Variables del Proceso

Descripción del área:

La función principal de la gerencia de Seguridad de Sistemas de la Vicepresidencia de Tecnología de Banfoandes Banco Universal C.A., es velar por la Seguridad de los Activos Informáticos en su parte lógica, siempre asegurando las cuatro características generales de la Seguridad Informática: Integridad, Confidencialidad, Disponibilidad y el No repudio de la información.

La Gerencia se divide lógicamente en 3 áreas: Soporte de redes, Soporte Core-Bancario y Soporte de seguridad. Soporte de redes se encarga de administrar, monitorizar, y mantener los dispositivos de seguridad perimetral e internos, así como la administración de los servicios de Directorio, seguridad a nivel de los sistemas operativos en equipos de escritorio y servidores, Seguridad externa del correo, y todo lo inherente a seguridad en redes. Soporte Core-Bancario tiene que ver con todo el aseguramiento interno de la plataforma central del banco, a nivel de permisologías, activación de auditorías, pases a producción entre otros; y por último, Soporte de seguridad, que se encarga de la mayor parte operativa y soporte de segundo nivel en cuanto a cambio de contraseñas, creación de cuentas de correo, adaptación de perfiles, y otras funciones.

Para efectos de éste informe se describirán las funciones que se desempeñan en el área de Soporte de redes en donde a través de la correcta administración de los sistemas de seguridad de redes internas y perimetral, constante monitorización de los dispositivos, análisis de posibles factores de amenazas, control de los accesos a los sistemas, asignación de permisologías adecuadas, entre otros; se trata de ofrecer a la Institución altos niveles de seguridad informática, y de esta forma proteger lo activos intangibles de ella.

Como una nota aparte para la realización de este trabajo, por medidas de seguridad, no se nombrarán marcas, ni versiones, ni nombres específicos de tecnologías actuales usadas en Banfoandes Banco Universal C.A.

Descripción de Procesos

Como se mencionó anteriormente, la Gerencia de Seguridad de Sistemas se divide, de una forma lógica, en tres partes: Soporte de redes, Soporte de Core-Bancario y Soporte de Seguridad. A continuación se nombran algunas de las tareas formales que se describen en el Manual de normas y Procedimientos de la Gerencia de Seguridad de Sistemas (2007), que pertenecen al área de Soporte de redes:

• Acceso a Internet
• Administración del antivirus
• Administración del Servicio de Directorios
• Administración del Servidor de Actualizaciones de Seguridad
• Administración de las Conexiones Remotas (VPN)
• Monitoreo de equipos de seguridad.

A continuación se describen los procesos: Administración de Servicios de Directorios Y Administración de Servidor de Actualizaciones de Seguridad; para el cumplimiento del objetivo de la materia.

1. Administración del Servicio de Directorios
   • Objetivo

   Establecer las Normas y Procedimientos para la atención de requerimientos de usuarios y Monitorización del Servicio.

• Alcance

Inicia con el requerimiento del área correspondiente y finaliza con la administración de las cuentas del directorio.

• Áreas que intervienen

Área responsable: Vicepresidencia de tecnología.
Área ejecutante: Gerencia de Seguridad de Sistemas

• Normas

-El analista de la gerencia de Seguridad de Sistemas debe diseñar los perfiles de usuario, tomando en consideración las funciones del cargo.
-El Analista de la Gerencia de Seguridad de Sistemas debe desactivar, desincorporar / activar la cuenta de usuario en el directorio, a solicitud de la Vicepresidencia de Recursos Humanos.
-El analista de la Gerencia de Seguridad de Sistemas es responsable de analizar la viabilidad de los requerimientos de las diferentes áreas de la Institución, en caso contrario debe notificar al Gerente de Seguridad de Sistemas.
-Es responsabilidad del analista de la Gerencia de Seguridad de Sistemas de monitorear y asegurar el buen funcionamiento del Servicio de Directorio.
-Es responsabilidad del analista de la Gerencia de Seguridad de Sistemas de verificar que las copias de seguridad se encuentren en los respectivos servidores de respaldo, y en caso de que exista alguna anomalía utilizar aquellos respaldos para restaurar la información al día que se requiera.
-El analista de la Gerencia de Seguridad de Sistemas debe generar un informe con datos estadísticos e indicadores, que ayuden a la Gerencia de Seguridad de Sistemas a tomar decisiones.

