“METODOLOGIA DE CLASIFICACION DE LA …148.204.210.201/tesis/1478889561010TESISB.pdf · TESIS Q U...
Transcript of “METODOLOGIA DE CLASIFICACION DE LA …148.204.210.201/tesis/1478889561010TESISB.pdf · TESIS Q U...
INSTITUTO POLITÉCNICO NACIONAL
UNIDAD PROFESIONAL INTERDISCIPLINARIA DE INGENIERÍA Y CIENCIAS SOCIALES Y
ADMINISTRATIVAS
“METODOLOGIA DE CLASIFICACION DE LA INFORMACION PARA EL ANALISIS DE RIESGOS EN EL
SECTOR FINANCIERO”.
T E S I S
Q U E P A R A O B T E N E R E L T Í T U L O D E :
M A E S T R O E N C I E N C I A S D E L A I N F O R M Á T I C A
P R E S E N T A :
I S A I E L I A S S A L G A D O
MÉXICO. DF 2016
Índice
GLOSARIO ......................................................................................................................................................... 6
RESUMEN .......................................................................................................................................................... 7
ABSTRACT ......................................................................................................................................................... 8
INTRODUCCIÓN ................................................................................................................................................ 9
CAPÍTULO I MARCO METODOLÓGICO ..........................................................................................................10
1.1. PLANTEAMIENTO DEL PROBLEMA ................................................................................ 10
1.2. OBJETIVO .......................................................................................................................... 10
1.3. JUSTIFICACIÓN ................................................................................................................. 10
1.4. TIPOS DE INVESTIGACION .............................................................................................. 10
1.5. METODOLOGIA DE LA INVESTIGACION ........................................................................ 10
1.6. METODO E INSTRUMENTO DE LA INVESTIGACION .................................................... 11
1.7. POBLACION Y MUESTRA ................................................................................................. 11
1.8. PROCEDIMIENTO .............................................................................................................. 11
CAPÍTULO II MARCO REFERENCIAL SOBRE EL DESARROLLO DE MODELOS Y METODOLOGÍAS DE
INVESTIGACIÓN CIENTIFICA Y TECNOLOGICA ............................................................................................13
2.1. MODELO............................................................................................................................. 13
2.2. TIPOS DE MODELOS ........................................................................................................ 13
2.3. METODOLOGÍA ................................................................................................................. 16
2.3.1. TIPOS DE METODOLOGÍAS ...................................................................................... 16
2.3.2. METODOLOGÍA DE LA INVESTIGACIÓN BÁSICA ................................................... 17
2.3.3. METODOLOGÍA DE LA INVESTIGACIÓN TECNOLÓGICA ...................................... 19
2.3.4. METODOLOGÍA DE LA INVESTIGACIÓN DE INTERVENCIÓN ............................... 22
CAPÍTULO III NORMATIVIDAD Y MEJORES PRÁCTICAS DE SEGURIDAD INFORMATICA ........................26
3.1. NORMATIVIDAD ................................................................................................................ 27
3.2. MEJORES PRÁCTICAS ..................................................................................................... 29
3.2.1. ISO 27002:2005 ........................................................................................................... 29
3.2.2. ITIL V3 (GUÍA DE BUENAS PRÁCTICAS) ................................................................. 30
3.2.3. BS: 25999 .................................................................................................................... 33
3.2.4. COBIT .......................................................................................................................... 35
CAPÍTULO IV PROBLEMÁTICA DE SEGURIDAD EN LA INFORMACIÓN ......................................................38
4.1. PROBLEMAS EN EMPRESAS DEL SECTOR FINANCIERO ........................................... 39
4.2. CASOS REALES DE IMPACTO EN EMPRESAS DEL SECTOR FIANCIERO ................. 44
4.2.1. CITIGROUP PIERDE DATOS DE 3,9 MILLONES DE CLIENTES (2005) ................. 45
4.2.2. HSBC pierde datos de 159,000 clientes (2008) .......................................................... 45
4.2.3. Hackers roban datos de miles de clientes en un banco de Ginebra (2015) ............... 45
4.2.4. IFAI aplica millonaria multa a Banamex (2013) ........................................................... 46
4.2.5. Multa de IFAI a BBVA Bancomer por tarjeta no solicitada… atención a los Avisos de
Privacidad Simplificados ............................................................................................................ 48
CAPÍTULO V PROPUESTA DE METODOLOGÍA PARA LA CLASIFICACION DE LA INFORMACION PARA
EL ANALISIS DE RIESGOS EN EL SECTOR FINANCIERO ............................................................................48
5.1. POLITICAS PARA LA METODOLOGIA PROPUESTA ...................................................... 49
5.1.1. POLITICA PARA LA FUNCION DE BRO (Bussiness Risk Officer) ............................ 49
5.1.2. POLITICA PARA LA CLASIFICACIÓN DE LA INFORMACIÓN ................................. 50
5.2. METODOLOGIA PARA LA CLASIFICACIÓN DE LA INFOMRACIÓN. ............................. 51
5.2.1. Métodos para la metodología propuesta ..................................................................... 52
5.2.2. Actores y documentos a considerar ............................................................................ 56
CAPÍTULO VI GUIA DE IMPLEMENTACION DE LA METODOLOGIA .............................................................57
6.1. GUIA DE IMPLEMENTACIÓN DE LA METODOLOGIA .................................................... 57
6.1.1. Introducción ................................................................................................................. 57
6.1.2. Objetivo ........................................................................................................................ 57
6.1.3. Alcance ........................................................................................................................ 57
6.1.4. Métodos aplicados ....................................................................................................... 57
6.1.5. Entradas ...................................................................................................................... 62
6.1.6. Salidas ......................................................................................................................... 63
6.1.7. Desarrollo .................................................................................................................... 63
6.2. TRATAMIENTO DE LA INFORMACIÓN DE ACUERDO A SU CLASIFICACIÓN ............. 66
6.2.1. Matriz de uso rápido .................................................................................................... 66
6.2.2. Interpretación de la Matriz de uso rápido .................................................................... 67
6.2.3. Conceptos base de la matriz de uso rápido ................................................................ 68
6.2.4. Consideraciones básicas de la matriz de uso rápido .................................................. 68
CONCLUSIONES ..............................................................................................................................................69
ANEXOS ............................................................................................................................................................70
BIBLIOGRAFÍA ..................................................................................................................................................71
GLOSARIO
Termino / Abreviación Descripción
BCP Plan de continuidad del negocio
BCGE Banco Cantonal de Ginebra
BIA ( business impact analysis )
Análisis de impacto del negocio
BRO
(Bussiness Risk Officer)
Es el oficial de riesgos a nivel negocio, también el encargado de
realizar la clasificación de la información de acuerdo a la perspectiva
de negocio.
COBIT (Control Objectives for Information and related Technology)
Objetivos de Control para tecnología de la información y relacionada
Diccionario de Datos
Es un conjunto de metadatos que contiene las características lógicas
y puntuales de los datos que se van a utilizar en el sistema que se
programa, incluyendo nombre, descripción, alias, contenido y
organización
DOF Diario Oficial de la Federación
ISACA Information Systems Audit and Control Association
ISO International Organization for Standardization
IFAI Instituto Federal de Transparencia, Acceso a la Información
ITIL Information Technology Infrastructure Library
ITSCM Gestión de la continuidad del servicio de TI’
Layout de la información Datos de información en un reporte, documento o sistema de
información.
LFPDPPP Ley Federal de Protección de Datos Personales en Posesión de
Particulares
TIC Tecnologías de la Información y Comunicación
7
RESUMEN
El presente documento muestra una metodología de clasificación de la información para el sector
financiero, que facilita la implementación de controles de seguridad a las Tecnologías de la
Información y Comunicación (TIC), contribuyendo a mitigar los riesgos que se encuentran en los
sistemas financieros Y/o aplicaciones que participan en este sector. La metodología también ayuda
a clasificar la información referente al cliente final como la información propietaria de la organización,
cubriendo los pirales de la seguridad de la información: Integridad, Disponibilidad y Confidencialidad
(atributos de la información), facilitando la estandarización de esta labor en las instituciones
financieras, y con ello coadyuvar a la realización de análisis de riesgos.
Hoy en día la seguridad de la información en las TIC es un tema indispensable en el sector financiero
ya que los sistemas procesan información de transacciones monetarias e información personal de
clientes, dicha información en manos equivocadas y sin responsabilidad humana, genera un riesgo
alto en tema de fraude, multas por instituciones gubernamentales y perdidas de información por
desastres naturales.
La metodología propuesta se fundamenta en los estándares internacionales y buenas prácticas del
área de seguridad de la información cubriendo los puntos esenciales de las TIC como: hardware,
software, internet, intranet, comunicaciones, y eventos no esperados como desastres naturales y
ataques informáticos.
8
ABSTRACT
This document presents a information classification methodology for the financial sector, which
facilitates the implementation of security controls to Information Technology and Communication
(TIC), helping to mitigate the risks encountered in financial systems and / or applications involved in
this sector. The methodology also helps to classify information concerning the final customer and
proprietary information of the organization, covering the spirals of information security: Integrity,
Availability and Confidentiality (attribute information), facilitating the standardization of this work in
the financial institutions, and there by contribute to the realization of risk analysis.
Today information security in TIC is an essential issue in the financial sector since the systems
process information in monetary transactions and personal customer information, such information
into the wrong hands without human responsibility, generates a high-risk issue fraud, government
institutions fines and loss of information by natural disasters.
The proposed methodology is based on international standards and best practices in the area of
information security covering the essentials of TIC as hardware, software, internet, intranet,
communications, and unexpected events such as natural disasters and attacks.
9
INTRODUCCIÓN
En la actualidad la seguridad de la información ha crecido en gran manera en las organizaciones del
sector financiero, ya que se han enfrentado a riesgos asociados a causa de clasificar la información
sin fundamento en las buenas prácticas y estándares internacionales.
Cada día se generan métodos distintos que afectan directamente los atributos de la información de
las TIC, es por ello la necesidad de una metodología de clasificación de la información que apoye el
uso adecuado de cada tipo de información.
Hoy en día existen una serie de factores que afecta la seguridad en organizaciones del sector
financiero a nivel mundial como: desastres naturales, ataques cibernéticos, errores humanos,
omitiendo planes de remediación y/o contingencia que no pongan en peligro la continuidad del
negocio.
Por ello en este documento se presenta una metodología de clasificación de la información en
organizaciones del sector financiero que resguarda los atributos de la información de acuerdo a su
importancia, basándose en los estándares internacionales y buenas prácticas de seguridad, y con
ello apoyar a la realización de análisis de riesgos.
Para apoyar la utilización de la metodología de manera ágil y sencilla se incluye una guía de
implementación paso a paso para la correcta clasificación de la información,
10
CAPÍTULO I MARCO METODOLÓGICO
1.1. PLANTEAMIENTO DEL PROBLEMA
Algunas empresas del sector financiero se enfrentan al proceso de clasificación de la información,
que debe proporcionar seguridad específica a cada tipo de información. Debido a que la información
no se clasifica en base a los estándares internacionales y buenas prácticas de seguridad, las
empresas ponen en riesgo los atributos de la información.
De acuerdo a la ISACA (Information Systems Audit and Control Association) la clasificación de la
información es un factor crítico en un análisis de riesgos, ya que esto repercute en la pérdida de la
información a través de las vulnerabilidades generadas al no clasificar la información con base a los
estándares internacionales y buenas prácticas de seguridad dentro de un análisis de riesgos.
1.2. OBJETIVO
OBJETIVO GENERAL
Crear una metodología de clasificación de la información para el sector financiero que resguarde los
atributos de la información de acuerdo a su importancia.
1.3. JUSTIFICACIÓN
Para que las empresas del sector financiero puedan afrontar el reto de clasificar la información de
acuerdo a su importancia, y con ello minimizar posibles riesgos que se presentan al manejar la
información.
1.4. TIPOS DE INVESTIGACION
La investigación realizada es de tipo descriptiva y exploratoria, en un 80 % de tipo descriptiva ya que
el problema a tratar es conocido y normas y mejores prácticas recomiendan controles para la
disminución de los riesgos relacionados con clasificación de información. El 20% de investigación
exploratoria se debe a que no existe ninguna metodología para la clasificación de la información, y
es por ello que se realiza la innovación y generación de una metodología y guía práctica que
coadyuve la disminución de riesgos informáticos en organizaciones del sector financiero.
