SlideShare una empresa de Scribd logo

Politica seguridadsgsi v1.2

Victor Martín
Victor Martín
Tecnología
1 de 12
Sistemas de Gestión de Seguridad en los Sistemas de Información Lion Broker S.A SGSI: Lion Broker S.A Página 1
1. INTRODUCCIÓN ......................................................................................................... 3 2. ALCANCE DEL SGSI..................................................................................................... 3 3. POLÍTICA DE SEGURIDAD .......................................................................................... 4 4. ANALISIS DE RIESGOS ............................................................................................... 5 4.1. ACTIVOS .................................................................................................................. 5 4.2. AMENAZAS ................................................................................................................ 5 4.3. VULNERABILIDADES ..................................................................................................... 5 5. METODOLOGÍA EMPLEADA PARA EVALUAR EL RIESGO .............................................. 6 5.1. EVALUACIÓN DE RIESGOS .............................................................................................. 7 6. PLAN DE TRATAMIENTO DE RIESGOS ......................................................................... 8 Autores Manuel Crespo manoloc@gmail.com Juan Pablo Esquer juan.esquer@gmail.com Victor Martin victor.martinramos@gmail.com Historial de Revisiones Autor Versión Cambios Fecha Juan Pablo Esquer 1.0 6-11-2011 Manolo Crespo 1.1 9-11-2011 Víctor Martin 1.2 12-12-2011 SGSI: Lion Broker S.A Página 2
1. Introducción Lion Broker S.A es una empresa de servicios de inversión, registrada en la CNMV con el número xxx. Fue fundada en el año 1999 por un equipo de profesionales con amplia experiencia en el sector financiero con el principal objetivo de ofrecer a sus clientes servicios online de inversión, ahorro y otros productos bancarios. Ofrecemos una amplia gama de productos y servicios de inversión: • Renta Variable Nacional e Internacional (Acciones, Warrants, ETFs, Certificados...) • Derivados Nacionales e Internacionales (Futuros y Opciones) • Somos distribuidores de fondos de inversión de las más prestigiosas gestoras. • Cuentas de Ahorro y Depósitos a plazo. Somos miembro de Bolsa de Madrid y Barcelona, miembro liquidador de Meff Renta Variable, miembro del MAB y Entidad Participante de IBERCLEAR. 2. Alcance del SGSI La Dirección de Lion Broker S.A reconoce la importancia de identificar y proteger sus activos de información, evitando la divulgación, destrucción, modificación y utilización no autorizada de toda información relacionada con sus clientes, empleados, transacciones financieras comprometiéndose a desarrollar, implantar, mantener y mejorar continuamente el Sistema de Gestión de Seguridad de la Información (SGSI) siguiendo el modelo ISO 27001 -2005 aplicable a todas sus delegaciones , sucursales y redes de agentes tanto nacionales como internacionales. La Seguridad de la Información en nuestra organización se caracteriza como la preservación de: a) su confidencialidad, asegurando que sólo quienes estén autorizados pueden acceder a la información; b) su integridad, asegurando que la información y sus métodos de proceso son exactos y completos; c) su disponibilidad, asegurando que los usuarios autorizados tienen acceso a la información y a sus activos asociados cuando lo requieran. La seguridad de la información se consigue implantando un conjunto adecuado de controles, tales como políticas, prácticas, procedimientos, estructuras organizativas y funciones de software. Estos controles han sido establecidos para asegurar que se cumplen los objetivos específicos de seguridad de la empresa. SGSI: Lion Broker S.A Página 3
3. Política de seguridad Este Documento de Seguridad se ha elaborado para dar cumplimiento a todas las leyes relativas a seguridad de la información dentro del ámbito financiero en el que se engloba nuestra compañía: • Ley Orgánica 15/99 de 13 de Diciembre de Protección de Datos de Carácter Personal, así como al Real Decreto 994/1999, de 11 de Junio por el que se aprueba el Reglamento de Medidas de Seguridad de los Ficheros Automatizados que contengan datos de carácter personal, desarrollado por el RD 1720/2007 y es de obligado cumplimiento para todo el personal de Lion Broker S.L. • Markets in Financial Directive - Mifid (2004/39/CE) en los apartados referentes a registro de transacciones de clientes y continuidad del negocio (BCP) Dada la actual situación económica-financiera y el cada vez más importante uso de las tecnologías de la información en los mercados de capitales, se hace necesaria la adopción de medidas específicas en el área de la seguridad. La implantación de un sistema de gestión de seguridad de la información que garantice la protección de los activos relevantes de la organización se convierte no solo en una tarea de obligado cumplimiento, si no en un elemento diferenciador en la calidad de las organizaciones. Es esto lo que ha llevado a nuestra empresa a adoptar el estándar de seguridad de la información ISO/IEC 27001 para garantizar la confidencialidad, integridad y disponibilidad de nuestros