Caso de Estudio - Institucion Bancaria - Final

MAESTRIA EN SEGURIDAD INFORMTICA
Universidad de Buenos Aires

DOCUMENTACIN Y PROYECTOS DE SEGURIDAD
Profesor: Mg. Gustavo Diaz Ao 2010.
1 / 47
MATERIAL ELABORADOSLOPARA FINES DIDCTICOS. LOS EJEMPLOS CITADOS SURGEN DE LA REALIZACIN DE UN PROCESOIMAGINATIVO.

CASO DE ESTUDIO BANCO NACIONAL DE AHORRO Y FOMENTO.

NOTA.

Los ejemplos citados en el presente documento no corresponden con ninguna institucin
Bancaria de la Republica Argentina ni el Exterior. Los mismos son el resultado de la
realizacin de un proceso imaginativo desarrollado por el autor.

2 / 47
Contenido

1. Presentacin.................................................................................................................................................................................. 3
2. Situacin Inicial - Sistemas y Tecnologas. .................................................................................................................................. 5
A. Adquisicin, Desarrollo y Mantenimiento de los Sistemas de Informacin................................................................. 6
B. Arquitectura Tecnolgica............................................................................................................................................ 6
C. Infraestructura tecnolgica.......................................................................................................................................... 6
D. Infraestructura de Comunicaciones............................................................................................................................ 7
E. Procesos internos de Sistemas y Tecnologa............................................................................................................. 7
F. Estructura Organizativa............................................................................................................................................... 7
G. Sistemas y Tecnologas Anlisis FODA................................................................................................................... 8
3. Situacin Inicial Seguridad Informtica. ..................................................................................................................................... 9
A. Polticas de Seguridad de la Informacin.................................................................................................................. 10
B. Aspectos Organizativos de la Seguridad de la Informacin...................................................................................... 10
C. Gestin de Activos. ................................................................................................................................................... 12
D. Seguridad Ligada a los Recursos Humanos............................................................................................................. 13
E. Seguridad Fsica y Ambiental ................................................................................................................................... 14
F. Gestin de Comunicaciones y Operaciones............................................................................................................. 16
G. Control de Accesos................................................................................................................................................... 18
H. Adquisicin, Desarrollo y Mantenimiento de los Sistemas de Informacin............................................................... 19
I. Gestin de Incidentes en la Seguridad de la Informacin......................................................................................... 20
J. Gestin de la Continuidad......................................................................................................................................... 21
K. Cumplimiento. ........................................................................................................................................................... 22
4. Informacin detallada para la Planificacin del Proyecto............................................................................................................ 23
K. Cumplimiento. ........................................................................................................................................................... 34
5. Informacin de Avance del Proyecto........................................................................................................................................... 35
K. Cumplimiento. ........................................................................................................................................................... 39
6. Informacin de Cierre del Proyecto............................................................................................................................................. 41


3 / 47


1. Presentacin.

4 / 47
El caso de estudio refiere a una organizacin financiera, especficamente un Banco de envergadura con una clientela distribuida
a nivel nacional que realiza transacciones comerciales para individuos y empresas. La Casa Central se encuentra en la Capital
del Pas pero posee un total de 500 sucursales distribuidas a lo largo del pas

Asimismo, posee 8 sucursales en el exterior que ofrecen ciertos servicios financieros en las ciudades de Madrid, Paris, Berln,
New York, Lisboa, Shangai, Miami, Bogot.

Las actividades de la entidad se encuentran reguladas por el Banco Central del Pas a travs de las diversas normativas
emitidas. La entidad posee alrededor de 1.000.000 de clientes de los cuales 970.000 son personas y 30.000 son empresas.

Los clientes realizan diversas transacciones de negocio: aperturas de cuentas (Cajas de Ahorro, Cuentas Corriente, etc.),
consultas de saldos, transferencias, pagos, prstamos, comercio exterior, inversiones financiera, etc. en cualquiera de las
sucursales.

A nivel canales, posee una pgina de Internet Banking para empresas e individuos y una red de cajeros automticos de ms de
2.000 puntos, los canales se completan con el servicio de Terminales de Autoconsulta, Banca Telefnica y Celular que la entidad
ofrece a sus clientes.

Para el soporte de sus procesos de negocio el Banco dispone de un Sistema Integral Core Banking System que soporta las
operaciones comerciales en forma integral y completa en todas las sucursales. Dicho sistema se complementa con otros
sistemas satlite para la operatoria Bancaria entre los que podemos destacar: Sistema de Scoring, Sistema de Mora, Sistema
de Firmas, Sistemas de Cheques, Sistemas de Comercio Exterior, etc.

A nivel operativo, la entidad dispone de diversos sistemas de soporte que incluyen: Sistema ERP, Sistema de Recursos
Humanos, etc.

Existe cierta operatoria que se realiza manualmente:

- Ciertos informes gerenciales se preparan en planillas de clculo y se elevan mensualmente a la Gerencia General.
- Las lneas de prstamos anteriores al ao 1995 son gestionadas por planillas de clculo a nivel central.
- Parte de los regimenes informativos que se remiten al Banco Central se confeccionan manualmente.

Para la gestin de los sistemas de informacin posee una Gerencia de Sistemas que administra y opera los aplicativos y la
tecnologa informtica y de comunicaciones de todo el Banco.

Por su parte existe una Gerencia de Seguridad Informtica que gestiona los aspectos de proteccin de los activos de informacin
para todo el Banco.

El Banco ha invertido en los ltimos tres aos para mejorar la infraestructura, los procesos, sistemas y la tecnologa que
administra la Gerencia de Sistemas no obstante, la seguridad de la informacin ha quedado relegada a un segundo plano.

Esta diferenciacin entre el rea de sistemas y seguridad, esta dada por los siguientes aspectos:

- El Banco posea un atraso importante en lo referente a sistemas y tecnologas de la informacin y por lo tanto la
Direccin priorizo la inversin en tecnologa para la Gerencia de Sistemas.
- El rea de Seguridad Informtica originalmente dependa de la Gerencia de Sistemas, y debido a las normativas del
Banco Central fue necesario lograr su independencia, no obstante no se ha consolidado como Gerencia.
- La mxima direccin del Banco no es consciente de la importancia de la Seguridad de la Informacin y en el fondo no
comprende para que deberan invertir y mejorar los aspectos de seguridad, no comprenden que contribucin brindan al
negocio.
- El rea de seguridad no ha realizado actividades para que se entienda la Seguridad de la Informacin y se comprenda
su valor agregado para toda la organizacin.


5 / 47


2. Situacin Inicial - Sistemas y Tecnologas.

El presidente del Banco ha requerido la realizacin de un estudio interno acerca de la situacin del Banco en relacin a los
sistemas y la tecnologa de la informacin.

Paradjicamente, dicho informe no incluye aspectos relacionados con la Seguridad de la Informacin. No obstante la informacin
que puede extraerse de l es de vital importancia para delimitar los proyectos de Seguridad Informtica que la institucin debera
llevar adelante.

6 / 47

A. Adquisicin, Desarrollo y Mantenimiento de los Sistemas de Informacin.

El Banco ha finalizado la migracin de la totalidad de sucursales y delegaciones al sistema (Core Banking System).

Existe un sistema de gestin y planificacin de recursos de la empresa (ERP - Enterprise Resource Management) que est
implementado en las principales reas para la gestin central del Banco, con una funcionalidad acorde con las exigencias
actuales. No obstante no se han implementado funcionalidades especficas para controlar los gastos de las diversas sucursales
sino que se mantiene un esquema de gestin central.

La gestin de los Recursos Humanos se soporta en el aplicativo ERP, que brinda la funcionalidad necesaria para la
administracin de los recursos y la liquidacin de todos los haberes del banco.

A nivel distribuido, el Banco se encuentra en una etapa de actualizacin tecnolgica de los principales sistemas:

- Gestin de Mora,
- Comercio Exterior,
- Gestin de Acciones y Titulos

B. Arquitectura Tecnolgica

Actualmente, existe una plataforma heterognea que se encuentra definida por cada uno de los sistemas aplicativos que tiene el
Banco, con bajo nivel de integracin entre aplicaciones.

No existen metodologas, procedimientos ni polticas que aseguren la correcta toma de decisiones acerca de la evolucin de la
arquitectura de los sistemas de aplicacin del Banco.

Se ha avanzado en las definiciones tendientes a evolucionar hacia una arquitectura orientada a servicios compuesta de mltiples
capas con funciones especficas basadas en un ESB (Enterprise Service Bus).

C. Infraestructura Tecnolgica

Esta soportada por dos Centros de Procesamiento: el Principal situado en dependencias del Banco y el Alternativo propio.

Actualmente, se encuentra emplazado en el Centro de Procesamiento Principal un equipo Mainframe donde reside el ambiente
de Produccin. Asimismo, se est en pleno proyecto de implementacin de una solucin Activo-Activo para ambos Centros.

Para soportar el procesamiento de los sistemas departamentales existen soluciones diversas que involucran servidores UNIX /
Windows dedicados.

A nivel de infraestructuras abiertas, se implement la consolidacin de plataformas Windows utilizando tecnologa Blade Server.
Asimismo, se adquirieron e implementaron dispositivos NAS y se conform una red SAN para el almacenamiento de datos en
dicha plataforma.

Un aspecto a considerar es la necesidad de mejorar las polticas y acciones de resguardo y almacenamiento de datos, a efectos
de lograr un mejor aprovechamiento de los dispositivos de almacenamiento en el corto y mediano plazo.

A nivel sucursales, la plataforma de atencin comercial esta soportada por servidores de arquitectura abierta con sistema
operativo Microsoft, existiendo diversidad y desactualizacin de las versiones instaladas.


7 / 47
D. Infraestructura de Comunicaciones

El Banco dispone de una Red Wan que interconecta la totalidad de las localizaciones actuales. Dicha Red se complementa con
un anillo de Fibra ptica que interconecta los principales puntos de trfico del Banco.

