva institucin va a sacar su sitio transaccional de comercio electrnico, para locual necesita un SGSI, este es un producto en el que se mezclan dominios de control dediversas reas, tales como:

Aspectos organizativos Cumplimiento Legal Telecomunicaciones y operaciones Adquisicin, mantenimiento y desarrollo de software Controles de Accesos Gestin de Incidentes

Para la implementacin del SGSI se decidi implementar la metodologa Magerit, lacual mencionaremos en los siguientes tpicos de esta presentacin. EDCOM Pgina # 34 ESPOL

CAPTULO 4POLTICA Y OBJETIVOS

DE SEGURIDAD


4. POLTICA DE SEGURIDAD

4.1. OBJETIVO Y ALCANCEEl objetivo de la Poltica General de la Seguridad de la Informacin es establecer loslineamientos y directivas relativas a la proteccin de la informacin y activos detecnologa informtica y comunicaciones de la Banca Virtual.

Las definiciones y lineamientos presentados en esta Poltica establecen las bases para laimplementacin de controles y medidas de la Seguridad de la Informacin quepermitirn al Banco minimizar y/o controlar adecuadamente los riesgos que afectan asu informacin y a sus activos de tecnologa informtica y comunicaciones de laEntidad en las transacciones virtuales.

La responsabilidad de la seguridad de la informacin diaria es deber de cadafuncionario y no solamente es al rea de Seguridad. La informacin de la Entidad debeser administrada activamente para asegurar la seguridad, confidencialidad, integridad ydisponibilidad de la misma.

4.2. MBITO DE APLICACINTanto el Banco en su conjunto, como las personas y terceros que acceden, utilizan einteractan con sus recursos informticos y de comunicaciones relacionados a losservicios transaccionales virtuales, se encuentran alcanzados por esta Poltica y laspolticas derivadas, y por ende, son responsables de contribuir al logro y mantenimientode estos objetivos en su desempeo cotidiano.

Esta Poltica es de aplicacin para todo colaborador y/o terceros contratados por elBanco que accedan y/o utilicen informacin y/o recursos de tecnologa informtica ycomunicaciones de la banca virtual.

4.3. NORMATIVA MARCO (NORMATIVAS SUPERIOR DE REFERENCIA) Esta Poltica General tiene como normativa la Norma ISO 27000:2000, todo estndar yprocedimiento de Banco se basan en las mejores prcticas y normas de seguridad comoNIST, NSA, PCI, CIS, Resolucin de la Junta Bancaria No. JB-2011-1851 entre otras.

Normativa Derogada



Ninguna. Vigencia

Esta Poltica entrar en rigor a partir del 15 de Agosto del 2011.

4.4. DISPOSICIONES GENERALES Y TRANSITORIAS Los criterios y directivas emitidos en revisiones anteriores de esta Poltica y losreferidos en cualquier otra norma al respecto, quedan totalmente sustituidos a partir dela vigencia de la presente.

Esta poltica ser revisada anualmente por el rea de Seguridad de la Informacin deBanco. Los resultados de la revisin, y los cambios que se sucedan, sern reportados ala Gerencia General y comunicados a los involucrados antes de ser implementados.La falta de cumplimiento de las definiciones emanadas de la presente Poltica, y de laspolticas y normas derivadas sobre seguridad y proteccin de la informacin y recursosTIC de la Entidad, estar sujeta a las sanciones disciplinarias que amerite cada caso.Los estndares y polticas derivadas de la Poltica General de Seguridad seguirn lasiguiente clasificacin jerrquica:

Poltica General de Seguridad;Polticas Especficas de Seguridad;Normativas y Directivas de Seguridad;Estndares de Seguridad;Procedimientos de Seguridad.

4.5. ROLES Y RESPONSABILIDADESLa implementacin satisfactoria de la Poltica General de la Seguridad de laInformacin, y de las medidas que de ella se desprendan, requiere la plena cooperaciny la asistencia de todos los colaboradores de Banco que intervengan en el servicio de labanca virtual. Es imperativo, por lo tanto, que todo el personal sea consciente de, yopere de acuerdo con, los requisitos de seguridad aqu detallados.