activos. Una adecuada priorización de los posibles riesgos, amenazas y vulnerabilidades ha sido realizada teniendo en cuenta las especificidades de nuestro negocio. Es importante que los principios de la política de seguridad sean parte de la cultura organizacional y por ello promovemos el obligado cumplimiento con la colaboración de todos los empleados. El presente Documento de Seguridad se mantiene en todo momento actualizado y es revisado siempre que se producen cambios relevantes en los Sistemas de Información o en la organización del mismo, habiendo sido puesto en conocimiento de todo el personal de Lion Broker. Toda la información relativa a la política de seguridad está disponible en la intranet dentro de la sección de información corporativa. Firmado, Responsable de seguridad SGSI: Lion Broker S.A Página 4
4. Análisis de Riesgos 4.1. Activos ● Información ○ Sistema de Información (Transaccional) ○ Clientes (Datos Personales) ○ Informes (Hacienda, Banco de España,CNMV) ● Software ○ Sistema de Contratación ○ Sistema de Control de Riesgo ○ Banca Online ○ CRM, ERP, Intranet ○ Base de Datos ● Hardware ○ CPD ○ Comunicaciones Telefónicas ● Personal ○ TI, Sistemas ○ Jurídico 4.2. Amenazas ● Acceso indebido a la Base de Datos de Clientes ● Incumplimiento de normas en el Departamento de Finanzas ● Caída de los sistemas, ya sea WEB, contratación o banca online ● Corrupción de los datos por la mala integridad en las transacciones o por un error de borrado ● Ataque interno realizado por un empleado ● Ataque externo perpetrado por Hackers ● Falla eléctrica en las instalaciones del CPD ● Renuncia de personal sensible para la empresa (TI, Sistemas, Jurídico) ● Falla en el Hardware de comunicaciones (Centralita) ● Vencimiento de las licencias de software 4.3. Vulnerabilidades ● Falta de controles adecuados de rendimiento y disponibilidad de los sistemas ● Falta de una política de seguridad adecuada para los datos, uso de la red y comportamiento de los empleados con la información de la empresa ● Mala configuración de los dispositivos de la red (Contraseñas por defecto, puertos libres, directivas de grupos, usuarios por defecto, ips de la red) SGSI: Lion Broker S.A Página 5
5. Metodología empleada para evaluar el riesgo Son varias las herramientas disponibles en el mercado para realizar un Análisis de Riesgos. Entre ellas destacan MAGERIT, CRAMM, OCTAVE, etc. En cualquier caso, son herramientas complejas, y atendiendo a la estructura de nuestra organización se ha preferido emplear una metodología semi- cualitativa. Representando en una matriz los riesgos de la organización y valorándolos en función de la probabilidad de ocurrencia y consecuencia derivada. En esta primera iteración en el ciclo Deming - PDCA (Plan, do, check, act) serán tratados aquellos riesgos considerados NO ACEPTABLES por la organización. Esto es: Aquellos con consecuencias mayores para el negocio. El resto de riesgos se dejarán para posteriores iteraciones o bien se transferirán a empresas externas. SGSI: Lion Broker S.A Página 6
5.1. Evaluación de Riesgos Probabilidad Muy Alta (10) Alta -Personal Dpto. -Banca Online -Personal Legal Dpto. IT Baja -CPD -Sistema de Contratación -Sistema de Control de Riesgo Muy Baja Intranet -Sist. -Información de Información Clientes Transaccional -Informes 0 Muy Baja Baja Alta Muy Alta Consecuencia Resultado de la Evaluación: Se puede constatar que el activo más importante para la empresa es la Información, por la cual podemos definir hasta ahora un alcance de nuestra implantación de un SGSI para un primer inicio de este desarrollo y al siguiente ciclo se puede definir un alcance más grande y a la misma vez revisar los alcances obtenidos para obtener una mejora en todos los aspectos. SGSI: Lion Broker S.A Página 7
6. Plan de Tratamiento de Riesgos Activo Información de Clientes almacenada en Base de Datos Amenaza Acceso indebido a la información de los clientes por un usuario interno y/o externo a la empresa. Impacto Dado el ámbito de operación de la empresa (Servicios de Banca/Bolsa/Inversiones), la confidencialidad de los datos de los clientes es un activo muy importante, además de que son datos que al ser obtenidos por alguna persona puede provocar pérdidas para el mismo cliente y que esos datos podrían ser utilizados con fines de dañar la imagen de la empresa o la nuestra. Tratamiento de este riesgo Encriptamiento de Base de Datos de Clientes. Una propuesta seria el encriptamiento de los datos de los clientes, comenzando con algunos datos básicos, además de que para el desarrollo y mantenimiento de los sistemas, muchas veces se necesitan realizar pruebas con datos de clientes, estos datos en caso de ser requeridos por los programadores, serán encriptados o se utilizara una herramienta para generar datos ficticios de rellenado de tablas, con el fin de siempre mantener la confidencialidad de nuestros clientes y hacerles saber que sus datos estén bien asegurados. Además de esta primera aproximación, se utilizará una política de seguridad de los diferentes entornos a los cuales pueden acceder los usuarios, teniendo así una persona del área de TI que se encargara de crear diferentes perfiles de acceso a las diferentes bases de datos. Esta persona deberá ser de máxima confianza y se responsabilizará de mantener seguras las claves de acceso a la base de datos de clientes y de tener las llaves para encriptar/desencriptar los datos. SGSI: Lion Broker S.A Página 8