La Red Wan abarca tambin la conexin al Centro de Procesamiento Alternativo, as como los vnculos necesarios para
direccionar las comunicaciones de las sucursales hacia dicho punto en caso de contingencia.

A nivel local, el Banco dispone de redes Lan que interconectan los diversos terminales existentes en cada una de las sucursales.
Dichas redes son continuamente mantenidas y ampliadas segn las necesidades puntuales de las sucursales.

E. Procesos internos de Sistemas y Tecnologa

1. Procesos de Desarrollo y Construccin de Aplicaciones

Si bien existe una metodologa desarrollada para soportar el ciclo de vida de los sistemas aplicativos, dicha metodologa no est
implementada ni ha sido adoptada en su totalidad.

Esto provoca una falta de visualizacin integral del proceso de desarrollo de software, ya sea que se trate de desarrollo in
house o externo.

2. Procesos de Gestin de Proyectos

Si bien la gerencia ejecuta anualmente un considerable conjunto de proyectos, no existen herramientas para brindar tanto a la
gerencia como a la direccin del Banco la informacin necesaria para conocer el grado de avance de los proyectos, sus
problemas y para poder tomar dediciones sobre ellos en el tiempo y forma.

3. Management Interno

Un aspecto evidenciado es la necesidad de profundizar la integracin y comunicacin entre las diversas reas que componen la
Gerencia.

F. Estructura Organizativa

Si bien se ha logrado la aprobacin de una nueva estructura organizacional, no se ha implementado dicha estructura en la
prctica. La estructura actual, no asegura la integracin entre los distintos departamentos que la conforman, lo cual se transforma
en un serio problema para brindar un servicio de calidad para atender las necesidades de negocio del Banco y la normativa
vigente.


8 / 47

G. Sistemas y Tecnologas Anlisis FODA.

FORTALEZAS DEBILIDADES
A
P
L
I
C
A
T
I
V
O
S
,

D
A
T
O
S

Y

P
R
O
C
E
S
O
S

- nico Core Banking con buena capacidad en
todas las sucursales del Banco.
- Sistemas de Administracin y RRHH en
funcionamiento.
- Extensin de capacidades comerciales
mediante nuevos Sistemas Departamentales
en proceso de implementacin.
- Baja calidad de datos en la Base de Clientes.
- Bajo nivel funcional en los sistemas de Inteligencia de
Negocio y Gestin de Performance.
- Existencia de sistemas satelite sin integracin y con
carencias de soporte al negocio.
- Falta de polticas de arquitectura, de datos,
aplicaciones, infraestructura y procesos.
T
E
C
N
O
L
O
G
I
A

- Red Corporativa con cobertura y
funcionamiento correctos.
- Equipamiento de procesamiento y
almacenamiento central robusto.
- Bajo nivel de documentacin de procesos y polticas
tecnolgicas.
- Falta de herramientas y procesos para la
administracin de sistemas.
P
E
R
S
O
N
A
L

- Personal con alto nivel de compromiso.

- Falta de Recursos Humanos especializados.
- Debilidades en planificacin, gestin y metodologas.
- Bajo nivel de comunicacin interna entre las reas.
AMENAZAS OPORTUNIDADES
A
P
L
I
C
A
T
I
V
O
S
,

D
A
T
O
S

Y

P
R
O
C
E
S
O
S

- La competencia es exitosa en capturar
oportunidades de negocio en los segmentos m
y comercial a bancarizar y desarrollar.
- Competidores con alta efectividad en las
campaas comerciales.
- Entorno regulatorio impulsa la orientacin estratgica
de las tecnologas como apoyo y contribucin al
negocio.
- La tendencia al aumento del nivel de bancarizacin a
nivel nacional.
T
E
C
N
O
L
O
G
I
A

- La competencia gestiona de forma completa y
estratgica el riesgo operacional.
- Disponibilidad de tecnologas modernas en el mercado.
P
E
R
S
O
N
A
L

- Alta rotacin de personal informtico. - Disponibilidad de mejores prcticas y metodologas
maduras para la gestin de reas de sistemas y
tecnologas.


9 / 47


3. Situacin Inicial Seguridad Informtica.

Por otra parte, se ha realizado un estudio profundo de la situacin del Banco en relacin a los sistemas y la seguridad
informtica. Asimismo, los informes de la auditoria interna y externa y la revisin realizada por el Banco Central han arrojado
ciertas debilidades que han alertado al Directorio en este aspecto. En consecuencia, el Directorio del Banco ha contratado una
consultora para la realizacin de un estudio en profundidad de las debilidades de la organizacin en materia de seguridad y
sistemas.

La referida consultora ha confeccionado el siguiente informe el cual incluye tambin los resultados de los diversos ciclos de
auditoria referenciados.

10 / 47

A. Polticas de Seguridad de la Informacin.

Si bien se evidenci que existen ciertas polticas, normas y procedimientos de seguridad, se observaron las siguientes
debilidades:

1. No existe un esquema o marco de procesos transversales que vincule los aspectos de seguridad en forma integral
que abarque a la Gerencia de Sistemas y la Gerencia de Seguridad.

2. Muchas de las normas y polticas estn desactualizadas habindose evidenciado que no se cumplen en su
totalidad.

3. No existe un esquema de actualizacin y revisin peridica de dicha normativa. Existen Polticas, Normas y
Procedimientos que no han sido revisados en los ltimos dos aos.

B. Aspectos Organizativos de la Seguridad de la Informacin.

El Banco dispone de un plan estratgico para el rea de Sistemas que incluye diversos lineamientos para la gestin del rea.
Asimismo, existe un Comit de Sistemas y Seguridad, que se encarga de aprobar la planificacin operativa y tomar las
decisiones en materia sistemas y seguridad.

Si bien el Banco ha creado recientemente un rea especfica para administrar la seguridad informtica (antes dicha rea
dependa de la Gerencia de Sistemas), en el trabajo de revisin se evidenciaron debilidades de importancia en aspectos
relacionados con la gestin de la seguridad de la informacin, dichas vulnerabilidades atentan contra la confidencialidad,
integridad, disponibilidad y la tecnologa informtica. Entre las vulnerabilidades detectadas podemos describir:

1. El rol de gestin integral de la seguridad no se ha podido implementar en su totalidad, especficamente en relacin
a la aplicacin de las misiones y funciones definidas para el rea por las mximas autoridades. Se evidencia que
existen actividades que todava desarrolla el rea de Sistemas y que la Gerencia de Seguridad no participa en
todos los Comits de Sistemas y Seguridad.

2. Asimismo, se evidenci una baja participacin en las etapas de definiciones de los proyectos estratgicos. De los
15 proyectos estratgicos relacionados con la implementacin de sistemas, la Gerencia de Seguridad slo ha
participado en 5 de ellos y adems no se encontraron evidencias de dicha participacin ni de definiciones acerca
del tipo o alcance de participacin que debe tener el rea de seguridad en los proyectos del Banco.

3. Por otra parte, las aplicaciones productivas no son administradas en su totalidad por la Gerencia de Seguridad en
cuanto a los aspectos de proteccin de la informacin. Esto se evidencia por la falta de esquemas de seguridad en
los sistemas aplicativos; la existencia de niveles de seguridad dbiles en ciertas aplicaciones productivas, la falta
de definicin de los perfiles en toda la organizacin, etc.

4. No se ha evidenciado un esquema de gestin integral de la seguridad de la informacin que permita implementar
la proteccin integral de activos de informacin. Esto se evidencia principalmente por la falta de una estrategia
especfica de Seguridad (si bien existe un plan estratgico de seguridad, el mismo no ha sido actualizado desde
hace 2 aos y no se ha evaluado el avance de dicho plan). Asimismo, no existe un plan que aglutine los diversos
proyectos de seguridad, sino que existen planes aislados confeccionados de diversa manera y profundidad segn
cada lder de proyecto.

5. El presupuesto destinado a la seguridad informtica representa tan solo el 2% del total del presupuesto que la
entidad destina a los sistemas de informacin y las tecnologas. Esto evidencia un bajo peso de la seguridad en la
organizacin.


11 / 47
6. Los contratos ms crticos con proveedores de servicios relacionados con sistemas y tecnologas no poseen
clusulas de confidencialidad especficas.

7. El Banco no ha realizado evaluaciones o tests independientes destinados a analizar el estado de la seguridad y de
los mecanismos de control implementados, ni tampoco figuran como parte de la estrategia.

8. Se han evidenciado debilidades en el control de las actividades propias de la Entidad delegadas en terceros, las
que podran afectar la confidencialidad, cumplimiento y confiabilidad de los sistemas, la tecnologa informtica y
sus recursos asociados. Principalmente no se realiza una evaluacin de riesgo previo a la tercerizacin de un
proceso ni existe un control de los accesos fsicos y lgicos que realizan los proveedores contratados.

9. Si bien se evidenciaron ciertas mediciones y comparativos mensuales referidas a mantenimiento de cuentas y
perfiles y seguimiento de los proyectos, se pudo corroborar que no se han implementado mediciones relacionadas
con el cumplimiento o avances registrados con el modelo estratgico de seguridad establecido; la utilizacin de
usuarios con niveles de acceso altos; etc.

10. No existe un conocimiento de la importancia de la seguridad de la informacin en la institucin en tanto no se
evidencia un fuerte involucramiento por parte de la mxima Direccin.


12 / 47

C. Gestin de Activos.

Se observ que la entidad posee una bajo nivel de implementacin en la gestin integral de los activos de informacin que
dispone. Se entiende necesario profundizar en una metodologa integral que si bien ha sido encarada, an no contiene suficiente
detalle abarcativo y participativo de todos los entornos y reas de la Entidad para la deteccin de escenarios adversos en cuanto
a los sistemas de informacin, la tecnologa informtica y sus recursos asociados. Esto se evidencia en los siguientes aspectos:

1. Se han observado deficiencias en el contenido de las Polticas, Normas y Metodologas para la Clasificacin de
Activos y la Administracin de Riesgos Tecnolgicos, particularmente dadas porque existe una metodologa
especfica para la gestin de activos sin vinculacin con la metodologa de gestin de riesgos tecnolgicos.