1.5. METODOLOGIA DE LA INVESTIGACION
La metodología de la investigación utilizada es de tipo bibliográfico (Documental) y de campo ya que
se realizaron búsquedas de información relacionadas al tema en libros, revistas, periódicos, artículos
de organizaciones de seguridad informática y cualquier otro tipo de información escrita que se
11
considere importante para la investigación. También se trabajó con personas relacionadas a distintas
instituciones financieras con el objetivo de recabar información que apoye a comprender y resolver
la necesidad del uso de una metodología para la clasificación de la información.
1.6. METODO E INSTRUMENTO DE LA INVESTIGACION
Se utilizó el método inductivo –deductivo para la recolección de información fundamentado en la
técnica de la encuesta y el instrumento, un cuestionario diseñado de 3 preguntas de opción múltiple
dirigidas a trabajadores de organizaciones del sector financiero (Anexo 1).
1.7. POBLACION Y MUESTRA
Población.
La población de la cual se extrajo la información necesaria para realizar la investigación fue de 10
trabajadores de distintas organizaciones financieras que proporcionaron información de manera
anónima y sin comprometer datos confidenciales.
Muestra.
En la investigación a desarrollar la muestra fue seleccionada por dos empleados de diferentes
instituciones, con el objetivo de que los resultados obtenidos sean acorde a 5 diferentes instituciones
financieras.
Presentación de los resultados de la muestra.
Los resultados de la muestra se representarán a través de gráficas.
1.8. PROCEDIMIENTO
El responsable de la recolección de datos fue Isaí Elías el autor de este trabajo de investigación a
través de un cuestionario de 5 peguntas, con el objetivo de conocer si las instituciones financieras
cuentan con una metodología y guía práctica para clasificar la información.
Se realizó una investigación bibliográfica de los siguientes puntos:
Modelos y metodologías de investigación científica y tecnológica
Normatividad y mejores prácticas de seguridad de seguridad en la información
Problemática de seguridad en la información
12
Después de esto se documentó una propuesta de metodología para la clasificación del a
información, creando políticas y métodos.
Por último se documentó una guía rápida para el uso de la metodología.
Con el uso de esta metodología se espera resguardar los atributos de la información de acuerdo a
su importancia, basándose en los estándares internacionales y buenas prácticas de seguridad, y con
ello apoyar el manejo seguro de la información en una organización.
13
CAPÍTULO II MARCO REFERENCIAL SOBRE EL DESARROLLO
DE MODELOS Y METODOLOGÍAS DE INVESTIGACIÓN
CIENTIFICA Y TECNOLOGICA
En este capítulo se plasma el concepto de modelo así como el de metodología con el fin de entender
las diferencias entre estos mismos, y también conocer los tipos de modelos y metodologías que
existen, rescatando los puntos clave de estos últimos. Al final del tema de tipos de metodologías se
explicará el motivo por el cual se decidió llevar a cabo una metodología y no un modelo.
2.1. MODELO
El diccionario de la real academia española dice que modelo es ‘esquema teórico, generalmente en
forma matemática, de un sistema o de una realidad compleja, como la evolución económica de un
país, que se elabora para facilitar su comprensión y el estudio de su comportamiento’.
Por modelo también se entiende que es ‘un bosquejo que representa un conjunto real con cierto
grado de precisión y en la forma más completa posible, pero sin pretender aportar una réplica de lo
que existe en la realidad’, (Aguilar, C y Cañas, R 1992).
Desde el punto de vista de la programación orientada a objetos, podemos entender que un modelo
es: ‘vista de un sistema del mundo real, es decir, una abstracción de dicho sistema considerando un
cierto propósito’, (Luis Armando Canchala Fernández, 2015)
Todo modelo requiere de cierta abstracción por lo que en este sentido los modelos son
reduccionistas ‘todo reduccionismo, que no es sino el intento de comprender los fenómenos
complejos analizándolos y reduciéndolos hasta sus componentes elementales, el intento de explicar
una dimensión de los fenómenos o un nivel de la ciencia por otro nivel y así sucesivamente hasta
llegar a una última explicación que actuaría en el terreno del intelecto a semejanza del primer motor
aristotélico, produce distorsiones en el conocimiento científico’, (Marí 1990 ).
2.2. TIPOS DE MODELOS
‘De acuerdo a la condición y grado de analogía que establecen los modelos, la siguiente clasificación
distingue 3 grandes tipos: los más concretos son las réplicas, siguen los modelos figurativos, y
finalmente están los más abstractos, que son los modelos formales’ (Díaz 2005).
14
1. Réplicas: Pretenden copiar al referente1 de manera analógica
a) Concretas: Reproducciones isomórficas2 a escala. Las reproducciones de objetos lejanos a
nuestra proporción perceptiva, como células o planetas, tienen usos didácticos y
aplicaciones muy evidentes al ser proyectadas a una escala más familiar para nuestra
experiencia.
b) Sustitución: Uso de un sistema existente como modelo de otro de referencia. Es frecuente
en la biología experimental hablar de los animales de laboratorio como modelos, lo cual
puede sorprender porque un animal, desde luego, no parecería modelo más que de su
mismo tipo; el hígado de la rata permite mayores analogías con el hígado humano que el
cerebro.
c) Experimental: Manipulación deliberada de un sistema existente para emular al referente. Los
investigadores cuentan con modelos experimentales de la mayoría de las enfermedades
humanas, lo cual les permite por añadidura sustituir manipulaciones imposibles o
indeseables en el caso de la enfermedad humana, por procesos equivalentes. En muchos
casos existen modelos alternativos de una enfermedad que favorecen una sana
competencia entre ellos con relación a su relevancia.
2. Figurativos: No son isomorfismos, sino que pretenden identificar y abstraer los elementos
cruciales o esenciales de un sistema para establecer las funciones que mejor definan la
operación del sistema referente.
a) Caja negra (modelo básico): En este se reconocen los componentes elementales del sistema
y se establecen las entradas y salidas de cada uno para integrar un modelo funcional del
organismo o del sistema completo. El modelo se sitúa en un sitio intermedio entre los datos
y la teoría. Por una parte se nutre de información factual y la predice; por otro se afila a una
teoría y establece con ella un juego de correspondencias y correcciones.
b) Esquema: Formas, figuras, signos y conceptos que habitualmente combinados representan
objetos y procesos naturales. Todas las fórmulas moleculares usadas en química son
modelos figurativos convencionales.
3. Formales: Llamados así por su alto nivel de abstracción sintética, y por su determinación y
expresión en un lenguaje natural o convencional que se sabe o se pretende riguroso y exacto.
(Díaz 2005).
1 Referente: cosa o persona tomada como modelo o patrón de una actividad. 2 Isomorfo: que tiene igual forma o estructura.
15
a) Conceptual: Usa el lenguaje natural como herramienta, en ese caso sintetizando en una
serie de enunciados precisos, lógicos y suficientes los elementos constitutivos, aspectos
cruciales o leyes fundamentales del referente. Este tipo de modelos se acerca, tanto como
es posible hacerlo, a la teoría, si la entendemos como un sistema de conceptos explicativos
de una realidad determinada.
b) Matemático: Formulación de ecuaciones que constituyen expresiones legales o leyes, y que
describen precisamente la condición del objeto de referencia. Dos ejemplos importantes de
modelo matemático son el uso de la teoría de la información para modelar la transmisión de
mensajes o reglas de comunicación y el uso de la teoría cinética de los gases para modelar
el comportamiento de los solutos en solución.
c) Computacionales: Son especialmente los algoritmos, modelos que usualmente no se
anuncian como tales porque lo que pretenden es una aplicación directa: estipular con la
mayor economía posible los pasos sucesivos para la resolución de un problema o la
obtención de un objetivo. (Díaz 2005).
TIPOS SUBTIPOS DEFINICIÓN EJEMPLARES
Réplica
Concreto Reproducciones a escala Maqueta, mapa, maniquí
Sustitución Sistemas existentes Animales, máquinas que permiten
analogías
Experimental Reproducción de
características
Patología experimental
Figurativo
Caja negra Diagrama E y S (modelo
básico)
Cartas de parentesco
Flujo de ecosistemas
Procesos discretos
Esquema Formas y figuras Átomo de Bohr
Fórmula molecular
Diagrama eléctrico
Formal
Conceptual Foco de teoría Modelo cosmológico
Modelo stándard
Matemático Simulación formal Expresiones legales en forma de
ecuaciones
Cómputo Algoritmos Inteligencia artificial
Redes neuronales
Tabla 1. Clasificación de modelos científicos según el uso del término
(Díaz 2005).
16
2.3. METODOLOGÍA
Primero empezaremos por definir lo que es metodología. El diccionario de la real academia española
tiene 2 significados para metodología, el primero dice que es la “ciencia del método” y el segundo
dice que es el “conjunto de métodos que se siguen en una investigación científica o exposición
doctrinal”.
La palabra metodología, está compuesta por tres vocablos griegos: metà (‘más allá’), odòs (‘camino’)
y logos (‘estudio’); la palabra hace referencia a los métodos de investigación que permiten lograr
ciertos objetivos en una ciencia, es decir, es el conjunto de métodos que rigen una investigación
científica o en una exposición doctrinal. (Cegarra, J. 2004)
Eyssautier en su libro ‘metodología de la investigación’ (2006) nos proporciona otro concepto de
metodología, ’metodología es un cuerpo de conocimientos que describe y analiza los métodos
indicando sus limitaciones y recursos, clarificando sus supuestos y consecuencias y considerando
sus potenciales para los avances en la investigación. El objetivo de la metodología es el
mejoramiento de los procedimientos y el criterio utilizado en la conducción de la investigación
científica’.
Es importante hacer la distinción entre método y metodología; método es el procedimiento que se
sigue para alcanzar los objetivos y metodología es el estudio del método. Hoy en día hay confusión
entre estas dos palabras, ya que muchos autores lo manejan como sinónimo aunque en sus
definiciones no es lo mismo.
2.3.1. TIPOS DE METODOLOGÍAS
En este punto se plantearán 3 tipos de metodologías de diferentes tipos de investigación, esto es
para conocer cuáles son los puntos base que se toman en cuenta en las diferentes metodologías y
con esto apoyarnos y guiarnos en los pasos a seguir para desarrollar una metodología de
administración de respaldos. (Pacheco, A. & Cruz, M. 2005)
Antes de comenzar con el desglose de los tipos de metodologías viene bien explicar el concepto de
investigación ya que las siguientes metodologías se refieren a este término. José Cegarra en su libro
‘metodología de la investigación científica y tecnológica’ define la investigación como: ‘proceso
creador mediante el cual la inteligencia humana busca nuevos valores. Su fin es enriquecer los
distintos conocimientos del hombre, provocando acontecimientos que le hablen del porqué de las
cosas, penetrando en el fondo de ellas con mentalidad exploradora de nuevos conocimientos’.
(Cegarra, J. 2004),
17
2.3.2. METODOLOGÍA DE LA INVESTIGACIÓN BÁSICA
Investigación básica (también llamada como investigación fundamental o investigación pura) ‘es la
que se realiza en el laboratorio, en células, en tejido, en microorganismos y en ella no están
involucrados pacientes, pero es una investigación que en último término busca ayudar a solucionar
problemas médicos’ (Lizcano 2005).
El objetivo central de este tipo de investigación es conocer y explicar los fenómenos de la realidad
natural y social, por lo que tiene como eje principal la formulación de una o varias hipótesis. La
hipótesis es una respuesta tentativa (afirmativa o negativa) a la pregunta central de la que parte la
investigación.
Las etapas para llevar a cabo una investigación básica se describen a continuación:
ETAPA I.- PLANTEAMIENTO DEL PROBLEMA
La razón o inquietud por la cual se llevará a cabo la investigación, debe pulirse hasta llegar a
convertirse en el objetivo central de la investigación lo cual esto lleva a la necesidad de formular una
o varias hipótesis. En esta etapa se debe formular una hipótesis inicial la cual después se convertirá
en la hipótesis definitiva del trabajo. Asimismo, el planteamiento del problema debe incluir la
justificación, los alcances de la investigación y los beneficios esperados con la aceptación o el
rechazo de la hipótesis definitiva del trabajo.
ETAPA II.- PLANTEAMIENTO METODOLÓGICO
Se plantea la secuencia de pasos que debe seguirse para llevar a cabo la investigación. Los pasos
se entienden como una secuencia de bloques, los cuales se mencionan a continuación.
