ARQUITECTURA DE SEGURIDAD INFORMÁTICA APLICADA A LA BANCA CENTRAL

La Seguridad Informática en un Banco Central es un área clave en la responsabilidad del manejo de la información. Su desarrollo en los últimos años ha sido importante en todos los Bancos Centrales y es una función fundamental que merece el apoyo de la Alta Dirección, aún cuando no haya un consenso sobre su ubicación en la estructura de la organización. Asimismo, las funciones de Seguridad Informática y continuidad operativa deben tener la debida visibilidad organizacional para su desarrollo y para que las alternativas que se diseñen tengan los recursos necesarios.

1) Responsabilidad sobre la seguridad lógica

La función de seguridad lógica participa de la responsabilidad en la concepción y el estudio de factibilidad, el desarrollo y la implementación de una aplicación.

Tanto la seguridad como la continuidad deben ser probadas periódicamente para garantizar su efectividad; en este sentido, las áreas de control de las diferentes organizaciones pueden ayudar verificando la efectividad de las medidas que se implantan.

Los bancos centrales deben preservar su imagen y reputación para garantizar la credibilidad ante el público como ‘custodios’ de la información de las entidades y mercados financieros. Algunos pasos que nos parece preciso tener en cuenta son los siguientes:

• Es necesario garantizar la protección de la información en cualquier tipo de soporte, ya sea electrónico o no.

• Es necesario definir una política de seguridad de la información conjunta y transversal a toda la organización.

• De acuerdo con los estándares internacionales es preciso disponer de comités de seguridad de la información en los que estarían representados todos los departamentos o al menos los que se consideren críticos para las funciones estratégicas del banco central.

• La función de seguridad debe estar ubicada en la organización a un nivel alto, apoyada o impulsada por la alta dirección. A mayor participación de la alta dirección mayor garantía de éxito tendrá la función de seguridad.

• Es conveniente la utilización de servicios externos –consultorías– para impulsar iniciativas de seguridad.

• La función auditora (interna o externa) es valiosa para la seguridad aunque su actuación será siempre a posteriori.

2) Estándares y certificación

• Ya que los estándares internacionales de seguridad constituyen una guía adecuada es necesario impulsar su aplicación en los bancos centrales.

• Tanto para preservar la imagen de solidez y solvencia como para garantizar el mantenimiento de unos niveles de seguridad adecuados es recomendable que los bancos centrales certifiquen la aplicación de dichos estándares.

• La certificación es un proceso costoso que debe ser realizado por empresas de reconocida solvencia, que permite tener una medida de la adopción de las mejores prácticas establecidas en una línea de conocimiento y determinar su nivel de adopción, así como las razones para no aplicar algunas de ellas

3) Continuidad de negocio

La continuidad operativa es un problema de los sectores de negocio, pero deben ser soportados por la tecnología para poder mantener los controles debidos de seguridad de las transacciones.

• Las pruebas en condiciones adversas cercanas a la realidad permiten corregir situaciones no identificadas, así como capacitar a las personas en la operación de los sistemas. En estos casos, es importante tener en mente que la operación de un sistema no puede depender de una sola persona.

• Estar protegido contra cualquier tipo de fallo es casi imposible, sin embargo, al categorizar los diferentes tipos de riesgo se reduce el impacto de una situación no contemplada.

• El desarrollo de planes de contingencia debe ser una actividad de desarrollo multidisciplinario para lograr los objetivos de salvar las vidas de las personas –en primera instancia– y los bienes de la entidad y reanudar la operación en forma coordinada. Esto nos lleva a tener una función de manejo de crisis en un equipo de varias áreas con una definición de políticas por parte de un comité de la alta dirección.

• En el caso de una emergencia, se debe tener un equipo de personas con capacidad de tomar las decisiones operativas y tecnológicas que se consideren pertinentes. La continuidad operativa permite mantener la supervivencia de las organizaciones.

• En casos de contingencia es normal que los niveles de servicio tradicionales se vean afectados, y la organización debe determinar hasta qué punto debe llegar para garantizar los niveles de servicio aceptables y controles de seguridad de acuerdo a la importancia del servicio informático. Esta criticidad debe estar definida por un ente organizacional de un nivel adecuado para tener una visión global de la organización.

• La continuidad de negocio no debería de estar liderada por el departamento de IT, aunque es habitual, en aquellas organizaciones en las que existen planes de continuidad de negocio, que sea este departamento el impulsor, el que define los procedimientos e incluso el que gestiona y prueba su validez en el tiempo. No es deseable este procedimiento. Sin embargo, dado que los sistemas de información y de negocio se han hecho totalmente dependientes del uso de la arquitectura informática no es posible concebir un plan de continuidad de negocio sin la estrecha participación y colaboración del departamento de IT.

