5 marzo, 2015 Alberto

Sistema de Gestión de la Seguridad de la Información del core bancario: El Mainframe

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN DEL CORE BANCARIO: EL MAINFRAME

Una de las presentaciones realizadas junto a Gonzalo y Katia durante el Máster Universitario en Seguridad de las Tecnologías de la Información y las Comunicaciones de la Universidad Europea de Madrid fue exponer los conocimientos adquiridos en el módulo de Sistemas de gestión de la Seguridad.  A través de los submódulos Fundamentos de la seguridad, Políticas de seguridad y Sistemas de gestión de la seguridad trabajamos con el estándar para la seguridad de la información ISO 27001.  Como Katia y yo tenemos experiencia en el sector financiero decidimos aplicar estos conocimientos hacia un activo bancario y el mainframe en muchas ocasiones es tan desconocido como importante para este negocio.

El Sistema de Gestión de la Seguridad (SGSI) realizado se basa en un grupo financiero integrado, con negocio bancario, actividad aseguradora de pensiones y fondos de inversión, y participaciones en bancos internacionales. Uno de los líderes en banca de España y, como comento anteriormente, el alcance aplica al Centro de Proceso de Datos basado en arquitectura Mainframe de IBM, que abarca las operaciones financieras (préstamos, créditos, …) que se realizan en la entidad a nivel de plataforma de sucursales, procesos batch, banca a distancia y banca móvil.

Creamos tres políticas de seguridad para las dimensiones Confidencialidad, Integridad y Disponibilidad.  Pudiendo ampliar estas políticas a las dimensiones de seguridad restantes Autenticación y Auditabilidad:

  • Confidencialidad: Será política de la empresa establecer un esquema de seguridad para garantizar que todos sus recursos informáticos estén protegidos contra uso no autorizado o revelaciones accidentales.
  • Integridad y exactitud: Será política de la empresa establecer mecanismos para garantizar que toda la información que maneje se encuentre libre de errores y/o corrupción de cualquier índole.
  • Disponibilidad: Será política de la empresa que existan previsiones para minimizar las amenazas de interrupción del negocio y para preservar la continuidad de la operatoria normal.

A continuación valoramos en una tabla ACIDA  las cinco dimensiones de la seguridad donde estamos de acuerdo en que nos encontramos ante un activo crítico para el negocio.

Tabla ACIDA Mainframe

Fig 1. Tabla ACIDA Mainframe

 

Durante la fase de análisis, valoración y gestión del riesgo tratamos tres amenazas que consideramos de alto riesgo clasificando las salvaguardas.  Estas amenazas son la descapitalización de profesionales, la apertura en la conectividad y la huelga de proveedores.

Análisis, valoración y gestión del riesgo

Fig 2. Análisis, valoración y gestión del riesgo del Mainframe

 

Y por último realizamos una declaración de aplicabilidad al estándar ISO 27001 con cinco ejemplos de la norma.

Aplicabilidad ISO 27001

Fig 3. Aplicabilidad ISO 27001

 

Las conclusiones a las que llegamos tras realizar este ejercicio de SGSI son las siguientes:

  • Este tipo de activos tienen una alta valoración en la tabla ACIDA por lo que requerirán una alta inversión en seguridad. La alta disponibilidad es vital para la continuidad de negocio.
  • La  falta  de  modernización  y  complejidad  son  el  mayor  problema  de  los sistemas Mainframe. Aunque hayan sido  reinventados utilizando lo mejor de  las  tecnologías  actuales  para  potenciar  sus  cualidades  (robustez, disponibilidad y seguridad).
  • Los sistemas de información deben buscar un sistema de seguridad que de forma centralizada controlen toda la información y los procesos.
 

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies