Académique Documents
Professionnel Documents
Culture Documents
������ ������
No. 6 - 2008 ��������� ������ �������� �������� ���������
*connectedthinking
Boletín Digital // No. 6 - 2008
Contenido
Haga click en los enlaces para navegar
a través del documento
������ ������
��������� ������ �������� �������� ���������
������ ������
��������� ������ �������� �������� ���������
������ ������
��������� ������ �������� �������� ���������
Sin embargo, unas de las actividades primarias Entre los estándares, se tienen: - ISO/IEC 27001 (Information technology -
que deben realizar las instituciones financieras Security techniques - Information security
con relación a este tema, es preparase para - CobiT (Control Objectives for Information and management systems - Requirements), como
acometer el cumplimiento de la Normativa, así related Technology), el cual reúne los elementos estándar internacional para la seguridad de la
como hacer un diagnóstico de la situación actual. de control de la tecnología, agrupados en cuatro información.
Por tal motivo, y tomando en cuenta lo que estas (4) dominios: Planificación y Organización (PO);
actividades implican, el día 26 de marzo de 2008, Adquisición e Implantación (AI); Entrega y Entre las disposiciones nacionales e
se otorgó una prórroga de 30 días continuos para Soporte (ES); y Monitoreo y Evaluación (ME). internacionales relacionadas con seguridad de
la entrega de este plan. la información, podemos mencionar PCI DSS
- ITIL (Information Technology Infrastructure (Payment Card Industry Data Security Standard),
Ahora bien, los elementos de control que se Library), el cual gobierna las mejores prácticas el cual es un conjunto de normativas de seguridad
establecen en la Normativa, no son nuevos, y para le gestión del servicio de TI. para la industria de tarjetas de pago que aplica
por el contrario, se puede observar que ésta, es a toda organización que procese información
el producto de una combinación de estándares de tarjetas de crédito o débito; así como en la
internacionales de seguridad y tecnología, así ������ circular emitida por el Consejo Bancario Nacional
como disposiciones nacionales e internacionales, en Junio de 2007, en donde se indican las normas
relacionadas con seguridad y tecnología de la ��������� de seguridad para el manejo de información
información, tal como se muestra en la Figura N° 1. ������� electrónica en cajeros automáticos y puntos de
�����
venta.
���������� ������� ���
������ ������
��������� ������ �������� �������� ���������
Analicemos entonces los aspectos más Título II: Planeación estratégica y - Planificación estratégica de TI y Comité de
importantes de la Normativa, en contraste con las organización de los recursos de información Dirección y Planificación de los Servicios de
mejores prácticas: Tecnología
- Independencia funcional de TI, políticas y
Componentes de la Normativa procedimientos de TI: El Artículo N° 9 de la Normativa plantea que se
debe “establecer un proceso de planificación
Título I: Disposiciones generales Uno de los elementos fundamentales que de Tecnología de la Información acorde con los
se establece en los primeros artículos de la objetivos del negocio”, tomando como punto de
En este título se establecen el objetivo principal Normativa, es la independencia funcional que partida las iniciativas de negocio, el seguimiento
de la Normativa, su ámbito de aplicación, los debe tener Tecnología de Información, con continuo de las tendencias tecnológicas y
conceptos de los términos empleados, así como respecto a las áreas usuarias. De igual forma, las regulaciones emitidas por la SUDEBAN.
las definiciones de los criterios básicos de la la Normativa establece en su Artículo N° 7, que Adicionalmente, se debe documentar, aprobar y
calidad de la información, y que se encuentran las políticas de TI deben estar formalmente monitorear un Plan Estratégico de Tecnología con
definidos en CobiT (ver Figura N° 2). documentadas, y que éstas deben ser de los proyectos a corto plazo, cuya duración sea
conocimiento de los usuarios, además de incluir de un (1) año, y los proyectos a largo plazo, de
�������������� � ������������ las actualizaciones que se consideren según los duración mayor a un (1) año.
