Professional Documents
Culture Documents
Seguridad Informtica y
Continuidad de Procesamiento
5 de Junio de 2007
Buenos Aires - ARGENTINA
BCRA A 4609 - Seguridad Informtica y
Continuidad de Procesamiento - Mdulo II: Fase Prctica
Estrategia de implementacin 2007
Estrategia de implementacin
Recomendaciones
2
BCRA A 4609 - Seguridad Informtica y
Continuidad de Procesamiento - Mdulo II: Fase Prctica
Estrategia de implementacin 2007
Metodologa:
a) Gap Analysis
-Identificacin de Requerimientos para el estado deseado.
-Relevamiento del estado actual. Determinacin del Gap.
-Identificacin de acciones necesarias para alcanzar el
estado deseado.
b) Ejecucin de Implementacin
-Acciones: determinacin de tiempos, presupuestos,
recursos humanos y prioridades.
-Delegacin de tareas a los distintos responsables.
-Seguimiento.
-Reporte a la alta gerencia.
3
BCRA A 4609 - Seguridad Informtica y
Continuidad de Procesamiento - Mdulo II: Fase Prctica
Estrategia de implementacin 2007
Herramientas:
a) Matriz
-Eje Y: Items del Comunicado A 4609
-Eje X: Nmero de Item, Descripcin, Estado de
cumplimiento, Accin Requerida, reas involucradas, Presupuesto
requerido, RRHH necesarios, Tiempo de implementacin, Prioridad,
Tareas Previas Requeridas, % de Avance.
b) Diagrama de Gantt
-MS Project u otros.
-tiles para determinar la duracin total del proyecto y
seguimiento.
4
BCRA A 4609 - Seguridad Informtica y
Continuidad de Procesamiento - Mdulo II: Fase Prctica
Recomendaciones puntuales para el cumplimiento de la norma 2007
5
BCRA A 4609 - Seguridad Informtica y
Continuidad de Procesamiento - Mdulo II: Fase Prctica
Organigramas y Responsabilidades 2007
Seguridad de la Informacin
en el organigrama corporativo
(2.4, 2.5.3, 3.1.1)
Seguridad de la Informacin
en el organigrama corporativo
(2.4, 2.5.3, 3.1.1)
Directorio / CEO
Direccin General
Administracin de Resguardos
Implementaciones
Data Entry
Administracin de redes
Administracin de comunicaciones
Mesa de Ayuda 7
BCRA A 4609 - Seguridad Informtica y
Continuidad de Procesamiento - Mdulo II: Fase Prctica
Organigramas y Responsabilidades 2007
Seguridad de la Informacin
Organizacin del rea
(3.1.1, 3.1.5)
8
BCRA A 4609 - Seguridad Informtica y
Continuidad de Procesamiento - Mdulo II: Fase Prctica
Organigramas y Responsabilidades 2007
Nuevas Responsabilidades
Concientizacin
Sistemas - Seguridad de la Informacin - Auditora
Directorio - CEO
Reportes formales de
Seguridad y Continuidad
(2.3, 3.1.5, )
2 opciones de implementacin:
1) Ejecucin in house: designando personal capacitado en la
materia.
