CYBSEC Analisis BCRAA4609 Practica

Anlisis de la Norma BCRA A 4609
Seguridad Informtica y
Continuidad de Procesamiento
Mdulo II: Fase Prctica
Lic. Matas Pagouap

mpagouape@cybsec.com
5 de Junio de 2007
Buenos Aires - ARGENTINA
BCRA A 4609 - Seguridad Informtica y
Continuidad de Procesamiento - Mdulo II: Fase Prctica
Estrategia de implementacin 2007
Estrategia de implementacin
Recomendaciones
Liderazgo: nombrar un lder idneo para dirigir la implementacin

de la norma A 4609. Alternativa: tercerizar el liderazgo en
consultores externos.
Responzabilidades del lder: coordinar los esfuerzos de la entidad
para cumplir en tiempo y forma con la normativa.
2
Metodologa:
a) Gap Analysis
-Identificacin de Requerimientos para el estado deseado.
-Relevamiento del estado actual. Determinacin del Gap.
-Identificacin de acciones necesarias para alcanzar el
estado deseado.
b) Ejecucin de Implementacin
-Acciones: determinacin de tiempos, presupuestos,
recursos humanos y prioridades.
-Delegacin de tareas a los distintos responsables.
-Seguimiento.
-Reporte a la alta gerencia.
3
Herramientas:
a) Matriz
-Eje Y: Items del Comunicado A 4609
-Eje X: Nmero de Item, Descripcin, Estado de
cumplimiento, Accin Requerida, reas involucradas, Presupuesto
requerido, RRHH necesarios, Tiempo de implementacin, Prioridad,
Tareas Previas Requeridas, % de Avance.
b) Diagrama de Gantt
-MS Project u otros.
-tiles para determinar la duracin total del proyecto y
seguimiento.
4
Recomendaciones puntuales para el cumplimiento de la norma 2007
Recomendaciones puntuales sobre

puntos clave
para el cumplimiento
de la norma A 4609
5
Organigramas y Responsabilidades 2007
Seguridad de la Informacin
en el organigrama corporativo
(2.4, 2.5.3, 3.1.1)
Considerando que la norma establece:
reas de Sistemas y rea de Seguridad de la Informacin

independientes de otras reas usuarias.
rea de Seguridad de la Informacin independiente del rea de
Sistemas o del rea de Auditora.
Segregacin de funciones por contraposicin de intereses.
Se podra ilustrar el siguiente organigrama modelo:

6
en el organigrama corporativo
(2.4, 2.5.3, 3.1.1)
Directorio / CEO
Direccin General
Sistemas / Informtica Seguridad de la Informacin Auditora
Anlisis Funcional/Programacin Asignacin de Perfiles
Control de Calidad Definicin e implementacin de polticas, perfiles y accesos
Operaciones Control y Monitoreo de seguridad informtica
Administracin de Resguardos
Implementaciones
Data Entry
Administracin de bases de datos
Administracin de redes
Administracin de comunicaciones
Administracin de sistemas operativos
Mesa de Ayuda 7
Organizacin del rea
(3.1.1, 3.1.5)
Crear un documento orgnico con las funciones, roles, misiones

y responsabilidades del rea y de cada uno de sus sectores
(como mnimo se deber contemplar los items de la A 4609).
Contratar personal formado en implementacin de controles y
polticas de seguridad.
Capacitar y actualizar al personal.
8
Nuevas Responsabilidades
Concientizacin
Sistemas - Seguridad de la Informacin - Auditora
Estudio Completo de la Norma
Directorio - CEO
Presentacin y Resumen que incluya los siguientes puntos

(incluidos todos los temas, no slo seguridad)
1, 2.1, 2.2, 2.3, 3.1.4, 3.2, 4.1, 4.2, 5.4, 6.1, 7.2, 7.6, 7.7
9
Reportes 2007
Reportes formales de
Seguridad y Continuidad
(2.3, 3.1.5, )
Reporte Frecuencia-Motivo Origen Destino
Anlisis de Riesgos de N/A N/A Directorio-CEO