����������� cambios que hayan ocurrido en los procesos,
����������������
�� ��������������
infraestructura o personal de TI. Otro aspecto fundamental que se establece
�����������������
� ������������ en este Título, se refiere a la conformación de
���������
���������������
�� un Comité de Dirección y Planificación de los
Servicios de Tecnología, con miembros de las
Figura N° 2. Criterios de la información. áreas de Tecnología, Administración Integral de
Boletín Digital // No. 6 - 2008
������ ������
��������� ������ �������� �������� ���������
Riesgo, Auditoría de Sistemas y Gerentes de las desarrollando una descripción detallada de roles y Adicionalmente, en el marco de referencia
unidades usuarias (Artículo N° 8). Es de hacer responsabilidades. CobiT se establecen varios objetivos de control
notar, que deberá documentarse las funciones, detallados en el Dominio “Entregar y Dar soporte”
miembros, frecuencia de reunión, entre otros ¿Qué dicen las mejores prácticas? (DS), asociados a la gestión de recursos humanos,
aspectos del referido Comité, y las decisiones los cuales se presentan en la Tabla N° 2.
que se acuerden en las reuniones, deberán CobiT:
mantenerse archivadas durante un período no
menor a dos (2) años. Si revisamos lo relacionado con la Planificación Para visualizar la tabla haga
Estratégica de TI y Comité de Dirección y click en el icono.
- Recursos Humanos Planificación de los Servicios de Tecnología,
en el Dominio “Planificar y Organizar” (PO), ISO/IEC 27001:
En ocasiones el personal de reciente ingreso, encontramos los objetivos de control que se
desconoce cuáles son sus funciones o no maneja muestran en la Tabla N° 1: El estándar ISO/IEC 27001 por su parte, plantea
la información necesaria para ejecutarlas; lo los siguientes controles relacionado con el
cual también puede ocurrir con personal con recurso humano, desde el punto de vista de
experiencia dentro de la organización, debido seguridad:
a que nunca se le explicó cuáles eran sus - Definición clara de roles y responsabilidades de
responsabilidades. En los Artículos N° 14 y N° la seguridad de la información con base en la
Para visualizar la tabla haga
15 de la Normativa, se plantea que las áreas click en el icono. política de seguridad (A.6.1.3; A.8.1.1; A.8.2.1).
de TI y Recursos Humanos deben identificar, - Capacitación del personal para la ejecución de
capacitar a los usuarios finales para brindar un sus actividades y concientización sobre las
uso adecuado de los recursos tecnológicos, políticas (A.8.2.2).
Boletín Digital // No. 6 - 2008
������ ������
��������� ������ �������� �������� ���������
������ ������
��������� ������ �������� �������� ���������
Este capítulo está conformado por seis (6) - Resguardo de los medios de respaldo en un ¿Qué dicen las mejores prácticas?
artículos, del N° 23 al N° 28, estableciendo mobiliario especializado.
lineamientos con relación al respaldo y la - Disponer de centros de resguardo internos y CobiT:
restauración, entre los cuales se destacan: externos, siendo este último en una ubicación
remota. Con relación a Operaciones, el objetivo de alto
- Ejecución de respaldos diario, semanal y - Bitácora y controles de seguridad para el nivel DS13 “Administración de operaciones”, se
mensual, tanto de la información, como del traslado de medios de respaldo a locaciones establecen los objetivos de control detallados (ver
sistema operativo, y todo software necesario externas. Tabla N° 3).
para el adecuando funcionamiento de los - Retención de al menos diez (10) ciclos de la
equipos y sistemas de misión crítica. información de misión crítica, en el centro
- Pruebas periódicas de los medios de respaldo. alterno.
- Protección física y ambiental adecuada de los
medios de respaldo.
- Documentación de procedimientos de respaldo Para visualizar la tabla haga
y restauración. click en el icono.
- Ejecución de al menos dos (2) pruebas anuales
de restauración.
- Identificación de los medios de respaldo,
incluyendo: fecha de generación, nombre de la
aplicación, tipo de información y período que se
está respaldando, entre otros datos.
Boletín Digital // No. 6 - 2008
������ ������
��������� ������ �������� �������� ���������
������ ������
��������� ������ �������� �������� ���������
¿Qué dicen las mejores prácticas? - DS1.6 Revisión de los acuerdos de niveles de - Monitorear y medir el desempeño del servicio en
servicio y de los contratos. función de lo establecido en los contratos.
CobiT: - Medir y mejorar la satisfacción del cliente.
ISO/IEC 27001: - Diseñar y actualizar periódicamente estándares
En CobiT, específicamente en el objetivo de y formatos de contratos y acuerdos de servicios.
