PROPUESTA DE PROTECCIÓN DE INFORMACIÓN “BANCO MEXICANO DE DESARROLLO”

[pic 1]

PROPUESTA DE PROTECCIÓN DE INFORMACIÓN

“BANCO MEXICANO DE DESARROLLO”

Contenido

SECCIÓN 1. INTRODUCCIÓN        3

1.1 Visión general        3

1.2 Objetivo        4

1.3 Alcance        4

1.4 Descripción del problema        4

1.5 Plazo de implementación        4

SECCIÓN 2. MARCO TEÓRICO        5

2.1 Pilares de la Seguridad de la Informática        5

2.2 Justificación de la metodología        6

SECCIÓN 3. CLASIFICACIÓN Y POLÍTICAS DE PROTECCIÓN DE LA INFORMACIÓN        7

3.1 Clasificación de los bienes informáticos        7

3.2 Relevancia y clasificación de la información en la Banco Mexicano de Desarrollo        8

3.3 Política de protección de información        9

SECCIÓN 4. MEDIDAS DE PROTECCIÓN DE LA INFORMACIÓN        11

4.1 Implementación de controles        11

4.2 Análisis de riesgos        11

4.3 Roles y responsabilidades        12

4.4 Copias de seguridad        13

4.5 Cifrado de la información        14

4.6 Reutilización de los dispositivos de almacenamiento externo y equipo de computo        15

4.7 Almacenamiento en la nube        15

4.8 Confidencialidad de contratación de servicios con terceros        17

4.9 Métrica de evaluación        17

BIBLIOGRAFÍA        19

Sección 1. Introducción

1.1 Visión general

La información hoy en día es uno de los activos más importantes para el éxito en cualquier compañía a nivel mundial, ya que la fuerte dependencia que las empresas tienen de sus sistemas informáticos y sumando la complejidad de los mismos, ha producido una creciente preocupación por la seguridad y funcionamiento continuo, ya que es vital importancia la operación optima para la continuidad del negocio, siempre salvaguardando los pilares de la triada de la seguridad (Confidencialidad, Integridad y Disponibilidad). La protección de datos de terceras personas, clientes y empleados, contenidos en las bases de datos, están en el punto de mira de los controles para mantener su privacidad, y a su vez, libres de intromisiones o pérdidas de información a favor de terceros. Todo lo anterior implica establecer una serie de medidas que garanticen que los sistemas informáticos se encuentran perfectamente protegidos frente a la interrupción de los servicios.

El costo promedio de una ex filtración de información en el mundo es de aproximadamente de 5.3 millones de dólares. Por ello, el tema de la seguridad de la información es cada vez más imperativo y su rol en la organización debe ser tan importante como las áreas de finanzas. En general, todos los medios de la seguridad de la información se dividen en dos categorías: aspectos legales que regulan las relaciones en el ámbito de la seguridad y métodos organizativos y técnicos que incluyen la creación de medios de protección de la información. Entre los más populares se encuentran los métodos de identificación, autenticación, cifrado de información, uso de redes privadas virtuales (VPN por sus siglas en inglés) y la verificación de la integridad de los discos duros, por citar algunos.  

La preocupación de las empresas por la seguridad y el buen funcionamiento de los equipos se ha traducido en un incremento de gastos del 60% en las aplicaciones informáticas dedicadas a la protección de los datos y medidas de seguridad, mientras que otras aplicaciones de trabajo, como son las actualizaciones de software, han mantenido constante su crecimiento en los últimos años.

Los ataques cibernéticos  mediante campañas de malware en forma puntual conocidos con el nombre APT (Amenaza Persistente Avanzada, por sus siglas en inglés), o bien los desastres naturales como terremotos, incendios y huracanes, pueden producir daños importantes en los equipos y en las bases de datos, hasta el punto de ocasionar pérdidas de información y costes directos importantes, a lo que habría que añadir los efectos negativos que pueden provocar en la imagen y confianza en las capacidades de la empresa en cuestión, pendiendo de un hila su reputación y futuro.

Esta gran preocupación por la seguridad se traduce en gastos considerables, destinados a establecer planes de contingencia y desastres, cuyo mantenimiento y puesta a punto permanente requiere de personal especializado en las distintas áreas que componen la red informática de la empresa. Algunas han subcontratado estos servicios a otras organizaciones, es recomendable establecer las mismas defensas en las organizaciones que ofrecen dicho servicio.

En conclusión, el mercado demanda una respuesta por parte de las entidades aseguradoras sobre la posibilidad de proteger los costes de la pérdida de información, y éstas se plantean las correspondientes preguntas sobre la eventualidad de cubrir estos riesgos y acerca de los estudios que hay que realizar para analizar tanto los riesgos como los costos y, en definitiva, si es posible llevar a cabo la cobertura de dichos los mismos.

1.2 Objetivo

Establecer los lineamientos generales que permitan el eficiente involucramiento de todo el personal Banco Mexicano de Desarrollo de toda la información utilizada por todo el personal para su actividad cotidiana.

1.3 Alcance

Este documento se encuentra enfocado en la elaboración de una propuesta de tratamiento y resguardo de la información con el fin de prevenir la fuga, perdida sensitiva de manera accidental o intencional, o mal uso de la información en poder de Banco Mexicano de Desarrollo, así como sus consecuencias.

...