Una de las presentaciones realizadas junto a Gonzalo y Katia durante el Máster Universitario en Seguridad de las Tecnologías de la Información y las Comunicaciones de la Universidad Europea de Madrid fue exponer los conocimientos adquiridos en el módulo de Sistemas de gestión de la Seguridad. A través de los submódulos Fundamentos de la seguridad, Políticas de seguridad y Sistemas de gestión de la seguridad trabajamos con el estándar para la seguridad de la información ISO 27001. Como Katia y yo tenemos experiencia en el sector financiero decidimos aplicar estos conocimientos hacia un activo bancario y el mainframe en muchas ocasiones es tan desconocido como importante para este negocio.
El Sistema de Gestión de la Seguridad (SGSI) realizado se basa en un grupo financiero integrado, con negocio bancario, actividad aseguradora de pensiones y fondos de inversión, y participaciones en bancos internacionales. Uno de los líderes en banca de España y, como comento anteriormente, el alcance aplica al Centro de Proceso de Datos basado en arquitectura Mainframe de IBM, que abarca las operaciones financieras (préstamos, créditos, …) que se realizan en la entidad a nivel de plataforma de sucursales, procesos batch, banca a distancia y banca móvil.
Creamos tres políticas de seguridad para las dimensiones Confidencialidad, Integridad y Disponibilidad. Pudiendo ampliar estas políticas a las dimensiones de seguridad restantes Autenticación y Auditabilidad:
- Confidencialidad: Será política de la empresa establecer un esquema de seguridad para garantizar que todos sus recursos informáticos estén protegidos contra uso no autorizado o revelaciones accidentales.
- Integridad y exactitud: Será política de la empresa establecer mecanismos para garantizar que toda la información que maneje se encuentre libre de errores y/o corrupción de cualquier índole.
- Disponibilidad: Será política de la empresa que existan previsiones para minimizar las amenazas de interrupción del negocio y para preservar la continuidad de la operatoria normal.
A continuación valoramos en una tabla ACIDA las cinco dimensiones de la seguridad donde estamos de acuerdo en que nos encontramos ante un activo crítico para el negocio.
Fig 1. Tabla ACIDA Mainframe
Durante la fase de análisis, valoración y gestión del riesgo tratamos tres amenazas que consideramos de alto riesgo clasificando las salvaguardas. Estas amenazas son la descapitalización de profesionales, la apertura en la conectividad y la huelga de proveedores.
Fig 2. Análisis, valoración y gestión del riesgo del Mainframe
Y por último realizamos una declaración de aplicabilidad al estándar ISO 27001 con cinco ejemplos de la norma.
Fig 3. Aplicabilidad ISO 27001
Las conclusiones a las que llegamos tras realizar este ejercicio de SGSI son las siguientes:
- Este tipo de activos tienen una alta valoración en la tabla ACIDA por lo que requerirán una alta inversión en seguridad. La alta disponibilidad es vital para la continuidad de negocio.
- La falta de modernización y complejidad son el mayor problema de los sistemas Mainframe. Aunque hayan sido reinventados utilizando lo mejor de las tecnologías actuales para potenciar sus cualidades (robustez, disponibilidad y seguridad).
- Los sistemas de información deben buscar un sistema de seguridad que de forma centralizada controlen toda la información y los procesos.