SEGURIDAD DE INFORMACION SGSI BANCO

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE INFORMACIÓN

BANCO DE LA NACION

Versión 2.0

ÍNDICE

1. INTRODUCCIÓN 4

2. VISIÓN Y MISIÓN 4

3. OBJETIVO Y ALCANCE DEL SGSI 5

4. POLITICA DEL SGSI 6

5. ENFOQUE DE EVALUACIÓN DE RIESGO 7

6. INVENTARIO DE ACTIVOS 10

7. ANALISIS Y EVALUACIÓN DE RIESGO 10

8. CONTROLES DE SEGURIDAD 12

9. TRATAMIENTO DE RIESGO (MITIGAR) 12

10. PLAN DE FORMACIÓN SGS 13

Hoja de Control de Cambios

N° Versión Fecha Modificaciones Modificado por:

1 05.10.13 Elaboración inicial del documento Grupo 4

2 26.10.13 Agregando los p

1. INTRODUCCIÓN

La información es uno de los activos más importantes de toda organización, requiere junto a los procesos y sistemas que la manejan, ser protegidos convenientemente frente a amenazas que puedan poner en peligro la continuidad de los niveles de competitividad, rentabilidad y conformidad legal necesarios para alcanzar los objetivos de la organización.

Actualmente, la mayor parte de la información reside en equipos informáticos, redes de datos y soportes de almacenamiento, encuadrados todos dentro de lo que se conoce como sistemas de información. Estos sistemas de información están sujetos a riesgos e inseguridades tanto desde dentro de la propia organización como desde fuera.

Es posible disminuir de forma significativa el impacto de los riesgos sin necesidad de realizar grandes inversiones en software y sin contar con una gran estructura de personal. Para ello se hace necesario conocer y afrontar de manera ordenada los riesgos a los que está sometida la información, y a través de la participación activa de toda la organización, contemplar unos procedimientos adecuados y planificar e implantar controles de seguridad basados en una evaluación de riesgos y en una medición de la eficacia de los mismos.

El Sistema de Gestión de la Seguridad de la Información (SGSI) El SGSI es el concepto central sobre el que se construye ISO 27001. En las empresas ayuda a establecer estas políticas, procedimientos y controles en relación a los objetivos de negocio de la organización, con objeto de mantener siempre el riesgo por debajo del nivel asumible por la propia organización.

En definitiva, con un SGSI, la organización conoce los riesgos a los que está sometida su información y los gestiona mediante una sistemática definida, documentada y conocida por todos, que se revisa y mejora constantemente.

2. VISIÓN Y MISIÓN

2.1. Visión

“Ser el Banco reconocido por la excelencia en la calidad de sus servicios, la integridad de su gente y por su contribución al desarrollo nacional.”

2.2. Misión

“Brindar soluciones financieras con calidad de atención, agregando valor, contribuyendo con la descentralización, ampliando nuestra cobertura de servicios y promoviendo la bancarización con inclusión social”.

3. OBJETIVO Y ALCANCE DEL SGSI

3.1. Objetivo del SGSI

• Establecer cuáles serían los mecanismos adecuados para mitigar los riesgos asociados al uso de la información, de los sistemas y servicios informáticos utilizados por el personal de toda la empresa.

• Establecer la manera adecuada de organizar al personal encargado de la administración de los recursos informáticos, a fin de asegurar que la información se mantenga y manipule de forma segura.

• Tabular de forma detallada, qué tipo de controles deberían aplicarse sobre el recurso humano a fin de que éste no se convierta en un elemento vulnerable, que ponga en riesgo la seguridad de la información o de los activos de información.

• Determinar la manera más eficiente de salvaguardar los activos de información de catástrofes naturales, robos, pérdidas, y daños intencionales o no intencionales que puedan afectar la disponibilidad del recurso.

• Establecer controles que permitan evitar el acceso no autorizado a la información de los sistemas y servicios utilizados por la empresa.

• Asegurar que se dé fiel cumplimiento a la política de seguridad de la información a través de procedimientos y políticas.

3.2. Alcance del SGSI

Nos enfocaremos en el servicio de Banca Electrónica que se refiere al suministro de productos y servicios bancarios para consumidores por medio de canales electrónicos. Estos productos y servicios pueden incluir la recepción de depósitos, préstamos, manejo de cuentas, asesoría financiera, pago electrónico de facturas y el suministro de otros productos y servicios de pago electrónico, como ser, dinero electrónico (definido en forma separada más bajo).

Dos de los aspectos fundamentales de la banca electrónica son: las características de los canales de entrega y los medios disponibles a los consumidores para acceder a estos canales. Los canales de entrega más comunes incluyen redes "cerradas" y "abiertas". Las "redes cerradas" limitan el acceso a los participantes (instituciones financieras, consumidores, comerciantes y suministradores de servicios para terceros) que son miembros en virtud de un acuerdo específico. Las "redes abiertas" no tienen estos requisitos de membrecía. Actualmente, los productos y servicios de la banca electrónica son suministrados a los consumidores por medio de una variedad de dispositivos de acceso, como ser, terminales en los puntos de venta, cajeros automáticos, teléfonos, computadoras personales, smartcards y

...