A los efectos de definir e implementar adecuados niveles de seguridad en lainformacin, el Banco ha designado dos rganos de trabajo, a saber:

Comit de Seguridad de la Informacin: asumir la responsabilidad departicipar en la toma de decisiones en cuestiones relativas a la Seguridad de



la Informacin.

rea de Seguridad de la Informacin: ser la encargada de gestionar laproteccin de la informacin y los recursos TIC, implementando las medidasde seguridad que se desprendan de la estrategia y poltica definidas por elComit de Seguridad de la Informacin, y controlando su eficacia para losfines buscados. As mismo, proveer a RRHH los recursos necesarios paraasegurar que todo el personal de Banco reciba la capacitacin adecuada sobrelos procedimientos de seguridad relevantes, y que se brinden los medios yrecursos para cumplir con dichos procedimientos.

Adicionalmente, se definen los siguientes roles relativos al cumplimiento de losrequisitos de la Seguridad de la Informacin:

Propietario: persona a la que, por su cargo y/o responsabilidad, Banco reconocecomo responsable de un recurso TIC determinado.

Su nivel deber ser consistente con la autoridad requerida para evaluar los riesgos alos que est expuesto el recurso TIC, respetar las medidas de proteccin parareducirlos, o para asumir los riesgos que no desee minimizar, dentro de los rangos deriesgos aprobados por el Comit de Seguridad de la Informacin.

Es responsable de establecer el nivel de criticidad y confidencialidad del recurso TICdel que es dueo.

Usuario: persona que accede a informacin y/o utiliza un recurso TIC de Banco en

el desarrollo de su tarea especfica.

Deben firmar su conformidad con las polticas de seguridad de la Entidad, y los estndaresy procedimientos que regulan sus actividades.

4.6. POLTICA GENERAL DE SEGURIDAD DE LA INFORMACIN El principal objetivo de la Seguridad de la Informacin es cumplir con los siguientesprincipios:

CONFIDENCIALIDAD: Asegurar que todos sus recursos informticos estnprotegidos contra uso no autorizado o revelaciones accidentales acorde a la



clasificacin otorgada por el origen y la funcin de la misma. Slo las personascalificadas y autorizadas tendrn acceso a la informacin requerida bajo elcriterio de la necesidad de conocer y el principio de otorgar el mnimoprivilegio requerido para la realizacin de las tareas asignadas.

INTEGRIDAD: Tender a la ausencia de errores y/o corrupcin en toda suinformacin y garantizar que la informacin sea exacta, completa y vlida deacuerdo con los valores y las expectativas de Banco, y regulaciones externas.

DISPONIBILIDAD: Minimizar las amenazas de interrupcin del negocio ypreservar la continuidad de la operatoria normal. Por lo tanto debe garantizarque:

- La informacin de alta criticidad sea resguardada; - La capacidad de procesamiento sea recuperada en tiempo y forma.

4.6.1. PRINCIPALES DIRECTIVAS:

Las siguientes directivas regirn la implementacin de la Seguridad de la Informacinen Banco:

Poltica General de Seguridad de la InformacinBanco define que su Poltica General de Seguridad de la Informacin, y todas laspolticas derivadas, estn alineadas al estndar de seguridad ISO 27000, segn lasnecesidades y particularidades de Banco. Esta definicin tambin regir para losestndares especficos y procedimientos apropiadamente detallados queconstituyen el marco completo de cobertura de la seguridad de la informacin deBanco. Organizacin de SeguridadPara la Administracin de la Seguridad de la Informacin, Banco ha definido unaGerencia de Seguridad de la Informacin, la cual reporta directamente a la Gerenciade Riesgo.

As mismo, la Gerencia de Seguridad de la Informacin cuenta con el apoyo del Comitde Seguridad de la Informacin.

4.6.2. CLASIFICACIN Y CONTROL DE ACTIVOS DE INFORMACIN La informacin de negocio de Banco, y todos los recursos TIC relacionados, debern



encontrarse inventariados, tener asignado un Propietario, y debern estar clasificadossegn su nivel de confidencialidad y criticidad para el negocio de Banco.