Sistemas de Informacin Sugerido: anual Sugerido: Seguridad-
Gestin de Riesgos
Incidente de Seguridad - En caso de incidente Seguridad Propietario de datos
Vulnerabilidad de seguridad o - Administrador
vulnerabilidad
Reporte Operativo Sugerido: trimestral Seguridad Gerencia General /
(almacenado en CD/DVD, Directorio-CEO
por 2 aos, con hash).
Reporte de pruebas de Anual Auditora - reas Directorio-CEO
Continuidad de usuarias
procesamiento
10
Anlisis de Riesgos de Sistemas 2007
Anlisis de Riesgos de Sistemas

(2.3)
Es la base para la toma de decisiones relacionadas con la

seguridad. De l depende:
Estrategia.
Polticas de Seguridad.
Plan de Continuidad de Procesamiento.
El Directorio o CEO es responsable directo de la gestin de riesgos
de sistemas.
El Anlisis de Riesgos de Sistemas debe ser actualizado
peridicamente (sugerido anualmente).
11
Anlisis de Riesgos de Sistemas

(2.3)
El anlisis de riesgos tiene metodologa estndar. Ej: COBIT,

NIST, Octave (CERT).
Debe ser realizado por personal experimentado en la metodologa
anlisis, sistemas y seguridad.
2 opciones de implementacin:
1) Ejecucin in house: designando personal capacitado en la
materia.
2) Tercerizacin: mediante consultoras independientes
12
Etapas generales de un Anlisis

de Riesgos de Sistemas
1. Identificacin de activos informticos
2. Clasificacin de activos informticos crticos
3. Determinacin de la Matriz de Impacto
4. Determinacin de la Matriz de Probabilidad de
Ocurrencia
5. Determinacin de la Matriz de Riesgos
6. Identificacin de Amenazas
7. Determinacin de Riesgos Brutos y Riesgos Residuales
13
Seguridad Informtica Normativas de seguridad internas 2007
Normativas de seguridad internas

Estrategia
(3.1.2)
Es el documento de ms alto rango en la documentacin de

seguridad.
Debe ser validada y aprobada por el Directorio o CEO.
Se puede implementar a travs de la redaccin de un documento de
aproximadamente 2 hojas.
Es anloga al Prembulo de la Constitucin.
Requiere conocimientos avanzados en management de seguridad.
Debe mencionar el compromiso, alineacin y equilibrio de la
seguridad de la informacin con los objetivos de negocio.
14
Estructura de la documentacin
(3.1.2, 3.1.4)
Comparable con:
Estrategia Prembulo
Polticas Constitucin
Normas Leyes
Procedimientos
Reglamentaciones
Lineamientos
Standards/Checklists/Baselines
15
Polticas
(3.1.4)
El Directorio o CEO debe ser el principal interesado en las Polticas.

Deben ser aprobadas directamente por l.
Las Polticas de Seguridad de la Informacin pueden conformarse
en un nico documento. Tpicamente poseen entre 15 y 25 pginas.
Deben ser comunicadas a toda la compaa. Se recomienda ejecutar
presentaciones para que cada gerencia entienda cual es su rol en el
mantenimiento de la seguridad.
Su redaccin requiere conocimientos avanzados en management de
seguridad.
Buenas fuentes para usar como punto de partida para el desarrollo
de polticas son: A 4609, ISO 17799 : 2005, ISO 27001:2005,
Manual de Preparacin al Exmen CISM.
Deben ser revisadas peridicamente. 16
Normas y resto de documentacin

(3.1.4)
Son documentos consecuentes y derivados de la Poltica.

