Análisis, modelamiento e implementación de la Gestión de Riesgos de Ciberseguridad en una Institución Financiera utilizando una Plataforma Centralizada

Abstract

El presente proyecto de tipo evaluativo tiene como finalidad realizar la planificación, modelamiento, análisis, valoración y ejecución de controles de ciberseguridad en la implementación un sistema de gestión de seguridad de la información (SGSI) de una institución financiera enfocado en el servicio de canales electrónicos, página web y aplicación móvil que brinda a sus socios y clientes mediante el uso de una herramienta centralizada denominada GlobalSuite, mediante el uso de bases teóricas contempladas en el entorno de seguridad informática y ciberseguridad así como en controles complementarios a los sistemas de ciberseguridad basados en la normativa ISO/IEC 27001:2013, Magerit, NIST entre otros; con este sistema de gestión de seguridad y las mejores prácticas de ciberseguridad permite realizar de manera adecuada la gestión de los posibles riesgos que la institución financiera del Ecuador puede afrontar en el servicio de canales electrónicos, la misma que se encuentra ubicada en la ciudad de Quito, y es una institución debidamente constituida al amparo de las leyes Ecuatorianas y sujetas al control de la Superintendencia de Economía Popular y Solidaria. Finalmente con el modelamiento centralizado se pudo cumplir con los objetivos propuestos dentro del proyecto y cubrir las necesidades de la institución financiera como son el levantamiento de activos de información, clasificación de los activos críticos de información, detección de los riesgos de ciberseguridad relacionados con los activos críticos, análisis y gestión de riesgos, análisis del riesgo residual, controles de ciberseguridad y planes de tratamiento y el reinicio de ciclo PDCA para el proceso de mejora continua del sistema de gestión de seguridad en mención. The purpose of this evaluative project is to carry out the planning, modeling, analysis, assessment and execution of cybersecurity controls in the implementation of an information security management system (ISMS) of a financial institution focused on the service of electronic channels , web page and mobile application that it provides to its partners and clients through the use of a centralized tool called GlobalSuite, through the use of theoretical bases contemplated in the information security and cybersecurity environment as well as complementary controls to cybersecurity systems based on ISO/IEC 27001:2013, Magerit, NIST, among others; With this security management system and the best cybersecurity practices, it allows to adequately manage the possible risks that the financial institution of Ecuador can face in the service of electronic channels, the same one that is located in the city of Quito. , and is an institution duly constituted under Ecuadorian law and subject to the control of the Superintendence of Popular and Solidarity Economy. Finally, with the centralized modeling, it was possible to meet the objectives proposed within the project and cover the needs of the financial institution such as the survey of information assets, classification of critical information assets, detection of cybersecurity risks related to critical assets. , risk analysis and management, residual risk analysis, cybersecurity controls and treatment plans and the restart of the PDCA cycle for the process of continuous improvement of the aforementioned security management system.