• Para que la implementación tenga éxito se requiere el apoyo de la alta dirección y de toda la organización.

• Las pruebas periódicas de los planes de continuidad de negocio, incluidos los de respaldo de los sistemas de información, en situaciones lo más parecidas posible a la realidad, son de la mayor utilidad para mantener actualizados estos planes.

• Dado que una buena parte de las dificultades asociadas con la implementación y mantenimiento de los planes de continuidad se deriva de temas relacionados con el personal, su capacitación y actualización permanente son una necesidad de primer orden.

• En el diseño de los planes de recuperación de negocio siempre hay que tener en cuenta qué perfil de riesgo tiene la organización en general y el negocio en particular.

4) Gestión de la seguridad

• Es necesario implementar un sistema de gestión de seguridad informática institucional, ya que los distintos departamentos deben ser considerados propietarios de la información y por tanto, responsables de su seguridad.

• En el diseño funcional de un sistema de información debe incorporarse el estudio de la seguridad del sistema.

• La información debe estar clasificada, pero cada organización decidirá qué tipo de clasificación es más deseable. En unos casos se utilizan tres niveles: confidencialidad, disponibilidad y, en algunos bancos centrales, clasificación patrimonial; sin embargo, aunque no hay un único patrón, resulta imprescindible contar con una clasificación. La gestión de un número superior a tres niveles es muy compleja y puede llevar al fracaso.

• Después de debatir sobre algunas tendencias actuales para que se subcontrate la administración de la seguridad informática (outsourcing), se acuerda de forma unánime que en el caso de los bancos centrales, dicha administración deberá ser responsabilidad del personal interno, adecuadamente formado.

• Se recomienda establecer en el banco central la administración de la seguridad informática descentralizada. Es decir, involucrar a los responsables de los departamentos propietarios de la información en la administración de la seguridad de sus sistemas. Para ello, se les deben proporcionar herramientas informáticas fáciles de usar (user friendly), cursos para el buen uso de la administración y apoyo total del departamento de IT.

5) Soluciones de movilidad para empleados

• Se recomienda restringir la utilización de los dispositivos para acceso remoto sólo a aquéllos usuarios para quienes resulta imprescindible en la realización de su trabajo.

• No debe darse acceso a todos los sistemas de información del banco central; éste se limitaría adeterminadas aplicaciones con base en el principio de que se justifique el acceso remoto siempre por necesidades de negocio.

• Fomentar la conciencia del empleado quizás sea lo único realmente efectivo para garantizar que no haya fuga de información cuando se accede a los sistemas de información de forma remota.

6) Gestión de los riesgos asociados al uso de servicios Internet

• Deben registrarse las operaciones realizadas.

• Deben definirse políticas claras en cuanto a la utilización de estas tecnologías. No sólo por los riesgos derivados por el uso indiscriminado o libre de la navegación y/o correo electrónico, sino por la pérdida de productividad que puede suponer el que los empleados accedan libremente a Internet aunque para su trabajo sólo les sea necesario el acceso a unas pocas cuentas y bien definidas páginas Web.

• A veces se choca con la incomprensión de los propios directivos ante la implantación de medidas de seguridad o restricción del acceso a Internet.

• Parece necesario un marco jurídico adecuado, unas ‘reglas de juego’ para que las empresas sepan hasta dónde pueden llegar en la imposición de normativas de uso y sanciones debidas a su incumplimiento.

• Se aprecia en general que no existe una clara normativa para que los empleados hagan buen uso de Internet, a no ser que se prohíba el acceso de forma radical. Pareciera que la tecnología Internet, su capacidad para transmitir de información, su facilidad de acceso, haya tomado por sorpresa a los encargados de dictar las leyes y de establecer normativas empresariales, ya que en algunos casos pueden chocar frontalmente con derechos fundamentales de la persona (ej. violación de la correspondencia).

• Las herramientas de tecnología son inseguras en la medida que su configuración y/o su utilización no sea la adecuada, por lo que deben adaptarse procedimientos de monitoreo y de revisión de los logs seguridad para tomar las medidas correctivas que se requieran en forma oportuna.

• La utilización de esquemas de seguridad robustos son más frecuentes cada día y su utilización en los sistemas de la Banca Central es una necesidad.

• Desde los niveles de dirección se debe tomar una participación adecuada en el monitoreo de la utilización de los recursos tecnológicos en las áreas operativas.

• Por último, seguridad y continuidad operativa son aspectos de suma sensibilidad que están íntimamente ligados y que deben ser considerados en un marco de permanente revisión y evolución.

Documento relacionado

• XXXI Meeting on Systemizing Central Banks
  Conclusions and Recommendations