Son emitidas por el rea de Seguridad de la Informacin.
Los puntos mnimos a reglar estn listados en el punto 3.1.4 del
comunicado.
Deben ser revisados peridicamente ante cambios tecnolgicos o de
procedimientos.
Son documentos que requieren alta adaptacin a la entidad.
Se recomienda el esfuerzo en una redaccin clara, sin ambigedades
y con optimizacin de recursos y tiempos.
17
Seguridad Informtica Planeamiento de recursos 2007
Planeamiento de Recursos
(3.1.3)
Para cumplir las metas de seguridad es necesario preveer los

recursos necesarios. Por lo que se recomienda:
Establecer en las Polticas de Seguridad la ejecucin de un
presupuesto anual para el rea de Seguridad que contemple
dinero y personal necesario para alcanzar las metas de
seguridad.
Establecer en las Polticas de Seguridad que todo nuevo
proyecto informtico debe contemplar los requerimientos de
seguridad desde el inicio del ciclo de vida.
18
Seguridad Informtica Clasificacin de Datos y Niveles de Seguridad 2007
Clasificacin de Datos y Niveles

de Seguridad
(3.1.4.1)
Se recomiendan los siguientes pasos:

Redactar la Norma de Clasificacin de Datos. En esencia, la misma
contendra la definicin de niveles y el tratamiento de cada nivel.
Niveles tpicos: Pblico, Interno, Confidencial, Estrictamente
Confidencial.
Clasificar toda la informacin que maneja la entidad en un anexo de
la norma.
Se aconseja validar con el Directorio o CEO.
La administracin de accesos debe ser coherente con la clasificacin.
19
Seguridad Informtica Control de accesos y Actualizacin 2007
Control de Accesos y Actualizacin

(3.1.4.2)
El contenido de la primera parte del punto 3.1.4.2 debera ser parte de

una Norma de Control de Accesos (salvo actualizacin y parches).
La mayora de esos puntos estn pensados para aplicaciones y
sistemas operativos de red, por lo que es razonable la no
implementacin de algunos puntos en ciertos dispositivos (ej, registro
histrico de contraseas en un print server, bloqueo de cuentas en un
access point por intentos fallidos, etc).
Se aconseja emitir una norma de Administracin de Actualizaciones
para tratar el tema parches.
El resto del punto 3.1.4.2 son buenas prcticas recomendadas aunque
no obligatorias.
20
Seguridad Informtica Control de accesos y Actualizacin 2007
Acceso de bajo nivel a bases de datos

(3.1.4.3, 5.6)
El acceso de bajo nivel a los datos es altamente riesgoso. Dado que

las aplicaciones encargadas de resguardar la integridad,
confidencialidad y disponibilidad de los mismos sufren un bypass.
El punto 3.1.4.3 y 5.6 debera ser tratado especialmente en la Norma
de Control de Accesos.
Se debe impedir el acceso a datos por fuera de las aplicaciones a
personas o software utilitario.
La cantidad de personal que posee este tipo de privilegios deber ser
mnimo, sus acciones registradas y vigiladas.
21
Seguridad Informtica Logs y alertas 2007
Registros de auditora (logs) y

alertas
Punto Descripcin Medio de Tiempo de Monitoreo
almacenamiento conservacin y Alertas?
3.1.4.3 Actividad de bajo nivel con datos No reutilizable (ej 10 aos Si
5.6 CD/DVD)
3.1.4.4 Registros Operativos de usuarios No reutilizable 10 aos Si
8.2 en aplicaciones
3.1.4.4 Actividad de Control de Accesos y No reutilizable 10 aos Si
5.6 usuarios privilegiados.
3.1.4.4 Excepciones y actividades crticas No reutilizable 10 aos Si
en plataforma
6.2 Actividad de Cajeros Automticos No reutilizable 10 aos N/A
(no papel term.)
6.2 Sistema de Administracin de No reutilizable 10 aos Si
Cajeros Automticos
6.3 Sistema de Administracin de POS No reutilizable 10 aos Si
6.4, Transacciones y gestin de claves No reutilizable 10 aos Si

