DISEÑO, IMPLEMENTACIÓN Y CONTROLES INFORMÁTICOS PARA UNA ARQUITECTURA DE SEGURIDAD EN UN CENTRO ALTERNO DE OPERACIONES
BENEFICIARIO
Cualquier organización que requiera tener un plan de continuidad del negocio con altos estandares de seguridad
INTEGRANTES
- David Alberto Rodriguez Saavedra | Gerente de Proyecto; Financiero
- Gilberto Flores Gualacon | Líder de Seguridad de la Información
- Juan Carlos Espinosa Cordero | Líder de Infraestructura
AÑO
2022
PALABRAS CLAVE
Centro Alterno de Operaciones, CAO, Nube pública, Nube Privada, On premise, TOGAF, Arquitectura, Seguridad de la información
CONTEXTO
La compañía es
una empresa del sector financiero que presta servicios a sus clientes como
comisionista de bolsa de valores con todo un portafolio de inversión bursátil.
La empresa cuenta con alrededor de 700 colaboradores, 5.000 a nivel grupo en
todo Colombia y unos 116.524 clientes. La Superintendencia Financiera de
Colombia (SFC) es el organismo de control encargado de vigilar la compañía, por
lo que se debe dar obligatorio cumplimiento a las diferentes circulares
normativas que ellos emiten. Con base en eso, la empresa como uno de varios
controles, dispone de un Centro de Operaciones Alterno (CAO), que cuenta con
una capacidad operativa para 120 personas de las áreas críticas de la compañía
(identificadas en el Análisis de impacto en el negocio; BIA), con el objetivo
de centralizar, asegurar, y dar mayor confidencialidad de información, no
obstante, solo se ha utilizado en tres ocasiones durante los últimos 10 años,
lo que genera un detrimento económico y
una subutilización de activos informáticos, adicionalmente, existe una alta
probabilidad de ataques cibernéticos y pérdida de información crítica de la empresa.
PROPUESTA
La compañía deberá realizar un nuevo estudio de Análisis de impacto en el negocio (BIA, por sus siglas en inglés), con el fin de validar la información, procesos y roles que actualmente están definidos como estratégicos y determinar si se mantienen o existen variaciones en el alcance actual del CAO y así poder dimensionar una estrategia que corresponda a las necesidades requeridas. Con base en ese análisis se realizará una propuesta para la implementación de un nuevo CAO que ofrezca el mismo servicio de una manera segura, buscando maximizar su uso y bajando los costos actuales de mantenimiento.
La propuesta a realizar deberá tener como uno de sus beneficios, el uso de los recursos tecnológicos del CAO para usos como el teletrabajo y así generar un valor agregado a este control.
La estrategia deberá analizar diferentes frentes como el costo beneficio para la compañía, en el que se pueda establecer un equilibrio dentro de lo funcional, que sea económicamente viable y donde la información de la empresa esté salvaguardada con los estándares definidos por la misma.
RESULTADOS
Un nuevo diseño del CAO con una
arquitectura basada en las capacidades tecnológicas ofrecidas por el proveedor
de servicios en la nube. Este nuevo escenario les ofrece a los usuarios
autorizados la capacidad de conectarse desde cualquier ubicación remota, también
les permite a los usuarios autorizados la conexión segura a su escritorio virtual
incluso cuando el centro de datos principal de la organización no se encuentra
disponible por diversas causas. La distribución controlada en dos zonas de
disponibilidad ofrecida por el proveedor de servicios en la nube garantiza la
continuidad del negocio, debido a que en cada una de las zonas de
disponibilidad se encuentra la misma infraestructura que se propone en el
diseño de la solución. La rigurosidad en los protocolos de autenticación y el
cifrado de las comunicaciones realizadas entre el CAO y los usuarios autorizados
y entre el CAO y el centro de datos de la organización, ofrecen un escenario muy
confiable en términos de seguridad de la información y la garantía de
salvaguardar la integridad y la confidencialidad de la información que fluye
entre el CAO y los usuarios autorizados y entre el CAO y el centro de datos de la organización.
MÁS DETALLES