alto nivel DS1 “Definir y administrar los niveles Estos lineamientos se encuentran también descritos
de servicio”, se establecen seis (6) objetivos en el estándar ISO/IEC 27001, debido a que se Título V: Seguridad de la información
de control específicos con relación a la gestión plantea que se debe asegurar que los terceros
de proveedores, que permiten contar con un laboren bajo los controles de seguridad, definiciones Independencia funcional de la Función de Seguridad
marco de referencia en las relaciones con los de servicio y niveles de entrega establecidos en el de la Información y políticas de seguridad:
proveedores, así como permite establecer contrato; así como también se establece, que los
los mecanismos para garantizar que se están servicios, reportes y registros generados por los El diseño de una administración de seguridad
recibiendo los servicios acordados. Los objetivos proveedores, deben ser monitoreados y revisados consistente en una organización, requiere
de control se enumeran a continuación: periódicamente (A.10.2.1 – A.10.2.3). desarrollar e implantar un conjunto de políticas de
seguridad, así como procedimientos específicos
- DS1.1 Marco de trabajo de la administración de ITIL: que permitan el cumplimiento de las políticas,
niveles de servicio. y a su vez, establezcan las actividades a ser
- DS1.2 Definición de servicios. Adicionalmente, en libro “Diseño del Servicio” realizadas por el personal con inherencia en la
- DS1.3 Acuerdos de niveles de servicio. (ITIL v3), específicamente en el proceso seguridad de la información.
- DS1.4 Acuerdos de niveles de operación. “Administración de niveles de servicio”, se
- DS1.5 Monitoreo y reporte del cumplimiento de contemplan los aspectos mencionados en este En este sentido, en esta normativa se establecen
los niveles de servicio. capítulo, y se incluyen las siguientes actividades: dos (2) artículos, Artículo N° 38 y N° 39, donde
Boletín Digital // No. 6 - 2008
������ ������
��������� ������ �������� �������� ���������
se establecen que se debe implementar y revisar Confidencialidad de la información y auditoría En cuanto a logs o trazas de auditoría, la
periódicamente las políticas de seguridad de los Normativa establece que deben almacenarse
activos informáticos de la organización, con énfasis Con relación a la auditoría y confidencialidad de por al menos un (1) año, además de la existencia
en la administración de accesos, utilización del la información, se plantean nueve (9) artículos, de un esquema de revisión y la generación de
correo electrónico, Internet y canales electrónicos. del N° 40 al N° 48, en los cuales se especifican informes de las revisiones de logs realizadas.
En este sentido, se debe tomar en cuenta los lineamientos de seguridad para equipos de
siguientes aspectos: red, auditoría, clasificación de la información y Seguridad física
restricciones de acceso al ambiente productivo. En
- Se deben administrar los accesos a nivel de resumen, la Normativa establece aspectos como Los equipos y la adecuación de los centros de
sistema operativo, aplicación, red y bases de datos. que deben existir acuerdos de confidencialidad y no cómputos son una inversión importante que
- La política de seguridad de la organización divulgación definidos, y que estos acuerdos deben realizan las organizaciones, cuyo valor aumenta
establece los lineamientos para la administración ser firmados por los empleados, personal temporal, al momento que son incorporados al entorno
y control de los accesos. contratados y usuarios externos a quienes se les productivo para apoyar los procesos de negocio y
provea el acceso a la información. almacenamiento de información sensitiva. En este
Otro aspecto importante que se plantea es la sentido, se han establecido catorce (14) artículos,
independencia funcional de Seguridad de la Asimismo, se debe establecer un esquema de desde el N° 50 al N° 63, que conforman este
Información, la cual debe ser independiente de TI, clasificación de la información, que permita capítulo.
Auditoría de Sistemas y Riesgo. Esto sin duda, es identificar el nivel de criticidad de un activo de
uno de los aspectos de impacto en la estructura información, y que adicionalmente, permita otorgar el Algunos de los elementos de control que la
organizativa de las Instituciones Financieras, ya que acceso a los sistemas, aplicaciones o base de datos, Normativa establece a este respecto, son:
ocasiona que se debe analizar el reporte directo que de acuerdo con los perfiles de usuarios definidos y
tendrá la Función de Seguridad de la Información. formalmente documentados.
Boletín Digital // No. 6 - 2008
������ ������
��������� ������ �������� �������� ���������
¿Qué dicen las mejores prácticas? - DS12.1 Selección y diseño del centro de datos.
- Los principales equipos de cómputo y - DS12.2 Medidas de seguridad física.
telecomunicaciones deben estar asegurados. CobiT: - DS12.3 Acceso físico.
- Los materiales de construcción del centro de - DS12.4 Protección contra factores ambientales.
cómputos, no deben ser combustibles. En CobiT se establecen varios objetivos de - DS12.5 Administración de instalaciones físicas.