Activo Sistema de Control de Riesgo Amenaza Falta de disponibilidad en la valoración online de las carteras de los clientes. Impacto Dada la alta volatilidad de los mercados financieros es imprescindible disponer del riesgo asociado de las operaciones de los clientes (Ordenes en Mercado, valoración cartera) en tiempo real. La falta de disponibilidad de estos datos podría hacer incurrir al cliente en pérdidas potenciales de las cuales sería muy difícil hacerse cargo pudiendo causar la quiebra de la empresa debido a la exposición por las posiciones de un cliente. Tratamiento de este riesgo Este sistema se encuentra es una aplicación que corre en un único servidor por lo que está muy expuesta a los posible fallos sw, hw que ocurrieran en él. Se hace obligatorio la clusterización de la aplicación para poder asegurar la alta disponibilidad y balanceo de carga necesarios en una aplicación con unos requisitos de servicio tan exigentes. SGSI: Lion Broker S.A Página 9
Activo CPD Amenaza Falla eléctrica en las instalaciones del CPD que cause la perdida de la comunicación y caída del sistema de banca en línea de los clientes. Impacto El impacto que puede tener la indisponibilidad del CPD es de alto impacto ya que en este sitio se mantiene lo que se puede decir como el núcleo de los sistemas, ya que ahí se almacena la información de los clientes y los sistemas de gestión de las transacciones por lo que la no disponibilidad de este activo puede ocasionar perdidas grandes para la empresa. Tratamiento Implantación de un centro de contingencia como parte del BCP (Business Continuity Plan) para tener asegurada la alta disponibilidad. Con esto se pretende crear una descentralización de los sistemas, y además de que en caso de desastre, este backup pueda entrar en activo en el momento en que sea detectada la caída del CPD. SGSI: Lion Broker S.A Página 10
Activo Banca online Amenaza Acceso indebido por terceros a cuentas de clientes. Impacto El impacto que puede tener el acceso a cuentas de clientes por terceros pueden ser varios, como el robo de activos financieros a nuestros clientes para enriquecimiento propio, o por el hecho de hacer daño a la imágen de la empresa. Al ser nuestra empresa basada en las transacciones económicas de nuestros clientes hay que asegurar al máximo que la persona que está realizando las transacciones con la banca online sea esa y solo esa. Actualmente el sistema de seguridad se basa en el acceso a una web segura mediante usuario y password (mínimo 8 dígitos). Una vez dentro cualquier transacción es realizada sin ningún tipo de seguridad adicional. Tratamiento Se enviará a cada usuario una tarjeta de coordenadas única generada con 100 números aleatorios en una cuadricula de 10 filas por 10 columnas. El envío se realizará mediante correo certificado con acuse de recibo. Una vez acusado el recibo de la tarjeta y carta explicativa, se activará en la aplicación web el nuevo sistema de seguridad. A partir de este momento para cada transacción que se realice, se le solicitará al usuario aleatoriamente la introducción de un número de la tarjeta de coordenadas. Después de tres introducciones erróneas la cuenta del usuario queda bloqueada. En ese momento se le hará una llamada al número de teléfono registrado del cliente verificando la identidad mediante al menos 4 identificadores personales (DNI, fecha nacimiento, banco de cobro, dirección, teléfonos, email, datos de control, etc.). Una vez verificada la identidad se le preguntará cual es el motivo de las introducciones erróneas. En caso de pérdida de tarjeta se le enviará otra tarjeta nueva bloqueando la anterior para dicho cliente. SGSI: Lion Broker S.A Página 11
Activo Personal departamento Jurídico Amenaza Alta rotación de personal en este departamento. Impacto Dada la gran exposición que tiene nuestra empresa a un marco regulatorio complejo, con cambios constantes y relaciones comerciales con empresas en todo el mundo. Se hace necesario mantener una especialización en los servicios jurídicos que a veces es complicado mantener debido la alta rotación existente en la empresa. Tratamiento de este riesgo Subcontratación de los servicios jurídicos: Contratos, acuerdos, SLAs (Service Level Agreement) a una firma especializada en Derecho Financiero y con alta experiencia internacional. Activo Pérdida de know how – Dpto. Informática Amenaza Perdida de control sobre el software que implementa los algoritmos para el control de riesgo online de los clientes y que constituye el principal activo de la empresa. Impacto El núcleo de la aplicación bancaria fue realizada por una única persona, nadie más conoce como están desarrollada la aplicación en caso de abandono de la empresa, baja o enfermedad etc. Esta aplicación quedaría sin mantenimiento. Tratamiento de este riesgo Formación interna dentro del departamento de desarrollo para que todos los programadores sean capaces de mantener la aplicación. Desarrollo de las partes más complejas de la aplicación por pares (Peer-programming) para que al menos dos personas conozcan el código más valioso de la aplicación. Rotación de los programadores dentro de los proyectos. SGSI: Lion Broker S.A Página 12

Recomendados

2021 Mes de la ciberseguridad
2021 Mes de la ciberseguridad 2021 Mes de la ciberseguridad
2021 Mes de la ciberseguridad
Fabián Descalzo
 
Win Magic Spanish 2009 10 22
Win Magic Spanish 2009 10 22Win Magic Spanish 2009 10 22
Win Magic Spanish 2009 10 22
Internet Security Solutions
 
Conformidad De Seguridad De InformacióNv2
Conformidad De Seguridad De InformacióNv2Conformidad De Seguridad De InformacióNv2
Conformidad De Seguridad De InformacióNv2
Ben Omoakin Oguntala, developingafrica(dot)net
 
CISO. Madrid, 20 de Noviembre de 2014
CISO. Madrid, 20 de Noviembre de 2014CISO. Madrid, 20 de Noviembre de 2014
CISO. Madrid, 20 de Noviembre de 2014
Begoña Fernández Palma
 
AR-Un paso más allá en a seguridad de sus datos.
AR-Un paso más allá en a seguridad de sus datos.AR-Un paso más allá en a seguridad de sus datos.
AR-Un paso más allá en a seguridad de sus datos.
PowerData
 
Información Corporativa Realsec
Información Corporativa RealsecInformación Corporativa Realsec
Información Corporativa Realsec
REALSEC
 
Proyecto de vida
Proyecto de vidaProyecto de vida
Proyecto de vida
jhonatanytati
 
Fairfax Connector Express Lanes to Tysons: January 2013
Fairfax Connector Express Lanes to Tysons: January 2013Fairfax Connector Express Lanes to Tysons: January 2013
Fairfax Connector Express Lanes to Tysons: January 2013
Fairfax County
 

Recomendados

2021 Mes de la ciberseguridad
2021 Mes de la ciberseguridad 2021 Mes de la ciberseguridad
2021 Mes de la ciberseguridad
Fabián Descalzo
 
Win Magic Spanish 2009 10 22
Win Magic Spanish 2009 10 22Win Magic Spanish 2009 10 22
Win Magic Spanish 2009 10 22
Internet Security Solutions
 
Conformidad De Seguridad De InformacióNv2
Conformidad De Seguridad De InformacióNv2Conformidad De Seguridad De InformacióNv2
Conformidad De Seguridad De InformacióNv2
Ben Omoakin Oguntala, developingafrica(dot)net
 
CISO. Madrid, 20 de Noviembre de 2014
CISO. Madrid, 20 de Noviembre de 2014CISO. Madrid, 20 de Noviembre de 2014
CISO. Madrid, 20 de Noviembre de 2014
Begoña Fernández Palma
 
AR-Un paso más allá en a seguridad de sus datos.
AR-Un paso más allá en a seguridad de sus datos.AR-Un paso más allá en a seguridad de sus datos.
AR-Un paso más allá en a seguridad de sus datos.
PowerData
 
Información Corporativa Realsec
Información Corporativa RealsecInformación Corporativa Realsec
Información Corporativa Realsec
REALSEC
 
Proyecto de vida
Proyecto de vidaProyecto de vida
Proyecto de vida
jhonatanytati
 
Fairfax Connector Express Lanes to Tysons: January 2013
Fairfax Connector Express Lanes to Tysons: January 2013Fairfax Connector Express Lanes to Tysons: January 2013
Fairfax Connector Express Lanes to Tysons: January 2013
Fairfax County
 
Trabajo
TrabajoTrabajo
Trabajo
royholguin1990
 
Lopd Brochure
Lopd BrochureLopd Brochure
Lopd Brochure
gresteban
 
Ciber... nacion: afrontando los retos del siglo XXI
Ciber... nacion: afrontando los retos del siglo XXICiber... nacion: afrontando los retos del siglo XXI
Ciber... nacion: afrontando los retos del siglo XXI
Corporacion Colombia Digital
 
Consultores gm dossier corporativo
Consultores gm dossier corporativoConsultores gm dossier corporativo
Consultores gm dossier corporativo
consultoresgm
 
Gobierno de seguridad_de_la_informacion
Gobierno de seguridad_de_la_informacionGobierno de seguridad_de_la_informacion
Gobierno de seguridad_de_la_informacion
Alexander Velasque Rimac
 
Proyecto Seguridad en Redes
Proyecto Seguridad en RedesProyecto Seguridad en Redes
Proyecto Seguridad en Redes
Brian Piragauta
 
Gestión y seguridad informatica act. 3
Gestión y seguridad informatica act. 3Gestión y seguridad informatica act. 3
Gestión y seguridad informatica act. 3
Julio Cesar Labrador Castillo
 
Arp secure 2019
Arp secure 2019Arp secure 2019
Arp secure 2019
Carlos Rodriguez Morales
 
ISS SA Protección de la Información e Identidad
ISS SA Protección de la Información e IdentidadISS SA Protección de la Información e Identidad
ISS SA Protección de la Información e Identidad
Information Security Services SA
 
Analisis de riesgos parcial
Analisis de riesgos parcialAnalisis de riesgos parcial
Analisis de riesgos parcial
Alexander Velasque Rimac
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
Mariana Heredia Thorne
 
Café tecnológico: Evento sobre ciberseguridad | Bilbao 15/11/2017
Café tecnológico: Evento sobre ciberseguridad | Bilbao 15/11/2017Café tecnológico: Evento sobre ciberseguridad | Bilbao 15/11/2017
Café tecnológico: Evento sobre ciberseguridad | Bilbao 15/11/2017
Trekking Digital
 
Fabian Descalzo Perfil-2014
Fabian Descalzo Perfil-2014Fabian Descalzo Perfil-2014
Fabian Descalzo Perfil-2014
Fabián Descalzo
 