2. Asimismo, no se encuentran definidos los roles y responsabilidades de los participantes de la organizacin en la
Gestin de Riesgos Informticos y la Clasificacin de Activos.

3. El Banco an no ha finalizado con los procesos de clasificacin de los activos de informacin ya que tampoco ha
podido concluir con el inventario previo de los mismos.

4. No se ha logrado una vinculacin con el propietario de los activos de informacin ni la concientizacin relacionada
con la proteccin de dichos activos.

5. La clasificacin de activos se ha realizado en forma parcial y sin la participacin del rea de Sistemas, asimismo la
evaluacin de los riesgos se ha realizado en forma no coordinada entre la Gerencia de Sistemas y la Gerencia de
Seguridad.

6. No se encuentran establecidos cuales van a ser los documentos resultantes de los anlisis de riesgos efectuados,
formatos, periodicidad.

7. Algunos activos fueron tratados de manera general, sin contemplar riesgos especficos y/o individuales por activo
y la descripcin de los riesgos identificados es muy general

8. No existe un mapa integral de riesgos de la organizacin, no permitiendo as la gestin de los activos en funcin
del riesgo evaluado.


13 / 47

D. Seguridad Ligada a los Recursos Humanos.

Se observ que la entidad no ha implementado los aspectos relacionados con la seguridad de los recursos humanos y se
evidencia que no existe una conciencia en los empleados en relacin con la seguridad de la informacin.

Especficamente, este factor es una vulnerabilidad de importancia en tanto la industria financiera est basada en la gestin de la
informacin. A continuacin se resumen los principales aspecto evidenciados:

1. Se ha evidenciado que el Banco no posee documentado los perfiles, roles y responsabilidades de los empleados
a incorporar en relacin a la seguridad de la informacin especficamente en lo que a contratistas y terceros
refiere.

2. Por otra parte no se ha encontrado evidencia de investigaciones de los antecedentes de los candidatos previos a
su incorporacin, as como de los contratistas y terceros que debieran llevarse a cabo en concordancia con las
regulaciones internas relacionadas con la clasificacin de la informacin a la cual se va a tener acceso y los
riesgos percibidos.

3. La evidencia encontrada respecto a las obligaciones contractuales relacionadas con la seguridad de la
informacin para empleados, proveedores y terceros representa slo el 10% de los involucrados. Si bien todos los
involucrados estn vinculados bajo un contrato especfico, no se han encontrado clusulas especficas de
aceptacin y firma de trminos y condiciones que establezca las responsabilidades y las de la organizacin para
con la seguridad de la informacin.

4. No se han evidenciado comunicaciones masivas tendientes a concienciar respecto a la importancia de que los
empleados, contratistas y terceras personas apliquen la seguridad en concordancia con polticas y procedimientos
establecidos por la organizacin.

5. En los ltimos aos la Gerencia de Seguridad Informtica no ha realizado actividades de educacin y capacitacin
en relacin con la seguridad de los activos de informacin con foco en los empleados, contratistas y terceras
personas que involucre una adecuada capacitacin en seguridad y actualizaciones regulares sobre las polticas y
procedimientos organizacionales conforme.

6. Las polticas de la organizacin no contemplan aspectos especficos en relacin a la disciplina que los empleados
vinculadas con la seguridad de los activos de informacin.

7. Las responsabilidades en relacin a la terminacin de la relacin laboral estn claramente definidas en el rea de
recursos humanos, no obstante en relacin a los contratistas y terceras partes no se ha evidenciado que exista la
aplicacin de aspectos relacionados con el cierre de la relacin en cuanto a la seguridad y divulgacin de la
informacin.

8. No existen definidas responsabilidades ni un procedimiento establecido en relacin a la devolucin de los activos
que tengan en su posesin en el caso de que un empleado, proveedor y/o tercera parte se desvinculen con el
Banco.

9. Se ha evidenciado que muchos de los empleados y sobre todo, los contratistas que han abandonado la
organizacin por diversos motivos, poseen actualmente los derechos de acceso a los sistemas y/o centros de
procesamiento.

14 / 47

E. Seguridad Fsica y Ambiental

Se observaron debilidades de seguridad fsica en los centros de procesamiento de datos, entre las que se puede destacar:

1. En el centro de procesamiento alternativo se posee un nico cuarto sin divisiones fsicas, con lo que no es posible
individualizar los permisos de acceso de los usuarios segn su rea funcional;

2. En el centro de procesamiento principal, se observa una excesiva cantidad de usuarios con permiso a todos los
recintos.

3. Asimismo, no se evidencian controles sobre las actividades registradas en el log de los sistemas de control de
acceso a los sitios restringidos del centro de procesamiento principal.

4. Se evidenciaron debilidades relacionadas con el acceso a ambos centros de procesamiento en tanto cuando
ingresa una persona autorizada no se controla si dicha persona ingresa acompaada. No existe ningn
mecanismo que asegure que slo ingresan a los centros, exclusivamente las personas autorizadas.

5. En el centro de procesamiento alternativo se evidenci que existe material no adecuado que genera un serio
riesgo de incendio (Cajas de Cartn, Papeles, etc.)

6. Se evidenci que no existe un procedimiento formal donde se establezca de que manera los contratistas deben
realizar los trabajos de soporte y/o mantenimiento sobre el equipamiento productivo.

7. No se cuenta con personal de vigilancia en la puerta de la sala de servidores del Centro de Procesamiento
Alternativo.

8. El cuaderno en donde se registran las visitas est dentro de la sala de servidores del Centro de Procesamiento
Alternativo (es decir que la visita entra antes de registrarse).

9. Si bien la entrada a la Sala de Servidores del Centro de Procesamiento Alternativo cuenta con el lector de tarjetas
se constat que con el resto de las tarjetas del Banco permiten ser abiertas.

10. Para acceder a la sala de servidores del Centro de Procesamiento Alternativo se debe pasar previamente por la
Sala de Microinformtica o por la Sala de Redes.

11. No se cuenta con un procedimiento formal de control de accesos.

12. El registro de visitas se realiza en un cuaderno del Banco y no se evidencian controles sobre la informacin all
descripta como as tampoco controles que garanticen que no se arranquen hojas del mismo, en el Centro de
Procesamiento Alternativo. La informacin que se registra es: Fecha, Nombre, DNI, rea, Horario de Entrada,
Horario de Salida. No se deja constancia en el libro de ingresos de: Persona autorizante de la visita y Motivo de la
visita. No me solicitan DNI para verificar que los datos informados por el visitante sean correctos.

13. Se observo que los backups de las copias generadas en el Centro de Procesamiento Alternativo se encuentran en
una caja de seguridad que no tiene llave ni candado.

14. Se observ que ninguna de las cmaras de vigilancia apunta a la Caja de Seguridad (que NO tiene llave) en
donde se encuentran los backups.

15. Las condiciones de higiene no son ptimas dado que el piso estaba sucio y con polvillo.

16. Algunos Racks tenan las puertas abiertas exponindolos aun ms al polvillo del ambiente.


15 / 47
17. Las placas del piso tcnico estn desacomodadas.

18. Se observ que una de las placas del piso por donde pasa el cableado del estabilizador haba sido retirada y se
encontraba apoyada sobre la pared.

19. Se observ que el cableado de los Racks estaba desprolijo lo que en algunos casos imposibilita cerrar las puertas
de los mismos.

20. Se observ que algunos Racks no tienen puertas

21. Se observo que dentro de algunos Racks, apoyadas sobre los equipos, haba pequeas cajas de cartn.

22. Las cajas de seguridad en donde se encuentran las cintas tanto en el centro de procesamiento principal como
alternativo estn en un pasillo en el cual se encuentran cajas de cartn y muebles de madera.


16 / 47

F. Gestin de Comunicaciones y Operaciones.

Se han evidenciado importantes debilidades respecto de la gestin, proceso y el control operativo de los centros de
procesamiento de datos, la gestin de las comunicaciones y las operaciones que debilitan la posicin de la Entidad y atenta
contra la efectividad, eficiencia, integridad, disponibilidad, cumplimiento, y confiabilidad de la informacin, y se ven reflejados en
las siguientes debilidades.

1. Los procedimientos de operacin no se encuentran totalmente documentados y actualizados en tanto no reflejan
los ltimos cambios realizados sobre la estructura de la Gerencia de Sistemas y la Gerencia de Seguridad.
Asimismo, dichos procedimientos no se encuentran publicados para conocimiento de todos los involucrados.

2. No existe un sector en toda la organizacin encargado de controlar los cambios en los medios y sistemas de
procesamiento de la informacin.

3. No se ha evidenciado un registro nico y central de los cambios significativos realizados sobre sistemas
aplicativos, software, hardware y configuraciones. Tampoco se han evidenciado evaluaciones de impacto previas
a la realizacin de los cambios, incluyendo los impactos de seguridad.

4. La organizacin no cuenta con un procedimiento de aprobacin formal para los cambios propuestos sobre los
sistemas aplicativos, software de base y hardware, ni la comunicacin de los detalles del cambio para todos las
personas relevantes.

5. Existen debilidades relacionadas con la segregacin de funciones en el rea de Desarrollo de Aplicaciones que no
permiten evitar modificaciones no autorizada en el ambiente de produccin del sistema core del Banco.

6. En la mayora de los aplicativos de plataformas abiertas, no se ha evidenciado la existencia de ambientes
especficos para desarrollo, prueba y operacin.

7. Las ampliaciones del equipamiento central de procesamiento y de los dispositivos de almacenamiento se realizan
sin una planificacin especfica, sino cuando se encuentran problemas de saturacin lo que obliga a acelerar los
procesos de adquisicin cuando la plataforma se encuentra en una situacin crtica de funcionamiento. No se
evidenciaron estudios previos y/o proyecciones de la capacidad (Capacity Planning) que permitan asegurar la
disponibilidad de la capacidad y los recursos adecuados para entregar el desempeo del sistema requerido.