- Instalación de un sistema de detección y control detallados relacionados con la política
extinción de incendios, control de humedad y de seguridad de la información, los cuales se ISO/IEC 27001:
temperatura, así como la redundancia de los presentan en la Tabla N° 5.
equipos de aire acondicionado. En relación con la independencia funcional de la
- Mantenimiento adecuado de los detectores y Función de Seguridad en la Información, ISO/IEC
sistemas de alarma contra incendio, salidas de 27001 establece en la sección A.6 “Organización
emergencia, paneles de distribución eléctrica y Para visualizar la tabla haga de la Seguridad de la Información”, los controles
de potencia, UPS, entre otros. click en el icono. A.6.1.1 hasta el A.6.1.3, relacionados con: 1) el
- Existencia de un sistema de seguridad eléctrica compromiso de la gerencia con la seguridad de
que proteja el computador central y sus la información; 2) coordinación de la seguridad
periféricos, de variaciones de voltaje. Asimismo, el objetivo de control de alto nivel de la información; y 3) la asignación de
- Establecimiento de perímetros físicos para el DS12 “Administración del ambiente físico”, responsabilidades de esta área.
centro de cómputo y telecomunicaciones, así establece cinco (5) objetivos de control
como para los principales sitios alternos. detallados, relacionados con los aspectos de Asimismo, si contrastamos la Normativa con
- Procedimiento para destruir los reportes seguridad física contemplados en la Normativa, el estándar ISO/IEC 27001, con respecto a la
generados, cuando no sean requeridos. los cuales son: confidencialidad de la información y auditoría, se
tiene lo siguiente:
Boletín Digital // No. 6 - 2008
������ ������
��������� ������ �������� �������� ���������
- En el Artículo N° 40, se establece que los - La definición, documentación y aplicación de Con respecto a la seguridad física, a continuación
empleados y contratados “deben firmar de perfiles en los sistemas, bases de datos y se presentan los aspectos más resaltantes de la
acuerdo de confidencialidad y la no divulgación aplicaciones acorde con las especificaciones Normativa y su relación con el estándar ISO/IEC
de la información, como parte de sus términos y del cargo y actividades a realizar; así como, la 27001:
condiciones iniciales de empleo”; lo cual está restricción de acceso a los utilitarios sensitivos
contemplado en el estándar ISO/IEC 27001 en del sistema y de los operadores al ambiente de - Instalación de un sistema de supresión de fuego
el control A.6.1.5 “Acuerdos de producción (Artículos N° 42, N° 43 y N° 47), está de contacto seco, donde se encuentra el
confidencialidad”, donde además se establece contemplado en el estándar ISO/IEC 27001 en computador central y la cintoteca, así como
que este acuerdo debe ser revisado los controles A.11.2.1; A.11.5.4 y A.11.6.1. Sin mecanismos de detección y extinción de
regularmente. embargo, ISO/IEC 27001 extiende el control de incendios, control de humedad y temperatura, y
- El esquema de categorización de la información la administración de acceso por parte de los redundancia de los equipos de aire
según su nivel de sensibilidad (por ejemplo: usuarios, en el control A.11.2.4 “Revisión de los acondicionado, relacionado con el control
pública, confidencial, etc.), está estipulado en el derechos de acceso”, en el cual se plantea la A.9.1.4 “Protección contra amenazas externas y
control A.7.2.1 “Lineamientos de clasificación” revisión periódica de los accesos otorgados a ambientales”.
de ISO/IEC 27001. los usuarios (re-certificación de usuarios). - Realización de simulacros sobre los posibles
- La ejecución de estudios de penetración - La activación de los registros de auditoría para eventos de contingencia en el centro de
(internos y externos) con una frecuencia no los sistemas de misión crítica, y retención de cómputos principal y en los centros alternos, en
mayor a un (1) año, a fin de verificar que se ha estos logs por un (1) año (Artículos N° 48 y N° concordancia con el control A.14.1.5 “Prueba,
restringido el tráfico de datos entrante y saliente 49), está en concordancia con el control mantenimiento y re-evaluación de planes de
adecuadamente, está relacionado con los A.10.10.1 “Registro de auditoría” de ISO/IEC continuidad comerciales”.
controles A.10.6.1; A.10.6.2 y A.11.4.7 del 27001. - Implementar controles de acceso físico:
estándar ISO/IEC 27001. mecanismos de autenticación, bitácora de
Boletín Digital // No. 6 - 2008
������ ������
��������� ������ �������� �������� ���������
visitantes, revisión periódica de los accesos para el almacenamiento off-site. ¿Qué dicen las mejores prácticas?
