1. Sistemas de Gestión de Seguridad en los
Sistemas de Información
Lion Broker S.A
SGSI: Lion Broker S.A Página 1
2. 1. INTRODUCCIÓN ......................................................................................................... 3
2. ALCANCE DEL SGSI..................................................................................................... 3
3. POLÍTICA DE SEGURIDAD .......................................................................................... 4
4. ANALISIS DE RIESGOS ............................................................................................... 5
4.1. ACTIVOS .................................................................................................................. 5
4.2. AMENAZAS ................................................................................................................ 5
4.3. VULNERABILIDADES ..................................................................................................... 5
5. METODOLOGÍA EMPLEADA PARA EVALUAR EL RIESGO .............................................. 6
5.1. EVALUACIÓN DE RIESGOS .............................................................................................. 7
6. PLAN DE TRATAMIENTO DE RIESGOS ......................................................................... 8
Autores
Manuel Crespo manoloc@gmail.com
Juan Pablo Esquer juan.esquer@gmail.com
Victor Martin victor.martinramos@gmail.com
Historial de Revisiones
Autor Versión Cambios Fecha
Juan Pablo Esquer 1.0 6-11-2011
Manolo Crespo 1.1 9-11-2011
Víctor Martin 1.2 12-12-2011
SGSI: Lion Broker S.A Página 2
3. 1. Introducción
Lion Broker S.A es una empresa de servicios de inversión, registrada en la CNMV con el número
xxx. Fue fundada en el año 1999 por un equipo de profesionales con amplia experiencia en el sector
financiero con el principal objetivo de ofrecer a sus clientes servicios online de inversión, ahorro y
otros productos bancarios.
Ofrecemos una amplia gama de productos y servicios de inversión:
• Renta Variable Nacional e Internacional (Acciones, Warrants, ETFs, Certificados...)
• Derivados Nacionales e Internacionales (Futuros y Opciones)
• Somos distribuidores de fondos de inversión de las más prestigiosas gestoras.
• Cuentas de Ahorro y Depósitos a plazo.
Somos miembro de Bolsa de Madrid y Barcelona, miembro liquidador de Meff Renta Variable,
miembro del MAB y Entidad Participante de IBERCLEAR.
2. Alcance del SGSI
La Dirección de Lion Broker S.A reconoce la importancia de identificar y proteger sus activos de
información, evitando la divulgación, destrucción, modificación y utilización no autorizada de toda
información relacionada con sus clientes, empleados, transacciones financieras comprometiéndose a
desarrollar, implantar, mantener y mejorar continuamente el Sistema de Gestión de Seguridad
de la Información (SGSI) siguiendo el modelo ISO 27001 -2005 aplicable a todas sus
delegaciones , sucursales y redes de agentes tanto nacionales como internacionales.
La Seguridad de la Información en nuestra organización se caracteriza como la preservación de:
a) su confidencialidad, asegurando que sólo quienes estén autorizados pueden acceder a la
información;
b) su integridad, asegurando que la información y sus métodos de proceso son exactos y
completos;
c) su disponibilidad, asegurando que los usuarios autorizados tienen acceso a la información
y a sus activos asociados cuando lo requieran. La seguridad de la información se consigue
implantando un conjunto adecuado de controles, tales como políticas, prácticas,
procedimientos, estructuras organizativas y funciones de software. Estos controles han
sido establecidos para asegurar que se cumplen los objetivos específicos de seguridad de
la empresa.
SGSI: Lion Broker S.A Página 3
4. 3. Política de seguridad
Este Documento de Seguridad se ha elaborado para dar cumplimiento a todas las leyes relativas a
seguridad de la información dentro del ámbito financiero en el que se engloba nuestra compañía:
• Ley Orgánica 15/99 de 13 de Diciembre de Protección de Datos de Carácter Personal, así
como al Real Decreto 994/1999, de 11 de Junio por el que se aprueba el Reglamento de
Medidas de Seguridad de los Ficheros Automatizados que contengan datos de carácter
personal, desarrollado por el RD 1720/2007 y es de obligado cumplimiento para todo el
personal de Lion Broker S.L.