Curso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónCurso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la Información
Horacio Veramendi
 
Fabian Descalzo - Taller ISO 27001 y negocio
Fabian Descalzo - Taller ISO 27001 y negocioFabian Descalzo - Taller ISO 27001 y negocio
Fabian Descalzo - Taller ISO 27001 y negocio
Fabián Descalzo
 
Dti auditoria de sistemas
Dti auditoria de sistemasDti auditoria de sistemas
Dti auditoria de sistemas
Alexander Velasque Rimac
 
Análisis+..
Análisis+..Análisis+..
Análisis+..
luisrobles17
 
Monografia gestion de seguridad en redes
Monografia gestion de seguridad en redesMonografia gestion de seguridad en redes
Monografia gestion de seguridad en redes
batuvaps
 
ISMS - Caso de Estudio, Fotofer
ISMS - Caso de Estudio, FotoferISMS - Caso de Estudio, Fotofer
ISMS - Caso de Estudio, Fotofer
Francisco Javier González Millán
 
Estrategias para un Movimiento Seguro a la Nube SYMANTEC
Estrategias para un Movimiento Seguro a la Nube SYMANTECEstrategias para un Movimiento Seguro a la Nube SYMANTEC
Estrategias para un Movimiento Seguro a la Nube SYMANTEC
Cristian Garcia G.
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
Maricarmen Sánchez Ruiz
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
mcerpam
 

Más contenido relacionado

Similar a Politica seguridadsgsi v1.2

Lopd Brochure
Lopd BrochureLopd Brochure
Lopd Brochure
gresteban
 
Curso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónCurso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la Información
Horacio Veramendi
 
Fabian Descalzo - Taller ISO 27001 y negocio
Fabian Descalzo - Taller ISO 27001 y negocioFabian Descalzo - Taller ISO 27001 y negocio
Fabian Descalzo - Taller ISO 27001 y negocio
Fabián Descalzo
 
Estrategias para un Movimiento Seguro a la Nube SYMANTEC
Estrategias para un Movimiento Seguro a la Nube SYMANTECEstrategias para un Movimiento Seguro a la Nube SYMANTEC
Estrategias para un Movimiento Seguro a la Nube SYMANTEC
Cristian Garcia G.
 

Similar a Politica seguridadsgsi v1.2 (20)

Trabajo
TrabajoTrabajo
Trabajo
 
Lopd Brochure
Lopd BrochureLopd Brochure
Lopd Brochure
 
Ciber... nacion: afrontando los retos del siglo XXI
Ciber... nacion: afrontando los retos del siglo XXICiber... nacion: afrontando los retos del siglo XXI
Ciber... nacion: afrontando los retos del siglo XXI
 
Consultores gm dossier corporativo
Consultores gm dossier corporativoConsultores gm dossier corporativo
Consultores gm dossier corporativo
 
Gobierno de seguridad_de_la_informacion
Gobierno de seguridad_de_la_informacionGobierno de seguridad_de_la_informacion
Gobierno de seguridad_de_la_informacion
 
Proyecto Seguridad en Redes
Proyecto Seguridad en RedesProyecto Seguridad en Redes
Proyecto Seguridad en Redes
 
Gestión y seguridad informatica act. 3
Gestión y seguridad informatica act. 3Gestión y seguridad informatica act. 3
Gestión y seguridad informatica act. 3
 
Arp secure 2019
Arp secure 2019Arp secure 2019
Arp secure 2019
 
ISS SA Protección de la Información e Identidad
ISS SA Protección de la Información e IdentidadISS SA Protección de la Información e Identidad
ISS SA Protección de la Información e Identidad
 
Analisis de riesgos parcial
Analisis de riesgos parcialAnalisis de riesgos parcial
Analisis de riesgos parcial
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
 
Café tecnológico: Evento sobre ciberseguridad | Bilbao 15/11/2017
Café tecnológico: Evento sobre ciberseguridad | Bilbao 15/11/2017Café tecnológico: Evento sobre ciberseguridad | Bilbao 15/11/2017
Café tecnológico: Evento sobre ciberseguridad | Bilbao 15/11/2017
 
Fabian Descalzo Perfil-2014
Fabian Descalzo Perfil-2014Fabian Descalzo Perfil-2014
Fabian Descalzo Perfil-2014
 
Curso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónCurso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la Información
 
Fabian Descalzo - Taller ISO 27001 y negocio
Fabian Descalzo - Taller ISO 27001 y negocioFabian Descalzo - Taller ISO 27001 y negocio
Fabian Descalzo - Taller ISO 27001 y negocio
 
Dti auditoria de sistemas
Dti auditoria de sistemasDti auditoria de sistemas
Dti auditoria de sistemas
 
Análisis+..
Análisis+..Análisis+..
Análisis+..
 
Monografia gestion de seguridad en redes
Monografia gestion de seguridad en redesMonografia gestion de seguridad en redes
Monografia gestion de seguridad en redes
 
ISMS - Caso de Estudio, Fotofer
ISMS - Caso de Estudio, FotoferISMS - Caso de Estudio, Fotofer
ISMS - Caso de Estudio, Fotofer
 
Estrategias para un Movimiento Seguro a la Nube SYMANTEC
Estrategias para un Movimiento Seguro a la Nube SYMANTECEstrategias para un Movimiento Seguro a la Nube SYMANTEC
Estrategias para un Movimiento Seguro a la Nube SYMANTEC
 

Último

Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdf
AnnimoUno1
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
JohnRamos830530
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
FagnerLisboa3
 

Último (11)

pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.
 