otorgados, relacionado con los controles - Incluir en el plan de contingencia tecnológica, el
A.9.1.2; A.9.1.5 y A.9.1.6. objetivo y alcance, metodología empleada, CobiT:
procesos críticos, clasificación de activos,
Título VI: Plan de contingencia tecnológica prioridad y estrategia de recuperación, Con relación a este tema, CobiT en su control de
procedimientos detallados y tiempos de alto nivel DS4 “Garantizar la continuidad de los
Uno de los objetivos principales de un Plan de recuperación, localización de los medios de servicios”, describe la necesidad del desarrollo,
Contingencias, está asociado a la identificación respaldo, personal contacto, niveles de mantenimiento y pruebas de los planes de
de los procesos y recursos que son críticos, para escalamiento y contratos con terceros que apoyen continuidad de TI; almacenamiento de respaldos
sostener un desempeño aceptable en momentos de el proceso de recuperación. off-site y entrenamiento a los usuarios de forma
contingencia. En este sentido, la Normativa incluye - Ejecución de simulacros al menos una (1) vez al año, periódica, a fin de minimizar la probabilidad y
cuatro (4) artículos en dos (2) capítulos diferentes, según el cronograma que entregue a la el impacto de interrupciones mayores en los
sobre el Plan de Contingencia Tecnológica, Superintendencia, con participación del Auditor servicios de TI, sobre funciones y procesos
destacándose los siguientes aspectos: Interno. Los resultados obtenidos deben ser críticos del negocio. Los controles detallados, se
documentados y disponibles para futuras revisiones. muestran a continuación:
- Artículo N° 64: “Existencia de un plan de - Definición de procedimientos de respaldo y
contingencias tecnológicas aprobado, recuperación en las instalaciones distintas al - DS4.1 Marco de trabajo de continuidad.
formalizado, actualizado, implementado y centro de procesamiento, indicando la frecuencia, - DS4.2 Planes de continuidad de TI.
probado”, el cual debe ser revisado y actualizado lugares de almacenamiento de los medios - DS4.3 Recursos críticos de TI.
periódicamente. internos y externos, inventarios detallados, - DS4.4 Mantenimiento del plan de continuidad
- Se deben generar como mínimo dos (2) copias de responsables y administración de los medios de TI.
respaldo: una para almacenamiento in-site y otro magnéticos. - DS4.5 Pruebas del plan de continuidad de TI.
Boletín Digital // No. 6 - 2008
������ ������
��������� ������ �������� �������� ���������
- DS4.6 Entrenamiento del plan de continuidad de ITIL: Título VII: Mantenimiento e implantación de
TI. los sistemas de información
- DS4.7 Distribución del plan de continuidad de Finalmente, en el libro “Diseño del Servicio” de
TI. ITIL v3 se define el proceso “Administración de Las organizaciones deben seguir un proceso
- DS4.8 Recuperación y reanudación de los la continuidad del servicio”, donde se aborda estructurado para el desarrollo y mantenimiento
servicios de TI. este tema, complementando con los siguientes de sistemas, ya sea interno o externo, con la
- DS4.9 Almacenamiento de respaldos fuera de aspectos: finalidad de garantizar el cumplimiento adecuado
las instalaciones. de los lineamientos establecidos por la Gerencia
- DS4.19 Revisión post-reanudación. - Realización del Análisis de Impacto en el y la obtención de mejores resultados. Asimismo,
Negocio (Business Impact Analysis – BIA) para algunas veces no se consideran de manera
ISO/IEC 27001: cuantificar el impacto de la interrupción del temprana, los mecanismos de seguridad que
servicio de TI sobre el negocio. garanticen el acceso y la calidad de la información
La sección A.14 “Gestión de la continuidad - Realización de Análisis de Riesgo (Risk Analysis manejada. Esta temática está contemplada dentro
comercial” de este estándar establece los – RA), para identificar los riesgos presentes, las de la Normativa en los Artículos N° 70 al N° 96,
siguientes controles relacionaos con el plan de amenazas asociadas y la probabilidad de tratando lo siguiente:
contingencia: materialización de los mismos, tomando en
cuenta la rentabilidad de mitigar cada riesgo. Metodología e inclusión de la seguridad
- A.14.1.3 Desarrollar e implementar planes de - Integración del Plan de Continuidad de TI con el
continuidad del negocio incluyendo seguridad resto de los planes de la organización. Con relación a estos aspectos, se establece lo
de la información siguiente:
- A.14.1.5 Prueba, mantenimiento y reevaluación
de los planes de continuidad del negocio
Boletín Digital // No. 6 - 2008
������ ������
��������� ������ �������� �������� ���������
- Implementar una metodología de ciclo de vida descripción del hardware y software, su • Garantizar el cumplimiento de los lineamientos
del desarrollo de sistemas de información, que interrelación, interconexión, descripción de las establecidos para todas las solicitudes
incluya el análisis de factibilidad. pantallas. recibidas.