1. El primer bloque consiste en un análisis triple.
El primero es de tipo bibliográfico
El segundo es documental
El tercero es una visión crítica de la situación actual del objeto que se investigará.
2. El segundo bloque es una síntesis la cual debe desembocar en la formulación de la hipótesis
definitiva.
3. El tercer bloque es un análisis a través del cual se hará el diseño para la verificación de la
hipótesis.
4. El cuarto bloque es la manera en cómo se va a llevar a la práctica el diseño que se realizó
para la aprobación o rechazo de la hipótesis.
5. El quinto bloque contiene las conclusiones finales de la investigación.
18
ETAPA III.- DISEÑO DEL PROTOCOLO
Se formaliza la investigación a través de la elaboración por escrito del protocolo correspondiente.
Este debe contener el planteamiento del problema y planteamiento metodológico.
ETAPA IV.- EJECUCIÓN PRÁCTICA
Consiste en la ejecución práctica de la investigación con base en el seguimiento de las actividades
mencionadas en el protocolo.
ETAPA V.- SÍNTESIS DE LOS RESULTADOS
Se realiza una síntesis de los resultados que arrojarán las principales aportaciones de la
investigación, las cuales pueden ser de tres niveles: teóricas, metodológicas y prácticas.
ETAPA VI.- INTEGRACIÓN DEL REPORTE FINAL
Se elabora un documento a través del cual se comunica lo realizado. En este reporte se ensamblan
de forma lógica y coherente, los resultados alcanzados en cada una de las actividades señaladas en
el programa de trabajo.
En la figura 1 se muestran los pasos a seguir para llevar a cabo el planteamiento del problema. Se
observa que en el marco teórico se utilizan técnicas documentales y de campo para el análisis inicial,
mientras que en el segundo análisis se utilizan las técnicas propias de cada ciencia ya sea de las
ciencias naturales y/o sociales.
19
Figura 1. Planteamiento metodológico de la investigación básica (Lizcano 2005).
2.3.3. METODOLOGÍA DE LA INVESTIGACIÓN TECNOLÓGICA
La investigación tecnológica (también conocida como investigación de desarrollo), tiene por finalidad
la invención de artefactos o de procesos con el objeto de ofrecerlos al mercado y obtener un beneficio
económico’. ‘Este tipo de investigación necesita de un conocimiento de las necesidades actuales o
futuras del mercado, a fin de que sus productos o procesos sean aceptados por éste’, (Cegarra
2004).
Esta investigación es esencialmente experimental.
La investigación tecnológica tiene como objetivo la innovación o invención de herramientas y
mecanismos para facilitar el trabajo humano; por tanto, el eje ya no puede ser una hipótesis, ésta
gira alrededor de un objetivo instrumental que refleje claramente los alcances de innovación o
invención particulares.
20
ETAPA I.- PLANTEAMIENTO DEL PROBLEMA
Ubicar una problemática tecnológica que va, desde la eventual inquietud original hasta la ubicación
de las características generales de un prototipo que contribuya a dar solución a tal problemática.
Asimismo debe incluir la justificación y los alcances y beneficios esperados; el objetivo central gira
alrededor de diseñar, desarrollar y validar un prototipo tecnológico.
ETAPA II.- PLANTEAMIENTO METODOLÓGICO
Etapa que ubica, a partir del objetivo concreto de innovación tecnológica, los grandes bloques
metodológicos que se deberán seguir para alcanzar los resultados esperados
1. El primer bloque se compone de tres análisis.
El primero consiste en la ubicación del contexto en el cual se ubica y utiliza la
herramienta que se innovará.
El segundo tiene que ver con la descripción crítica del artefacto o herramienta a
mejorar.
El tercer análisis es de tipo bibliográfico y tiene la finalidad de dar sustento científico
al prototipo.
2. El segundo bloque se encarga de la elaboración del diseño teórico del prototipo tecnológico,
que se traducirá en el objetivo concreto de la investigación.
3. El tercer bloque consiste en "la actividad material consiente y objetiva",
4. Un cuarto bloque sintético deberá contener las conclusiones finales de la investigación.
ETAPA III.- DISEÑO DEL PROTOCOLO
La formalización de la investigación a través de la elaboración de su protocolo (primer documento).
Se deberá señalar claramente el problema tecnológico que se pretende resolver, el objetivo en
términos del prototipo a diseñar, así como la descripción de los bloques metodológicos para
alcanzarlo. El protocolo es el documento escrito que formaliza lo desarrollado en la primera y
segunda etapas anteriormente descritas.
ETAPA IV.- EJECUCIÓN PRÁCTICA
Llevar a cabo la práctica y darle seguimiento a las actividades señaladas en el protocolo.
ETAPA V.- SÍNTESIS DE LOS RESULTADOS
Ordenarán los resultados de las actividades desarrolladas, básicamente en documentar el prototipo
diseñado y las conclusiones finales de la investigación.
21
ETAPA VI.- INTEGRACIÓN DEL REPORTE FINAL
Una vez concluida la investigación con base en lo señalado en el índice tentativo contenido en el
protocolo, se redactará el reporte final, en el cual deben quedar ensamblados, en forma lógica y
coherente, los resultados alcanzados.
En la figura 2 se muestran los pasos a seguir para llevar a cabo el planteamiento del problema; en
el marco teórico se utilizan técnicas documentales y de campo para llevar a cabo el análisis inicial,
mientras que en la praxis se utilizan técnicas propias de cada área tecnológica.
Figura 2. Planteamiento metodológico de la investigación tecnológica (Cegarra 2004).
22
2.3.4. METODOLOGÍA DE LA INVESTIGACIÓN DE INTERVENCIÓN
Una investigación de intervención se realiza en el marco de disciplinas como la administración, la
ingeniería industrial, la informática, entre otras áreas, por lo que su objetivo central consiste en
introducirse en un proceso o fenómeno de la realidad, con la finalidad no únicamente de conocerlo
o explicarlo, si no de transformarlo y adecuarlo a objetivos claramente definidos al inicio de la
investigación.
A continuación se abordarán las etapas de la metodología de investigación de intervención.
ETAPA I.- PLANTEAMIENTO DEL PROBLEMA
Se define el objetivo de la investigación, se debe intervenir directamente para transformar una
situación real con la finalidad de modificarla y adecuarla a la luz de ciertos fines establecidos
previamente. Este objetivo será resultado de la elaboración y ubicación de la situación de la
problemática que requiere y exige una investigación formal y sistematizada a través de la cual se
pretende contribuir a la solución
ETAPA II.- PLANTEAMIENTO METODOLÓGICO
En base al objetivo y apoyados en la espiral de la praxis investigativa, se definen los bloques
metodológicos o las acciones secuenciadas que se deberán realizar para alcanzar los resultados
esperados de la investigación
1. El primer bloque consiste en un análisis triple:
El primero consiste en una revisión y estructuración del contexto en el que se mueve el
objeto de estudio.
El segundo consiste en una serie de acciones que arrojarán una descripción crítica del
objeto de estudio.
El último análisis es de tipo bibliográfico generando el marco teórico que dará sustento
a la propuesta aplicativa de transformación y mejora.
2. El segundo bloque tiene como objetivo la elaboración del diseño teórico de la propuesta de
solución a la problemática detectada en la primera etapa.
3. El tercer bloque muestra la praxis, es decir, la actividad material consiente y objetiva
encaminada a aplicar y validar dicha propuesta de mejora.
4. El cuarto bloque consiste en la síntesis de ponderación de los resultados obtenidos y
conclusiones.
23
ETAPA III.- DISEÑO DEL PROTOCOLO
Consiste en la formalización de la investigación a través de la elaboración de un documento formal
por escrito que incluirá el planteamiento del problema así como el planteamiento metodológico.
ETAPA IV.- EJECUCIÓN PRÁCTICA
Consiste en llevar a la práctica las actividades señaladas en el protocolo.
ETAPA V.- SÍNTESIS DE LOS RESULTADOS
Ya con los resultados prácticos de la investigación, se ordenan los resultados ubicando las
aportaciones principales y se elaboran las conclusiones finales.
ETAPA VI.- INTEGRACIÓN DEL REPORTE FINAL
Se elabora el reporte final de la investigación en el que se ensamblan, de manera lógica y coherente
los resultados alcanzados en cada una de las actividades señaladas con base al índice tentativo
desarrollado previamente.
Figura 3. Planteamiento metodológico de la investigación de intervención (Cegarra 2004).
24
En la figura 3 se muestra la metodología para llevar a cabo el planteamiento del problema de la
investigación de intervención; en el marco teórico se lleva a cabo el uso de técnicas documentales y
de campo mientras que en la praxis de utilizan las técnicas propias de cada disciplina de
administración industrial, ingeniería industrial e ingeniería del transporte.
En los puntos anteriores se explicaron diferentes tipos de metodologías generales.
Resumiendo la investigación de las metodologías de investigación encontramos que las 3 son muy
parecidas y que la principal diferencia radica en los objetivos de cada una. Analizando el
planteamiento metodológico de las 3 se observa que las similitudes de ambas radican en que
cuentan con un objetivo, después se realiza un análisis en donde se desarrolla el marco teórico,
después viene el diseño teórico el cual varía de acuerdo a cada investigación así como el diseño
físico, y por último se tienen las conclusiones la cual se realiza en todas las metodologías; solo una
de las investigaciones maneja hipótesis y esto marca la diferencia en sus bloques metodológicos.
También podemos observar que en las metodologías se siguen los pasos consecutivamente, es
decir que no es posible avanzar al siguiente nivel sin realizar el nivel anterior, por lo que todos los
pasos, niveles o bloques de una metodología deben respetarse y llevarse a cabo en el orden
establecido.
En este capítulo también se habló sobre el concepto de modelo y metodología así como de los
diferentes tipos que existen en cada uno; es por esto que se decidió llevar a cabo una metodología
y no un modelo. Como ya sabemos un modelo es una representación de la realidad la cual va a
servir para conocer el comportamiento de ciertas variables las cuales pueden ayudar a tomar
decisiones sobre qué pasa, pasará o puede pasar si se tiene cierto comportamiento. Sin embargo
una metodología se puede definir como los pasos que se deben seguir para llegar a un objetivo,
obviamente antes se debieron estudiar los métodos a utilizar para lograr el objetivo. Es por esto que
nosotros solo planeamos brindarle a las empresas los pasos que consideramos se deben seguir para
tener una adecuada administración de respaldos ya que no nos meteremos a simular el
comportamiento real que se tiene en una empresa para la administración de sus respaldos.
De acuerdo a la investigación del tipo de metodologías, la generación de la metodología para
la clasificación de la información en instituciones del sector financiero se basará en gran parte
de la METODOLOGÍA DE LA INVESTIGACIÓN DE INTERVENCIÓN ya que su objetivo central
consiste en introducirse en un proceso o fenómeno de la realidad, con la finalidad no
únicamente de conocerlo o explicarlo, si no de transformarlo y adecuarlo a objetivos
claramente definidos al inicio de la investigación.
25
Las etapas que se utilizarán para la generación de la metodología son las siguientes:
Planteamiento del problema. Fue definido en el capítulo IV del trabajo de
investigación.
Planteamiento metodológico.
o Se definen objetivos a alcanzar al finalizar la investigación los cuales fueron
definidos en el capítulo I.
o Elaboración de una propuesta de solución.
o Síntesis de los resultados obtenidos
Ejecución práctica. Diseño de la metodología y guía para su implementación.
26
CAPÍTULO III NORMATIVIDAD Y MEJORES PRÁCTICAS DE
SEGURIDAD INFORMATICA
En este capítulo se desglosarán puntos específicos de normas mexicanas y guías de mejores
prácticas referentes a seguridad de la información.
Consideramos necesario antes de explicar las normas y guías de mejores prácticas, entender el
concepto de las siguientes palabras: seguridad de la información, clasificación de la información,
análisis de riesgos, BRO, Diccionario de Datos.
Seguridad de la información
Garantiza que solo los usuarios autorizados (confidencialidad) puedan tener acceso a la información
precisa y completa (integridad) cuando sea necesario (disponibilidad). (W. Krag Brotby, 2012)
Clasificación de la información
La clasificación de la información es aquel proceso por el que se caracteriza a los diferentes tipos,
estructuras y valores de la información para que las organizaciones puedan extraer valor de ella.