4.6.3. ADMINISTRACIN DE RIESGOS DE SEGURIDADSe evaluarn los riesgos a los que estn sometidos los activos TIC de Banco. El rea deSeguridad de la Informacin en conjunto con el Propietario del recurso TIC,establecern los riesgos que pueden afectar a dicho recurso, las implicancias de suexposicin, modificacin o acceso no autorizado y cules son las medidas deproteccin que se debern implementar de acuerdo con el anlisis de riesgo efectuado.

4.6.4. COMPETENCIA DEL PERSONAL EN MATERIA DE SEGURIDAD DE LAINFORMACIN

El personal de Banco, ya sea permanente, temporal, o perteneciente a empresasproveedoras de Banco, deber ser informado desde el momento de su ingreso de lasresponsabilidades y derechos en materia de uso y proteccin de los recursos TIC deBanco, se revisar anualmente estas responsabilidades. Se capacitar con y para el finde crear conciencia acerca de la importancia que adquiere este aspecto para la Entidad.

Se realizar un seguimiento del uso que se realiza de los recursos TIC para impedirdaos e interferencias y evitar interrupciones de las actividades de Banco.

4.6.5. SEGURIDAD FSICA Y DE ENTORNO Se proteger adecuadamente todos los recursos TIC y las reas donde estos residen,contra accesos no autorizados y dao intencional o no intencional, implementandomedidas de proteccin acorde con la clasificacin de criticidad, confidencialidad yriesgo otorgada a cada recurso.

4.6.6. ADMINISTRACIN DE EQUIPAMIENTO, OPERACIONES YCOMUNICACIONES

Se deber asegurar la disponibilidad de los equipamientos, la integridad de los procesosoperativos y la seguridad en las comunicaciones para garantizar un correctoprocesamiento de la informacin y resguardar la confidencialidad de la misma. Todaslas comunicaciones electrnicas con el exterior debern prever la encriptacin de losdatos.



4.6.7. CONTROLES DE ACCESOEl acceso a los recursos TIC deber ser restringido de acuerdo con los requerimientosde control establecidos por sus Propietarios y el rea de Seguridad de la Informacin,bajo el criterio de la necesidad de conocer y el principio de mnimo privilegio. Dichoacceso se asegurar a travs de procesos de autenticacin, autorizacin, monitoreo yposterior auditora.

4.6.8. DESARROLLO Y MANTENIMIENTO DE SISTEMAS Los principios de seguridad de la informacin debern ser incorporados a los sistemasaplicativos en todo el ciclo de vida de los mismos, incluyendo los procesos dedesarrollo, prueba, mantenimiento y puesta en produccin de los sistemas aplicativos.

Se debern prevenir prdidas, modificaciones o uso inadecuado de los datos, proyectosy sistemas aplicativos de Banco.

4.6.9. ADMINISTRACIN DE LA CONTINUIDAD DEL NEGOCIO Se deber desarrollar y mantener los planes de recuperacin tecnolgica y continuidadde negocio requeridos por los propietarios de los recursos TIC y el rea de Seguridadde la Informacin, de forma tal de poder responder a eventos no deseados que impactende manera negativa sobre los procesos de negocio crticos para la Entidad.

Conformidad con Leyes, Regulaciones y Normas InternasSe deber garantizar que la utilizacin de los recursos TIC no provoque infracciones oviolaciones de leyes, regulaciones, ni de las obligaciones establecidas por estatutos,normas, reglamentos o contratos vigentes en cada mbito de actuacin.

Asimismo, se deber evaluar y asegurar el cumplimiento de las normas internas(polticas, reglas, estndares, procedimientos) relativos a la Seguridad de laInformacin.


CAPTULO 5ANLISIS Y GESTIN DE

RIESGO


5. ANLISIS Y GESTIN DE RIESGOS

5.1. METODOLOGADebido al gran nivel de importancia que tiene la informacin de la banca virtual, seopt por utilizar la metodologa Magerit, ya que permite no solo valorizar los riesgos,sino tambin permitir saber cunto de este valor est en juego y segn ese nivelayudar a proteger la informacin.Con la metodologa Magerit podemos:

Concienciar a los responsables de los sistemas de informacin de laexistencia de riesgos y de la necesidad de atajarlos a tiempo Ofrecer un mtodosistemtico para analizar tales riesgos.