- Procedimientos de control de cambios a - Establecer formalmente los acuerdos para los • Evaluar las solicitudes de cambio (factibilidad,
programas, incluyendo el tratamiento de desarrollos externos, considerando: clasificación, prioridad).
emergencias. • Uso de licencias. • Coordinar las ventanas de tiempo para la
- Segregar los ambientes de desarrollo, calidad y • Propiedad y custodia del código fuente implantación de los cambos solicitados.
producción, implementando los mecanismos de durante el desarrollo. - Aprobación de los cambios a efectuarse sobre
control de acceso correspondientes. • Pruebas y certificación de la calidad del las bases de datos, por parte del Administrador
- El pase a producción debe ser realizado por desarrollo. de Base de Datos junto con el Comité Técnico.
personal que no esté relacionado con el área de • Documentación del diagrama de entidad- - Realización y documentación de pruebas
desarrollo y mantenimiento. relación, manuales técnico, de usuario y de unitarias e integrales, con participación del
- Definición e implantación de procedimientos instalación. personal usuario y del Comité Técnico (las
automatizados que garanticen que el ejecutable - Existencia de un Comité Técnico que supervise cuales deben ser firmadas).
corresponda a la última versión desarrollada. las actividades y garantice el cumplimiento de
- Establecimiento de estándares de pruebas, los lineamientos establecidos para el desarrollo Arquitectura de la información
documentación y resguardo de resultados. y mantenimiento de sistemas (comité de Control
- Mantenimiento de la documentación técnica de de Cambios), el cual debe estar conformado Con relación a este tema, se establece lo
los sistemas, incluyendo: objetivos, alcance, como mínimo por los líderes de las áreas de siguiente:
diagrama del sistema, registro de Desarrollo/Mantenimiento, Planificación y - Creación de un modelo de arquitectura de
modificaciones, lenguaje de programación, Producción, Auditoría y Seguridad de la información, incluyendo los modelos de datos
manejador de bases de datos empleados, Información, con las siguientes funciones: corporativos y los sistemas de información
Boletín Digital // No. 6 - 2008
������ ������
��������� ������ �������� �������� ���������
asociados; el cual debe ser consistente con el (PO), y en el Dominio “Adquirir e Implantar” (AI), Título VIII: Redes
plan a largo plazo definido como cumplimiento define controles relacionados a estos Artículos
del Artículo N° 9 de la Normativa. (ver Tabla N° 6). La Normativa aborda el tema de la infraestructura
- Creación y actualización continua del de redes y su administración en nueve (9)
diccionario de datos corporativo, contemplando artículos, del N° 102 al N° 110, contemplando lo
las reglas de sintaxis de datos. siguiente:
- Restricción de acceso al ambiente productivo al Para visualizar la tabla haga
proveedor y a los desarrolladores. click en el icono. - La responsabilidad operativa de los dispositivos
- Ejecución de cambios del sistema manejador de de red no puede ser asignada al personal
bases de datos, sólo por el Administrador de ISO/IEC 27001: responsable de las operaciones del computador
Datos. central.
- Existencia de controles para garantizar la Asimismo, al contrastar el contenido de estos - Procedimientos para la administración de
integridad de base de datos. Artículos con las mejores prácticas, en el estándar equipos remotos, incluyendo lineamientos para
- Registro de las transacciones de acceso y ISO 27001/IEC se establecen los controles la gestión de usuarios como:
cambios en los repositorios donde se asociados, presentados en la Tabla N° 7. • No se pueden utilizar claves genéricas.
almacenen los programas fuentes. • Autorización de acceso.
• Formalizar la entrega del usuario y de la
¿Qué dicen las mejores prácticas? contraseña.
Para visualizar la tabla haga • Eliminación oportuna de cuentas redundantes
CobiT: click en el icono. y aquellas correspondientes a usuarios
egresados.