6.5,6.6 en e-Banking, m-banking y phone 22
banking
Seguridad Informtica Logs y alertas 2007
Alertas de Seguridad
(3.1.4.5)
La A 4609 exige implementar funciones de deteccin y alerta de

accesos sospechosos a los sistemas as como monitoreo constante de
los accesos. Aunque no exige que sean automatizados.
Sin embargo, recomienda la automatizacin para reducir costos
operativos de la seguridad (IDSs/IPSs y herramientas de anlisis de
logs).
23
Seguridad Informtica Software malicioso 2007
Software malicioso
(3.1.4.6)
Antivirus / Antispyware en las plataformas propensas a infeccin

o trfico (desktops, gateways de correo, etc).
Programa de Concientizacin de usuarios. (charlas, carteleras,
mails de alerta).
24
Seguridad Informtica Seguridad fsica 2007
Seguridad fsica
(3.2)
El objetivo planteado es proteger fsicamente los activos de

informacin, que incluyen a:
Personas (en primera instancia)

Hardware
Software
Datos productivos
Archivo (Papeles, backups, registros de seguridad, etc)
25
Construccin y localizacin de
instalaciones
(3.2.1)
Destacable: el comunicado sugiere bajo perfil para la

ubicacin del centro de cmputos (recordar crisis de 2001).
Esta medida puede reducir en gran medida el riesgo de
conmocin popular en nuestro pas.
26
Acceso fsico al centro de

cmputos
(3.2.2)
El control de acceso fsico puede implementarse a travs de

un sistema automatizado, o bien manualmente (ej. travs de
un guardia).
Es obligatorio el registro de las entradas al centro de
cmputos (automatizadamente o manualmente).
27
Seguridad Informtica Continuidad del procesamiento 2007
Continuidad del procesamiento

(y del negocio)
(4)
La A 4609 exige la implementacin de un Business Continuity Plan

(BCP).
El BCP es un proyecto que requiere:

Compromiso por parte de la Direccin de la empresa para que sea
efectivo y pueda ser desarrollado con xito.
Conciencia del tamao del Proyecto.
Inversiones (Hardware, Software, Lugar fsico, Consultora,
Recursos humanos, Contratos, etc).
ES UN PROYECTO DE NEGOCIOS, NO SLO TECNOLGICO. 28
Componentes Metodolgicos del BCP
29
Continuidad del procesamiento

Pasos Necesarios
(4.1)
Obtener recursos Presentar al Directorio o CEO la necesidad de

elaborar el plan de recuperacin con el fin de:
- mitigar los riesgos identificados en el Anlisis de Riesgos,
- mitigar el riesgo de no cumplir con la normativa del BCRA,
- cumplir con las Polticas de Seguridad internas de la
entidad.
Asignar un rea o sector encargado de crear, mantener y probar el

BCP. Sugerencia: crear un Comit de coordinacin con miembros del
Directorio, Sistemas, Seguridad, Auditora y Dueos de procesos. 30
Pasos necesarios:
Llevar a cabo un: (4.2)
Anlisis de Impacto al negocio

(BIA)
- Se utiliza metodologa standard. Ej: COBIT, NIST, Octave (CERT).
- Alcance Todos los procesos de negocio, no slo los informticos.
- Trabajo en equipo con los dueos de procesos.
- Objetivo final del anlisis es determinar qu procesos son crticos,
y para cada proceso crtico:
Punto de Recuperacin (RPO)
Tiempo de Recuperacin (RTO)
- Los resultados constituyen la base para la implementacin de los
31
mecanismos de continuidad.
Pasos necesarios:
Elaborar y documentar un (4.4)
Plan de Continuidad
- El plan debe basarse en el Anlisis de Riesgos y en el de Impactos.
- Debe preveerse y enunciarse los posibles escenarios de desastre
que activaran el plan (inundacin, incendio, conmocin popular, etc).
- El BCP cubre las contingencias que se definan durante el desarrollo
del mismo. Mientras ms abarcativo sea el BCP, ms costosa es su
implementacin y mantenimiento. Se debe llegar al Punto de
Equilibrio y la empresa debe definir qu riesgos desea aceptar.
- El Plan deber prever las estrategias tcnicas a implementar:
- ubicacin del site alternativo.
- tipo de disponibilidad: cold site, warm site, hot site, mirrored
site. 32
Contenidos mnimos del Plan de