(ISO/IEC 27002)
Análisis de riesgos
En forma general un análisis de riesgos es “un proceso técnico y científico por el cual los riesgos de
una situación dada en un sistema son modelados y cuantificados” (Ayuub, 2003). Los análisis de
riesgos permiten reconocer tres rubros principales en un sistema, los cuales son: peligros,
probabilidad de un evento y las consecuencias del evento.
BRO (Bussiness Risk Officer)
Es el official de riesgos a nivel negocio, también el encargado de realizar la clasificación de la
información de acuerdo a la perspectiva de negocio.
Diccionario de datos
Conjunto de datos que especifica las características lógicas y definiciones concretas de los datos
utilizados por un sistema informático, como datos personales, códigos informáticos, siglas, etc.
El diccionario de datos contiene una descripción clara de cada data almacenado en una Base de
Datos o sistema informático.
Con los conceptos definidos anteriormente podremos comprender los fundamentos de la seguridad
necesarios para el estudio de clasificación de información.
27
3.1. NORMATIVIDAD
Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP)
La presente Ley es de orden público y de observancia general en toda la República y tiene por objeto
la protección de los datos personales en posesión de los particulares, con la finalidad de regular su
tratamiento legítimo, controlado e informado, a efecto de garantizar la privacidad y el derecho a la
autodeterminación informativa de las personas. (MEXICANOS, 2010)
En un mundo con gran despliegue tecnológico y donde la economía gira en torno a la información,
es de extrema importancia contar con una legislación que proteja los datos personales. En México
es una necesidad clara y como prueba, desde 2001 se han presentado siete iniciativas que van
desde las muy conservadoras hasta las muy liberales. (Galaz, 2010)
Las noticias recientes han presentado incidentes sobre el robo y tráfico de datos en México que nos
ponen a pensar en la vulnerabilidad de los sistemas y el riesgo que representan para cualquier
individuo u organización.
Los riesgos tecnológicos son un asunto de todos los días para los ejecutivos de las organizaciones.
No es exagerado decir que las amenazas a la confidencialidad son un tema que cada día preocupa
más, pues los riesgos se multiplican conforme avanza la tecnología.
El 5 de julio de 2010 se publicó en el Diario Oficial de la Federación (DOF) la Ley Federal de
Protección de Datos Personales en Posesión de Particulares (LFPDP), la cual tiene como objetivo
proteger los datos personales en posesión de los particulares y regular su tratamiento legítimo,
controlado e informado, a efecto de garantizar la privacidad y el derecho a la autodeterminación
informativa de los individuos. (Galaz, 2010)
Bajo este contexto, la Ley mencionada anteriormente entró en vigor al día siguiente de su publicación
en el DOF y las empresas contarán con un plazo de 18 meses para implementar políticas y
procedimientos, así como los mecanismos necesarios en recursos humanos, legal, tecnología,
procesos e infraestructura para cumplir con dicha Ley. El Ejecutivo Federal expedirá el reglamento
respectivo en el año siguiente a su entrada en vigor. (Galaz, 2010)
En ese mismo periodo los responsables designarán a la persona o el departamento de datos
personales a que se refiere el Artículo 30 de la Ley y expedirán sus avisos de privacidad a los titulares
de esa información. (Galaz, 2010)
28
Las sanciones por faltas a la LFPDP van desde sanciones económicas hasta la privación de la
libertad.
El Instituto Federal de Acceso a la Información y Protección de Datos Personales (IFAI PDP) es el
encargado de promover y difundir el ejercicio del derecho a la información, resolver sobre la negativa
a las solicitudes de acceso a la información y proteger los datos personales en poder de
dependencias y entidades. (Galaz, 2010)
La Ley cuenta con 69 artículos agrupados en once capítulos y transitorios.
Figura 4. Artículos de la LFPDPPP (Galaz, 2010)
La Ley prevé sanciones que van desde el apercibimiento (equivalente a una llamada de atención),
hasta la imposición de multas desde 100 hasta 320 mil días de Salario Mínimo General Vigente, lo
cual equivale a cerca de 18 millones de pesos. Además, en función de la gravedad del delito, podrían
existir responsabilidades civiles y penales. (Galaz, 2010)
Los delitos en materia del tratamiento indebido están descritos en los siguientes artículos:
29
Artículo 67.- Se impondrán de tres meses a tres años de prisión al que estando autorizado para tratar
datos personales, con ánimo de lucro, provoque una vulneración de seguridad a las bases de datos
bajo su custodia.
Artículo 68.- Se sancionará con prisión de seis meses a cinco años al que, con el fin de alcanzar un
lucro indebido, trate datos personales mediante el engaño, aprovechándose del error en que se
encuentre el titular la persona autorizada para transmitirlos.
Artículo 69.- Tratándose de datos personales sensibles, las penas a que se refiere este Capítulo se
duplicarán.
Finalmente, la Ley destaca los artículos anteriores con el objetivo de que toda organización o persona
que recabe datos personales, tenga conciencia y controles sobre la información de terceros, con el
objetivo de estar resguardada cumpliendo con las características de la seguridad, confidencialidad,
integridad y disponibilidad.
Para la generación de la metodología propuesta en este trabajo de Tesis, uno de los principales
objetivos es cumplir de manera correcta con la LFPDPPP y evitar sanciones que pueden afectar la
imagen, reputación y finanzas de las instituciones financieras.
3.2. MEJORES PRÁCTICAS
En este punto se detallan algunas guías de mejores prácticas que existen actualmente y que son
utilizadas a nivel mundial; se hace referencia solamente a los puntos relacionados con la clasificación
de la información.
3.2.1. ISO 27002:2005
Como ya sabemos las normas ISO son reconocidas a nivel mundial y muchas empresas deciden
certificarse en estas normas para sobresalir de entre la competencia o muchas de la veces lo hacen
porque sus procesos lo requieren.
Hay normas ISO que son certificables pero hay otras que son guías de buenas prácticas; para
nuestro trabajo nos apoyaremos en la norma ISO 27002:2005 la cual es una guía de buenas
prácticas que describe los objetivos de control y controles recomendables en cuanto a la seguridad
de la información.
30
La ISO 27002:2005 consta de 39 objetivos de control y 133 controles agrupados en 11 dominios. El
dominio que hace referencia a la clasificación de la información es el dominio 7.
7. GESTIÓN DE ACTIVOS.
7.1 Responsabilidad sobre los activos.
7.1.1 Inventario de activos.
7.1.2 Propiedad de los activos.
7.1.3 Uso aceptable de los activos.
7.2 Clasificación de la información.
7.2.1 Directrices de clasificación.
7.2.2 Etiquetado y manipulado de la información.
Dentro del Dominio control de activos está incluido el Objetivo de control “Clasificación de la
información” el cual define directrices para la clasificación, identificación y manipulado del
información.
La metodología propuesta en este trabajo de tesis toma varias recomendaciones de acuerdo a los
objetivos y principios del objetivo d control descritos a continuación:
Objetivo
Asegurar que se aplica un nivel de protección adecuado a la información.
Principios
Se debería clasificar la información para indicar la necesidad, prioridades y nivel de
protección previsto para su tratamiento.
La información tiene diversos grados de sensibilidad y criticidad. Algunos ítems podrían
requerir niveles de protección adicionales o de un tratamiento especial.
Debería utilizarse un esquema de clasificación de la información para definir el conjunto
adecuado de niveles de protección y comunicar la necesidad de medidas especiales para el
tratamiento.
3.2.2. ITIL V3 (GUÍA DE BUENAS PRÁCTICAS)
31
ITIL es un código de buenas prácticas basado en la gestión de servicios de TI, entendida como el
conjunto de habilidades organizacionales especializadas en proveer valor a los clientes en forma de
servicios.
Consta de 5 procesos que se agrupan en las cinco fases del ciclo de vida de los servicios de TI, las
cuales son:
Estrategia del servicio
Diseño del servicio
Transición del servicio
Operación del servicio
Mejora continua del servicio
Dentro de ITIL en el proceso llamado ‘Diseño del servicio’ encontramos la ‘Gestión de la
disponibilidad’ la cual tiene como objetivo principal garantizar que exista una disponibilidad suficiente,
justificable económicamente y de acuerdo a las necesidades del negocio.
Un punto que nos puede servir de ITIL al crear una metodología es el garantizar la provisión del
servicio en los niveles de disponibilidad acordados.
1.- Establece un plan de disponibilidad con las necesidades actuales y futuras del cliente.
2.- Garantiza la disponibilidad de los servicios.
Dentro del proceso de ‘Gestión de la continuidad del servicio de TI’ (ITSCM) se tiene como objetivo
principal apoyar al proceso global de continuidad del negocio, garantizando que todas las
instalaciones técnicas y de servicios de TI pueden volver a funcionar en los plazos de tiempo
requeridos y acordados con el negocio. Aplica ante “catástrofes” y no ante fallos menores.
El ITSCM facilita la continuidad del negocio:
Recuperando las instalaciones de TI en el tiempo acordado
Mantiene planes de continuidad y recuperación
Asesora a todas las aéreas sobre aspectos de continuidad y recuperación
Garantiza la operatividad de los mecanismos de continuidad y recuperación
Es imprescindible estar totalmente alienado e integrado con el ‘Plan de continuidad del
negocio’ (BCP).
32
Actividades del ITSCM:
Establecer políticas y alcance.
Evaluar el impacto en el negocio de una interrupción de los servicios de TI.
Establecer estrategias de continuidad del negocio.
Desarrollar y probar los planes de contingencia (alimentación eléctrica, sistemas de back-
up, duplicación de sistemas críticos etc.)
Ante una situación de emergencia deben estar claramente definidas las responsabilidades y
funciones del personal así como los protocolos de actuación a seguir.
Dentro del proceso de ‘Gestión de la seguridad de la información’ el cual tiene como objetivo principal
alinear la seguridad de TI con la del negocio y garantizar una gestión eficaz de la información en
todos los servicios y actividades de gestión de servicio. Garantiza que la política de seguridad de la
información satisface los requisitos de la organización y del gobierno corporativo.
Esto se logra preservando los atributos de la información: confidencialidad, integridad, disponibilidad
(la información está disponible para ser usada cuando se pida) autenticidad y no repudio.
Dentro de las actividades de la ‘Gestión de la información y los datos’ los requisitos de una buena
gestión nos dice que hay que garantizar la integridad permitiendo la recuperación de datos perdidos
y el acceso controlado
ITIL nos dice que la información tiene un valor económico que se percibe claramente si se pierde.
La información es un activo valioso y una correcta gestión de su seguridad y disponibilidad debe
considerarse una parte integral de la ‘Gestión de Servicios de TI’ desde la base de ‘Diseño de
Servicio’.
ITIL dice que dentro de la organización como parte del diseño del ‘Gestor de la disponibilidad’ debe
garantizar que los servicios existentes estén disponibles según los acuerdos.
La seguridad requiere medidas: preventivas, reductivas, indagadoras, represivas, correctivas.
Dentro del proceso de ‘Operación del servicio’ se debe buscar un equilibrio entre la estabilidad y la
disponibilidad de la infraestructura de TI a la par que se tiene en cuenta los cambios de requisitos
del negocio. En las actividades de ‘Operaciones de TI’ se encuentra la realización de respaldos y
restauración de servicios.
33
Dentro de las funciones de la ‘Gestión de operaciones de TI’ uno de los objetivos principales es
mantener la estabilidad de procesos y actividades. La ‘Organización de gestión de operaciones’ de
TI está integrada por personal de ‘Gestión de aplicaciones’ y dentro del ‘Control de operaciones’, se
encuentra la programación de tareas respaldo y restauración de servicios
3.2.3. BS: 25999
El BS: 25999 es un estándar británico que establece mejores prácticas, recomendaciones y
actividades específicas para lograr la continuidad de negocio teniendo en cuenta los riesgos a los
que se enfrenta una organización.
Este estándar se basa en el ‘Plan de Continuidad del Negocio’ o BCP (Business Continuity Planning)
El Desarrollo del BCP básicamente se centra en recopilar la información necesaria para entender el
negocio. Esto se realiza en diferentes fases.
Estas fases son:
Inicio y gestión del proyecto.
Evaluación y control del riesgo.
Análisis de impacto del negocio (BIA).
Desarrollo de estrategias para la continuidad del negocio.
Respuesta ante emergencias.
Desarrollo e implementación de la política de clasificación de la información.
Programa de concientización y capacitación.
Mantenimiento y ejercicio de la metodología de clasificación de la información
Comunicación de crisis.
Coordinación con autoridades públicas.
El desarrollo de un BCP en la organización permitirá estar preparados para afrontar situaciones de
interrupción de sus procesos críticos.