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfRefrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
 
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxEL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
 
Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdf
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 

Politica seguridadsgsi v1.2

  • 1. Sistemas de Gestión de Seguridad en los Sistemas de Información Lion Broker S.A SGSI: Lion Broker S.A Página 1
  • 2. 1. INTRODUCCIÓN ......................................................................................................... 3 2. ALCANCE DEL SGSI..................................................................................................... 3 3. POLÍTICA DE SEGURIDAD .......................................................................................... 4 4. ANALISIS DE RIESGOS ............................................................................................... 5 4.1. ACTIVOS .................................................................................................................. 5 4.2. AMENAZAS ................................................................................................................ 5 4.3. VULNERABILIDADES ..................................................................................................... 5 5. METODOLOGÍA EMPLEADA PARA EVALUAR EL RIESGO .............................................. 6 5.1. EVALUACIÓN DE RIESGOS .............................................................................................. 7 6. PLAN DE TRATAMIENTO DE RIESGOS ......................................................................... 8 Autores Manuel Crespo manoloc@gmail.com Juan Pablo Esquer juan.esquer@gmail.com Victor Martin victor.martinramos@gmail.com Historial de Revisiones Autor Versión Cambios Fecha Juan Pablo Esquer 1.0 6-11-2011 Manolo Crespo 1.1 9-11-2011 Víctor Martin 1.2 12-12-2011 SGSI: Lion Broker S.A Página 2
  • 3. 1. Introducción Lion Broker S.A es una empresa de servicios de inversión, registrada en la CNMV con el número xxx. Fue fundada en el año 1999 por un equipo de profesionales con amplia experiencia en el sector financiero con el principal objetivo de ofrecer a sus clientes servicios online de inversión, ahorro y otros productos bancarios. Ofrecemos una amplia gama de productos y servicios de inversión: • Renta Variable Nacional e Internacional (Acciones, Warrants, ETFs, Certificados...) • Derivados Nacionales e Internacionales (Futuros y Opciones) • Somos distribuidores de fondos de inversión de las más prestigiosas gestoras. • Cuentas de Ahorro y Depósitos a plazo. Somos miembro de Bolsa de Madrid y Barcelona, miembro liquidador de Meff Renta Variable, miembro del MAB y Entidad Participante de IBERCLEAR. 2. Alcance del SGSI La Dirección de Lion Broker S.A reconoce la importancia de identificar y proteger sus activos de información, evitando la divulgación, destrucción, modificación y utilización no autorizada de toda información relacionada con sus clientes, empleados, transacciones financieras comprometiéndose a desarrollar, implantar, mantener y mejorar continuamente el Sistema de Gestión de Seguridad de la Información (SGSI) siguiendo el modelo ISO 27001 -2005 aplicable a todas sus delegaciones , sucursales y redes de agentes tanto nacionales como internacionales. La Seguridad de la Información en nuestra organización se caracteriza como la preservación de: a) su confidencialidad, asegurando que sólo quienes estén autorizados pueden acceder a la información; b) su integridad, asegurando que la información y sus métodos de proceso son exactos y completos; c) su disponibilidad, asegurando que los usuarios autorizados tienen acceso a la información y a sus activos asociados cuando lo requieran. La seguridad de la información se consigue implantando un conjunto adecuado de controles, tales como políticas, prácticas, procedimientos, estructuras organizativas y funciones de software. Estos controles han sido establecidos para asegurar que se cumplen los objetivos específicos de seguridad de la empresa. SGSI: Lion Broker S.A Página 3
  • 4. 3. Política de seguridad Este Documento de Seguridad se ha elaborado para dar cumplimiento a todas las leyes relativas a seguridad de la información dentro del ámbito financiero en el que se engloba nuestra compañía: • Ley Orgánica 15/99 de 13 de Diciembre de Protección de Datos de Carácter Personal, así como al Real Decreto 994/1999, de 11 de Junio por el que se aprueba el Reglamento de Medidas de Seguridad de los Ficheros Automatizados que contengan datos de carácter personal, desarrollado por el RD 1720/2007 y es de obligado cumplimiento para todo el personal de Lion Broker S.L. • Markets in Financial Directive - Mifid (2004/39/CE) en los apartados referentes a registro de transacciones de clientes y continuidad del negocio (BCP) Dada la actual situación económica-financiera y el cada vez más importante uso de las tecnologías de la información en los mercados de capitales, se hace necesaria la adopción de medidas específicas en el área de la seguridad. La implantación de un sistema de gestión de seguridad de la información que garantice la protección de los activos relevantes de la organización se convierte no solo en una tarea de obligado cumplimiento, si no en un elemento diferenciador en la calidad de las organizaciones. Es esto lo que ha