• Procedimiento



Grafico 1. Diagrama de los procedimientos de la administración de los servicios de directorios.

2. Administración del Servidor de Actualizaciones de Seguridad
   • Objetivo

   Establecer las Normas y Procedimientos para la administración del Servidor de Actualizaciones de Seguridad del Sistema Operativo de Escritorio.

• Alcance

Inicia con el monitoreo de las actualizaciones críticas de seguridad y finaliza con la instalación de las nuevas actualizaciones.

• Áreas que intervienen

Área responsable: Vicepresidencia de tecnología.
Área ejecutante: Gerencia de Seguridad de Sistemas

• Normas

-Es responsabilidad del analista de la Gerencia de Seguridad de Sistemas, monitorear semanalmente, el servidor de actualizaciones del Sistema operativo.
-El analista de la Gerencia de Seguridad de Sistemas debe reportar al Centro de atención tecnológica, los equipos que no se estén actualizando.
-Es responsabilidad del analista de la Gerencia de Seguridad de Sistemas, revisar los boletines de seguridad emitidos por la compañía proveedora de las actualizaciones.

• Procedimiento



Grafico 2. Diagrama de los procedimientos de la administración del Servidor de Actualizaciones de Seguridad.

Estructura de área

A nivel de la Gerencia de Seguridad de Sistema, la estructura lógica establecida (No oficial) es la siguiente:

Grafico 3. Diagrama de la estructura lógica de la Gerencia de Seguridad de Sistemas.
Fuente: Elaboración Propia

Indicadores Operacionales/Estratégicos:

• Disponibilidad de Equipos y/o Sistemas.
• Tiempo Promedio entre fallas.
• Ejecución de los Planes de Mantenimiento.
• Ejecución de Actividades no Programadas.
• Cantidad de Alarmas detectadas mediante Monitoreo.

Alineación de la tecnología de información con la estrategia del negocio. Utilizando el modelo de Luftman – Lewis – Oldach

Para la aplicación del modelo se tomaron en cuenta las siguientes Actividades:

• Se seleccionó cada una de las  perspectiva estratégica (Potencial competitivo, Potencial tecnológico, Nivel de Servicio, Ejecución de la estrategia)  para lograr su alineación y se identificó el dominio Pivote
• Se seleccionó el método de ajuste mediante la evaluación de los proyectos tecnológicos, y para esto se codificó  y se modificó la estrategia tecnológica.
• Para finalizar se incorporan los resultados en el dominio no analizado, para de esta forma volver a seleccionar una nueva estrategia.

Gráfica 4. modelo de Luftman – Lewis – Oldach, aplicado para el caso de estudio.
Fuente: Elaboración propia

Conclusiones

Unos de los objetivos comunes de toda empresa, es obtener ventajas competitivas que la sostengan; para ello deben integrar los esfuerzos de todas sus áreas funcionales en un equipo donde las habilidades y recursos claves, aunado a las tecnologías de información – elemento importante y fundamental – puedan lograrlo.

Existe la creencia de que el alineamiento de los negocios y de las tecnologías de información, mejoren el rendimiento organizacional a través de mecanismos que incluyen procesos de gobiernos, recursos humanos, y capacidades tecnológicas. Al entender cuál es la aportación de cada sistema al negocio y poder decidir con un criterio propio de negocio cuáles son los sistemas que deben potenciarse, cuáles están obsoletos, cuál es la secuencia óptima de inversiones en tecnología y qué impacto tendrán en la organización actual y futura las decisiones tecnológicas que se tomen, la tecnología pasará a ser vista no como una fuente de costos sino como un instrumento de negocio para innovar y ser más eficientes.

La representación consolidada del alineamiento estratégico refleja que el éxito del negocio de una empresa depende de una buena integración funcional y ajuste estratégicos. La integración funcional identifica dos tipos: integración estratégica e integración operacional. La integración estratégica es el vínculo entre la estrategia de negocio y la estrategia TI. La integración operacional es el vínculo entre la infraestructura TI y los procesos, y la infraestructura organizacional y los procesos.