Programa de gestión de la continuidad del negocio
34
Como primer paso se requiere la definición de una política general, la cual debe definir el alcance,
los principios y los recursos dedicados a la gestión de la continuidad.
Una vez definidas las líneas generales, se requiere proceder a la elaboración del programa de
gestión de la continuidad. Este deberá asignar responsabilidades (p.ej. encargados de la
comunicación, formación, prueba, etc.), diseñar procesos para la implementación de la continuidad
y gestionar su actualización, promoción y monitorización.
En definitiva, como resultado se debe obtener la siguiente documentación actualizada:
Política de gestión de la continuidad del negocio: alcance, recursos, principios y estándares
generales.
Análisis del impacto en el negocio (BIA)
Planes de emergencia: gestión de la fase inicial de un incidente.
Planes de continuidad del negocio: mantener el funcionamiento de los procesos de negocio.
Planes de recuperación del negocio: recuperar el estado inicial.
Plan de pruebas e informes relacionados
Contratos y acuerdos de nivel de servicio
Plan de formación para las partes implicadas.
Comprensión de la organización
El objeto de esta etapa es la identificación de productos y servicios que forman parte de las
actividades críticas de la organización. Para ello es necesario:
Identificar los objetivos de la organización y las obligaciones.
Identificar las actividades, activos y recursos que soportan la entrega de productos y
servicios.
Análisis del impacto en el negocio (BIA): documentar el impacto (económico, pérdida de
información, etc.) de la discontinuidad de los diferentes procesos de negocio, determinando:
o Periodo máximo de tiempo que los procesos pueden encontrarse inoperativos.
o Nivel mínimo que los procesos deben alcanzar para ser operativos.
o Relaciones e interdependencias de los procesos y recursos.
o Identificar y evaluar las potenciales amenazas que podrían causar interrupciones.
A partir de estos análisis, se identificarán las actividades críticas de la organización: actividades que
tengan un impacto más grande en un periodo de tiempo más corto y que, por las necesidades del
negocio, deben ser recuperadas rápidamente en caso de interrupción.
35
Determinar la estrategia de continuidad o recuperación
Para cada actividad, la estrategia para la continuidad o recuperación de las actividades dependerá
del periodo máximo tolerable de interrupción, el coste de implementar medidas y las consecuencias
de no llevar a cabo ninguna acción.
Las estrategias deberán definirse a nivel de los diferentes recursos necesarios:
Personas: La organización debe identificar las estrategias apropiadas para mantener las
habilidades y el conocimiento clave.
Locales: La reducción del impacto de la inaccesibilidad a los lugares habituales de trabajo.
Tecnología: En función de la relación y dependencia entre las actividades críticas y la
tecnología, se deberá definir las estrategias de continuidad como por ejemplo la distribución
geográfica de los sistemas de información o el mantenimiento de equipos viejos como
material de reemplazo.
Información: Resulta fundamental garantizar que la información vital de la organización se
encuentra protegida y puede ser recuperada dentro de los tiempos definidos por el análisis
BIA.
Suministros: La organización debería identificar y mantener un inventario con los suministros
que dan soporte a las actividades críticas, con objeto de definir una estrategia
En relación a artículos pasados, con BS: 25999 podemos cubrir el proceso de “Gestión de la
continuidad de los servicios IT” (IT Service Continuity Management) correspondiente a la etapa de
“Diseño del servicio” de ITIL o el proceso “DS4 – Asegurar la continuidad del servicio” del dominio
“Entrega y soporte” del estándar Cobit.
3.2.4. COBIT
36
COBIT (Control OBjectives for Information and related Technology | Objetivos de Control para
tecnología de la información y relacionada). Es el modelo para el Gobierno de la TI desarrollado por
la Information Systems Audit and Control Association (ISACA) y el IT Governance Institute (ITGI).
Tiene 34 objetivos nivel alto que cubren 215 objetivos de control clasificados en cuatro dominios:
El plan y Organiza
Adquiere y Pone en práctica
Entrega y Apoya
Supervisa y Evalúa.
COBIT determina, con el respaldo de las principales normas técnicas internacionales, un conjunto
de mejores prácticas para la seguridad, la calidad, la eficacia y la eficiencia en TI que son necesarias
para alinear TI con el negocio, identificar riesgos, entregar valor al negocio, gestionar recursos y
medir el desempeño, el cumplimiento de metas y el nivel de madurez de los procesos de la
organización.
Proporciona a gerentes, interventores, y usuarios TI con un juego de medidas generalmente
aceptadas, indicadores, procesos y las mejores prácticas para ayudar a ellos a maximizar las
ventajas sacadas por el empleo de tecnología de información y desarrollo de la gobernación
apropiada TI y el control en una empresa. Proporciona ventajas a gerentes, TI usuarios, e
interventores. Los gerentes se benefician de COBIT porque esto provee de ellos de una fundación
sobre cual TI las decisiones relacionadas e inversiones pueden estar basadas.
Organizaciones acertadas entienden las ventajas de tecnología de información (TI) y usan este
conocimiento para conducir el valor de sus accionistas. Ellos reconocen la dependencia crítica de
muchos procesos de negocio sobre TI, la necesidad de cumplir con demandas de cumplimiento
crecientes reguladoras y las ventajas de riesgo directivo con eficacia.
COBIT cubre cuatro dominios:
Planificación y Organización
Adquiera e Instrumento
Entregue y Apoyo
Monitor y Evalúa
37
De acuerdo a la normativa y mejores prácticas citadas en este capítulo se toman extractos de
cada una de ellas orientadas a clasificación de la información para la generación e
implantación del objeto de estudio (metodología de clasificación del a información).
A continuación se especifican los puntos clave de normatividad considerados en la
metodología propuesta:
Establece políticas y alcance sobre la seguridad de la información
Desarrolla y prueba planes de contingencia
El proceso de gestión de la seguridad de la información, alinea la seguridad de TI con
la del negocio y garantiza la gestión eficaz de la información en todos los servicios,
es por ello que la metodología propuesta define métodos integrando a TI con el área
de negocio para salvaguardar la información y hacer uso correcto de ella.
38
CAPÍTULO IV PROBLEMÁTICA DE SEGURIDAD EN LA
INFORMACIÓN
Hoy en día, la seguridad informática se ha convertido en punto crítico de las comunicaciones
realizadas a través de Internet, debido al gran número de amenazas contra los datos expuestos al
viajar a través de este medio. Estas amenazas se presentan en distintas formas, tienen como
propósito causar el mayor daño posible a la información almacenada en los sistemas. Las principales
amenazas son: los virus informáticos, los gusanos de Internet, el spyware, caballos de Troya, el
pharming, el pishing scam, ataques de negación de servicio, entre otros.
Las organizaciones están invirtiendo una gran cantidad de recursos en infraestructura que permite
mantener protegidos sus activos (información sensitiva), así como también se esfuerzan en contratar
personal de Tecnologías de la Información, especializados en seguridad informática, que cuenta con
los conocimientos necesarios para manejar dicha infraestructura.
Sin embargo no sirve de nada la inversión en recursos tecnológicos, si la clasificación de la
información no se realiza de manera correcta.
¿Cuál es el verdadero problema? La respuesta es simple, se ha dejado de pensar en el eslabón más
débil de la cadena de la seguridad informática: la clasificación de la información aunado al usuario
final. Las organizaciones tanto privadas como gubernamentales han ignorado por completo los
problemas serios que están sufriendo los usuarios que poseen un conocimiento escaso de la
seguridad informática mientras sus equipos se encuentran conectados a Internet, así como el
procedimiento básico para realizar una clasificación de la información correcta y con ello la
implementación de las tecnología de Seguridad existente.
Los distribuidores de los distintos sistemas operativos tampoco han tomado en cuenta que el usuario
final paga las consecuencias de no tener un conocimiento técnico de todos los problemas que los
afectan haciendo más fácil que un atacante realice sus actividades maliciosas.
Los usuarios finales están siendo víctimas de distintos delitos cibernéticos que afectan su economía
o su privacidad, como el fraude en línea o el robo de información personal como contraseñas de
correo electrónico. Todo esto se debe que no se ha invertido el suficiente esfuerzo ni los recursos
necesarios para generar una verdadera campaña de información que permite llevar el conocimiento
de la seguridad informática al usuario “casero” de forma simple y fácil de comprender.
En este capítulo se desglosarán de manera más específica cuáles son los problemas de clasificación
de la información que cualquier organización del sector financiero enfrenta hoy en día.
39
4.1. PROBLEMAS EN EMPRESAS DEL SECTOR FINANCIERO
Hoy en día los ataques informáticos han aumentado debido al crecimiento tecnológico en todo el
mundo, las organizaciones del sector financiero son el punto número uno de ataques a causa de que
se encuentra un lucro monetario.
De acuerdo a estadísticas realizadas por Wordpress.com “noticias de seguridad informática”, Solo
el 35% de las organizaciones detecta filtraciones en los primeros minutos, esto a causa de una falta
de controles en los sistemas y aplicaciones de la organización, lo cual compromete la información
de clientes y empleados.
Figura 5. Porcentaje de intrusiones detectadas por las instituciones financieras (Elaboración propia)
La figura 5 muestra que el 72% de intrusiones en los sistemas informáticos de instituciones
financieras no son detectadas y esto puede repercutir en daños financieros y reputaciones en caso
de concretarse una ataque, incluso llevándolo a la venta o quiebra de la institución (dependiendo la
magnitud del impacto).
S21sec (organización multinacional especializada en servicios y tecnología de seguridad) realiza
estudios de seguridad para las organizaciones del sector financiero, y para este ensayo hemos
decidido citar información del estudio relacionado al comportamiento del malware bancario durante
el primer semestre del año 2013 dejando conclusiones impactantes.
72%
28%
Efectividad de Detención de filtraciones
Sin detectar
Detectados
40
Durante el 2013, la tendencia de los ataques a insitituciones del sector financieron fueron en aumento
utilizando malware para el robo de activos informaticos del banco y de los clientes.
El malware es solo una categoria de ataque a la seguridad de los sistemans informaticos, no
debemos dar por rcho que al tener un software oficial, actualizo y robusto (antivirus), podremos evitar
el daño financiero a las instituciones financieras.
A continuacion se muestran estadisticas de los ataques a traves de malware.
Figura 6. Volúmenes de malware bancario en el 2013 (s21sec.com, 2013)
41
Figura 7. Identificación de errores de seguridad (s21sec.com, 2013)
La Figura 7 muestra estadísticas por país y por tiempo, en donde se especifica el tiempo promedio
que tarda una institución en detectar la intrusión, el resultado es de diez horas, lo cual en temas de
seguridad informática, es demasiado ya que en ese tiempo el atacante pudo haber vulnerado y
modificado distintos sistemas informáticos comprometiendo considerablemente la seguridad de sus
activos.
42
Huecos de seguridad
Hardware
Configuraciones de fabrica
Implementacion incorrecta
Software
Diseño pobre en seguridad
Falta de metodologias seguras para el
desarrollo
Networking
Falta de monitoreo
configuracion de fabrica
Como se mencionó anteriormente los huecos de seguridad, no solo están relacionados a la falta de
un antivirus, si no huecos de seguridad que se pueden categorizar de la siguiente manera:
Figura 8. Huecos de seguridad en tecnologías de información (Elaboración propia)
43
Los ataques a las instituciones afectan directamente al negocio, sin embargo a continuación se
muestra por categoría el impacto a negocio en una escala de 1 a 5.
Figura 9. Tipos de impacto al negocio (Elaboración propia)
De acuerdo a la problemática actual que existe en las instituciones del sector financiero primero que
nada es indispensable homologar criterios y definiciones de los conceptos indispensables
relacionados con las metodologías, clasificación de la información y aspectos fundamentales de la
seguridad de la información
Cuestionario a personal que labora en entidades financieras.
0
1
2
3
4
5
6
Regulatorio Financiero Reputacional Legal
Impactos a Negocio
Regulatorio
Financiero
Reputacional
Legal
44
Se aplicó a un grupo de 10 personas que laboran en instituciones financieras un cuestionario (Anexo
1), para la identificación de falta de métodos y metodologías para la clasificación de la información,
los resultados fueron los siguientes:
Figura 10. Porcentaje de instituciones que utilizan una metodología para la clasificación de la
información (Elaboración propia).