8. Muchas de las funcionalidades se pasan a produccin sin estar acabadamente documentadas y probados los
requerimientos de operacin mnimos.

9. No existe un procedimiento claro del ciclo completo de pase a produccin de nuevos sistemas o actualizaciones
para todas las plataformas disponibles. Asimismo, en la plataforma donde el procedimiento se ha encontrado
formalizado, se evidenciaron pases a produccin de mejoras que no pasaron por todos los ambientes exigidos
(prueba, pre produccin, produccin).

10. Se observ que la entidad posee diversas herramientas para la deteccin de cdigos maliciosos como virus,
toryanos, etc. Las herramientas existentes en muchos casos estn desactualizadas y no pueden gestionarse en
forma central e integrada. Muchos usuarios descargan herramientas libres para proteger sus equipos y por lo tanto
esto representa un alto riesgo para la institucin.

11. Las herramientas utilizadas por la Gerencia de Seguridad para la Deteccin de Intrusos en la Red se encuentran
desactualizadas y no abarcan toda la red de la institucin.

12. No existen herramientas de software para el anlisis de vulnerabilidades de las diversas plataformas disponibles.


17 / 47
13. En muchas de las plataformas disponibles no se observa un procedimiento de respaldo de la informacin de
produccin.

14. En muchas de las plataformas disponibles no se realiza respaldo de la informacin de produccin incluyendo la
doble copia con esquema de seguridad y proteccin, tal como lo exige la normativa del Banco Central.

15. Se observ que no se realizaron prueba de los resguardos para la totalidad de sistemas crticos de la
organizacin. No existe un plan anual de prueba de los resguardos realizados.

16. En general la gestin de las redes de comunicaciones es de buen nivel, la institucin posee sus Redes WAN
contratadas a travs de enlaces provistos por un nico proveedor de mercado.

17. El monitoreo de las redes se hace en forma interna por un sector que solo tiene alcance para el tema de
comunicaciones sin tener ingerencia en el monitoreo integral del resto de la plataforma.

18. No existe procedimientos y estndares para proteger la informacin y los medios fsicos que contiene la
informacin en-trnsito.

19. No existe una consola central que permita monitorear los sistemas y reportar los eventos de seguridad de la
informacin. No se evidenciaron las bitcoras de operador y los registros de las fallas para asegurar que se
identifiquen los problemas en los sistemas de informacin.


18 / 47

G. Control de Accesos

1. Se ha evidenciado la existencia de niveles de acceso excesivos asignados a personal del rea de Sistemas, en
algunos casos autorizados mediante cartas o notas, que no se ajustan con las polticas, normas y procedimientos
aprobados y publicados, y con las funciones desempeadas por estas personas en la institucin.

2. Si bien se cuenta con herramientas para la deteccin y anlisis de ciertos incidentes de seguridad, la Entidad no
cuenta con un sistema que concentre las anomalas de seguridad en la totalidad de los sistemas productivos y de
software de base.

3. No se evidenciaron registros de la actividad de los usuarios encargados de asignar las funciones al resto de los
usuarios generales del sistema core del Banco.

4. No existen evidencias de controles tendientes a determinar la actividad desarrollada por los usuarios de la Base
de Datos del Sistema Core del Banco.

5. No se evidenci una poltica integral para el control de accesos que incluya todos los aspectos exigidos por la
normativa internacional

6. No estn definidos en la organizacin los perfiles de todos los usuarios, asimismo no existe un mecanismo de
actualizacin de dichos perfiles.

7. No existe una plataforma nica para el manejo de los privilegios de los usuarios, la gestin de las claves ni se
revisan peridicamente los derechos otorgados a los usuarios en las diversas aplicaciones.

8. No se evidenciaron campaas de comunicaciones interna acerca de la responsabilidad de los usuarios con el
manejo de las claves y la proteccin de los activos de informacin del Banco

9. Las polticas de uso de puestos de trabajo estn desactualizadas.

10. No existe un sistema de gestin de claves secretas en la organizacin.

11. Se observ que existe un conjunto de personas de la Gerencia de Sistemas que se conecta a la red del Banco a
travs de una conexin VPN pero con equipos propios no controlados por la Gerencia de Seguridad.


19 / 47

H. Adquisicin, Desarrollo y Mantenimiento de los Sistemas de Informacin.

A nivel Sistemas Aplicativos la situacin evidenciada es crtica en cuanto presenta ciertas debilidades de magnitud. Entes los
principales aspectos podemos destacar:

1. Existen aplicaciones que no se encuentran bajo la rbita de control y monitoreo de la Gerencia de Seguridad,
evidencindose falta de niveles de seguridad aceptables e inexistencia de controles de los usuarios.
Principalmente el Sistema Core del Banco y el Sistema de Administracin de Recursos ERP.

2. El procedimiento actualmente utilizado para el ciclo de modificacin e implementacin de sistemas aplicativos no
garantiza la correspondencia entre programas fuentes y ejecutables (objetos), ya que en el sistema de
Administracin de Recursos ERP y en el Sistema de Comercio Exterior, entre otros no es posible asegurar que los
desarrollos pasen por todos los ambientes de control definidos, debido a que el mecanismo de pasajes es de tipo
manual.

3. Se observaron algunas limitaciones en los mecanismos formales implementados relacionados con el ciclo de
puesta de programas en produccin y las actualizaciones del hardware.

4. La Entidad no cuenta con documentacin tcnica, funcional o de usuarios de los principales aplicativos crticos
para el negocio.

5. La documentacin tcnica existente para el sistema core, en todos sus mdulos, se considera incompleta, ya que
cuentan con un diccionario de datos, pero carece de informacin referida a la descripcin de programas, objetivos,
alcance, diseo, relaciones entre los distintos aplicativos, diagrama del sistema, diseo de listados y pantallas,
entre otros.

6. No existe un adecuado esquema de separacin entre los ambientes informticos de procesamiento (desarrollo,
prueba y produccin) de la Entidad, que asegure que los analistas y programadores de sistemas no posean
acceso al entorno productivo, ni los operadores accedan al ambiente de desarrollo.


20 / 47

I. Gestin de Incidentes en la Seguridad de la Informacin.

Del anlisis de las normas de seguridad existentes y del procedimiento de Gestin de Incidentes, se pudo evidenciar las
siguientes debilidades:

1. Las normas y procedimientos existentes para la gestin de incidentes se encuentran desactualizados y son
incompletos.

2. Solo se realizan controles generales sobre los incidentes recibidos.

3. No se han establecido las etapas necesarias para el tratamiento y la gestin de los incidentes de seguridad.

4. No existen mecanismos de tratamiento de las evidencias recolectadas.

5. No se evidenci un esquema formal de notificacin de los eventos de seguridad ni de los puntos dbiles
detectados.

6. No existe una vinculacin entre el ingreso de incidentes de seguridad y la mesa de ayuda del Banco.

7. No se evidenci una gestin integral de los incidentes de seguridad, ni un esquema que permita la mejora
continua a travs de una base de conocimiento y una realimentacin de las soluciones aplicadas a cada incidente.

8. El monitoreo de plataformas que realiza la Gerencia de Sistemas no posee una vinculacin que permitan conocer
tempranamente los posibles incidentes de seguridad.

9. Del anlisis de las normas de seguridad existentes y del procedimiento de Gestin de Incidentes con el que
cuentan, se pudo evidenciar que son incompletos; por ejemplo: solamente se hace una descripcin general del
control a aplicar; no cuenta con el establecimiento de etapas necesarias para el tratamiento y la gestin de
incidentes; no cuenta con mecanismos de tratamiento de las evidencias recolectadas; entre otros.

10. No se evidenciaron herramientas de software para recoleccin y correlacin de eventos de seguridad.

21 / 47

J. Gestin de la Continuidad.

Se han evidenciado debilidades, las que estn originadas por la ausencia de alternativas probadas de solucin ante la posible
ocurrencia de determinados escenarios adversos, que podran perjudicar la provisin continua de los servicios de los sistemas de
informacin, la tecnologa informtica y sus recursos asociados; y que a su vez, permitiran vulnerar la disponibilidad permanente
de servicios que son de indispensable y oportuna prestacin con adecuados niveles de eficiencia y eficacia:

1. No se evidenci la existencia de un anlisis de impacto (BIA) del Plan de Continuidad de Procesamiento.

2. Los planes actuales no estn realizados en base a una evaluacin de riesgo.

3. Los planes son de continuidad tecnolgica e incluyen aspectos de seguridad informtica pero no son de
continuidad de negocio

4. No existe un marco de referencia para la planificacin de la continuidad del negocio.

5. No hay actas que evidencien las pruebas anuales de todos los planes.

6. No cuentan con equipamiento alternativo de para la plataformas abiertas.

7. No se evidenci la existencia de un Plan Integral de Recuperacin en donde se mencione por ejemplo: los
distintos tipos escenarios y los procedimientos de recuperacin para cada caso, grupos de administracin, grupos
de mantenimiento, entre otros.

8. Los Planes de Contingencias de las distintas plataformas abiertas se encuentra desactualizados y en algunos
casos incompletos, dado que por ejemplo: no mencionan el escenario de mxima; el Grupo Administracin del
Plan se encuentra integrado por personal del proveedor; los procedimientos "Mantenimiento del Plan de
Recuperacin ante Desastres del Centro de Procesamiento Principal y el de plataforma abierta" no se menciona
en detalle cmo el procedimiento y quienes lo tienen que realizar; entre otros.

9. Se evidenci la existencia de algunas objeciones en varias clusulas del contrato firmado con el proveedor por la
prestacin del Servicio de Recuperacin de Contingencias en el Centro de Procesamiento de Datos; por ejemplo:
el acceso irrestricto a la Superintendencia de Entidades Financieras y Cambiarias; desastres mltiples; etc.