Continuidad
(4.4)
Procedimientos de emergencia que describan las acciones a

emprender una vez ocurrido un incidente. Estos deben incluir
disposiciones con respecto a la gestin de vnculos eficaces a
establecer con las autoridades pblicas pertinentes, por ej.: entes
reguladores, polica, bomberos y otras autoridades.
Los nombres, direcciones, nmeros de telfono y "localizadores"
actuales del personal clave.
Las aplicaciones crticas y su prioridad con respecto a los tiempos
de recuperacin y regreso a la operacin normal.
El detalle de los proveedores de servicios involucrados en las
acciones de contingencia / emergencia.
33
Contenidos mnimos del Plan de

Continuidad
(4.4)
La informacin logstica de la localizacin de recursos claves,

incluyendo: ubicacin de las instalaciones alternativas, de los
resguardos de datos, de los sistemas operativos, de las aplicaciones,
los archivos de datos, los manuales de operacin y documentacin de
programas / sistemas / usuarios.
Los procedimientos de emergencia que describan las acciones a
emprender para el traslado de actividades esenciales a las
ubicaciones transitorias alternativas, y para el restablecimiento de
los procesos de negocio en los plazos requeridos.
La inclusin de los planes de reconstruccin para la recuperacin en
la ubicacin original de todos los sistemas y recursos.
34
Instalaciones alternativas de
procesamiento de datos
(4.3)
Es posible utilizar instalaciones propias o de terceros.

Objetivos primarios que establece la norma:
- No estar alcanzado por los mismos riesgos que la
instalacin central (segn el Anlisis de Riesgos).
- Alojar y proveer disponibilidad a los sistemas crticos.
- Proveer servicios a sucursales Telecomunicaciones.
- Tiempo de Recuperacin que no afecte la atencin de los
clientes ni deje a la entidad fuera de compensacin.
- No estar alcanzado por eventos que pueden darse
simultneamente (ej inundacin y corte de suministro elctrico).
35
Mantenimiento y actualizacin del

BCP
(4.5)
Eficacia permanente del BCP Actualizacn del Plan.

Establecer y documentar procedimientos para actualizar el BCP
con cada cambio en los sistemas y procesos de negocio.
Asignar un responsable de actualizacin y revisin peridica.
Si existen cambios en el BCP, la informacin le debe llegar a cada
uno de los responsables involucrados en el mismo.
36
Prueba del BCP

(4.6)
La A 4609 establece la prueba anual del BCP para verificar la

efectividad del plan y de su mantenimiento.
Las pruebas deben garantizar que todos los miembros del equipo
de recuperacin conocen sus funciones.
Confeccionar un cronograma de pruebas definiendo el cmo y el
cundo para cada elemento del plan.
reas usuarias y Auditora deben ser los certificadores de los
resultados de la prueba. Deben elevar un informe al Directorio o CEO
con los resultados de la prueba.
Este informe debe ser guardado en archivo ya que sera controlado
por BCRA.
37
Seguridad Informtica Inventario 2007
Inventario tecnolgico
(5.2)
Si bien es responsabilidad del rea Sistemas/Informtica la

creacin y mantenimiento del Inventario Tecnolgico, es muy
importante que el rea de Seguridad lo controle y utilice.
No es posible aplicar efectivamente controles de seguridad sobre
recursos que no se encuentran registrados en ninguna parte.
Elementos a ser inventariados: hardware, software, recursos de
informacin, activos fsicos y servicios descentralizados de terceros.
38
Seguridad Informtica Banca electrnica 2007
Banca Electrnica por diversos

medios
(6, 6.1)
Debe realizarse un Anlisis de Riesgos para cada uno de los

canales y los servicios por ellos ofrecidos.
Se debe garantizar confidencialidad, integridad y disponibilidad
en el medio en que se transmiten los datos Uso de Encriptacin
standard.
Debe aplicarse a estos medios todos los requerimientos de
seguridad de la norma + la seccin 6.
39
Control en cajeros automticos

