Professional Documents
Culture Documents
Abstract. The information security is a corporate issue and this is how Financial Institutions
must face it in order to deal with a highly and competitive environment that is regulated.
For this reason, the correct perspective to satisfactorily compliance regulations is accepting
Information Security from a Government perspective, which is transversal in the whole
institution and not only focused in the Information Systems.
Under this context, applying better tools like Cobit 5 and ISO 27000 give us a clear way to
established: the implementation achievement, objectives improvement, project and solutions
planning, mesuring tools, and sustainable operations of the enablers that allow a business
Government and Business Management for Information Security.
1. Introduccin
Sin lugar a dudas los sistemas de informacin forman parte integral de las prcticas
negocio, los cuales entregan beneficios tales como: eficiencia en operaciones, mejora
en la toma de decisiones, mejora en la atencin de clientes, etc. Sin embargo, los
mismos se enfrentan a riesgos propios del ambiente en los cuales se desarrollan.
Adems el incremento de regulaciones y leyes exigen mayor cumplimiento, lo que
plantea la necesidad de establecer un marco para el Gobierno de la Seguridad de la
Informacin, la cual puede ser aplicada a cualquier tipo de empresa ya sea pblica o
2
privada. A menudo este campo, se percibe con un enfoque limitado que nicamente
abarca los Sistemas de Informacin y Tecnologa relacionada; sin embargo, la
Seguridad de la Informacin tiene un enfoque ms amplio, por lo cual es necesario
aplicar prcticas de Gobierno y Gestin de Seguridad de la Informacin. Desde esta
perspectiva toma relevancia el marco Cobit para la Seguridad de la Informacin
publicado por ISACA (Asociacin de Auditora y Control de Sistemas de
Informacin) en 2012; el cual proporciona una visin transversal de la Seguridad de la
Informacin en las organizaciones e incluye un conjunto de catalizadores los cuales
son factores que influyen en el funcionamiento del Gobierno y Gestin de la empresa
TI, dentro de los cuales tenemos:
2. Mtodos y aplicacin
La investigacin de casos es particularmente til dentro del rea de Tecnologa de la
Informacin, debido a que nos permite el estudio de un fenmeno en su estado
natural. Un estudio de un nico caso es apropiado cuando este representa un caso de
prueba para una teora bien definida. [3]. De esta manera un caso de estudio es usado
para el estudio del Gobierno de Seguridad de la Informacin, su desarrollo e
implementacin en una institucin financiera.
Uno de los aspectos medulares dentro de la implementacin de Gobierno de la
Seguridad de la Informacin, radica en el establecimiento del alcance, el cual
consider: alineamiento estratgico, desempeo de Seguridad de la Informacin,
cumplimiento normativo y la identificacin de riesgos como insumo principal para la
priorizacin de los esfuerzos de implementacin.
Para el establecimiento del alcance basado en los catalizadores propuestos por
Cobit se consider:
Cobit 5 integra las mejores prcticas dentro de las cuales est ISO 27001 y 27002
respectivamente, de esta manera se identificaron los procesos enfocados de manera
principal con dichas normas, lo que nos permiti identificar los procesos Cobit que
permiten aplicar una mejor prctica, de manera que se mejore el desempeo de la
Seguridad de la Informacin.
7.1.1 Seleccin
7.1.2 Trminos y condiciones de empleo
Gestionar 15.2.2 Gestin de cambios en los servicios de proveedores
los
APO10 13.2.2 Acuerdos sobre la transferencia de informacin
proveedor
es 14.2.7 Outsourcing de desarrollo
En base a los procesos de Gobierno y Gestin de TI los cuales fueron mapeados con:
estrategia corporativa, ISO 27001/27002 y normativa vigente; se procedi a efectuar
un mapeo que considere los tres elementos citados, de manera que se constituya el
insumo inicial en el proceso de definicin del alcance.