• Markets in Financial Directive - Mifid (2004/39/CE) en los apartados referentes a registro de
transacciones de clientes y continuidad del negocio (BCP)
Dada la actual situación económica-financiera y el cada vez más importante uso de las tecnologías
de la información en los mercados de capitales, se hace necesaria la adopción de medidas
específicas en el área de la seguridad.
La implantación de un sistema de gestión de seguridad de la información que garantice la protección
de los activos relevantes de la organización se convierte no solo en una tarea de obligado
cumplimiento, si no en un elemento diferenciador en la calidad de las organizaciones.
Es esto lo que ha llevado a nuestra empresa a adoptar el estándar de seguridad de la información
ISO/IEC 27001 para garantizar la confidencialidad, integridad y disponibilidad de nuestros activos.
Una adecuada priorización de los posibles riesgos, amenazas y vulnerabilidades ha sido realizada
teniendo en cuenta las especificidades de nuestro negocio.
Es importante que los principios de la política de seguridad sean parte de la cultura organizacional y
por ello promovemos el obligado cumplimiento con la colaboración de todos los empleados.
El presente Documento de Seguridad se mantiene en todo momento actualizado y es revisado
siempre que se producen cambios relevantes en los Sistemas de Información o en la organización
del mismo, habiendo sido puesto en conocimiento de todo el personal de Lion Broker.
Toda la información relativa a la política de seguridad está disponible en la intranet dentro de la
sección de información corporativa.
Firmado,
Responsable de seguridad
SGSI: Lion Broker S.A Página 4
5. 4. Análisis de Riesgos
4.1. Activos
● Información
○ Sistema de Información (Transaccional)
○ Clientes (Datos Personales)
○ Informes (Hacienda, Banco de España,CNMV)
● Software
○ Sistema de Contratación
○ Sistema de Control de Riesgo
○ Banca Online
○ CRM, ERP, Intranet
○ Base de Datos
● Hardware
○ CPD
○ Comunicaciones Telefónicas
● Personal
○ TI, Sistemas
○ Jurídico
4.2. Amenazas
● Acceso indebido a la Base de Datos de Clientes
● Incumplimiento de normas en el Departamento de Finanzas
● Caída de los sistemas, ya sea WEB, contratación o banca online
● Corrupción de los datos por la mala integridad en las transacciones o por un error de borrado
● Ataque interno realizado por un empleado
● Ataque externo perpetrado por Hackers
● Falla eléctrica en las instalaciones del CPD
● Renuncia de personal sensible para la empresa (TI, Sistemas, Jurídico)
● Falla en el Hardware de comunicaciones (Centralita)
● Vencimiento de las licencias de software
4.3. Vulnerabilidades
● Falta de controles adecuados de rendimiento y disponibilidad de los sistemas
● Falta de una política de seguridad adecuada para los datos, uso de la red y comportamiento
de los empleados con la información de la empresa
● Mala configuración de los dispositivos de la red (Contraseñas por defecto, puertos libres,
directivas de grupos, usuarios por defecto, ips de la red)
SGSI: Lion Broker S.A Página 5
6. 5. Metodología empleada para evaluar el riesgo
Son varias las herramientas disponibles en el mercado para realizar un Análisis de Riesgos. Entre
ellas destacan MAGERIT, CRAMM, OCTAVE, etc. En cualquier caso, son herramientas complejas, y
atendiendo a la estructura de nuestra organización se ha preferido emplear una metodología semi-
cualitativa.
Representando en una matriz los riesgos de la organización y valorándolos en función de la
probabilidad de ocurrencia y consecuencia derivada.
En esta primera iteración en el ciclo Deming - PDCA (Plan, do, check, act) serán tratados aquellos
riesgos considerados NO ACEPTABLES por la organización.