(ATMs)
(6.2)
Requerimientos de Seguridad:
(estas prcticas ya son aplicadas por los grandes administradores
de cajeros):
Identificacin con tarjeta y clave.
Encriptacin y Control de Acceso en lugares de alojamiento.
Control de Accesos en algoritmos de generacin de claves.
Separacin de funciones en generacin de tarjetas y claves.
No visibilidad de claves o datos de tarjetas.
No entrega simultnea de tarjeta y clave. 40
Tarjetas de Dbito y POS

(6.3)
Requerimientos de Seguridad:
Se debe requerir Documento de Identidad al usuario.
Se debe requerir la clave al usuario y una firma en el ticket.
Debe permitir una clave distinta para realizar compras.
Restriccin de operacin luego de 3 intentos fallidos.
41
e-Banking
(6.4)
Canal con alto nivel de riesgo
Proteger a la red interna con Firewalls, IDS (del tipo de red y de

host en servidores) y antivirus.
Se valorizar que todo dispositivo de control de trfico de red y
de deteccin cuente con capacidad de registro de actividad. Dicho
registro deber evidenciar la realizacin de controles por los
responsables designados para tal fin.
El e-Banking debe poseer las mismas medidas de seguridad fsica y
lgica que el resto de la instalacin expresada en la A 4609. Se
valorar la incorporacin de medidas adicionales segn el riesgo.
42
e-Banking
(6.4)
La pgina debe enunciar claramente:

La poltica de seguridad con la que la entidad opera. Ej,
Terminos y Condiciones, Ley de Habeas Data, Comunicacin A
4609, otras normas de seguridad del banco de conocimiento
pblico.
Ventana de tiempo de utilizacin e inactividad.
Informar al usuario sobre no responsabilidad sobre links que
guan a pginas externas.
Se valorizar el uso de entidades certificadoras.
El e-banking debe utilizar usuario/clave distintas a otros medios.
Cmo mnimo debe respetar las exigencias de 3.1.4.2.
43
e-Banking
(6.4)
Se valorizar que los usuarios deban utilizar: certificados

digitales, tarjetas inteligentes, dispositivos biomtricos, teclados
virtuales.
El e-banking debe estar incluido en el BCP.
Se valorizar la implementacin de duplicacin de componentes
(Non stop service).
En casos de Hosting o Housing el banco es responsable de exigir
implementacin y prueba por parte del ISP de planes de continuidad
con especificaciones del punto 4 Incluir en SLAs.
44
m-Banking
(celulares como terminales)
(6.5)
Canal con alto nivel de riesgo
Debe contemplar los mismos requerimientos de seguridad del e-

Banking del punto 6.4.
Debe implementarse encriptacin extremo a WAP 1 NO

extremo.
No deben existir gateways que realicen
desencriptacin-encriptacin WAP 2 OK
45
Phone Banking
(6.6)
Los operadores no deben conocer las claves de los usuarios

utilizacin de IVRs.
El usuario debe conocer su nmero de transaccin.
En caso de atencin personalizada el usuario debe conocer con
quien habl.
Se valorizar la grabacin de la comunicacin.
46
Otros medios / Futuros medios

(6.7)
Se deber informar al Directorio o CEO sobre los riesgos de la

nueva tecnologa para que el mismo tome las medidas de seguridad
necesarias.
Se deber remitir un informe con la descripcin del proyecto a la

Gerencia de Auditora Externa de Sistemas de la Superintendencia de
Entidades Financieras y Cambiarias con 90 das de antelacin a su
implementacin.
47
Seguridad Informtica Terceros 2007
Delegacin de Actividades Propias

de la Entidad en Terceros
(7.2)
Directorio-CEO Responsable mximo.

