Evaluacion Riesgo Iso27001
Páginas: 13 (3088 palabras)
Publicado: 16 de julio de 2015
Análisis y Evaluación del Riesgo de Información: Un Caso en la
Banca
Aplicación del ISO 27001:2005
Por
Alberto G. Alexander, Ph.D.
Director Centro para la Excelencia Empresarial
www.centrum.pucp.edu.pe/excelencia
aalexan@pucp.edu.pe
Las organizaciones hoy en día, con la sofisticación tecnológica y la complejidad en el
manejo de información, enfrentan distintas amenazas que muchas veces explotansus
vulnerabilidades. El riesgo esta siempre presente. La confidencialidad, integridad y
disponibilidad de la información en la empresa, es fundamental para el aumento de la
competitividad de la firma. Las organizaciones están obligadas si desean continuar
operando, de instaurar “Sistemas de Gestión de Seguridad de Información” que
permitan asegurar que tienen identificados sus activos vitales deinformación, que han
determinado de manera sistemática que activos son los de riesgo y puedan con
precisión instituir los controles pertinentes.
En el presente ensayo, se utiliza un caso real en la Banca Latinoamericana. Se detallan
los pasos metodológicos seguidos para identificar el alcance para establecer el
estándar ISO 27001:2005 en el proceso de “cuentas corrientes”. Seguidamente se
presentanlos pasos para efectuar el “análisis y evaluación del riesgo” en el referido
proceso.
INTRODUCCIÓN
La experiencia en implantar el modelo de gestión de seguridad de información (SGSI), se
desarrolló en un Banco Comercial ubicado en la capital de un país latinoamericano. La
institución en el momento de implantar el modelo estaba considerada por sus captaciones
como el tercer Banco del país. Sufortaleza estaba en la banca comercial.
La alta gerencia del Banco, ante el aumento de fraudes y riesgos en el manejo de la
información en la mayoría de sus procesos, decidió la implantación del SGSI ISO
27001:2005. Se decidió implantar el modelo, por razones estratégicas, en el proceso de
“cuentas corrientes”.
NATURALEZA DEL SGSI BS 7799-2:2002
El estándar ISO 27001:2005, es parte del sistema degestión de la organización. Esta basado
en un enfoque de riesgos del negocio., para establecer, implantar, operar, monitorear,
mantener y mejorar la seguridad de información. El sistema de gestión incluye, estructura
organizacional, políticas, planeación de actividades, responsabilidades, prácticas,
procedimientos, procesos y recursos.
Para implantar el modelo, la empresa debe determinar sualcance. La amplitud del modelo
puede variar según la conveniencia de la empresa. Se puede aplicar a toda la firma o a
algún proceso en particular, cubriendo los activos relevantes de información, sistemas,
aplicaciones, servicios, redes y tecnologías usadas para procesar, almacenar y comunicar
información.
El ISO 27001:2005, específica los requerimientos para establecer, implantar, operar,
monitorear ymejorar un SGSI documentado, dentro del contextote de los riesgos de una
organización. El modelo específica los requerimientos para la implantación de controles de
seguridad confeccionados a las necesidades individuales de una organización, o partes de
ella.
En la figura N° 1, se tiene una representación gráfica de los componentes del estándar. Esta
basado en el célebre “modelo shewhart” el cualfue popularizado por el Dr. Deming.
Figura N° 1
Modelo Sistema de Gestión de Seguridad de Información
PARTES
INTERESADAS
REQUERIMIENTOS Y
EXPECTATIVAS DE LA
SEGURIDAD
DE INFORMACIÓN
PARTES
INTERESADAS
PLAN
ESTABLECER
EL SGSI 4.2
IMPLEMENTAR
Y OPERAR EL
EL SGSI 4.2.2
DO
Desarrollar,
mantener
y mejorar
el ciclo
MANTENER Y
MEJORAR
EL SGSI 4.2.4
SEGURIDAD
DE
INFORMACIÓN
MANEJADA
ACTMONITOREAR
Y REVISAR
EL SGSI 4.2.3
CHECK
2
DEFINICIÓN DEL ALCANCE DEL MODELO EN EL BANCO
En la sección 4.2 (a) del estándar, se exige como punto de partida para establecer el SGSI
que la empresa:
“ defina el alcance del SGSI en términos de las características del negocio, la organización,
su ubicación, activos y tecnología.”