10. La prueba anual exigida no es completa en tanto no es integral de toda la operatoria de negocio del Banco.

22 / 47

K. Cumplimiento.

1. En los ltimos meses, el Gobierno ha promulgado una Ley mediante la cual todas las instituciones Bancarios no
puede cobrar servicios financieros a aquellos clientes que cobren su sueldo a travs de cuentas del Banco. Esta
Ley es de aplicacin a partir del presente mes y se ha evidenciado que el Banco tardar ms de 6 meses en
adaptar su sistema core para cumplir con la Ley.

2. El Banco Central ha emitido una nueva normativa que establece los Requisitos mnimos de gestin,
implementacin y control de los riesgos relacionados con tecnologa informtica y sistemas de
informacin, si bien el Banco ha realizado una primera revisin interna las Gerencias de Sistemas y la de
Seguridad no estn en condiciones de informar a la alta Direccin en que medida el Banco cumple con dicha
disposicin. En consecuencia, el Banco ha decidido encarar un proceso especfico que, a travs de una consultora
externa, obtenga el apoyo necesario para lograr un plan de cumplimiento de dicha norma.

3. El Banco no ha realizado una gestin integral de las filiales del exterior en cuanto a sistemas de informacin y
seguridad. Las regulaciones de los pases donde el Banco posee sucursales con exigentes y se ha observado que
no se cumplen con la mayora de las exigencias de cada pas.

4. Se ha observado que la mayora de los sistemas aplicativos crticos para el negocio no posee un contrato
especfico que establezca claramente clusulas relacionadas con derechos de propiedad intelectual y sobre el uso
de productos de software patentado.

5. El Banco no ha cumplido en su totalidad con las exigencias nacionales relacionadas con la proteccin de datos
personales establecidas por el registro nacional de base de datos.

6. No existen normas internas especficas que informen a los usuarios sobre los riesgos relacionados con utilizar los
medios de procesamiento de la informacin para propsitos no autorizados.

7. El Banco nunca ha realizado una evaluacin en profundidad acerca del cumplimiento de los sistemas con las
polticas y estndares de seguridad organizacional.

8. No se revisa regularmente la seguridad de los sistemas de informacin. No se evidenciaron revisiones debieran
realizarse en base a las polticas de seguridad apropiadas y las plataformas tcnicas, y los sistemas de
informacin debieran ser auditados en cumplimiento con los estndares de implementacin de seguridad
aplicables y los controles de seguridad documentados.

9. El Banco recibe peridicamente un conjunto de ciclos de auditoria los cuales muchas veces interfieren en el
normal funcionamiento de las reas de sistemas y de seguridad. Se recibe anualmente:

- Ciclos de Auditoria Interna de Sistemas:
a. Auditoria Semestral Comunicacin Banco Central.
b. Auditoria Anual respecto a aplicativos, plataformas y software de base.
c. Auditorias sobre reas de negocio que recaen en pedidos de informacin especfica para el
rea de sistemas y seguridad.
- Ciclos de Auditoria Externa de Sistemas.
- Auditoria Anual del Banco Central.

10. Nos existen herramientas especficas para que las reas de auditoria puedan acceder a consultas de datos de las
bases operacionales. Todos los pedidos recaen en las reas de sistemas y la de seguridad.

11. Las actividades y requerimientos de auditoria que involucran chequeos de los sistemas operacionales no se
realizan en forma planeada y acordada.

23 / 47


4. Informacin detallada para la Planificacin del Proyecto.

24 / 47


- Se ha establecido llevar adelante un proyecto conjuntamente con la Gerencia de Sistemas y la de Seguridad, con
el objeto de desarrollar el esquema de procesos y subprocesos que vincule todos los aspectos de gestin de
ambas reas.

- Para el desarrollo del esquema as como de toda la documentacin de respaldo, se estableci contratar a una
consultora especialista en el tema, que tenga experiencia en la industria bancaria.

- Es importante considerar que el desarrollo de dicho esquema debera estar alineado con las mejores prcticas y
estndares de mercado (ISO, ITIL, IT Governance, etc.).

- El desarrollo del proyecto debera demandar 12 meses en tanto el Banco tiene previsto recibir una auditora del
Banco Central el ao prximo y quisiera demostrar que se est trabajando en los procesos ms importante de
ambas reas.

- El proveedor debera asignar un Gerente de Proyecto full time.

- El Banco realizar un contrato a precio fijo con el proveedor, si fuese necesario evaluar la posibilidad de realizar
otro tipo de contratacin.

- El proyecto debe incluir todas las actividades desde la contratacin de la consultora hasta la formalizacin de todo
el esquema y la documentacin de respaldo que contempla polticas, normas, metodologas procesos,
procedimientos, etc.


El Banco ha decidido crear un proyecto integral que contemple la mejora de los aspectos relacionados con la organizacin de la
seguridad de la informacin en la empresa. Dicho proyecto involucrar trabajar sobre las siguientes lneas de accin:

- Reforzar el rol de la Seguridad de la Informacin en la institucin asegurando que la Gerencia de Seguridad
implemente las misiones y funciones que tiene establecidas.

- Mejorar la interrelacin con la Gerencia de Sistemas y la participacin en los proyectos estratgicos del
Banco.

- Relevar los esquemas de seguridad de todos los aplicativos administrados de la entidad a fin de establecer el
esquema de control que se seguir para los que son administrados por la Gerencia de Seguridad como los
que actualmente dicha rea no administra.

- Establecer un plan estratgico de seguridad a 5 aos alineado con la estrategia de sistemas y del negocio
con un esquema de actualizacin permanente.

- Mejorar el nivel de inversiones y gastos en seguridad de la informacin.

- Establecer un esquema de control de terceros con el objeto de que cada contrato de tercerizacin incluya la
totalidad de las clusulas relacionadas con la proteccin de los activos de informacin.

- Incorporar una poltica correspondiente a efectos de considerar la realizacin de test independientes de
seguridad contemplando esto con la contratacin de una empresa especfica al efecto.


25 / 47
- Establecer un esquema mediante el cual todas las adquisiciones se basen en un anlisis de riesgo y que se
controle posteriormente las actividades de dichos proveedores.

- Se busca mejorar los indicadores utilizados para evaluar el avance en la implementacin de la estrategia. Por
otra parte se desea desarrollar un esquema para comunicar en forma interna y externa al rea los
indicadores estadsticos sobre la actividad de monitoreo de los eventos de seguridad, antivirus, filtrado de
contenidos, fraudes, etc.

- El proyecto se deber desarrollar a lo largo de 24 meses. Se espera que en la planificacin se prioricen los
aspectos de desarrollo.

- No se ha establecido si para el desarrollo de las actividades del proyecto, se contratar una empresa externa
o se realizar en forma interna.


26 / 47


El Banco ha decidido crear un proyecto integral para completar la gestin integral de activos de la informacin en la empresa.
Dicho proyecto involucrar trabajar sobre las siguientes lneas de accin:

- Metodologas: Desarrollar todo el cuerpo normativo y metodolgico y el esquema integral de los activos
incluyendo la gestin del riesgo tecnolgico. Para esto se ha establecido una duracin de 6 meses. La Gerencia
de Sistemas propone la contratacin de una consultora especialista en temas de riesgo tecnolgico estimndose
un costo mensual se ha estimado en USD 40.000.-.

- Inventario de Activos:

Iniciar un trabajo conjunto con la Gerencia de Sistemas a los efectos de disponer de un inventario nico
actualizado conteniendo todos los activos de informacin.

Esta actividad contempla actualizar con cada rea los activos productivos, generar un repositorio centralizado
y establecer el procedimiento de actualizacin.

Se debe realizar un relevamiento detallado y conformar cada activo. Se parte de un inventario tecnolgico de
ms de 10.000 bienes de los cuales 300 son sistemas aplicativos, 200 son servidores, 1.000 son equipos de
comunicaciones, 8.500 son puestos de trabajo, impresoras y dems equipamiento. Se ha estimado que el
total de activos de informacin a identificar rondar los 500. Para lo cual se previ una actividad que
demandar 3 meses aproximadamente y requerir 3 recursos humanos dedicados.

- Clasificacin de Activos:

Implementar la clasificacin de todos los activos de la organizacin mejorando la vinculacin con el
propietario de la informacin y el propietario del activo.

De una estimacin realizada se concluyo un alcance de 500 activos de informacin. Por cada activo se debe
identificar el propietario del activo, el propietario de la informacin, capacitarlos y concientizar en el manejo de
los activos crticos, clasificar al activo en cuanto a confidencialidad, disponibilidad y criticidad.

La clasificacin de 10 activos demand 10 das hbiles debido a que por cada activo se exigi una
explicacin al propietario del activo y se requiri la formalizacin del nivel gerencial. Se estima que dicho
esquema resultara poco ptimo para la implementacin total.

- Identificacin de Riesgos:

Iniciar el proceso de identificacin y evaluacin de riesgos para cada activo clasificado en forma conjunta
entre la Gerencia de Sistemas y la de Seguridad.

La experiencia previa en la evaluacin de riesgo se haba realizado sobre ciertos activos crticos totalizando
solamente 50 activos. Para estos activos se identificaron un total de 700 riesgos.

Para cada activo se espera la realizacin de un mapa de riesgo que en forma consolidada integre el mapa
integral de riesgos de la organizacin. Asimismo, para los activos considerados de Riesgo Alto se deber
realizar un plan de mitigacin.

- Herramientas de Gestin: Adquirir e implementar una herramienta de software de mercado donde a futuro se
incorporar la gestin integral de los activos. Se estima que la adquisicin de dicha herramienta demandar un
total de 5 meses y una implementacin de 9 meses. El costo total estimado del proyecto asciende a USD
500.000.-

27 / 47


seguridad de la informacin en la empresa.