Esto es: Aquellos con consecuencias mayores para el negocio.
El resto de riesgos se dejarán para posteriores iteraciones o bien se transferirán a empresas
externas.
SGSI: Lion Broker S.A Página 6
7. 5.1. Evaluación de Riesgos
Probabilidad
Muy Alta (10)
Alta -Personal Dpto. -Banca Online -Personal
Legal Dpto. IT
Baja -CPD -Sistema de
Contratación
-Sistema de
Control de
Riesgo
Muy Baja Intranet -Sist. -Información de
Información Clientes
Transaccional -Informes
0 Muy Baja Baja Alta Muy Alta Consecuencia
Resultado de la Evaluación:
Se puede constatar que el activo más importante para la empresa es la Información, por la cual
podemos definir hasta ahora un alcance de nuestra implantación de un SGSI para un primer inicio
de este desarrollo y al siguiente ciclo se puede definir un alcance más grande y a la misma vez
revisar los alcances obtenidos para obtener una mejora en todos los aspectos.
SGSI: Lion Broker S.A Página 7
8. 6. Plan de Tratamiento de Riesgos
Activo
Información de Clientes almacenada en Base de Datos
Amenaza
Acceso indebido a la información de los clientes por un usuario interno y/o externo a la
empresa.
Impacto
Dado el ámbito de operación de la empresa (Servicios de Banca/Bolsa/Inversiones), la
confidencialidad de los datos de los clientes es un activo muy importante, además de que
son datos que al ser obtenidos por alguna persona puede provocar pérdidas para el mismo
cliente y que esos datos podrían ser utilizados con fines de dañar la imagen de la empresa
o la nuestra.
Tratamiento de este riesgo
Encriptamiento de Base de Datos de Clientes. Una propuesta seria el encriptamiento de los
datos de los clientes, comenzando con algunos datos básicos, además de que para el
desarrollo y mantenimiento de los sistemas, muchas veces se necesitan realizar pruebas
con datos de clientes, estos datos en caso de ser requeridos por los programadores, serán
encriptados o se utilizara una herramienta para generar datos ficticios de rellenado de
tablas, con el fin de siempre mantener la confidencialidad de nuestros clientes y hacerles
saber que sus datos estén bien asegurados.
Además de esta primera aproximación, se utilizará una política de seguridad de los
diferentes entornos a los cuales pueden acceder los usuarios, teniendo así una persona del
área de TI que se encargara de crear diferentes perfiles de acceso a las diferentes bases de
datos. Esta persona deberá ser de máxima confianza y se responsabilizará de mantener
seguras las claves de acceso a la base de datos de clientes y de tener las llaves para
encriptar/desencriptar los datos.
SGSI: Lion Broker S.A Página 8
9. Activo
Sistema de Control de Riesgo
Amenaza
Falta de disponibilidad en la valoración online de las carteras de los clientes.
Impacto
Dada la alta volatilidad de los mercados financieros es imprescindible disponer del riesgo
asociado de las operaciones de los clientes (Ordenes en Mercado, valoración cartera) en
tiempo real. La falta de disponibilidad de estos datos podría hacer incurrir al cliente en
pérdidas potenciales de las cuales sería muy difícil hacerse cargo pudiendo causar la
quiebra de la empresa debido a la exposición por las posiciones de un cliente.
Tratamiento de este riesgo
Este sistema se encuentra es una aplicación que corre en un único servidor por lo que está
muy expuesta a los posible fallos sw, hw que ocurrieran en él.
Se hace obligatorio la clusterización de la aplicación para poder asegurar la alta
disponibilidad y balanceo de carga necesarios en una aplicación con unos requisitos de
servicio tan exigentes.
SGSI: Lion Broker S.A Página 9
10. Activo
CPD
Amenaza
Falla eléctrica en las instalaciones del CPD que cause la perdida de la comunicación y caída
del sistema de banca en línea de los clientes.
