Propuesta de mejora para las Políticas de Seguridad de la Información del Banco Central de Costa Rica, basado en el estándar ISO/IEC 27002:2005

Abstract

El presente proyecto consiste en un análisis de las Políticas de Seguridad de la Información del Banco Central de Costa Rica y documentación complementaria, en el área de la Seguridad de la Información con respecto a la cobertura de los controles del estándar ISO/IEC 27002:2005. Lo anterior permite desarrollar un conjunto de propuestas de políticas, controles y lineamientos adaptables a las Políticas Específicas de la Seguridad de la Información, con el fin de mejorarlas en esta Entidad. Lo primero que se logra identificar durante el desarrollo del proyecto es que las Políticas Específicas de Seguridad de la Información son la base del Sistema de Gestión de Seguridad de la Información del Banco, pues determinan la intención y el compromiso de la gerencia al trato y gestión de la Seguridad de la Información dentro de este. Además, estas funcionan como fuente primaria de conocimiento para el resto de la organización sobre cómo actuar en concordancia con los requisitos organizacionales de seguridad. Específicamente sobre el planteamiento del documento de Políticas Específicas de Seguridad de la Información, se logra identificar que se encuentra estructurado según algunos de los dominios del estándar ISO/IEC 27002:2005, donde se identifica una sección introductoria del documento, posterior a ello se establecen los aspectos organizativos de Seguridad de la Información, para luego dirigirse directamente a la definición de políticas, controles y lineamientos de seguridad, los cuales se plantean para cuatro áreas: seguridad física y del entorno, gestión de comunicaciones y operaciones, control de accesos y el área de adquisición y por último, desarrollo y mantenimiento de sistemas. Según lo anterior, quedan fuera de las Políticas Específicas de Seguridad de la Información, los dominios de seguridad de los recursos humanos, gestión de incidentes de Seguridad de la Información, continuidad del negocio y el dominio de cumplimiento; sin embargo, algunas de las políticas de Seguridad de la Información cubren algunos de los controles considerados en dichos dominios. vi Basado en los resultados de la valoración, se logra identificar que el dominio para el cual hay un mayor número de controles cubiertos totalmente es el de gestión de incidentes de Seguridad de la Información y continuidad del negocio y por otro lado, el más desatendido por la documentación del Sistema de Gestión de Seguridad de la Información es el de seguridad de los recursos humanos. En general, se obtuvo como resultado que del total de 133 controles del estándar ISO/IEC 27002:2005, un porcentaje de 24,81% está cubierto totalmente por la documentación evaluada, un 39,85% en forma parcial y un 35,34%% de los controles no se cubre del todo y todos estos fueron aplicables a la organización. Las propuestas de mejora consistieron en un conjunto de posibles políticas, controles y lineamientos que podrían ser adoptados por el Banco para cerrar la brecha existente con el estándar ISO/IEC 27002:2005, siempre y cuando se evalúe que efectivamente puedan ser adoptados por la organización, según el proceso de gestión de riesgos y los recursos organizacionales para implementar dichas medidas; aunque bien, se logró también identificar que existen buenas prácticas adoptadas por el Banco, pero que no se encuentran documentadas y por tal razón, se consideraron como parte de la brecha.

This project consists of an analysis of the Information Security Policy of the Banco Central de Costa Rica and additional documents in the area of Information Security, regarding the coverage of standard ISO / IEC 27002: 2005 controls. This allows developing a set of proposed policies, controls and guidelines adaptable to the “Políticas específicas de la Seguridad de la Información” document, to improve the treatment of Information Security in the Bank. The first aspect identified during the project development is that the Políticas específicas de la Seguridad de la Información are the base of the Information Security Management System of the Bank because they determine the intent and commitment of management to the treatment of Information Security within the Bank. Besides these Políticas específcas de la Seguridad de la Información are the primary sources of knowledge for the rest of the organization on how to act in accordance with organizational security requirements. Specifically on the approach of the Políticas específicas de la Seguridad de la Información document, it is identified as structured according to some of the domains of the ISO/IEC 27002:2005 standard, because there are an introductory section of the document, after that it is identified the organizational aspects of Information Security, and then it is found the definition of policies, controls and safety guidelines, which are group by four areas: physical and environmental security, communications and operations management, access control and the area of acquisition, development and maintenance of systems. The Information Security domains of human resources, Information Security incident management, business continuity and the compliance domain are excluded from the Políticas específicas de la Seguridad de la Información; however, some other documents cover the controls in those domains. viii Based on the results of the assessment is identified that Information Security incident management and business continuity domains are the ones with greater number of fully covered controls, and secondly that the most unattended domain by the Information Security Management System documentation is the human resources domain. The overall result obtained is that from the 133 controls of ISO/IEC 27002:2005 standard, are fully covered by the assessed documentation a percentage of 24.81%, a 39.85% are partially covered and a 35.34% of controls are not covered at all, considering that all controls were applicable to the organization. The proposed improvements consisted of a set of possible policies, controls and guidelines that could be adopted by the Bank to close the gap with the ISO / IEC 27002: 2005 standard, considering to evaluate the possible implementation of those policies, controls and guidelines but well, it was also possible to identify existing good practices adopted by the Bank. Also it should be considered to evaluate if Information Security good practices are implemented in the Bank but not documented as policies, controls or guidelines yet.