% de Contribucin
Plan estratgico
Normativa
ISO 27002
Proceso Descripcin
0 = proceso no aplicable o
proceso con importancia 0 = No aplicable o
0 = no existe brecha en el nivel de
baja (no necesario para el conclusin de auditora
capacidad
cumplimiento con alguno buena
de los criterios)
1 = proceso necesario para
1 = Auditora con
cubrir 1/3 criterios:
1 = brecha en el nivel de capacidad leve conclusin que requiere
alineamiento estratgico,
mejoras menores
ISO 27002, normativa
2 = proceso necesario para
2 = Auditora con
cubrir 2/3 criterios: 2 = brecha en el nivel de capacidad
conclusin que requiere
alineamiento estratgico, significativa
mejoras importantes
ISO 27002, normativa
3 = proceso necesario para
3 =Auditora con
cubrir 3/3 criterios: 3 = brecha en el nivel de capacidad
conclusin deficiente o
alineamiento estratgico, sustancial
proceso nunca auditado
ISO 27002, normativa
A partir de estos factores se procedi a evaluar cada uno de los procesos de Gobierno
y Gestin de TI, de manera que pudimos calcular su respectivo factor de importancia
con la siguiente frmula:
Resultado
Capacidad
Importancia de
del
Proceso Descripcin para la auditoras
proceso
compaa previas
Nivel Nivel Nivel Factor
Asegurar el establecimiento y 1 3 3 7.00
EDM01 mantenimiento del marco de
gobierno
Asegurar la optimizacin de 2 3 3 8.00
EDM04
los recursos
Asegurar la transparencia 2 3 3 8.00
EDM05
hacia las partes interesadas
Gestionar el marco de gestin 3 1 2 6.00
APO01
de TI
APO02 Gestionar la estrategia 1 1 2 4.00
TIPO DE
RIESGO
Entrega del servicio / para las operaciones TI
Entrega del Programa / Proyecto
Habilitacin de Beneficio Valor
Descripcin
Proceso
Riesgo
12 Nivel de Riesgo
3 Probabilidad
4 Impacto
EDM01 Asegurar el x Proyectos que no se terminan de manera oportuna y fracasan por costes, retrasos, alcances mal
Establecimiento y definidos o cambios en las prioridades del negocio
4
2
2
Mantenimiento del x Sobrecoste aislado del presupuesto en los proyectos de TI
Marco de Gobierno
8
4
2
x Sobrecostes consistentes e importantes en los presupuestos de los proyectos de TI
9
3
3
x Ausencia de visin sobre el portafolio y la economa del proyecto
12
4
3
x Amplia dependencia y uso de soluciones informticas para usuario final y ad hoc para necesidades
informticas importantes
6 16
4
4
x Soluciones de TI separadas y no integradas para soportar procesos de negocio
3
2
x El negocio no asume responsabilidad sobre aquellas reas de las TI en las que debera, tales como
requerimientos funcionales, desarrollo de prioridades y valoracin de oportunidades a travs de nuevas
tecnologas
4
2
2
x Retraso ocasional en la entrega de proyectos de TI por parte del departamento de desarrollo interno
8
4
2
x Retraso rutinario importante en la entrega de proyectos de TI
12
4
3
x Retraso excesivo en el desarrollo de proyectos de TI externalizados
12
4
3
x Falta de cumplimiento con las regulaciones contables y de produccin
3. Resultado
Se priorizo los procesos en funcin del clculo de factor de importancia y
nivel de riesgo
Clculo
Resultado = promedio (nivel de riesgo) * factor
Prioridad
Nivel de
Impacto Probabilidad riesgo Factor Resultado
3 3 9 6.00 54.0
3 3 9
Referencia
3 3 9
3 3 9
Fuente: [6]
Riesgo
12 Nivel de Riesgo
3 Probabilidad
1 Prioridad
65.5 Resultado
4 Impacto
7.00 Factor
EDM01 Asegurar el x Proyectos que no se terminan de manera oportuna y fracasan por costes, retrasos, alcances mal
Establecimiento y definidos o cambios en las prioridades del negocio
4
2
2
Mantenimiento del x Sobrecoste aislado del presupuesto en los proyectos de TI
Marco de Gobierno
8
4
2
x Sobrecostes consistentes e importantes en los presupuestos de los proyectos de TI
9
3
3
x Ausencia de visin sobre el portafolio y la economa del proyecto
12
4
3
x Amplia dependencia y uso de soluciones informticas para usuario final y ad hoc para necesidades
informticas importantes
6 16
4
4
x Soluciones de TI separadas y no integradas para soportar procesos de negocio
3
2
x El negocio no asume responsabilidad sobre aquellas reas de las TI en las que debera, tales como
requerimientos funcionales, desarrollo de prioridades y valoracin de oportunidades a travs de nuevas
tecnologas
4
2
2
x Retraso ocasional en la entrega de proyectos de TI por parte del departamento de desarrollo interno
8
4
2
x Retraso rutinario importante en la entrega de proyectos de TI
12
4
3
x Retraso excesivo en el desarrollo de proyectos de TI externalizados
12
4
3
x Falta de cumplimiento con las regulaciones contables y de produccin
Informacin: para cada proceso se identific la informacin que los procesos deben
generar o usar para su procesamiento:
Polticas: se identificaron las polticas por medio de los procesos identificados con
prioritarios
DSS03 Gestionar los problemas Polticas para tratar las causas raz
DSS04 Gestionar la continuidad Poltica de continuidad de negocio
Poltica de gestin de operaciones y
comunicaciones
DSS01 Gestionar las operaciones
personal
Cuadro 9: aplicaciones
Aplicaciones Localizacin / IP
Aplicacin 1 192.x.x.17
Aplicacin 2 192.x.x.57
4. Discusin
La Superintendencia de Bancos y Seguros emiti la resolucin JB-2005-834 en el ao
2005 y dio un plazo de cumplimiento inicial a Octubre 2008; sin embargo, la misma
resolucin ha venido siendo actualizada y los plazos han sido modificados.
Actualmente los mismo oscilan entre Diciembre 2014 y Diciembre 2015. Es por esta
razn que el planteamiento de la investigacin se enfoca en hacer un lado los criterios
subjetivos de las Instituciones Financieras para el cumplimiento con cada punto
normativo y establecer guas claras; apoyadas por mejores prcticas para que las
instituciones vinculen sus estrategias y cumplimiento regulatorio, tales como Cobit 5
e ISO 27000; logrando de esta manera mejorar los niveles de cumplimiento y un
Gobierno y Gestin de Seguridad de la Informacin, acorde a las necesidades de la
Banca actual, tomando en cuenta un principio fundamental que la Seguridad de la
Informacin es un asunto corporativo.
5. Conclusiones
6. Referencias