Una vez determinado el alcance del modelo en la empresa, se debe proceder a...
Banca
Aplicación del ISO 27001:2005
Por
Alberto G. Alexander, Ph.D.
Director Centro para la Excelencia Empresarial
www.centrum.pucp.edu.pe/excelencia
aalexan@pucp.edu.pe
Las organizaciones hoy en día, con la sofisticación tecnológica y la complejidad en el
manejo de información, enfrentan distintas amenazas que muchas veces explotansus
vulnerabilidades. El riesgo esta siempre presente. La confidencialidad, integridad y
disponibilidad de la información en la empresa, es fundamental para el aumento de la
competitividad de la firma. Las organizaciones están obligadas si desean continuar
operando, de instaurar “Sistemas de Gestión de Seguridad de Información” que
permitan asegurar que tienen identificados sus activos vitales deinformación, que han
determinado de manera sistemática que activos son los de riesgo y puedan con
precisión instituir los controles pertinentes.
En el presente ensayo, se utiliza un caso real en la Banca Latinoamericana. Se detallan
los pasos metodológicos seguidos para identificar el alcance para establecer el
estándar ISO 27001:2005 en el proceso de “cuentas corrientes”. Seguidamente se
presentanlos pasos para efectuar el “análisis y evaluación del riesgo” en el referido
proceso.
INTRODUCCIÓN
La experiencia en implantar el modelo de gestión de seguridad de información (SGSI), se
desarrolló en un Banco Comercial ubicado en la capital de un país latinoamericano. La
institución en el momento de implantar el modelo estaba considerada por sus captaciones
como el tercer Banco del país. Sufortaleza estaba en la banca comercial.
La alta gerencia del Banco, ante el aumento de fraudes y riesgos en el manejo de la
información en la mayoría de sus procesos, decidió la implantación del SGSI ISO
27001:2005. Se decidió implantar el modelo, por razones estratégicas, en el proceso de
“cuentas corrientes”.
NATURALEZA DEL SGSI BS 7799-2:2002
El estándar ISO 27001:2005, es parte del sistema degestión de la organización. Esta basado
en un enfoque de riesgos del negocio., para establecer, implantar, operar, monitorear,
mantener y mejorar la seguridad de información. El sistema de gestión incluye, estructura
organizacional, políticas, planeación de actividades, responsabilidades, prácticas,
procedimientos, procesos y recursos.
Para implantar el modelo, la empresa debe determinar sualcance. La amplitud del modelo
puede variar según la conveniencia de la empresa. Se puede aplicar a toda la firma o a
algún proceso en particular, cubriendo los activos relevantes de información, sistemas,
aplicaciones, servicios, redes y tecnologías usadas para procesar, almacenar y comunicar
información.
El ISO 27001:2005, específica los requerimientos para establecer, implantar, operar,
monitorear ymejorar un SGSI documentado, dentro del contextote de los riesgos de una
organización. El modelo específica los requerimientos para la implantación de controles de
seguridad confeccionados a las necesidades individuales de una organización, o partes de
ella.
En la figura N° 1, se tiene una representación gráfica de los componentes del estándar. Esta
basado en el célebre “modelo shewhart” el cualfue popularizado por el Dr. Deming.
Figura N° 1
Modelo Sistema de Gestión de Seguridad de Información
PARTES
INTERESADAS
REQUERIMIENTOS Y
EXPECTATIVAS DE LA
SEGURIDAD
DE INFORMACIÓN
PARTES
INTERESADAS
PLAN
ESTABLECER
EL SGSI 4.2
IMPLEMENTAR
Y OPERAR EL
EL SGSI 4.2.2
DO
Desarrollar,
mantener
y mejorar
el ciclo
MANTENER Y
MEJORAR
EL SGSI 4.2.4
SEGURIDAD
DE
INFORMACIÓN
MANEJADA
ACTMONITOREAR
Y REVISAR
EL SGSI 4.2.3
CHECK
2
DEFINICIÓN DEL ALCANCE DEL MODELO EN EL BANCO
En la sección 4.2 (a) del estándar, se exige como punto de partida para establecer el SGSI
que la empresa:
“ defina el alcance del SGSI en términos de las características del negocio, la organización,
su ubicación, activos y tecnología.”
Una vez determinado el alcance del modelo en la empresa, se debe proceder a...
Leer documento completo
Regístrate para leer el documento completo.