Impacto
El impacto que puede tener la indisponibilidad del CPD es de alto impacto ya que en este
sitio se mantiene lo que se puede decir como el núcleo de los sistemas, ya que ahí se
almacena la información de los clientes y los sistemas de gestión de las transacciones por
lo que la no disponibilidad de este activo puede ocasionar perdidas grandes para la
empresa.
Tratamiento
Implantación de un centro de contingencia como parte del BCP (Business Continuity Plan)
para tener asegurada la alta disponibilidad. Con esto se pretende crear una
descentralización de los sistemas, y además de que en caso de desastre, este backup
pueda entrar en activo en el momento en que sea detectada la caída del CPD.
SGSI: Lion Broker S.A Página 10
11. Activo
Banca online
Amenaza
Acceso indebido por terceros a cuentas de clientes.
Impacto
El impacto que puede tener el acceso a cuentas de clientes por terceros pueden ser varios,
como el robo de activos financieros a nuestros clientes para enriquecimiento propio, o por
el hecho de hacer daño a la imágen de la empresa. Al ser nuestra empresa basada en las
transacciones económicas de nuestros clientes hay que asegurar al máximo que la persona
que está realizando las transacciones con la banca online sea esa y solo esa.
Actualmente el sistema de seguridad se basa en el acceso a una web segura mediante
usuario y password (mínimo 8 dígitos). Una vez dentro cualquier transacción es realizada
sin ningún tipo de seguridad adicional.
Tratamiento
Se enviará a cada usuario una tarjeta de coordenadas única generada con 100 números
aleatorios en una cuadricula de 10 filas por 10 columnas. El envío se realizará mediante
correo certificado con acuse de recibo. Una vez acusado el recibo de la tarjeta y carta
explicativa, se activará en la aplicación web el nuevo sistema de seguridad. A partir de este
momento para cada transacción que se realice, se le solicitará al usuario aleatoriamente la
introducción de un número de la tarjeta de coordenadas. Después de tres introducciones
erróneas la cuenta del usuario queda bloqueada. En ese momento se le hará una llamada
al número de teléfono registrado del cliente verificando la identidad mediante al menos 4
identificadores personales (DNI, fecha nacimiento, banco de cobro, dirección, teléfonos,
email, datos de control, etc.). Una vez verificada la identidad se le preguntará cual es el
motivo de las introducciones erróneas. En caso de pérdida de tarjeta se le enviará otra
tarjeta nueva bloqueando la anterior para dicho cliente.
SGSI: Lion Broker S.A Página 11
12. Activo
Personal departamento Jurídico
Amenaza
Alta rotación de personal en este departamento.
Impacto
Dada la gran exposición que tiene nuestra empresa a un marco regulatorio complejo, con
cambios constantes y relaciones comerciales con empresas en todo el mundo. Se hace
necesario mantener una especialización en los servicios jurídicos que a veces es complicado
mantener debido la alta rotación existente en la empresa.
Tratamiento de este riesgo
Subcontratación de los servicios jurídicos: Contratos, acuerdos, SLAs (Service Level
Agreement) a una firma especializada en Derecho Financiero y con alta experiencia
internacional.
Activo
Pérdida de know how – Dpto. Informática
Amenaza
Perdida de control sobre el software que implementa los algoritmos para el control de
riesgo online de los clientes y que constituye el principal activo de la empresa.
Impacto
El núcleo de la aplicación bancaria fue realizada por una única persona, nadie más conoce
como están desarrollada la aplicación en caso de abandono de la empresa, baja o
enfermedad etc. Esta aplicación quedaría sin mantenimiento.
Tratamiento de este riesgo
Formación interna dentro del departamento de desarrollo para que todos los
programadores sean capaces de mantener la aplicación.
Desarrollo de las partes más complejas de la aplicación por pares (Peer-programming) para
que al menos dos personas conozcan el código más valioso de la aplicación.
Rotación de los programadores dentro de los proyectos.
SGSI: Lion Broker S.A Página 12