Ayudar a descubrir y planificar las medidas oportunas para mantener losriesgos bajo control.

Preparar a las partes de que intervienen en la banca virtual de la organizacinfinanciera para: procesos de evaluacin, auditora, certificacin oacreditacin, segn corresponda en cada caso.

5.2. ANLISIS DE GESTIN DE RIESGOEsta etapa proceder a puntuar los activos que posee el banco (Banca Virtual) y en baseaquello a puntuar las amenazas, salvaguardas, estimar los riesgos y el impacto que dichas amenazas producen sobre cada uno de los activos.

El anlisis de riesgos es una aproximacin metdica para determinar el riesgosiguiendo unos pasos pautados:

Determinar los activos relevantes para la Organizacin, su interrelacin ysu valor, en el sentido de qu perjuicio (coste) supondra su degradacin

Determinar a qu amenazas estn expuestos aquellos activos Determinar qu salvaguardas hay dispuestas y cun eficaces son frente al

riesgo. Estimar el impacto, definido como el dao sobre el activo derivado de la

materializacin de la amenaza. Estimar el riesgo, definido como el impacto ponderado con la tasa de

ocurrencia (o expectativa de materializacin) de la amenaza.



5.3. IDENTIFICACIN DE ACTIVOSA continuacin se enlistan los activos incluidos en el servicio de estudio del entorno deseguridad de la entidad:

ACTIVOS DESCRIPCIN CARACTERSTICAS CANTIDAD

Transacciones de

banca virtual

Servicios que pueden utilizar

los clientes

del banco

Disponible las 24 horas

del da

7

Transferencias cuentas

propias

Transaccin a travs de

la cual los clientes pueden

transferir dinero entre sus

propias cuentas de la

institucin


del da

1

Transferencias terceros

mismo banco, otros

bancos SPI, directo e

internacionales

Transacciones a travs de la

cuales los clientes pueden

transferir dinero a cuentas no

propias del mismo banco, a

otros bancos en batch o en

lnea e incluso a bancos del

extranjero.


del da4

Pago de tarjetas de

crdito propias

Transaccin a travs de la cual

los clientes pueden realizar

pagos a sus propias tarjetas de

crdito de la institucin


del da1

Pago de tarjetas de

crdito de terceros

mismo banco, otros

bancos SPI, directo e

internacionales.

Transacciones a travs de la


realizar pagos a tarjetas de

crdito no propias del mismo

banco, a otros bancos en batch

o en lnea e incluso a bancos


del da

4



del extranjero.

Recarga de tarjetas

de crdito


los clientes pueden realizar

recargas de saldos a tarjetas de

crdito


del da1

Servicios de consulta y

pago de servicios

pblicos en lnea y

base local

Transaccin a travs de las


consultar y cancelar los

valores de servicios pblicos

(luz, agua, telfono)


del da3

Consulta de

central de crdito


los clientes pueden consultar

el total de sus deudas

registrados en la central de

crdito del Ecuador.