CobiT en los Dominios “Planificar y Organizar”
Boletín Digital // No. 6 - 2008
������ ������
��������� ������ �������� �������� ���������
- Procedimientos para implantar mecanismos para ¿Qué dicen las mejores prácticas? Título IX: Infraestructura de las
restringir el acceso de los puertos de diagnóstico telecomunicaciones
remoto. CobiT:
- Protección de la información mediante La infraestructura de las telecomunicaciones está
mecanismos de cifrado. De igual forma, las mejores prácticas abarcan contemplada en doce (12) artículos, del N° 111 al
- Monitoreo de eventos en los equipos de red. este tópico. En el caso de CobiT se plantean los N° 122, planteando:
- Restricción de los privilegios de acceso a los objetivos de control específicos presentados en
usuarios, y registro de las actividades realizadas. la Tabla N° 8, los cuales pertenecen al Dominio - Cumplimiento de la norma ANSI/EIA/TIA-606
- Control en la asignación y uso de privilegios “Entregar y Dar soporte” (DS). con respecto al cableado estructurado, en la
especiales que permita que un usuario pueda cual se establece diversos colores para los
evadir los controles de seguridad de los cables según su función, algunos de los cuales
sistemas. se muestran en la Figura N° 3.
������������������������������
���������������������������������
Para visualizar la tabla haga
click en el icono. ��������������������������������
����������������������������
������������������
������ ������
��������� ������ �������� �������� ���������
- Empleo de mecanismos adecuados de Título X: Banca Virtual - Mantener una bitácora de acceso y de uso del
seguridad física en el cuarto de servicio de la Banca Virtual, donde se almacene
telecomunicaciones. Este título está conformado por nueve (9) las transacciones y autenticaciones, por un
- Utilización de racks para los equipos de red artículos, del N° 123 al N° 130, sobre la período no menor a cinco (5) años (a partir de la
activos. administración y control del servicio de banca fecha de la transacción).
- Documentación técnica de la infraestructura, virtual, destacándose los siguientes aspectos: - Mecanismos de control que permitan alertar las
contemplando: fallas y minimizar las vulnerabilidades técnicas
• Diagrama lógico de red. - Aprobación de la SUDEBAN para brindar presentes en la plataforma tecnológica que
• Descripción de los elementos de cableado. servicios como historial de transacciones, pagos apoya el servicio de Banca virtual.
• Planos de trayectoria del cableado y ubicación y transferencias.
de los puntos de salida. - Identificación, medición, monitoreo y ¿Qué dicen las mejores prácticas?
• Diagrama del sistema de patcheo. administración de los riesgos asociados a este
• Informe de certificación y diagrama del canal. ISO 27001/IEC:
cableado estructurado, según lo establecido - Auditoría de Sistemas debe realizar seguimiento
en las normas TIA/EIA/568B. continuo al funcionamiento de la Banca Virtual. En ISO 27001/IEC este tema es tratado en los
- Informar al usuario sobre las condiciones y controles A.10.9.1 “Comercio electrónico”;
costos del uso de la Banca Virtual, así como de A.10.9.2 “Transacciones en-línea”; y A.10.9.3
la necesidad de proteger su información. “Información disponible públicamente”,
estableciendo que se deben implementar
mecanismos de seguridad a la información
sensitiva que se transmita a través de redes
públicas.
Boletín Digital // No. 6 - 2008
������ ������
��������� ������ �������� �������� ���������
Título XI Disposiciones finales Impacto de la Normativa - Con relación a los roles y responsabilidades que
no habían sido contemplados, deben ser
Los Artículos N° 132, N° 133 y N° 134 establecen El cumplimiento de esta Normativa tiene un asignados a personal existente, e incluso se
el cumplimiento obligatorio de esta Normativa, en impacto significativo en los entes supervisados, prevé que se pudieran crear nuevos puestos de
conformidad con el Artículo 251 de la Ley General en su planificación y en sus actividades diarias empleo.
de Bancos y Otras Instituciones Financieras, así con respecto al uso de la tecnología, si se - Pueden existir contratos y acuerdos, cuyas
como fomentar el desarrollo del talento humano y considera que: cláusulas deban ser negociados nuevamente
el uso obligatorio de Sistemas de Reclamos para con los proveedores.
monitorear y controlar los canales electrónicos. - Los entes supervisados deben realizar - Adaptación de la infraestructura tecnológica y
inversiones para adaptar su infraestructura adecuaciones.
tecnológica a los requerimientos establecidos. - Se deberá considerar la coexistencia con la
- La ejecución de proyectos que habían sido potencial exigencia del cumplimiento del
planificados, deberá ser postergada como estándar PCI-DSS (Payment Card Industry -
consecuencia de la ejecución del plan de acción Data Security Standard) y la circular del Consejo
para el cumplimiento de esta Normativa, lo cual Bancario Nacional relacionada con las normas
deberá realizarse en un lapso de ocho (8) de normas de seguridad para el manejo de
meses. información electrónica en cajeros automáticos
- Esfuerzo y dedicación del personal fijo y y puntos de venta.
proveedores para dar cumplimiento en los
lapsos establecidos, pudiendo afectar las
actividades cotidianas del personal.