En dicho proyecto trabajar conjuntamente el rea de Recursos Humanos, la Gerencias de Administracin y de Seguridad de la
Informacin. Se organizar el proyecto en los siguientes subproyectos a saber:

- Aspectos Normativos y Documentales:

Involucra trabajar sobre la definicin de los perfiles, roles y responsabilidades (Identidades) de
todos los recursos humanos del Banco.

Para esto debe considerarse que la organizacin posee alrededor de 10.000 empleados y ms
de 50 gerencias operativas, lo que junto a las 500 sucursales debe ser considerado para
dimensionar el trabajo. Dada la magnitud del tema se ha decidido contratar una consultora
externa especialista en el tema. Se estima que la contratacin demandar ms de 5 meses y el
desarrollo ser de 18 meses.

Por otra parte es necesario adecuar las polticas de la organizacin en relacin con disciplinas de
empleados, devolucin de activos, etc. Para esto ltimo se estima que podrn ser adecuadas y
actualizadas en aproximadamente 4 meses y ser realizado con recursos interno provistos por
Recursos Humanos.

- Mejora de la Comunicacin Interna:

Se pretende realizar una fuerte campaa de comunicacin interna por los diversos medios que la
empresa dispone: intranet, correo electrnico, videoconferencia, reuniones formales, cursos a
distancia, etc. Dicha campaa estar dirigida a concientizar a todos los empleados en relacin a
la importancia de la seguridad de la informacin.

Se realizar dicha campaa por un periodo de 12 meses y en la planificacin se deber
considerar todo el esquema de la campaa desde el diseo hasta su posterior evaluacin y
mejora continua segn los resultados obtenidos. Se ha establecido un presupuesto de USD
500.000 para sustentar dicha campaa.

- Revisin de Contratos y Cumplimiento de Disposiciones Internas:

Se desea revisar la totalidad de los contratos actuales con proveedores, empleados y terceros a
los efectos de ajustarlos a las nuevas disposiciones de seguridad, esto incluye adecuar los
contratos y proceder a su conformacin por parte de los involucrados.

Asimismo, se revisarn los accesos a sistemas disponibles con el objeto de asociarlos a los
contratos vigentes. Esto incluye establecer un procedimiento para que en el futuro exista una
relacin directa y control entre la vigencia de los contratos y los accesos.

Por otra parte se desea implementar un nuevo esquema para realizar investigaciones de
antecedentes antes de la contratacin de un recurso, proveedor o tercero.

Se estima que estas ltimas actividades podrn realizarse durante 9 meses y requerirn la
participacin de un equipo multidisciplinario entre administracin, recursos humanos y seguridad
a los efectos del desarrollo de las actividades.


28 / 47


seguridad de la informacin en la empresa:

Se organizar el proyecto en tres subproyectos a saber:

- El primero se encargar de cubrir las debilidades fsicas del Centro de Procesamiento Principal.

Involucra las actividades relacionadas con las mejoras en recintos, pisos tcnicos, racks, cableados,
sistema anti incendio, etc.

Se estima que las actividades demandar, 3 meses en total pero la contratacin demandara 2 meses
adicionales.

El presupuesto mximo disponible es de $ 1.000.000.-

- El primero se encargar de cubrir las debilidades fsicas del Centro de Procesamiento Alternativo.

Involucra las actividades relacionadas con las mejoras en recintos, pisos tcnicos, racks, cableados,
sistema anti incendio etc.

adicionales.


- En el tercer subproyectos se incorporar todas aquellas actividades transversales a ambos centros:

Involucra las actividades de mejora de los procedimientos, depuracin de usuarios, confeccin de
manuales, implementacin de un nuevo sistema de control de acceso ergonmico centralizado, mejoras
en las cmaras de vigilancia, seguridad fsica, etc.

adicionales.


- En ambos casos estar involucrada adicionalmente la Gerencia de Arquitectura, la Gerencia de Sistemas y
de Seguridad Fsica.

- Existe una gran preocupacin por la Direccin relacionada con el acceso fsico y lgico por parte de los
proveedores que realizan mantenimiento sobre el equipamiento, as que el proyecto deber considerar un
tratamiento especfico del tema.

29 / 47


El Banco ha decidido crear un proyecto integral que contemple la mejora de las debilidades evidenciadas.

En este caso, dada la magnitud del tema, el Banco considera necesario priorizar el tratamiento de los temas y solo incluir
aquellos que, segn la evaluacin de riesgos, sean considerados prioritarios para la organizacin.

En ese sentido, se han agrupado las debilidades en los siguientes temas:

- Relacionadas con Normas, Metodologas y Procedimientos de Operacin que es necesario desarrollar.

- Relacionadas con la Gestin y el Control de Cambios.

- Relacionadas con los ambientes productivos y el pase a produccin de los sistemas aplicativos.

- Relacionadas con los Virus Informticos, la Deteccin de Intrusos y el Anlisis de Vulnerabilidades.

- Relacionadas con la gestin de los resguardos de informacin.

- Vinculadas con la gestin y la plataforma de comunicaciones.

- Vinculadas al Monitoreo de Eventos de Seguridad.

En ese sentido, se deber realizar un anlisis de riesgo para priorizar dentro del proyecto el desarrollo de 3 de los temas antes
descriptos.

De los tres temas a recomendar el nico donde ha habido un pedido expreso del Directorio es en el relacionado con las Normas,
Metodologas y Procedimientos de Operacin que es necesario desarrollar, el cual deber estar incluido en el proyecto.

Para esto, el Banco ha dispuesto que se contrate una consultora que desarrolle cada una de las etapas que se establezcan en el
proyecto. Dicha consultora proveer asimismo las herramientas de software que se considere necesario implementar.

Dada la importancia del tema no hay restriccin presupuestaria para el proyecto sino que el Directorio ha establecido que se
regularicen los temas priorizados en un plazo no mayor a los 12 meses.


30 / 47



Se organizar el proyecto en los siguientes subproyectos a saber:

- El primer subproyecto persigue la definicin de los Roles y Perfiles de usuarios. Con esto se espera lograr la
definicin de un perfil de usuario vinculado al puesto de trabajo que desempea cada empleado de la
Gerencia de Sistemas.

Esto involucra trabajar sobre 600 recursos que integran la Gerencia de Sistemas. Dada la magnitud del tema se ha decidido
contratar una consultora externa especialista en el tema. Se estima que el desarrollo ser de 6 meses.

- Por su parte para resolver los siguientes aspectos se prev implementar una solucin de eProvisioning:
los registros de las actividades de los usuarios,
la gestin de los perfiles,
la concentracin de anomala relacionadas con el acceso,
la gestin de las claves,
la gestin de los accesos remotos
la administracin delegada de usuarios, etc.

La implementacin de dicha solucin demandar 12 meses con una inversin a tres aos de USD 1.000.000.

31 / 47


El Banco ha decidido crear un proyecto integral que contemple la mejora de los aspectos evidenciados:


- El primer subproyecto persigue la revisin de la totalidad de los aplicativos que no estn administrados a nivel
seguridad por la Gerencia de Seguridad.

Esto involucra trabajar sobre 50 aplicativos crticos sobre los que es necesario realizar una evaluacin en profundidad a efectos
de determinar de qu manera la Gerencia podra tomar el control de la seguridad. Esto implicara pensar un esquema alternativo
para el caso de aquellos sistemas que por sus debilidades requieran realizar desarrollos especficos o adquisicin de mdulos
adicionales.

Se estima que de los 50 sistemas mencionados, slo el 10% puede ser incorporado bajo la rbita de la Gerencia con pequeos
ajustes. Durante el proyecto se debern establecer los criterios mediante los cuales la Gerencia acepta que la seguridad de un
sistema puede ser administrada por el rea.

Asimismo, el 40% de los sistemas requiere un desarrollo interno que se ha estimado su duracin total en 12 meses. No se han
establecido las etapas macro para llevar adelante en forma genrica estos desarrollos.

El 30% de los proyectos no pueden ser adecuados a las exigencias de seguridad en tanto son de plataformas obsoletas o se
estima que su desarrollo y/o adquisicin es excesiva.

El 20% restante puede ser resuelto mediante la adquisicin de un software que brinde el mdulo de seguridad que la Gerencia
exige para la administracin de los aplicativos. Esta adquisicin e implementacin se ha estimado en 12 meses.

- El segundo subproyecto persigue el desarrollo e implementacin de un proceso integral que establezca
claramente el pase a produccin de todos los componentes desarrollados y el esquema de separacin de
ambientes.

La complejidad de este aspecto radica en que depende fuertemente de la voluntad Gerencia de Sistemas. El desarrollo involucra
escribir la norma y el procedimiento y avanzar en su implementacin.

Se deber evaluar si es necesario adquirir una herramientas y en caso afirmativo dimensionar su adquisicin e implementacin
en tiempo y costo.

Es importante destacar que este procedimiento involucra coordinar el trabajo de ms de 15 departamentos de la Gerencia de
Sistemas y alrededor de 5 plataformas diferentes (Mainframe, Blade Server UNIX, Blade Server Linux, Blade Server Windows,
Servidores aislados Windows.)

- El tercer subproyecto persigue la documentacin de todos los sistemas aplicativos de la entidad.

Para esto el Banco ha decidido contratar a una consultora para desarrollar la documentacin de los 50 aplicativos ms crticos.

Asimismo, se requiri que la empresa desarrolle un esquema de actualizacin y provea una herramienta para tal fin.

Se estim que todo el proyecto podra demandar el trabajo de 12 meses de 3 consultores snior y 1 lder de proyecto.

32 / 47


El Banco ha decidido crear un proyecto integral que contemple la mejora de los aspectos evidenciados:


- El primer subproyecto persigue la revisin de la totalidad de las normas, metodologas y procedimientos
relacionados con la gestin de incidentes. Esto involucra trabajar definir el esquema de gestin de incidentes
en forma completa. Se estima que demandar un plazo de 4 meses y que se asignar al proyecto 3
consultores snior.