llevado a nuestra empresa a adoptar el estándar de seguridad de la información ISO/IEC 27001 para garantizar la confidencialidad, integridad y disponibilidad de nuestros activos. Una adecuada priorización de los posibles riesgos, amenazas y vulnerabilidades ha sido realizada teniendo en cuenta las especificidades de nuestro negocio. Es importante que los principios de la política de seguridad sean parte de la cultura organizacional y por ello promovemos el obligado cumplimiento con la colaboración de todos los empleados. El presente Documento de Seguridad se mantiene en todo momento actualizado y es revisado siempre que se producen cambios relevantes en los Sistemas de Información o en la organización del mismo, habiendo sido puesto en conocimiento de todo el personal de Lion Broker. Toda la información relativa a la política de seguridad está disponible en la intranet dentro de la sección de información corporativa. Firmado, Responsable de seguridad SGSI: Lion Broker S.A Página 4
  • 5. 4. Análisis de Riesgos 4.1. Activos ● Información ○ Sistema de Información (Transaccional) ○ Clientes (Datos Personales) ○ Informes (Hacienda, Banco de España,CNMV) ● Software ○ Sistema de Contratación ○ Sistema de Control de Riesgo ○ Banca Online ○ CRM, ERP, Intranet ○ Base de Datos ● Hardware ○ CPD ○ Comunicaciones Telefónicas ● Personal ○ TI, Sistemas ○ Jurídico 4.2. Amenazas ● Acceso indebido a la Base de Datos de Clientes ● Incumplimiento de normas en el Departamento de Finanzas ● Caída de los sistemas, ya sea WEB, contratación o banca online ● Corrupción de los datos por la mala integridad en las transacciones o por un error de borrado ● Ataque interno realizado por un empleado ● Ataque externo perpetrado por Hackers ● Falla eléctrica en las instalaciones del CPD ● Renuncia de personal sensible para la empresa (TI, Sistemas, Jurídico) ● Falla en el Hardware de comunicaciones (Centralita) ● Vencimiento de las licencias de software 4.3. Vulnerabilidades ● Falta de controles adecuados de rendimiento y disponibilidad de los sistemas ● Falta de una política de seguridad adecuada para los datos, uso de la red y comportamiento de los empleados con la información de la empresa ● Mala configuración de los dispositivos de la red (Contraseñas por defecto, puertos libres, directivas de grupos, usuarios por defecto, ips de la red) SGSI: Lion Broker S.A Página 5
  • 6. 5. Metodología empleada para evaluar el riesgo Son varias las herramientas disponibles en el mercado para realizar un Análisis de Riesgos. Entre ellas destacan MAGERIT, CRAMM, OCTAVE, etc. En cualquier caso, son herramientas complejas, y atendiendo a la estructura de nuestra organización se ha preferido emplear una metodología semi- cualitativa. Representando en una matriz los riesgos de la organización y valorándolos en función de la probabilidad de ocurrencia y consecuencia derivada. En esta primera iteración en el ciclo Deming - PDCA (Plan, do, check, act) serán tratados aquellos riesgos considerados NO ACEPTABLES por la organización. Esto es: Aquellos con consecuencias mayores para el negocio. El resto de riesgos se dejarán para posteriores iteraciones o bien se transferirán a empresas externas. SGSI: Lion Broker S.A Página 6
  • 7. 5.1. Evaluación de Riesgos Probabilidad Muy Alta (10) Alta -Personal Dpto. -Banca Online -Personal Legal Dpto. IT Baja -CPD -Sistema de Contratación -Sistema de Control de Riesgo Muy Baja Intranet -Sist. -Información de Información Clientes Transaccional -Informes 0 Muy Baja Baja Alta Muy Alta Consecuencia Resultado de la Evaluación: Se puede constatar que el activo más importante para la empresa es la Información, por la cual podemos definir hasta ahora un alcance de nuestra implantación de un SGSI para un primer inicio de este desarrollo y al siguiente ciclo se puede definir un alcance más grande y a la misma vez revisar los alcances obtenidos para obtener una mejora en todos los aspectos. SGSI: Lion Broker S.A Página 7
  • 8. 6. Plan de Tratamiento de Riesgos Activo Información de Clientes almacenada en Base de Datos Amenaza Acceso indebido a la información de los clientes por un usuario interno y/o externo a la empresa. Impacto Dado el ámbito de operación de la empresa (Servicios de Banca/Bolsa/Inversiones), la confidencialidad de los datos de los clientes es un activo muy importante, además de que son datos que al ser obtenidos por alguna persona puede provocar pérdidas para el mismo cliente y que esos datos podrían ser utilizados con fines de dañar la imagen de la empresa o la nuestra. Tratamiento de este riesgo Encriptamiento de Base de Datos de Clientes. Una propuesta seria el encriptamiento de los datos de los clientes, comenzando con algunos datos básicos, además de que para el desarrollo y mantenimiento de los sistemas, muchas veces se necesitan realizar pruebas con datos de clientes, estos datos en caso de ser requeridos por los programadores, serán encriptados o se utilizara una herramienta para generar datos ficticios de rellenado de tablas, con el fin de siempre mantener la confidencialidad de nuestros clientes y hacerles saber que sus datos estén bien asegurados. Además de esta primera aproximación, se utilizará una política de seguridad de los diferentes entornos a los cuales pueden acceder los usuarios, teniendo así una persona del área de TI que se encargara de crear diferentes perfiles de acceso a las diferentes bases de datos. Esta persona deberá ser de máxima confianza y se responsabilizará de mantener seguras las claves de acceso a la base de datos de clientes y de tener las llaves para encriptar/desencriptar los datos. SGSI: Lion Broker S.A Página 8