Boletín Digital // No. 6 - 2008
������ ������
��������� ������ �������� �������� ���������
��������
���������� �������� ��������
PO1.2 Alineación de TI - Comunicar a los ejecutivos las oportunidades que ofrece TI.
con el negocio - Asegurar el entendimiento del rumbo del negocio, para saber cómo dirigir a TI.
- Las estrategias de TI deben estar alineadas deben estar alineadas con el negocio,
relacionando las metas y reconocer las oportunidades y limitaciones en la
capacidad actual.
PO1.4 Plan estratégico - Crear un plan estratégico de TI para indicar cómo TI contribuirá con las demás
de TI unidades de negocio, cómo se cumplirán los objetivos, presupuesto de inversión,
estrategias de adquisición, requerimientos legales y reguladores, entre otros.
PO1.5 Planes tácticos de - Crear un portafolio de planes tácticos que se deriven del plan estratégico,
TI describiendo las iniciativas y los requerimientos de recursos requeridos por TI,
entre otros.
PO4.2 Comité estratégico - Establecer un comité estratégico de TI a nivel de consejo directivo, como parte del
Gobierno Corporativo, para asesorar sobre la dirección estratégica
Boletín Digital // No. 6 - 2008
DS7.1 Identificación -Establecer y cumplir un programa de entrenamiento para los grupos de empleados,
de necesidades de tomando en cuenta los siguientes aspectos:
entrenamiento y − Estrategias y requerimientos actuales y futuros del negocio
educación − Valores corporativos (ej: cultura del control y seguridad)
− Implementación de nuevo software e infraestructura de TI
− Habilidades necesarias
− Métodos de impartición y material de apoyo
DS7.3 Evaluación del Al final el entrenamiento, se evaluarán los resultados del entrenamiento para ayudar
entrenamiento recibido en la planificación de futuros cursos.
Boletín Digital // No. 6 - 2008
DS13.1 Procedimientos Definir, implantar, mantener y divulgar procedimientos para operaciones de TI,
e instrucciones de tomando en cuenta aspectos como la entrega de turnos, estatus, actualizaciones,
operación escalamiento, reportes, entre otros.
DS11.6 Requerimientos Establecer mecanismos para identificar y aplicar requerimientos de seguridad de los
de seguridad para la medios de respaldo almacenados en el exterior de la organización.
administración de datos
Boletín Digital // No. 6 - 2008
��������
���������� �������� ��������
DS5.3 Administración de - Todos los usuarios y sus actividades dentro de TI deben ser identificables. Los
identidad privilegios de acceso de los usuarios deben definirse con base a las necesidades
del negocio y con requerimientos de trabajo.
- Las identidades de los usuarios y sus derechos deben ser almacenados
centralizadamente.
DS5.4 Administración de - Las acciones sobre las cuentas de usuarios deben ser realizadas por una sola
cuentas de usuario área. Adicionalmente, se deben documentar los procedimientos para realizar estas
tareas.
- Los accesos otorgados deben ser revisados periódicamente en conformidad con
la política de seguridad.
Boletín Digital // No. 6 - 2008
��������
���������� �������� ��������
PO2.2 Diccionario de Mantener un diccionario empresarial que incluya las reglas de sintaxis de datos,
datos empresarial y reglas facilitando que las aplicaciones y los sistemas compartan los elementos de datos.
de sintaxis de datos
AI2 Adquirir y mantener Las aplicaciones deben estar disponibles con base a los requerimientos del negocio,
a través del diseño, inclusión de funcionalidades y mecanismos de seguridad,
desarrollo y la configuración de acuerdo a los estándares.
AI4 Facilitar la operación y Entrenamiento del personal, incluyendo la documentación del sistema, para garantizar
el uso el uso adecuado de las aplicaciones y los sistemas.
AI6 Administrar cambios Satisfacer los requerimientos del negocio que originaron el cambio, evitando errores y
repeticiones de trabajo en la entrega de soluciones y servicios.
AI7 Instalar y acreditar Una vez que los sistemas están desarrollados, deben ser probados en un ambiente
soluciones y cambios separado, aceptados, liberados y monitoreados.
Boletín Digital // No. 6 - 2008
��������
���������� �������� ��������
Controles
��������
���������� �������� ��������
DS5.3 Administración de Todos los usuarios y sus actividades dentro de TI deben ser identificables. Los
identidad privilegios de acceso de los usuarios deben definirse con base a las necesidades del
negocio y con requerimientos de trabajo.
Las identidades de los usuarios y sus derechos deben ser almacenados
centralizadamente.