- El segundo subproyecto persigue la implementacin de herramientas que permitan automatizar todo el ciclo
de la gestin de los incidentes y los eventos de seguridad desde la recoleccin, recoleccin evidencias,
vinculacin con la Mesa de Ayuda, etc. El proyecto involucra la adquisicin e implementacin de una solucin
integral. Demandar 12 meses en total con un presupuesto de USD 500.000.-


33 / 47



Se organizar el proyecto en los siguientes sub proyectos a saber:

- El primero se encargar de cubrir todos los aspectos relacionados con las metodologas y procedimientos de
trabajo:

Involucra las actividades relacionadas con el marco de referencia para la continuidad, el anlisis de
impacto, las metodologas para construir planes, el plan integrador, etc.

Se ha estimado un desarrollo durante 6 meses que requerir la inclusin de dos consultores senior
especialistas en el tema.

- El segundo se encargar de cubrir todos los aspectos relacionados con disponer de una infraestructura que
posibilite la continuidad y contingencia:

Involucra la revisin de las diversas plataformas de procesamiento y el entendimiento de la situacin de
los esquemas de contingencia, asimismo, involucra la adquisicin e implementacin del equipamiento
necesario para la contingencia en plataformas abiertas.

Se ha estimado un desarrollo durante 18 meses que involucra el proceso de adquisicin e
implementacin.

El presupuesto total estimado asciende a USD 2.000.000.-

- El tercero se encargar de cubrir todos los aspectos relacionados con la adecuacin y prueba de los planes
existente:

Involucra la prueba de todos los planes, la actualizacin anual de los planes existentes, adecuacin de
contratos con proveedores externos, etc.

Se estima que se realizar a lo largo de 12 meses, involucrando la prueba y actualizacin de 15
manuales de contingencia.


34 / 47

K. Cumplimiento.

El Banco ha decidido crear un proyecto integral que contemple la mejora de los aspectos relacionados con los aspectos de
conformidad legal relacionados con la seguridad de la informacin en la empresa.

En este caso, dada la magnitud del tema, el Banco considera necesario priorizar el tratamiento de los temas y slo incluir en una
primera etapa los que, segn la evaluacin de riesgos sean considerados prioritarios para la organizacin.

En ese sentido, se deber realizar el anlisis de riesgo y priorizar dentro del proyecto el desarrollo de 3 de las debilidades
descriptas.

De los tres temas a recomendar el nico donde ha habido un pedido expreso del Directorio es el relacionado con la gestin de
las Filiales del Exterior, el cual deber estar incluido en el proyecto.

Para esto, el Banco ha dispuesto que se contrate una consultora que desarrolle cada una de las etapas que se establezcan en el
proyecto. Dicha consultora proveer asimismo las herramientas de software que se considere necesario implementar.

Dada la importancia del tema no hay restriccin presupuestaria para el proyecto sino que el Directorio ha establecido que se
regularice lo observado en un plazo no mayor a los 12 meses.


35 / 47


5. Informacin de Avance del Proyecto.

Luego de una reunin con el equipo de proyecto se concluyen de comn acuerdo en los siguientes aspectos que indican el
avance del proyecto.

Asimismo, se revis durante la reunin el primer entregable parcial que permitir evaluar la calidad de los productos que el
proyecto generar.

36 / 47


- Si bien se avanz dentro del tiempo estimado se evidencia una demora del 20% del plazo total del proyecto
estimado en meses, principalmente esto se debe a que los sectores involucrados se toman ms tiempo del
establecido para la lectura y convalidacin

- Por su parte, el alcance del trabajo se desarrolla dentro de lo esperado segn los informes de calidad que se
revisaron durante la reunin.

- A nivel costos, se evidencia un desvo del 10% adicional a los costos originalmente estimados para el proyecto.
Esto se debe a que las demoras del Banco impactaron en el avance esperado.

- De la revisin de riesgos efectuada se concluyo que del total de riesgos identificados, se produjeron el 50% de los
riesgos de alta probabilidad e impacto y fue necesario ejecutar los planes de contingencia establecidos.

- El primer entregable que se ha producido y que se debe presentar a nivel Directorio es la Plantilla con la cual se
propone elaborar la Poltica de Seguridad de la Organizacin. Esta plantilla debe contener todos los temas que se
recomienda incorporar en la poltica, sin su desarrollo particular.


estimado en meses.


- A nivel costos, se evidencia un desvo del 40% adicional a los costos originalmente estimados para el proyecto
debido principalmente a que en la estimacin original no se consider la magnitud del relevamiento de los
esquemas de seguridad de todos los aplicativos y en consecuencia fue necesario contratar a una consultora
externa para tal efecto.


propone elaborar el Plan Estratgico de Seguridad Informtica. Esta plantilla debe contener todos los temas que
se recomienda incorporar en el plan, sin su desarrollo particular.


estimado en meses. Esto se debe principalmente a demoras atribuibles al proceso de adquisicin e
implementacin de la herramienta de software.


debido principalmente a que en la estimacin original no se consider la magnitud del relevamiento de los activos
a incorporar y en consecuencia fue necesario ampliar el contrato de la empresa.


37 / 47

propone elaborar la Metodologa de Gestin de Activos (Clasificacin + Riesgo). Esta plantilla debe contener
todos los temas que se recomienda incorporar en la metodologa, sin su desarrollo particular.


estimado en meses. Esto se debe principalmente a que no se ha podido coordinar correctamente el trabajo de las
Gerencias involucradas.


debido principalmente a que en la estimacin original no se consider la magnitud de los perfiles que se
encontraron en la organizacin.


- El primer entregable que se ha producido y que se debe presentar a nivel Directorio es la Plantillas con la cual se
propone contratar a Personal y Proveedores que incluyan las clusulas de seguridad mnimas a exigir. Estas
plantillas deben contener todos los ttulos que se recomienda incorporar en la contratacin de Persona y
Proveedores, sin su desarrollo particular.


estimado en meses. Esto se debe principalmente a demoras en el proceso de compra y en la obra del contratista.


debido principalmente a que en la estimacin original no se precis con exactitud el alcance de todas las tareas de
obra que luego se exigieron a los proveedores.


propone elaborar el Procedimiento de Control de Accesos a los Centros de Procesamiento y el
Procedimiento de Comportamiento de Proveedores en los Centros de Procesamiento. Estas plantillas debe
contener todos los ttulos que se recomienda incorporar en cada procedimientos, sin su desarrollo particular.

38 / 47


estimado en meses.


debido principalmente a que la consultora exige mayores costos debido a la demora que ha tenido el Banco en las
definiciones que debe tomar y en la revisin de los avances que entreg dicha empresa.


propone elaborar el Procedimiento del Ciclo Completo de Pase a Produccin de Programas y Gestin de
Cambios. Esta plantilla debe contener todos los ttulos que se recomienda incorporar en cada procedimientos, sin
su desarrollo particular.


estimado en meses. Esto responde principalmente a que en la organizacin no existe el conocimiento base para
llevar adelante un procesos de adquisicin de dicha tecnologa.


debido principalmente a que en el proceso de licitacin todas las ofertas superaron el 30% del precio estimado.
Principalmente debido a la magnitud de la implementacin en cuestin.


- El primer entregable que se ha producido y que se debe presentar a nivel Directorio es la Matriz con la cual se
propone ponderar las diversas soluciones de eProvisioning que se oferten. Esta matriz debe estar dividida en
aspectos funcionales, aspectos de arquitectura, aspectos tcnicos, aspectos de empresa, aspectos econmicos y
para cada uno de ellos se deben identificar los 5 criterios principales de ponderacin.


estimado en meses. El principal problema esta relacionado con las adecuaciones que fue necesario realizar para
adecuar el 40% de los aplicativos que requieren desarrollo interno.



39 / 47
definiciones que debe tomar y en la revisin de los avances que entreg dicha empresa, respecto a la
documentacin de los aplicativos.


propone elaborar los Manuales Tcnico y de Usuario de los Sistemas Aplicativos. Esta plantilla debe contener
todos los ttulos que se recomienda incorporar en cada Manual, sin su desarrollo particular.


estimado en meses. Esta demora responde principalmente al proceso de adquisicin de la solucin integral para la
gestin de los incidentes.




propone elaborar la Norma y el Procedimiento de Gestin de Incidentes. Esta plantilla debe contener todos los
ttulos que se recomienda incorporar en la Norma y el Procedimiento, sin su desarrollo particular.


estimado en meses. Esta demora responde principalmente al proceso de adquisicin de la infraestructura para las
plataformas abiertas.




propone elaborar los Planes de Continuidad Tecnolgica. Esta plantilla debe contener todos los ttulos que se
recomienda incorporar en el Plan, sin su desarrollo particular.

K. Cumplimiento.

estimado en meses.


40 / 47

definiciones que debe tomar y en la revisin de los avances que entreg dicha empresa.


propone realizar un Assesment de las Filiales del Exterior en cuanto a los sistemas de informacin, las
tecnologas y la seguridad informtica. Esta plantilla debe contener todos los ttulos que se recomienda incorporar
en el Assesment, sin su desarrollo particular.

- Se pueden tomar como base las exigencias de la Comunicacin A 4609 del Banco Central de la Repblica
Argentina.


41 / 47


6. Informacin de Cierre del Proyecto.

Finalmente, el proyecto ha finalizado y es necesario realizar su cierre formal. Luego de una reunin con el equipo de proyecto se
concluyen de comn acuerdo en los siguientes aspectos que indican el estado final del proyecto.