del da1

Mensajera electrnica

Servicio para el envo de

notificaciones a los clientes

va correo electrnico

Microsoft Exchange

Server1

Servicios de

Informacin de

Internet

Servicios que sirven para

publicar el sitio transaccional

en la internet

Internet Information

Service 71

Sistema Operativo

Servidor

Componente que administra el

hardware y software de un

equipo

Windows 2003 Server

Edicin Estndar

Motor de Base de

Datos

Software que permite la

creacin y el funcionamiento

SqlServer 2008 Edicin

Profesional



de la base de datos

Antivirus y anti espas

Software para evitar

programas que alteren el

correcto funcionamiento de las

pcs y servidores, y que

prohban el ingreso de cdigos

que puedan espiar las

actividades de un equipo de la

organizacin

Mc-Afee Profesional

versin 4.0 con 200

licencias2

Servidores Windows

BD

Servidores que contienen las

bases de datos SQLServer

Servidores virtualizados

con procesadores

Pentium I7, Memoria

de 8 Gb y 1 Tb de disco

duro con SO Windows

2003 Server.

4

Servidores Windows

FE

Servidores que contienen las

pginas y el servicio de

informacin de internet y otras

aplicaciones para el correcto

funcionamiento de la banca

virtual

Servidores virtualizados

con procesadores

Pentium I7, Memoria

de 8 Gb y 1 Tb de disco

duro con SO Windows

2003 Server.

6

Servidores Unix BD

Servidor que contiene la bases

de datos principales en

ambiente Sybase

Servidor HP fsico

PN:583967001 DL-380

G7 E5640

1

Estaciones de trabajo

(Operadores de centro

de cmputo,

Ingenieros

Administradores de

redes e Infraestructura,

Pcs de los funcionarios del

banco Equipos Dell Optiplex

GX620 Pentium 4 de 3

Ghz en adelante

De 1 a 2 Gb

dependiendo de las

20



Desarrolladores)

actividades

80 Gb en disco duro

Cortafuegos

Hardware y software que

permite la administracin de

permisos de usuarios a travs

de las redes de la organizacin

Uno para administrar la

comunicacin entre la

DMZ y la Red de

Produccin


comunicacin entre la

Red del Banco y

proveedores de

servicios


comunicacin entre las

otras redes internas del

Banco

2

Base de datos de

clientes de banca

virtual

Repositorio de informacin de

los clientes de la banca virtual

Base SqlServer de datos

de clientes de la banca

virtual alojada en el

STOREBBSRV.

1

Base de datos

transaccional de banca

virtual


las transacciones realizadas

por los clientes en banca

virtual

Base SqlServer de

transaccionalidad de

clientes en banca virtual

alojada en el

STOREBBSRV.

1

Base de datos de los

maestros de cuentas y

tarjetas de crdito y

dbito

Repositorio de cuentas

corrientes y ahorros, tarjetas

de crdito y tarjetas de dbito.

Base Sybase de

maestros de cuentas de

ahorros, corrientes,

tarjetas de crdito y

4



dbito, alojadas en el

servidor central HP.

Base transaccional de

movimientos de

cuentas


las transacciones monetarias

realizadas por los clientes

Base Sybase de

transacciones de

clientes alojada en el

servidor central HP.

1

Bases histricasRepositorios de informacin

histrica de las bases de datos

Base Sybase de

histrico de

movimientos de clientes

alojada en el servidor

central HP.

Base SqlServer de

histrico de

transaccionalidad de

clientes en banca virtual

alojada en el

STOREBBSRV.

2

Respaldos en cintaRespaldos de informacin de

las bases de datos

Cintas HP que guardan

los datos de las bases

con una fidelidad alta

9

Red Local Sistema de comunicaciones

que permite la comunicacin

entre los diferentes equipos de

cmputo de la institucin

Dividida en subredes

de:

Desarrollo de sistemas

Pre-produccin

Produccin interna y

DMZ

Empleados que no

1



pertenecen a tecnologa

administrados por 20

switch de comunicacin

Edificio Matriz

Espacio fsico donde

funcionan las instalaciones de

la institucin y en el que se

encuentra el Centro de

cmputo principal

Ubicado en el centro de

la ciudad, en un edificio

de 5 pisos con sistema

central de climatizacin

y acceso restringido

controlado con

seguridad fsica

(guardias de seguridad

y empleados de reas

restringidas) y

seguridad electrnica

(controles biomtricos:

torniquetes, lectores de

huellas dactilares y

tarjetas de acceso)

1

Centro alterno

Espacio fsico donde que se

encuentra el Centro de

cmputo de contingencia de la

institucin

Ubicado en las afueras

de la ciudad, con un

espacio fsico de 20 m2

y sistema de

climatizacin y acceso

restringido.

1

Operadores de centro

de cmputo,

Ingenieros

Administradores de

redes e Infraestructura,

Desarrolladores

Personal humano que labora

en la institucin y desempean

funciones que estn

implicadas dentro del entorno

de la banca virtual

Ingenieros y Analistas

de Sistemas encargados

del correcto

funcionamiento,

desarrollo de nuevas

transacciones y el

20



mantenimiento de los

componentes de la

banca virtual

Tabla 5-1: Identificacin de Activos

5.4. VALORACIN DE ACTIVOS Las valoraciones para escala cualitativa de Activos sern las siguientes de acuerdo a lautilidad y servicio de cada una.