De acuerdo al resultado obtenido observamos que la mayoría de las instituciones no utiliza una
metodología formal para la clasificación de la información y es por ello que podemos deducir y
explicar la frecuencia de multas, sanciones e incidentes que tienen estas instituciones.
4.2. CASOS REALES DE IMPACTO EN EMPRESAS DEL SECTOR FIANCIERO
NO80%
SI20%
Instituciones que utilizan una metodología de clasificación de la información
45
4.2.1. CITIGROUP PIERDE DATOS DE 3,9 MILLONES DE CLIENTES (2005)
Cintas de computadora en las cuales se registraron datos personales y registros de compras de casi
cuatro millones de clientes de Citigroup han desaparecido, el último episodio en una serie de pérdida
de información que ha colocado en una situación incómoda a instituciones financieras de Estados
Unidos. (Rueda, 2005)
De acuerdo a la noticia publicada por un periódico Estadounidense Citigroup reconoció haber perdido
información personal de las cuentas de 3.9 millones de clientes al realizar un envión de información
física a través de un proveedor de servicios.
Analizando este hecho en específico identificamos falta de controles en el manejo de la información,
evasión de regulaciones y exceso de confianza en proveedores de servicios. De acuerdo a lo anterior
la metodología propuesta ofrece una solución a este tipo de problemas y en específico al tipo de uso
que deseen darle dentro y fuera de la organización.
4.2.2. HSBC pierde datos de 159,000 clientes (2008)
HONG KONG (Reuters) — El grupo bancario mundial HSBC dijo que perdió un servidor con datos
de transacciones hechas por 159,000 titulares de cuentas de una sucursal de Hong Kong, lo que
provocó el enojo de algunos clientes que cerraron sus cuentas. (CNNExpansión, 2008)
Analizando el hecho, por falta de seguridad física fue robado un servidor físico similar a una
computadora que contenía datos de 159,000 clientes, entre los datos más importantes existían datos
personales, números de cuenta y datos de referencia realicionados a productos de la institución.
El impacto pudo haber sido menor sin embargo dañó gravemente de manera reputacional
provocando que muchos de sus clientes decidieran terminar la relación comercial con HSBC:
4.2.3. Hackers roban datos de miles de clientes en un banco de Ginebra (2015)
46
El Banco Cantonal de Ginebra denunció que los atacantes los están extorsionando bajo amenaza
de publicar unos 30.000 correos electrónicos de su cartera de clientes. (AFP, 2015)
Piratas informáticos robaron esta semana los datos de miles de clientes del Banco Cantonal de
Ginebra (BCGE), según anunció hoy la entidad, que se declara víctima de una extorsión por la que
ha presentado una querella y se ha abierto una investigación judicial.
El ataque informático se produjo a través de la página web del banco. El grupo de hackers Rex Mundi
reivindicó la acción en un tuiteo, y reclama 10.000 euros (unos 11.850 dólares) para el viernes,
porque de lo contrario amenaza con publicar los 30.000 correos electrónicos robados de clientes,
según el diario suizo "Le Temps".
El banco se negó a comentar esta información. Las amenazas se hicieron mediante la cuenta "Rex
Mundi" en Twitter. Los piratas se habrían apropiado de los datos de los formularios de contacto y de
los correos de los clientes.
Según una portavoz del banco, el robo de datos afecta a miles de clientes de un total de 240.000 y
"no ha habido daños financieros". El BCGE decidió no ceder al chantaje y advirtió a los clientes
afectados.
Asimismo, reforzó el sistema de seguridad y bloqueó el acceso a formularios en la página web.
Los datos robados son nombres, números de teléfono, números de cuentas y direcciones. Es la
primera vez que el BCGE es víctima de un ataque informático de este tipo.
Al realizar el análisis personal de la noticia, Los tipos de impactos que se materializaron para la
institucion son:
Reputacional. La noticia se dio a conocer al público
Regulatorio. Incumplió con una ley y/o regulación
Financiero. Tuvo perdida monetaria al ser sancionado con una multa
4.2.4. IFAI aplica millonaria multa a Banamex (2013)
47
El Banco Nacional de México (Banamex) fue multado con 16 millones 155,936 pesos por infringir la
Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP).
(Economista, 2013)
Figura 11. Banamex centro financiero (Economista, 2013)
El Instituto Federal de Acceso a la Información y Protección de Datos (IFAI) impuso una serie de
multas que en su conjunto rebasan los 21 millones de pesos a personas físicas y morales por haber
infringido la Ley Federal de Protección de Datos Personales en Posesión de los Particulares
(LFPDPPP). (Economista, 2013)
Banamex ha sido el banco con mayor numero multas ante la LFPDPPP debido a la falta de controles
de seguridad en el manejo de información confidencial.
Al realizar el análisis personal de la noticia, Los tipos de impactos que se materializaron para
Banamex son:
Reputacional. La noticia se dio a conocer al público
Regulatorio. Incumplió con una ley y/o regulación
48
Financiero. Tuvo perdida monetaria al ser sancionado con una multa
4.2.5. Multa de IFAI a BBVA Bancomer por tarjeta no solicitada… atención a los Avisos
de Privacidad Simplificados
Las tarjetas de crédito pueden ser costosísimas para quienes no las usan adecuadamente y las
consideran como extensión de su ingreso; la CONDUSEF se ha empeñado en comunicar educación
financiera al respecto a los usuarios de las mismas. Pero los errores u omisiones en la gestión de
esos productos puede ser igualmente costosa para las entidades financieras emisoras… en este
caso el ofrecimiento de un sólo plástico tuvo para BBVA Bancomer un costo de $6’637,900.00.
(Lozano, 2014)
Al realizar el análisis personal de la noticia, Los tipos de impactos que se materializaron para BBVA
son:
Regulatorio. Incumplió con una ley y/o regulación
Financiero. Tuvo perdida monetaria al ser sancionado con una multa
El impacto reputacional fue bajo debido a que fue un caso en particular de un cliente, el hecho de no
ser masivo evito el impacto reputacional que pudo terminar en una gran pérdida de clientes y un
impacto financiero mayor.
De acuerdo a la experiencia personal en dos instituciones financieras durante los últimos 6
años y a los casos reales presentados anteriormente, he identificado que el omitir el uso de
métodos (metodología) relacionadas a clasificación de la información desencadena pérdidas
financieras que impactan severamente algunas instituciones financieras, es por ello la
importancia de este trabajo de investigación y su puesta en práctica.
CAPÍTULO V PROPUESTA DE METODOLOGÍA PARA LA
CLASIFICACION DE LA INFORMACION PARA EL ANALISIS DE
RIESGOS EN EL SECTOR FINANCIERO
49
En este capítulo se presentará la propuesta de la metodología para la clasificación de la información
en empresas del sector financiero basada en nuevas políticas alineadas a las normas locales y
buenas prácticas internacionales de la seguridad informática.
5.1. POLITICAS PARA LA METODOLOGIA PROPUESTA
5.1.1. POLITICA PARA LA FUNCION DE BRO (Bussiness Risk Officer)
Las áreas de negocio en conjunto con las áreas de TI de toda institución financiera deben
garantizar que exista una figura que realice funciones de verificación, identificación,
alertamiento y mitigación de riesgos de negocio, es por ello que surge la figura de BRO
(Bussiness Risk Officer).
Objetivo
Proporcionar una guía de actividades de acuerdo al rol solicitado, que le permita a todas las
instituciones financieras administrar de la mejor forma los riesgos de seguridad de la
información orientados a la clasificación de la información
Implementación
La función de BRO (Bussiness Risk Officer), asegurará la identificación, trato y mitigación de
los riesgos de seguridad informática con apoyo de las áreas de TI quienes deberán aplicar
los proceso, políticas y procedimientos del área de TI para la mitigación de los riesgos
orientados a la clasificación de la información; cada representante de BRO (Bussiness Risk
Officer), deberá pertenecer a un área de negocio la cual es dueña de la información y así
podrá especializarse al trato de la información de acuerdo al negocio que atiende.
Responsabilidades
1. Clasificar la información que pertenece a negocio
2. Identificar posibles riesgos de fuga de información en el área de negocio
3. Administrar los riesgos identificados
4. Mitigación de riesgos informáticos con apoyo del área técnica. Para la mitigación de
riesgos es necesario contar con el apoyo económico por parte de negocio para poder
contar con el apoyo de las áreas técnicas y así cerrar los riesgos previamente
identificados.
5. Apoyar a negocio en consultorías para nuevos proyectos
6. Apoyar a negocio en dudas referentes a seguridad de la información
7. Participar en la implementación de nuevos proyectos que pertenezcan a su área de
negocio
8. Asegurar que se cumplan las políticas, normas y procedimientos para el uso seguro
de información de negocio
9. Informar el estatus de los riesgos existentes y nuevos riesgos a negocio
50
10. Planear soluciones integrales para la mitigación de riesgos.
5.1.2. POLITICA PARA LA CLASIFICACIÓN DE LA INFORMACIÓN
La información almacenada, procesada que usa negocio debe ser clasificada de acuerdo al
riesgo potencial para las instituciones financieras de acuerdo a la normatividad y mejores
prácticas internacionales que deberá asegurar, su integridad, confidencialidad y
disponibilidad.
Objetivo
La figura responsable de aplicar esta política es el BRO (Bussiness Risk Officer), quien
deberá manejar de manera correcta esta política, metodologías y procedimientos adicionales
definidos por la institución financiera, así también como la implementación de los controles
para el uso de la información de manera segura de acuerdo a la clasificación definida e
identificación del riesgo.
Implementación
El BRO (Bussiness Risk Officer) deberá clasificar la información usada, procesada y/o
almacenada en sus sistemas de acuerdo a la siguiente clasificación:
1. Publica.- Información que puede ser vista por cualquier persona, incluso ajena a la
institución financiera, NO representa riesgo para negocio su divulgación, ni requiere
de un manejo especial por parte del BRO (Bussiness Risk Officer) y las áreas de TI.
2. Interna.- Información que pertenece a la institución financiera, y que puede estas
disponible para empleados y usuarios internos de la institución, representa un riesgo
bajo para negocio el hecho de que este pido de información pueda ser divulgada a
personas ajenas a la institución, requiere manejarse con cierta precaución para
evitar la fuga de información.
3. Confidencial.- Información que representa un riesgo medio/alto para la institución ya
que puede tratarse de información de clientes o información referente a las
estrategia de negocio, la cual puede generar impactos regulatorios (multas,
sanciones), y con ello generar un impacto reputacional alto que afecte la marca de
la institución, requiere manejarse con la debida importancia para resguardar este
tipo de información.
4. Altamente confidencial.- Información que representa un riesgo alto/muy alto para la
institución financiera ya que puede tratarse de contraseñas de seguridad, nips de
clientes, información de sus productos de crédito que pueden facilitar el fraude y ello
conllevaría una perdida monetaria para la institución así como impactos regulatorios
y legales por el hecho de no resguardar la información de manera correcta, requiere
51
manejarse con los controles más seguros de acuerdo a las tecnologías de
información que aseguran los datos.
5.2. METODOLOGIA PARA LA CLASIFICACIÓN DE LA INFOMRACIÓN.
Este documento detalla los métodos necesarios para realizar la clasificación de la información que
pertenece a las áreas de negocio de las instituciones financieras, así como los requerimientos
básicos y actores principales para el desarrollo de la actividad.
52
5.2.1. Métodos para la metodología propuesta
Conociendo la información
El objetivo principal del método es que toda persona de Negocio que utiliza, procesa y
almacena información dentro de una institución financiera tenga la capacidad de conocer la
clasificación de la información correcta de acuerdo a las políticas definidas y las personas
responsables de confirmar dicha clasificación, para ello se definen las siguientes actividades:
1.- Obtener el layout de la información que se desea clasificar (de preferencia en
formato xls)
2.- Leer la política de clasificación de la información definida por el área de seguridad
informática.
3.- Realizar una clasificación del a información inicial de acuerdo al entendimiento
de la política.
4.- Validar con el BRO (Bussiness Risk Officer) la clasificación de la información.
5.- El usuario de negocio (dueño de la información) otorgara la clasificación final
validada con el BRO.
53
Conociendo la informaciónB
RO
Usu
ario
de
neg
oci
oTI
Phase
Solicita layout de la información
Recibe solicitud de información
Envía layout de la información
Solicita layout de la información
¿Se entrego la información solicitada?
Solicita layout de la información
SI
NORealiza la
clasificación de la información
Envía clasificación de infromación
Valida la clasifiacación
¿Clasificación correcta?