42 / 47


- Se ha finalizado el proyecto y de la revisin interna realizada se concluye la siguiente situacin:

a. A nivel costos, el proyecto finaliz con un 30% de desvo respecto del presupuesto inicial. Esto se debi
principalmente a la baja colaboracin de la Gerencia de Sistemas, en cuanto a cerrar las definiciones
bsicas a incluir en la diversa normativa y la demora en la convalidacin de los avances presentados por
la consultora. En funcin de esto, la consultora se demor en el avance del proyecto y exigi mayores
costos relacionados con mantener los consultores por mayor tiempo que el estimado. Ser importante
considerar que aspectos se deberan haber tenido en cuenta para el tratamiento del desvo o la
minimizacin del reclamo por parte del proveedor.

b. En relacin a los plazos el proyecto finaliz con un desvo del 20% del tiempo final establecido. Los
problemas antes mencionados impactaron tambin en la duracin del proyecto. Un punto importante fue
que no se previ el impacto de los tiempos internos del Banco en relacin a la conformidad de los
documentos desarrollados por la empresa. Asimismo, en forma imprevista el Directorio requiri que el
esquema de procesos y subprocesos que la consultora desarroll sea validado por el Banco Central lo
que impact en los tiempos del proyecto.

c. A nivel alcance se cumpli con el proyecto pero no est claro el proceso de comunicacin interna y de
actualizacin de todo el esquema normativo.



principalmente a que fue necesario contratar una consultora porque se subestim el relevamiento de los
aplicativos de la institucin en relacin al establecimiento de un esquema de control de seguridad. Ser
importante considerar que aspectos se deberan haber considerado para el tratamiento del desvo.

b. En relacin a los plazos, el proyecto finaliz con un desvo del 20% del tiempo final establecido. Los
problemas antes mencionados impactaron tambin en la duracin del proyecto.

c. A nivel alcance no se cumpli en forma completa con los objetivos establecidos, principalmente debido
a:

- La falta de compromiso de la Gerencia de Sistemas en relacin a la participacin de la Gerencia de
Seguridad de los proyectos estratgicos. Realmente, no se logr la sinergia necesaria para que se
participe en todas la etapas de los proyectos. Se evidenci pases a produccin y nuevos
desarrollos implementados sin la participacin y la consideracin de los aspectos de seguridad
informtica.

- No se logr implementar en su totalidad el entendimiento de la importancia del rol de la seguridad
de la informacin en la organizacin. Esto se debi principalmente, a que no se pudo concientizar a
la mxima Direccin respecto del rol de la seguridad en tanto las acciones realizadas no se
cumplieron los aspectos de Marketing Interno orientados a mejorar el entendimiento de la
importancia de la seguridad en la institucin.


43 / 47



principalmente a:

- La necesidad de contratar 3 recursos adicionales para la identificacin de los activos de
informacin.

- Demoras en el proceso de clasificacin requirieron la contratacin de 2 recursos adicionales para
esta actividad.

- La identificacin de riesgos demand la contratacin de 3 recursos adicionales. Ser importante
establecer que aspectos se deberan haber considerado para el tratamiento del desvo o la

que no se previ el impacto de los tiempos internos del Banco en relacin a la clasificacin de activos.
Esto refiere a que las diversas gerencias de negocio no respondieron en tiempo y forma en relacin a la
clasificacin de la informacin que cada activo administra.

c. A nivel alcance se cumpli con el proyecto pero no se pudo implementar la herramienta de gestin dado
que al momento de recibir las ofertas de las empresas, el proceso de identificacin, clasificacin de
activos y evaluacin de riesgos se modific producto de las mejoras que se fueron obteniendo durante
su implementacin. Esto provoc que fuera necesario requerir adecuaciones en la propuestas con lo
cual no se pudo concretar la implementacin de la herramienta a la finalizacin del proyecto.



principalmente a una mala estimacin del trabajo a realizar en relacin a la definicin de identidades. La
participacin de muchas reas en la definicin provoc demoras en el proyecto. Esto oblig a contratar
consultores externos adicionales para finalizar en tiempo la actividad. Ser importante considerar que
aspectos se deberan haber considerado para el tratamiento del desvo o la minimizacin del reclamo
por parte del proveedor.

principales problemas se debieron principalmente a las fricciones entre las reas involucradas los que
provocaron demoras innecesarias. Otro punto importante fue la subestimacin de los tiempos necesarios
para documentar todos los perfiles que se evidenciaron en la organizacin.

c. A nivel alcance se cumpli con las actividades pero no est claro si realmente se cumpli con el objetivo
de mejorar el entendimiento de los recursos en relacin a la importancia de la seguridad de la
informacin en la organizacin.


44 / 47



principalmente a los adicionales que fue necesario reconocer a los contratista que adecuaron los
Centros de Procesamiento.

b. Estos adicionales refieren especficamente a que los contratistas no pudieron revisar ambos centros
para precisar los trabajos a desarrollar. No se pudo resolver en tiempo la restriccin respecto a que un
proveedor sin contrato ingrese a los Centros de Procesamiento. Otro aspecto que influyo fue que la
especificacin tcnica fue escueta y sin el detalle suficiente. Ser importante considerar que aspectos se
deberan haber considerado para el tratamiento del desvo descrito.

c. En relacin a los plazos el proyecto finaliz con un desvo del 20% del tiempo final establecido. Los
problemas antes mencionados impactaron tambin en la duracin del proyecto. Asimismo, se
evidenciaron demoras por parte de los diversos proveedores las cuales no fueron advertidas a tiempo
provocando un impacto en la finalizacin del proyecto.

d. A nivel alcance se cumpli con el proyecto pero no se conoce con certeza si las adecuaciones
realizadas cumplirn con las exigencias del Banco Central que se evidenciarn en la prxima
inspeccin.



bsicas a incluir en la diversa normativa y la demora en la convalidacin de los avances presentados por
la consultora. En funcin de esto, la consultora se demor en el avance del proyecto y exigi mayores
costos relacionados con mantener los consultores por mayor tiempo que el estimado. Ser importante
considerar que aspectos se deberan haber considerado para el tratamiento del desvo o la minimizacin
del reclamo por parte del proveedor.

documentos desarrollados por la empresa. Asimismo, en forma imprevista el Directorio requiri que el
esquema de procesos y subprocesos que la consultora desarroll sea validado por le Banco Central lo
que impact en los tiempos del proyecto.

c. A nivel alcance se cumpli con el proyecto.


45 / 47



principalmente a que no se estableci claramente el alcance de la implementacin y en consecuencia
cada proveedor realiz una previsin sobreestimada de las actividades de implementacin. Ser
importante considerar que aspectos se deberan haber considerado para el tratamiento del desvo o la

problemas antes mencionados impactaron tambin en la duracin del proyecto. Fue necesario realizar
una reunin a nivel Directorio para requerir la aprobacin de la inversin debido a que al momento de
adjudicar surgieron cuestionamientos de nuevos asesores de Directorio respecto a la justificacin de la
inversin. Por su parte falt la colaboracin necesaria por parte de la Gerencia de Sistemas para la
definicin de los perfiles involucrados. .

c. A nivel alcance se cumpli con el proyecto no obstante el proveedor y el equipo de proyecto contina
trabajando corrigiendo puntos requeridos por el cliente interno.



principalmente a que debido a la baja colaboracin de la Gerencia de Sistemas, en cuanto a cerrar las
definiciones bsicas a incluir en la diversa documentacin de aplicativos y la demora en la convalidacin
de los avances presentados por la consultora. En funcin de esto, la consultora se demor en el avance
del proyecto y exigi mayores costos relacionados con mantener los consultores por mayor tiempo que
el estimado. Ser importante considerar que aspectos se deberan haber considerado para el
tratamiento del desvo o la minimizacin del reclamo por parte del proveedor.

documentos desarrollados por la empresa.

c. No obstante el desarrollo del proyecto, a nivel alcance todava existen ciertos problemas con el esquema
de pase a produccin de los aplicativos...


46 / 47



principalmente a que no se estableci claramente el alcance de la implementacin de la herramienta y
en consecuencia cada proveedor realiz una previsin sobreestimada de las actividades de
implementacin. Ser importante considerar que aspectos se deberan haber considerado para el
tratamiento del desvo o la minimizacin del reclamo por parte del proveedor.

problemas antes mencionados impactaron tambin en la duracin del proyecto. Fue necesario realizar
una reunin a nivel Directorio para requerir la aprobacin de la inversin debido a que al momento de
adjudicar la herramienta surgieron cuestionamientos de nuevos asesores de Directorio respecto a la
justificacin de la inversin. Por su parte falt la colaboracin necesaria por parte de la Gerencia de
Sistemas en relacin a es sta quien administra la mesa de ayuda y en consecuencia se evidenciaron
problemas en relacin de el proceso transversal que se estimaba implementar.




a. A nivel costos, el proyecto finaliz con un desvo del 30% del presupuesto inicial. Esto se debi
principalmente por que al momento de revisar la infraestructura disponible se evidenci que la mayora
no dispona de esquema de contingencia y fue necesario ampliar el alcance de las adquisiciones a
realizar. Ser importante considerar que aspectos se deberan haber considerado para el tratamiento
del desvo o la minimizacin del reclamo por parte del proveedor.

problemas antes mencionados impactaron tambin en la duracin del proyecto. Esto se debi
principalmente a que debido a los problemas relacionados con la adquisicin del equipamiento
informtico para disponer de una infraestructura que posibilite la continuidad.



47 / 47

K. Cumplimiento.


bsicas a efectos de encarar la gestin integral de las filiales del exterior. En funcin de esto, la
consultora se demor en el avance del proyecto y exigi mayores costos relacionados con mantener los
consultores por mayor tiempo que el estimado. Ser importante considerar que aspectos se deberan
haber considerado para el tratamiento del desvo o la minimizacin del reclamo por parte del proveedor.

documentos desarrollados por la empresa. Asimismo, las diversas normativas a que estn atadas las
filiales del exterior oblig a un anlisis ms profundo de la problemtica.


Caso de Estudio - Institucion Bancaria - Final

Uploaded by

Document Information

Original Description:

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Caso de Estudio - Institucion Bancaria - Final

Uploaded by

Copyright:

Available Formats

MAESTRIA EN SEGURIDAD INFORMTICA

Universidad de Buenos Aires

You might also like