Se requiere Anlisis de Riesgos para la actividad a delegar.
Se deben redactar polticas de seguridad acordes al riesgo, tamao
y complejidad de las tareas delegadas.
El Directorio o CEO debe estar al tanto del riesgo y las polticas, y
aprobar formalmente la delegacin.
Firmar contratos (o SLA) que incluyan servicios, responsabilidades
y acuerdos sobre confidencialidad y no divulgacin.
La administracin de las utilidades de seguridad se debe realizar
con RRHH propios (remotamente o en las instalaciones del tercero).
48
Seguridad Informtica Terceros 2007
Delegacin de Actividades Propias

de la Entidad en Terceros
(7.6)
Se debe normar sobre el plan de controles a ejecutar en las

actividades delegadas.
Se debe documentar todas las solicitudes de mejoras enviadas al
proveedor en caso de incumplimientos.
Debe existir un BCP para las actividades delegadas en terceros
debe figurar en las Polticas y Normas.
El proveedor debe contar con un BCP propio coherente con el nivel
de riesgo de la entidad contratos / SLA.
El BCP del proveedor debe ser probado anualmente, con resultados
documentados y vigilados por la gerencia.
49
2007
Gracias por su atencin!!!
www.cybsec.com
50

CYBSEC Analisis BCRAA4609 Practica

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

CYBSEC Analisis BCRAA4609 Practica

Uploaded by

Copyright:

Available Formats

Anlisis de la Norma BCRA A 4609

Mdulo II: Fase Prctica

Lic. Matas Pagouap

Liderazgo: nombrar un lder idneo para dirigir la implementacin

Recomendaciones puntuales sobre

Considerando que la norma establece:

reas de Sistemas y rea de Seguridad de la Informacin

Se podra ilustrar el siguiente organigrama modelo:

Sistemas / Informtica Seguridad de la Informacin Auditora

Anlisis Funcional/Programacin Asignacin de Perfiles

Control de Calidad Definicin e implementacin de polticas, perfiles y accesos

Operaciones Control y Monitoreo de seguridad informtica

Administracin de bases de datos

Administracin de sistemas operativos

Crear un documento orgnico con las funciones, roles, misiones

Estudio Completo de la Norma

Presentacin y Resumen que incluya los siguientes puntos

Reporte Frecuencia-Motivo Origen Destino

Anlisis de Riesgos de N/A N/A Directorio-CEO

Anlisis de Riesgos de Sistemas

Es la base para la toma de decisiones relacionadas con la

Anlisis de Riesgos de Sistemas

El anlisis de riesgos tiene metodologa estndar. Ej: COBIT,

Etapas generales de un Anlisis

Normativas de seguridad internas

Es el documento de ms alto rango en la documentacin de

El Directorio o CEO debe ser el principal interesado en las Polticas.

Normas y resto de documentacin

Son documentos consecuentes y derivados de la Poltica.

Para cumplir las metas de seguridad es necesario preveer los

Clasificacin de Datos y Niveles

Se recomiendan los siguientes pasos:

Control de Accesos y Actualizacin

El contenido de la primera parte del punto 3.1.4.2 debera ser parte de

Acceso de bajo nivel a bases de datos

El acceso de bajo nivel a los datos es altamente riesgoso. Dado que

Registros de auditora (logs) y

6.4, Transacciones y gestin de claves No reutilizable 10 aos Si

La A 4609 exige implementar funciones de deteccin y alerta de

Antivirus / Antispyware en las plataformas propensas a infeccin

El objetivo planteado es proteger fsicamente los activos de

Personas (en primera instancia)

Destacable: el comunicado sugiere bajo perfil para la

Acceso fsico al centro de

El control de acceso fsico puede implementarse a travs de

Continuidad del procesamiento

La A 4609 exige la implementacin de un Business Continuity Plan

El BCP es un proyecto que requiere:

Componentes Metodolgicos del BCP

Continuidad del procesamiento

Obtener recursos Presentar al Directorio o CEO la necesidad de

Asignar un rea o sector encargado de crear, mantener y probar el

Anlisis de Impacto al negocio

Contenidos mnimos del Plan de

Procedimientos de emergencia que describan las acciones a

Contenidos mnimos del Plan de

La informacin logstica de la localizacin de recursos claves,

Es posible utilizar instalaciones propias o de terceros.

Mantenimiento y actualizacin del

Eficacia permanente del BCP Actualizacn del Plan.

Prueba del BCP

La A 4609 establece la prueba anual del BCP para verificar la

Si bien es responsabilidad del rea Sistemas/Informtica la

Banca Electrnica por diversos