Muy Alta - MAAlta - AMedia - MBaja - BMuy Baja- MB



Tabla 5-2: Valoracin de Activos

5.5. INTERRELACIN DE LOS ACTIVOS Para el cuadro de las relaciones y dependencias entre los activos se utilizar una nuevacolumna con el fin de identificar por abreviaturas los activos.


Activo Disponibilidad Confidencialidad e Integridad

Valoracinpromedio

Transacciones de banca virtual MA MA MAMensajera electrnica A MA MAServicios de Informacin deInternet

MA A MA

Sistema Operativo Servidor MA A MAMotor de Base de Datos MA A MAAntivirus y antiespas MA A MAServidores Windows BD MA A MAServidores Windows FE MA A MAServidores Unix BD MA A MAEstaciones de trabajo M M MCortafuegos MA A MABase de datos de clientes debanca virtual

MA MA MA

Base de datos transaccional debanca virtual

MA MA MA

Base de datos de los maestrosde cuentas y tarjetas de crditoy dbito

MA MA MA

Base transaccional demovimientos de cuentas

MA MA MA

Bases histricas MA A MARespaldos en cinta A MA MARed Local M A AEdificio Matriz A MA MACentro alterno A MA MAEmpleados MA MA MA


Activo AbreviaturaTransacciones de banca virtual TRX_BV

Mensajera electrnica MSG

Servicios de Informacin de Internet IIS

Sistema Operativo Servidor SO

Motor de Base de Datos M_BD

Antivirus y antiespas ANT

Servidores Windows BD SW_BD

Servidores Windows FE SW_FE

Servidores Unix BD SU_BD

Estaciones de trabajo PCS

Cortafuegos FRW

Base de datos de clientes de banca

virtual

BD_CBV

Base de datos transaccional de banca

virtual

BD_TBV

Base de datos de los maestros de

cuentas y tarjetas de crdito y dbito

BD_MAE

Base transaccional de movimientos de

cuentas

BD_MOV

Bases histricas BD_HIS

Respaldos en cinta BACKUP

Red Local LAN

Edificio Matriz EDIF.

Centro alterno ALT

Empleados RRHH

Tabla 5-3: Abreviatura de Activos

Teniendo en cuenta las dependencias para operar (disponibilidad) y dealmacenamiento de datos (integridad y confidencialidad) se ha determinado lasiguiente matriz de dependencia entre activos:

TRX

_BV

MSG

IIS

SO M_B

DA

NT

SW_B

DSW

_FE

SU_B

DPC

SFR

WB

D_C

BV

BD

_TB

VB

D_M

AE

BD

_MO

VB

D_H

ISB

AC

KU

PLA

NED

IF.

ALT

ALT

RR

HH

RR

HH

TRX_BV X X X X X X X X X X X X X X X X X X X X

MSG X X X X X X X X X X X X X X X



IIS X X X X X

SO X X X X X X X X X X X X X

M_BD X X X X X X X X X X X X X

ANT X X X X X

SW_BD X X X X X X X X X X X X X X X X X

SW_FE X X X X X

SU_BD X X X X X X

PCS X X X X X

FRW X X X X

BD_CBV X X X X X X X

BD_TBV X X X X X X

BD_MAE X X X X X

BD_MOV X X X X X

BD_HIS X X X X X X

BACKUP X X X X X X X X X X

LAN X X X X X X X

EDIF. X X X X X X X X X X X X X X X X X X X X

ALT X X X X

RRHH X X X X

Tabla 5-4: Interrelacin de Activos



5.6. AMENAZASLas amenazas identificadas en trminos de seguridad y disponibilidad del servicio debanca virtual para los activos son las siguientes:

ACTIVOS AMENAZAS

Servicio de banca virtualInconvenientes en produccinAcuerdos legales

Mensajera electrnica Cdigo maliciosoPaso de virus

Servicios de Informacin de Internet Cada del servicio

Sistema Operativo ServidorFalla de softwareFalla de hardwareVirus

Motor de Base de DatosFalla del servicioEspacio en disco

Antivirus Caducidad de las actualizaciones

Servidores Windows BDFallas de hardwareapagones de luzintrusos

Servidores Windows FEFallas de hardwareapagones de luzintrusos

Servidores Unix BDFallas de hardwareapagones de luzintrusos

Estaciones de trabajo (Operadores decentro de cmputo, IngenierosAdministradores de redes eInfraestructura, Desarrolladores)

VirusFalsificacin de identidadesacceso a informacin no debida

CortafuegosVirusfalla de softwarefalla de hardware

Base de datos de clientes de bancavirtual

Robo de informacinacceso a informacin no debida



Base de datos transaccional de bancavirtual


Base de datos de los maestros de cuentasy tarjetas de crdito y dbito


Base transaccional de movimientos decuentas


Bases histricasRobo de informacinacceso a informacin no debida

Respaldos en cintaExtravosDeterioros de las cintas fsicas

Red LocalAcceso no autorizadoCada de la red por hardware

Edificio Matriz Incendio o terremotoCentro alterno Incendio o terremotoOperadores de centro de cmputo,Ingenieros Administradores de redes eInfraestructura, Desarrolladores

Extorsiones por informacin declientes

Tabla 5-5: Amenazas

5.7. VALORACIN DEL IMPACTOLas valoraciones de los impactos que causaren las amenazas identificadas para cadauno de los activos sern las siguientes de acuerdo a la degradacin y violacin deseguridad del servicio de cada una.

Muy Bajo - 1 Bajo - 2 Media - 3 Alto - 4 Muy Alto - 5

Se valorar bajo los siguientes parmetros: Costos de reposicin: adquisicin e instalacin del activo ms el costo de mano

de obra (especializada) invertida en recuperar el valor del activo. Capacidad de operar: confianza de los usuarios y proveedores que se traduce

en una prdida de actividad o en peores condiciones econmicas. Sanciones por incumplimiento de la ley u obligaciones contractuales.



ACTIVOS AMENAZASCosto de

ReposicinCapacidad de

Operar

Valoracinpromedio

del impacto

TRX_BVInconvenientes en

produccin5 5 5

Acuerdos legales 1 5 3

MSGCdigo malicioso 4 4 4

Paso de virus 3 5 4IIS Cada del servicio 5 5 5

SOFalla de software 5 5 5Falla de hardware 5 4 5

Virus 4 4 4

M_BDFalla del servicio 5 5 5Espacio en disco 3 5 4

ANTCaducidad de lasactualizaciones

3 3 3

SW_BDFallas de hardware 5 4 5

apagones de luz 4 4 4Intrusos 5 5 5

SW_FEFallas de hardware 5 4 5


SU_BDFallas de hardware 5 4 5


PCS

Virus 4 3 4Falsificacin de

identidades3 5 4

acceso a informacin nodebida

5 5 5

FRWVirus 5 5 5

falla de software 5 5 5falla de hardware 5 5 5

BD_CBV Robo de informacin 5 5 5




5 5 5

BD_TBVRobo de informacin 5 5 5


5 5 5

BD_MAERobo de informacin 5 5 5


5 5 5

BD_MOVRobo de informacin 5 5 5


5 5 5

BD_HISRobo de informacin 5 5 5


5 5 5

BACKUPExtravos 5 5 5

Deterioros de las cintasfsicas

3 5 4

LANAcceso no autorizado 5 5 5

Cada de la red porhardware

5 5 5

EDIF. Incendio o terremoto 5 5 5ALT Incendio o terremoto 5 5 5

RRHHExtorsiones por

informacin de clientes4 4 4

Tabla 5-6: Valoracin del Impacto

5.8. CONTROLESYa que la base del funcionamiento del negocio de la entidad financiera radica en uso detecnologas y su principal proceso 7 x 24 son las transacciones disponibles para losclientes en la banca virtual, nos fijaremos como meta trazada la de mantener en lnea yfuncionamiento los sistemas que permiten se realice este proceso. Las salvaguardadasexistentes son las siguientes:



ACTIVOS AMENAZAS CONTROL

TRX_BV

Inconvenientesen produccin

Pruebas tcnicas y funcionales en ambiente de desarrollo.Poltica de pases a produccin. Usuarios de dominio o servidores para pases a servidores. Proteccin de inyeccin de cdigo.