  • 9. Activo Sistema de Control de Riesgo Amenaza Falta de disponibilidad en la valoración online de las carteras de los clientes. Impacto Dada la alta volatilidad de los mercados financieros es imprescindible disponer del riesgo asociado de las operaciones de los clientes (Ordenes en Mercado, valoración cartera) en tiempo real. La falta de disponibilidad de estos datos podría hacer incurrir al cliente en pérdidas potenciales de las cuales sería muy difícil hacerse cargo pudiendo causar la quiebra de la empresa debido a la exposición por las posiciones de un cliente. Tratamiento de este riesgo Este sistema se encuentra es una aplicación que corre en un único servidor por lo que está muy expuesta a los posible fallos sw, hw que ocurrieran en él. Se hace obligatorio la clusterización de la aplicación para poder asegurar la alta disponibilidad y balanceo de carga necesarios en una aplicación con unos requisitos de servicio tan exigentes. SGSI: Lion Broker S.A Página 9
  • 10. Activo CPD Amenaza Falla eléctrica en las instalaciones del CPD que cause la perdida de la comunicación y caída del sistema de banca en línea de los clientes. Impacto El impacto que puede tener la indisponibilidad del CPD es de alto impacto ya que en este sitio se mantiene lo que se puede decir como el núcleo de los sistemas, ya que ahí se almacena la información de los clientes y los sistemas de gestión de las transacciones por lo que la no disponibilidad de este activo puede ocasionar perdidas grandes para la empresa. Tratamiento Implantación de un centro de contingencia como parte del BCP (Business Continuity Plan) para tener asegurada la alta disponibilidad. Con esto se pretende crear una descentralización de los sistemas, y además de que en caso de desastre, este backup pueda entrar en activo en el momento en que sea detectada la caída del CPD. SGSI: Lion Broker S.A Página 10
  • 11. Activo Banca online Amenaza Acceso indebido por terceros a cuentas de clientes. Impacto El impacto que puede tener el acceso a cuentas de clientes por terceros pueden ser varios, como el robo de activos financieros a nuestros clientes para enriquecimiento propio, o por el hecho de hacer daño a la imágen de la empresa. Al ser nuestra empresa basada en las transacciones económicas de nuestros clientes hay que asegurar al máximo que la persona que está realizando las transacciones con la banca online sea esa y solo esa. Actualmente el sistema de seguridad se basa en el acceso a una web segura mediante usuario y password (mínimo 8 dígitos). Una vez dentro cualquier transacción es realizada sin ningún tipo de seguridad adicional. Tratamiento Se enviará a cada usuario una tarjeta de coordenadas única generada con 100 números aleatorios en una cuadricula de 10 filas por 10 columnas. El envío se realizará mediante correo certificado con acuse de recibo. Una vez acusado el recibo de la tarjeta y carta explicativa, se activará en la aplicación web el nuevo sistema de seguridad. A partir de este momento para cada transacción que se realice, se le solicitará al usuario aleatoriamente la introducción de un número de la tarjeta de coordenadas. Después de tres introducciones erróneas la cuenta del usuario queda bloqueada. En ese momento se le hará una llamada al número de teléfono registrado del cliente verificando la identidad mediante al menos 4 identificadores personales (DNI, fecha nacimiento, banco de cobro, dirección, teléfonos, email, datos de control, etc.). Una vez verificada la identidad se le preguntará cual es el motivo de las introducciones erróneas. En caso de pérdida de tarjeta se le enviará otra tarjeta nueva bloqueando la anterior para dicho cliente. SGSI: Lion Broker S.A Página 11
  • 12. Activo Personal departamento Jurídico Amenaza Alta rotación de personal en este departamento. Impacto Dada la gran exposición que tiene nuestra empresa a un marco regulatorio complejo, con cambios constantes y relaciones comerciales con empresas en todo el mundo. Se hace necesario mantener una especialización en los servicios jurídicos que a veces es complicado mantener debido la alta rotación existente en la empresa. Tratamiento de este riesgo Subcontratación de los servicios jurídicos: Contratos, acuerdos, SLAs (Service Level Agreement) a una firma especializada en Derecho Financiero y con alta experiencia internacional. Activo Pérdida de know how – Dpto. Informática Amenaza Perdida de control sobre el software que implementa los algoritmos para el control de riesgo online de los clientes y que constituye el principal activo de la empresa. Impacto El núcleo de la aplicación bancaria fue realizada por una única persona, nadie más conoce como están desarrollada la aplicación en caso de abandono de la empresa, baja o enfermedad etc. Esta aplicación quedaría sin mantenimiento. Tratamiento de este riesgo Formación interna dentro del departamento de desarrollo para que todos los programadores sean capaces de mantener la aplicación. Desarrollo de las partes más complejas de la aplicación por pares (Peer-programming) para que al menos dos personas conozcan el código más valioso de la aplicación. Rotación de los programadores dentro de los proyectos. SGSI: Lion Broker S.A Página 12