Envía confirmación de la clasificación
SI
Recibe confirmación
Emite documento con clasificación
finalFIN
INICIO
Envía Notas de la clasificación
correcta
Figura 12. Proceso del método - conociendo la información (Elaboración propia)
54
Identificación del dueño de la información
El objetivo principal del método es la identificación del área responsable dueña de la
información ya que son las personas indicadas para confirmar la clasificación de la
información de acuerdo al uso que le dan apoyándose de la política de clasificación del a
información, para ello se definen las siguientes actividades:
1.- Identificar el área de negocio que utiliza, y es responsable del almacenamiento,
para ello se recomienda consultar el organigrama de las áreas para identificar el
nombre formal de área responsable.
2.- Solicitar confirmación al área de negocio identificada como responsable vía
correo electrónico.
3.- Identificar el dueño de la información a nivel dirección
Dueño de la información
Usu
ario
de
neg
oci
oTI
FIn
anaz
as
Phase
Recibe solicitud de confirmación
Conocer la información que
utiliza
Validar en inventario de TI el
responsable de negocio de la información
Valida la información tratada
¿Dueño de la información?
SI
NO
FININICIO
Envía solicitud de confirmación
Envía respuesta
Recibe respuesta
Envía solicitud a finanzas para la
confirmación del área dueña de los equipos donde se
almacena la información
Guarda en inventario para
futuras solicitudes
Recibe solicitud Valida solicitud
Envía información del responsable
Figura 13. Proceso del método - Dueño de la información (Elaboración propia)
55
Concientización y capacitación sobre la clasificación de la información
El objetivo principal del método es concientizar a los trabajadores de las instituciones
financieras en el cuidado de la información que utilizan día con día de acuerdo a la
clasificación de la información definida en la política de clasificación de la información.
Para lo anterior es importante mencionar que los medio de concientización y capacitación se
pueden realizar a través de las siguientes actividades:
1- Cursos mandatorios para todos los empleados relacionadas a la clasificación del
a información
2- Publicación de la política de clasificación de la información
3- Comunicados vía correo electrónico con temas de seguridad informática y
clasificación de la información.
4- Eventos internos relacionados a la seguridad informática.
Autorización de actividades de TI
El objetivo principal del método emitir aprobaciones o rechazos sobre las actividades
solicitadas a través de gestión de cambios en donde se almacene utilice y envíe información
de la institución bancaria tomando en cuenta la política de clasificación del información y el
proceso de análisis de riesgos establecido por el ares de seguridad informática.
Para lo anterior es importante realizar las siguientes actividades:
1- Verificar el layout de la información involucrada en el cambio
2- Verificar la confirmación de la clasificación del a información por parte del BRO.
3- Verificar el VoBo por parte del director de negocio para la realización del cambio.
4- Emitir aprobación o rechazo del requerimiento.
56
Autorización de actividades de TI
TISe
guri
dad
Info
rmát
ica
Phase
Solicitud de aprobación en actividad de TI
¿Contiene Layout de la información?
SI
NO
FIN
Se realiza análisis de riesgo sobre la
actividad
Se rechaza el requerimiento
INICIO
Revisión de la solicitud
¿Contiene clasificación de la
información?
¿Contiene VoBo del director de negocio?
SI
¿El riesgo es bajo?SI Se aprueba el requerimiento
SI
NO
Figura 14. Proceso del método - Autorización de actividades de TI (Elaboración propia)
5.2.2. Actores y documentos a considerar
DOCUMENTO ACTORES
Aprobación de negocio Director de negocio dueño de la información
Diccionario de datos.xls Usuario solicitante de la clasificación de la
información (TI)
Diccionario de datos.xls con la
clasificación por parte del BRO BRO
Aprobación de BRO BRO
Solicitud de cambio Áreas de TI
57
Tabla 2. Actores y documentos a considerar (Elaboración propia)
CAPÍTULO VI GUIA DE IMPLEMENTACION DE LA METODOLOGIA
En este capítulo se presentará una guía rápida para el apoyo de la implementación de la metodología
propuesta utilizando los métodos definidos en la metodología y agregando recursos de apoyo para
su implementación..
6.1. GUIA DE IMPLEMENTACIÓN DE LA METODOLOGIA
6.1.1. Introducción
Este documento detalla una serie de actividades para realizar la clasificación de la información que
pertenece a las áreas de negocio de las instituciones financieras.
6.1.2. Objetivo
Definir los pasos a seguir para la correcta clasificación de la información que pertenece a las áreas
de negocio de las instituciones financieras de acuerdo a políticas internas, normas locales y
estándares internacionales.
6.1.3. Alcance
Todas las áreas de negocio que usen, procesen y almacenen información en los sistemas de la
institución financiera.
6.1.4. Métodos aplicados
DOCUMENTO ACTORES ACTIVIDADES
RELACIONADAS
CRITERIO DE
ACEPTACIÓN
Aprobación de negocio Director de negocio dueño
de la información
Se verifica el correo con la
aprobación por parte del
director de negocio
Correo con la
aprobación del director
de negocio
Diccionario de datos.xls
Usuario solicitante de la
clasificación de la
información
BRO verifica que el
diccionario de datos haya
sido llenado de manera
correcta.
Diccionario de datos
completo de acuerdo al
requerimiento
58
Diccionario de datos.xls
con la clasificación por
parte del BRO
BRO
BRO clasificará en el archivo
“Diccionario de datos.xls”
de acuerdo a la política de
clasificación de la
información
Diccionario de datos con
una columna adicional
de acuerdo a la
clasificación de cada
Dato
Aprobación de BRO BRO
BRO enviara el diccionario
de Datos a través de correo
electrónico al usuario con su
aprobación.
Correo con la
aprobación por parte del
BRO
Tabla 3. Métodos aplicados
Método - Conociendo la información
El objetivo principal del método es que toda persona de Negocio que utiliza, procesa y
almacena información dentro de una institución financiera tenga la capacidad de conocer la
clasificación de la información correcta de acuerdo a las políticas definidas y las personas
responsables de confirmar dicha clasificación, para ello se definen las siguientes actividades:
1.- Obtener el layout de la información que se desea clasificar (de preferencia en
formato xls)
2.- Leer la política de clasificación de la información definida por el área de seguridad
informática.
3.- Realizar una clasificación del a información inicial de acuerdo al entendimiento
de la política.
4.- Validar con el BRO (Bussiness Risk Officer) la clasificación de la información.
5.- El usuario de negocio (dueño de la información) otorgara la clasificación final
validada con el BRO.
59
Conociendo la informaciónB
RO
Usu
ario
de
neg
oci
oTI
Phase
Solicita layout de la información
Recibe solicitud de información
Envía layout de la información
Solicita layout de la información
¿Se entrego la información solicitada?
Solicita layout de la información
SI
NORealiza la
clasificación de la información
Envía clasificación de infromación
Valida la clasifiacación
¿Clasificación correcta?
Envía confirmación de la clasificación
SI
Recibe confirmación
Emite documento con clasificación
finalFIN
INICIO
Envía Notas de la clasificación
correcta
Figura 15. Proceso del método - conociendo la información (Elaboración propia)
60
Método - Identificación del dueño de la información
El objetivo principal del método es la identificación del área responsable dueña de la
información ya que son las personas indicadas para confirmar la clasificación de la
información de acuerdo al uso que le dan apoyándose de la política de clasificación del a
información, para ello se definen las siguientes actividades:
1.- Identificar el área de negocio que utiliza, y es responsable del almacenamiento,
para ello se recomienda consultar el organigrama de las áreas para identificar el
nombre formal de área responsable.
2.- Solicitar confirmación al área de negocio identificada como responsable vía
correo electrónico.
3.- Identificar el dueño de la información a nivel dirección
Dueño de la información
Usu
ario
de
neg
oci
oTI
FIn
anaz
as
Phase
Recibe solicitud de confirmación
Conocer la información que
utiliza
Validar en inventario de TI el
responsable de negocio de la información
Valida la información tratada
¿Dueño de la información?
SI
NO
FININICIO
Envía solicitud de confirmación
Envía respuesta
Recibe respuesta
Envía solicitud a finanzas para la
confirmación del área dueña de los equipos donde se
almacena la información
Guarda en inventario para
futuras solicitudes
Recibe solicitud Valida solicitud
Envía información del responsable
Figura 16. Proceso del método - Dueño de la información (Elaboración propia)
61
Método - Concientización y capacitación sobre la clasificación de la información
El objetivo principal del método es concientizar a los trabajadores de las instituciones
financieras en el cuidado de la información que utilizan día con día de acuerdo a la
clasificación de la información definida en la política de clasificación de la información.
Para lo anterior es importante mencionar que los medio de concientización y capacitación se
pueden realizar a través de las siguientes actividades:
5- Cursos mandatorios para todos los empleados relacionadas a la clasificación del
a información
6- Publicación de la política de clasificación de la información
7- Comunicados vía correo electrónico con temas de seguridad informática y
clasificación de la información.
8- Eventos internos relacionados a la seguridad informática.
Método - Autorización de actividades de TI
El objetivo principal del método emitir aprobaciones o rechazos sobre las actividades
solicitadas a través de gestión de cambios en donde se almacene utilice y envíe información
de la institución bancaria tomando en cuenta la política de clasificación del información y el
proceso de análisis de riesgos establecido por el ares de seguridad informática.
Para lo anterior es importante realizar las siguientes actividades:
5- Verificar el layout de la información involucrada en el cambio
6- Verificar la confirmación de la clasificación del a información por parte del BRO.
7- Verificar el VoBo por parte del director de negocio para la realización del cambio.
8- Emitir aprobación o rechazo del requerimiento.
62
Autorización de actividades de TI
TISe
guri
dad
Info
rmát
ica
Phase
Solicitud de aprobación en actividad de TI
¿Contiene Layout de la información?
SI
NO
FIN
Se realiza análisis de riesgo sobre la
actividad
Se rechaza el requerimiento
INICIO
Revisión de la solicitud
¿Contiene clasificación de la
información?
¿Contiene VoBo del director de negocio?
SI
¿El riesgo es bajo?SI Se aprueba el requerimiento
SI
NO
Figura 17. Proceso del método - Autorización de actividades de TI (Elaboración propia)
6.1.5. Entradas
Solicitud a través del usuario que necesite consultar, procesas o enviar información de negocio con
el diccionario de datos previamente requisitado, hacia el BRO correspondiente de acuerdo al área
de negocio.
Envío del VoBo del Director de negocio de acuerdo a la actividad que desean realizar:
Por ejemplo:
Proyecto nuevo donde se utilice información
Envío de información a otra entidad
Procesamiento de información para la generación de reportes / métricas
63
6.1.6. Salidas
Correo electrónico que contenga la clasificación del diccionario de datos campo por campo por
parte del BRO y su VoBo para la actividad solicitada.
6.1.7. Desarrollo
La clasificación de la información por parte del BRO tiene sentido cuando cualquier usuario de TI o
Project Manager solicite la clasificación debido a alguna actividad en la que se encuentre involucrada
información de negocio y se busque salvaguardarla de acuerdo a políticas locales, normas locales y
mejores prácticas internacionales.
A continuación se describe paso a paso la metodología para la clasificación de la información:
1. El BRO deberá conocer el detalle de la información que está involucrada en la aplicación a
través de un diccionario de Datos.
Tipo de Dato Nombre del Dato/
descripción Ejemplo
Clasificación de la
información
Numérico Número de cuenta 1209238745
Numérico Número de Tarjeta 1234 1234 1234 1234
Cadena Producto TDC
Decimal Importe de movimiento 1000.00
Numérico Código de seguridad (CVV2) 265
Tabla 4. Ejemplo d Diccionario de Datos enviado por el usuario solicitante (Elaboración propia)
2. EL BRO deberá clasificar la información de acuerdo a la política clasificación de
información definida anteriormente de acuerdo a los siguientes tipos de información:
a) Publica
Ejemplos:
Tarjetas de presentación
Campañas de publicidad
Productos
Logo de la institución
Datos geográficos de sucursales
Precios
b) Interna
64
Ejemplos:
Identificadores de sistema
Datos de intranet
Datos geográficos
Comunicados a empleados
Alertas de sistemas
Datos geográficos de data center
c) Confidencial
Ejemplos:
Cuentas bancarias
Datos personales de empleados
Usuarios de sistema
Modelos de negocio
Datos de administración de riesgos
Estrategias de negocio
Datos geográficos de data center
Tipo de movimiento
Perfil de empleados
Posición de empleados
d) Altamente confidencial
Ejemplos:
Código de seguridad de tarjetas
Contraseñas
Fecha de vencimiento de tarjetas
3. De acuerdo a los ejemplos prácticos mencionados anteriormente el BRO debe generar una
tabla como se muestra a continuación.