Acuerdoslegales

Anlisis de departamento comercial y legal

MSG

Cdigomalicioso

Eliminar servicio SMTP de servidores con IISPermisos hacia el servidor Exchange debidamentedocumentados y autorizados por el rea de SeguridadInformtica

Paso de virusAntivirus actualizados en pcs de usuarios y servidores Administracin de correo interno y externo Depuracin de cuentas de clientes y usuarios internos

IISCada delservicio

Scripts y tareas automticas para restauracin,Implementacin de recicladores de pools aplicativos de lossitios publicados

SO

Falla desoftware

Determinacin de que actualizaciones del SO tener al da ycuales no dependiendo de aplicativos

Falla dehardware

Mantenimientos de hardware y tunning de hardware enhorarios exclusivos

Virus Antivirus actualizados

M_BD

Falla delservicio Planes de mantenimientos

Espacio endisco

Alertas de avisos de espacio en disco

ANTCaducidad de

lasactualizaciones

Sistema de registro de compras de licencias, fechas ycaducidad de antivirus

SW_BD Fallas dehardware

Servidores de contingencia



apagones deluz

UPS

IntrusosDeteccin de comportamientos anormales

SW_FE

Fallas dehardware


apagones deluz

UPS

Intrusos Deteccin de comportamientos anormales

SU_BD

Fallas dehardware


apagones deluz

UPS

Intrusos Deteccin de comportamientos anormales

PCS

Virus Servidores de contingenciaFalsificacin

de identidadesUPS

acceso ainformacin no

debidaDeteccin de comportamientos anormales

FRW

VirusAntivirus actualizados

falla desoftware

Procedimiento de configuracin

falla dehardware Firewall de contingencia

BD_CBV

Robo deinformacin

Sensores de usuarios de db conectados


debidaAsignacin de permisos por usuario

BD_TBV Robo deinformacin






BD_MAE

Robo deinformacin




BD_MOV

Robo deinformacin




BD_HIS

Robo deinformacin




BACKUP

Extravos Respaldo en bitcoraDeterioros de

las cintasfsicas

Temperatura adecuada

LAN

Acceso noautorizado

Monitoreo de trfico de red

Cada de la redpor hardware

Switches de contingencia

EDIF.Incendio oterremoto

Poltica de desastres

ALTIncendio oterremoto

Poltica de desastres

RRHH

Extorsionespor

informacin declientes

Ingeniera Social

Tabla 5-7: Controles



5.9. DETERMINACIN DEL RIESGO

5.9.1. FRECUENCIA DE OCURRENCIA DE LAS AMENAZASPara determinar las probabilidades con la que ocurra un evento que amenace laintegridad de los activos, vamos a utilizar la siguiente escala:

100 = muy frecuente a diario10 = frecuente mensualmente1 = normal una vez al ao1/10 = poco frecuente cada varios aosCabe indicar que la tabla de frecuencias est basada en un anlisis estadstico.

ACTIVOS AMENAZAS FRECUENCIA

TRX_BVInconvenientes en

produccin10

Acuerdos legales 1

MSGCdigo malicioso 100

Paso de virus 100IIS Cada del servicio 1

SOFalla de software 1Falla de hardware 1/10

Virus 10

M_BDFalla del servicio 1Espacio en disco 1

ANTCaducidad de lasactualizaciones

10

SW_BDFallas de hardware 1

apagones de luz 1Intrusos 100

SW_FEFallas de hardware 1


SU_BDFallas de hardware 1


PCS Virus 10Falsificacin de identidades 1/10




10

FRWVirus 10

falla de software 1falla de hardware 1

BD_CBVRobo de informacin 100

Acceso a informacin nodebida

10

BD_TBVRobo de informacin 100


10

BD_MAERobo de informacin 100


10

BD_MOVRobo de informacin 100


10

BD_HISRobo de informacin 100


10

BACKUPExtravos 10

Deterioros d

implementación de un sgsi sobre un sitio de comercio electrónico para una nueva institución banca

Documents