Implementación de una solución de auditoría y seguridad de base de datos en una entidad financiera

Abstract

En la actualidad los entornos empresariales se encuentran fuertemente regulados y se obliga a las empresas a cumplir con una serie de requerimientos, incluyendo el gobierno y la protección de datos. La mayoría de regulaciones requieren el cumplimento de los criterios de Integridad de Datos (regulaciones diseñadas para prevenir el fraude) o Confidencialidad de Datos (regulaciones diseñadas para proteger de robo o exposición de información personal, médica o financiera), criterios indispensables para mantener la seguridad de la información en las organizaciones. Por ejemplo, podemos encontrar entre las regulaciones internacionales más importantes: las Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS), cuyo objetivo es asegurar la integridad de las transacciones realizadas con Tarjetas de Crédito; la Ley Sartanes-Oxley (SOX Act), publicada a raíz de una serie de escándalos de fraude financiero donde la integridad de la información financiera estuvo comprometida; y la Ley de Responsabilidad y Portabilidad de Seguros Médicos (HIPAA Act), con el objetivo de asegurar la privacidad y confidencialidad de la información médica personal. Sin embargo, el mercado peruano no es ajeno a esta tendencia dado que también existen regulaciones locales, como el caso del Sistema Financiero peruano que se encuentra fuertemente regulado por la Superintendencia de Banca, Seguros y AFP, en materia de la Gestión Integral de Riesgos, considerando también la seguridad de la información. Por tanto, para mantener la competitividad y la rentabilidad de las organizaciones no sólo basta con identificar las necesidades y requerimientos internos, sino también se hace necesario identificar las regulaciones de la industria, externas a la compañía. Sin embargo, existe una gran dificultad al momento de alinear estas necesidades internas y los requerimientos externos con los objetivos estratégicos del negocio. En este sentido, el presente documento expone la implementación de una solución de auditoría y seguridad en bases de datos, como respuesta a una serie de necesidades internas y requerimientos regulatorios, pero sin desviarse del cumplimiento de los objetivos estratégicos del negocio y el retorno de la inversión. El Capítulo 1 presenta una descripción general sobre el negocio de la Empresa Financiera, los productos ofrecidos, los principales clientes, la organización y sus principales procesos; así como un diagnóstico general de la estrategia, realizada a través de un análisis interno y externo, considerando la visión, misión y objetivos estratégicos. El Capítulo 2 presenta un marco teórico y metodológico con los principales aspectos normativos locales e internacionales que son aplicables para el sistema financiero y se encuentran asociados con la preservación de la seguridad de la información. El Capítulo 3 presenta los requerimientos externos que tiene que cumplir la organización y además las necesidades internas que impulsan la implementación de las soluciones de seguridad escogidas. Y por último, se presentan los resultados obtenidos luego de la implementación de las soluciones de seguridad, así como también se describen las conclusiones y se brinda una serie de recomendaciones a tomar en cuenta.