Tipo de Dato Nombre del Dato/
descripción Ejemplo
Clasificación de la
información
Numérico Número de cuenta 1209238745 Confidencial
Numérico Número de Tarjeta 1234 1234 1234 1234 Confidencial
Cadena Producto TDC Interno
Decimal Importe de movimiento 1000.00 Interno
Numérico Código de seguridad (CVV2) 265 Altamente Confidencial
Tabla 5. Ejemplos concretos de clasificación de la información por parte de BRO
(Elaboración propia)
65
4. El BRO deberá enviar la información descrita anteriormente al ingeniero de seguridad quien
será el encargado de realizar el análisis de riesgos del sistema y/o aplicación.
5. De acuerdo a ISACA el Ingeniero de seguridad deberá entregar un reporte final de
evaluación con los hallazgos encontrados, el cual deberá contener la siguiente información:
a) Riesgos encontrados
b) Categorización de riesgos
c) Opciones de mitigación
d) Informar al área de negocio
e) Métricas de los tipos de riesgos
Con la metodología descrita anteriormente, logramos que la información se clasificado de acuerdo a
los estándares internacionales de seguridad de la información.
66
6.2. TRATAMIENTO DE LA INFORMACIÓN DE ACUERDO A SU CLASIFICACIÓN
6.2.1. Matriz de uso rápido
Uso Medio Clasificación de la información
Publica Interna Confidencial Altamente confidencial
Tabla 6. Matriz de uso de acuerdo a su clasificación de información (Elaboración propia)
67
La Tabla 6 muestra una matriz que ayuda de manera rápida y fácil la implementación de controles
para el uso y manejo de información de acuerdo a la clasificación realizada con la metodología
propuesta. A continuación se explican las categorías involucradas en dicha matriz.
6.2.2. Interpretación de la Matriz de uso rápido
Uso: hace referencia al manejo de la información dentro y fuera de la organización, así como el
ambiente en el que se maneja (Producción y desarrollo). A continuación se define cada sub categoría
del Uso de la información:
1. Comunicación interna.
Se refiere al manejo de información dentro de las instalaciones, red, y/o equipos de la
organización.
2. Comunicación externa
Hace referencia al manejo de la información fuera de la organización, ya sea red de
proveedores o entidades regulatorias, por lo que el riesgo de pérdida de información es
mayor por falta de controles internos.
3. Uso interno de acuerdo al ambiente de TI
Se refiere al manejo de información dentro de la organización a nivel componente de TI que
sub divide en equipos productivos y equipos de desarrollo (pruebas), entendemos que la
información crítica corre mayor riesgo en equipos de pruebas ya que no cuentan con los
controles necesarios como un equipo productivo.
Medio: hace referencia al canal de comunicación por el cual la información será tratada, así como el
ambiente en el que se maneja (Producción y desarrollo). A continuación se define cada sub categoría
del Medio de la información:
1. Email
Por este medio se envía información a través de protocolos de comunicación SMTP, y se
conoce de manera coloquial como correo electrónico.
2. Dispositivo físico
La información se almacena en un dispositivo físico para ser enviada a otra área o entidad
3. Mensajes instantáneos
Son mensajes que se realizan a través de dispositivos móviles o aplicaciones de
comunicación instantánea. Ejemplo: Messenger, same time de Lotus Notes, BlackBerry
message, entre otros.
4. Transacción de aplicaciones
68
Se refiere a la información que es tratada por aplicaciones de la organización y que generan
operaciones de consulta y envío de información.
Uso interno de acuerdo al ambiente de TI: Esta sección resalta la importancia del manejo de
información segura de acuerdo al ambiente de los equipos de TI. A continuación se define cada sub
categoría:
1. Producción
Es considerado el ambiente final que se usa para el almacenamiento de la información que
se transacciona día con día y proporciona servicios a diferentes usuarios. Cualquier
problema en este ambiente es considerado de gran riesgo ya que puede causar impacto
monetario, reputacional y al cliente.
6.2.3. Conceptos base de la matriz de uso rápido
Casilla en blanco: significa que no requiere ningún control adicional sobre el manejo de la
información.
Cifrado del mensaje: se refiere al uso de algoritmos de cifrado sobre el mensaje que se
desea enviar. Los algoritmos vigentes de cifrado están definidos por la CNBV (Comisión
Nacional Bancario de Valores).
Cifrado del mensaje y del canal: esta categoría se utiliza comúnmente en uso de la
información al exterior, ya que la confidencialidad de la información depende en parte de los
controles que establece la entidad externa, sin embargo cada organización bancaria deberá
cifrar el mensaje y canal por el que se envía la información para minimizar el riego de perdida
de confidencialidad. Los algoritmos vigentes de cifrado están definidos por la CNBV
(Comisión Nacional Bancario de Valores).
Enmascaramiento de datos. En las categorías de uso de información de acuerdo al ambiente
de TI, se utiliza como control el enmascarar (cambiar/esconder) los datos para que en caso
de pérdida de confidencialidad no se exponga el dato completo. Esta práctica solo se utiliza
cuando existe la necesidad de realizar pruebas con datos confidenciales.
6.2.4. Consideraciones básicas de la matriz de uso rápido
El almacenamiento en dispositivos físicos y envío de información a través de ellos es de alto
riesgo ya que en caso de pérdida se expone la confidencialidad de la información.
El uso a través de comunicación externa, siempre deberá implementar controles adicionales
para resguardar la información.
Se encuentra estrictamente prohibido enviar información confidencial/altamente confidencial
al exterior a través de mensajes instantáneos.
Se encuentra estrictamente prohibido el uso de información altamente confidencial en
ambiente de desarrollo (pruebas).
69
CONCLUSIONES
En este documento se han descrito los conceptos básicos para la clasificación de la información así
como una metodología fácil de implementar en cualquier institución del sector financiero a nivel
mundial ya que se basa en estándares y buenas prácticas internacionales.
El trabajo de investigación me pareció de gran aporte bibliográfico así como profesional para aquellas
personas interesadas en el ramo de seguridad e información ya que proporciona una guía fácil de
entender y aplicar para la clasificación de la información.
La metodología descrita en el documento ayudará a facilitar la función de clasificar la información
por parte del BRO (Bussiness Risk Officer), impactando de manera satisfactoria el análisis de riesgos
que el ingeniero de seguridad realiza con dicha información.
De acuerdo al análisis y a los resultados obtenidos de los cuestionarios realizados a personas que
labora en instituciones del sector financiero identificamos que la mayoría de estas instituciones con
cuentan con una metodología o proceso especifico de clasificación de la información, por lo que este
trabajo es de gran valor el cual puede ser implementado como piloto en alguna institución que
carezca de políticas, modelos y metodologías para la función descrita.
Al realizar la clasificación de la información apoyándonos en los estándares internacionales,
apoyamos a la implementación de controles correctos para el resguardo de la integridad,
disponibilidad y confidencialidad de la información del sector financiero.
El resultado de este trabajo de investigación ofrece técnicas, métodos y documentación necesaria
para la implementación de una figura que realice la importante función de clasificación de la
información en una institución.
Sin duda alguna la realización de este trabajo de investigación valió la pena, ya que personalmente
obtuve mayor conocimiento en el tema y compartirlo con todas aquellas personas que estén
interesados en resolver problemas de clasificación de información que indirectamente pueden evitar,
pérdidas financieras a gran escala para las instituciones financieras.
Recomiendo ampliamente la lectura de este trabajo de investigación a todos los profesionales que
laboren en instituciones del sector financiero y a aquellas personas que busquen implementar un
proceso similar a la metodología propuesta en instituciones donde manejen información confidencial.
71
BIBLIOGRAFÍA
AFP. (8 de Enero de 2015). EL PAIS. Recuperado el Mayo de 25 de 2015, de
http://www.elpais.com.uy/vida-actual/hackers-roban-datos-miles-clientes.html
Aguilar, C y Cañas, R (1992) Simulación de Sistemas: Aplicaciones en Producción Animal. En:
Simulación de Sistemas Pecuarias, editado por Manuel Ruiz, IICA, RISPAL, San Jose, Costa Rica.
pp. 195-284.
Cegarra, J. (2004), Metodología de la investigación científica y tecnológica, Madrid, Díaz de santos
Definición de metodología, recuperado el día 10 de noviembre de 2010,
http://definicion.de/metodologia.
CNNExpansión. (8 de Mayo de 2008). CNNExpansión. Recuperado el 23 de Mayo de 2015, de
http://www.cnnexpansion.com/negocios/2008/05/08/hsbc-pierde-datos-de-159-000-clientes
Díaz, J. (2005), El modelo en la ciencia y la cultura, México, UNAM.
Economista, P. E. (17 de Junio de 2013). EL ECONOMISTA. Recuperado el 2 de Mayo de 2015,
de http://eleconomista.com.mx/sistema-financiero/2013/06/17/ifai-aplica-millonaria-multa-
banamex
Eyssautier, M. (2006), Metodología de la investigación desarrollo de la inteligencia, México,
Thomson.
FAO, Análisis de Sistemas de Producción Animal - Tomo 2: las Herramientas Básicas. (Estudio.
FAO Producción y Sanidad Animal 140/2) (1997), Capitulo 1 – Modelos y su uso, Recuperado el 6
de noviembre de 2010, http://www.fao.org/docrep/w7452s/w7452s01.htm.
Galaz, Y. R. (1 de Enero de 2010). Deloitte. Recuperado el 23 de Marzo de 2015, de
http://www2.deloitte.com/content/dam/Deloitte/mx/Documents/risk/mx(es-
mx)LeyFederalprotecciondatos_260810.pdf
HP, The HP StorageWorks 1/8 Tape Autoloader (2007) recuperado el 21 de abril de 2011,
http://h18000.www1.hp.com/products/quickspecs/11841_div/11841_div.HTML.
72
ISACA. (26 de 10 de 2013). © 2013 ISACA. Recuperado el 26 de 10 de 2013, de © 2013 ISACA:
http://www.isaca.org/Blogs/199593/Lists/Posts/ViewPost.aspx?ID=1
ISO, ISO/IEC24775:2007, recuperado el 5 de abril de 2011,
http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.htm?csnumber=41545.
ISO27002, recuperado el día 13 de diciembre de 2010, http://iso27002.wiki.zoho.com/ISO-
27002.html.
Lizcano, F. (2005), Fundamentos moleculares en medicina, Colombia, Universidad de la Sabana y
manual moderno.
Lozano, L. G. (27 de Junio de 2014). Abogado & LL.M., Law, Science & Tech. Recuperado el 12 de
Mayo de 2015, de http://rodrigoorenday.com/2014/06/27/multa-de-ifai-a-bbva-bancomer-
por-tarjeta-no-solicitada-atencion-a-los-avisos-de-privacidad-simplificados/
Luis Armando Canchala Fernández. (12 de JUNIO de 2015). msdn.microsoft.com. Recuperado el
MARZO de 22 de 2015, de https://msdn.microsoft.com/es-es/library/bb972232.aspx
Marí, E. (1990), Elementos de epistemología comparada, Buenos Aires, Puntosur
MEXICANOS, C. G. (05 de 07 de 2010). Instituto Nacional de Transparencia, Acceso a la
Información y Protección de Datos Personales. Recuperado el 22 de 03 de 2015, de
http://inicio.ifai.org.mx/LFPDPPP/LFPDPPP.pdf
Pacheco, A. & Cruz, M. (2005), Metodología critica de la investigación lógica procedimientos y
técnicas, México, Cecsa.
Rueda, M. I. (08 de Junio de 2005). ELTIEMPO.com. Recuperado el 03 de Abril de 2015, de
http://www.eltiempo.com/archivo/documento/MAM-1626628
s21sec.com. (7 de 19 de 2013). s21sec.com. Recuperado el 16 de 10 de 2013, de s21sec.com:
http://www.s21sec.com/images/servicios/ecrime/Infografia_Malware_Bancario_S21sec.pdf
W. Krag Brotby. (2012). Manual de proeparacion al Examen CISM 2013. En W. K. Brotby, Manual
de proeparacion al Examen CISM 2013 (pág. 282). US: ISACA.org.