2) Tercerizacin: mediante consultoras independientes
12
BCRA A 4609 - Seguridad Informtica y
Continuidad de Procesamiento - Mdulo II: Fase Prctica
Anlisis de Riesgos de Sistemas 2007
Estructura de la documentacin
(3.1.2, 3.1.4)
Comparable con:
Estrategia Prembulo
Polticas Constitucin
Normas Leyes
Procedimientos
Reglamentaciones
Lineamientos
Standards/Checklists/Baselines
15
BCRA A 4609 - Seguridad Informtica y
Continuidad de Procesamiento - Mdulo II: Fase Prctica
Seguridad Informtica Normativas de seguridad internas 2007
Polticas
(3.1.4)
17
BCRA A 4609 - Seguridad Informtica y
Continuidad de Procesamiento - Mdulo II: Fase Prctica
Seguridad Informtica Planeamiento de recursos 2007
Planeamiento de Recursos
(3.1.3)
18
BCRA A 4609 - Seguridad Informtica y
Continuidad de Procesamiento - Mdulo II: Fase Prctica
Seguridad Informtica Clasificacin de Datos y Niveles de Seguridad 2007
21
BCRA A 4609 - Seguridad Informtica y
Continuidad de Procesamiento - Mdulo II: Fase Prctica
Seguridad Informtica Logs y alertas 2007
Alertas de Seguridad
(3.1.4.5)
23
BCRA A 4609 - Seguridad Informtica y
Continuidad de Procesamiento - Mdulo II: Fase Prctica
Seguridad Informtica Software malicioso 2007
Software malicioso
(3.1.4.6)
24
BCRA A 4609 - Seguridad Informtica y
Continuidad de Procesamiento - Mdulo II: Fase Prctica
Seguridad Informtica Seguridad fsica 2007
Seguridad fsica
(3.2)
25
BCRA A 4609 - Seguridad Informtica y
Continuidad de Procesamiento - Mdulo II: Fase Prctica
Seguridad Informtica Seguridad fsica 2007
Construccin y localizacin de
instalaciones
(3.2.1)
26
BCRA A 4609 - Seguridad Informtica y
Continuidad de Procesamiento - Mdulo II: Fase Prctica
Seguridad Informtica Seguridad fsica 2007
27
BCRA A 4609 - Seguridad Informtica y
Continuidad de Procesamiento - Mdulo II: Fase Prctica
Seguridad Informtica Continuidad del procesamiento 2007
29
BCRA A 4609 - Seguridad Informtica y
Continuidad de Procesamiento - Mdulo II: Fase Prctica
Seguridad Informtica Continuidad del procesamiento 2007
Pasos necesarios:
Llevar a cabo un: (4.2)
Pasos necesarios:
Elaborar y documentar un (4.4)
Plan de Continuidad
- El plan debe basarse en el Anlisis de Riesgos y en el de Impactos.
- Debe preveerse y enunciarse los posibles escenarios de desastre
que activaran el plan (inundacin, incendio, conmocin popular, etc).
- El BCP cubre las contingencias que se definan durante el desarrollo
del mismo. Mientras ms abarcativo sea el BCP, ms costosa es su
implementacin y mantenimiento. Se debe llegar al Punto de
Equilibrio y la empresa debe definir qu riesgos desea aceptar.
- El Plan deber prever las estrategias tcnicas a implementar:
- ubicacin del site alternativo.
- tipo de disponibilidad: cold site, warm site, hot site, mirrored
site. 32
BCRA A 4609 - Seguridad Informtica y
Continuidad de Procesamiento - Mdulo II: Fase Prctica
Seguridad Informtica Continuidad del procesamiento 2007
34
BCRA A 4609 - Seguridad Informtica y
Continuidad de Procesamiento - Mdulo II: Fase Prctica
Seguridad Informtica Continuidad del procesamiento 2007
Instalaciones alternativas de
procesamiento de datos
(4.3)
36
BCRA A 4609 - Seguridad Informtica y
Continuidad de Procesamiento - Mdulo II: Fase Prctica
Seguridad Informtica Continuidad del procesamiento 2007
Inventario tecnolgico
(5.2)
38
BCRA A 4609 - Seguridad Informtica y
Continuidad de Procesamiento - Mdulo II: Fase Prctica
Seguridad Informtica Banca electrnica 2007
39
BCRA A 4609 - Seguridad Informtica y
Continuidad de Procesamiento - Mdulo II: Fase Prctica
Seguridad Informtica Banca electrnica 2007
Requerimientos de Seguridad:
(estas prcticas ya son aplicadas por los grandes administradores
de cajeros):
Identificacin con tarjeta y clave.
Encriptacin y Control de Acceso en lugares de alojamiento.
Control de Accesos en algoritmos de generacin de claves.
Separacin de funciones en generacin de tarjetas y claves.
No visibilidad de claves o datos de tarjetas.
No entrega simultnea de tarjeta y clave. 40
BCRA A 4609 - Seguridad Informtica y
Continuidad de Procesamiento - Mdulo II: Fase Prctica
Seguridad Informtica Banca electrnica 2007
Requerimientos de Seguridad:
Se debe requerir Documento de Identidad al usuario.
Se debe requerir la clave al usuario y una firma en el ticket.
Debe permitir una clave distinta para realizar compras.
Restriccin de operacin luego de 3 intentos fallidos.
41
BCRA A 4609 - Seguridad Informtica y
Continuidad de Procesamiento - Mdulo II: Fase Prctica
Seguridad Informtica Banca electrnica 2007
e-Banking
(6.4)
e-Banking
(6.4)
e-Banking
(6.4)
44
BCRA A 4609 - Seguridad Informtica y
Continuidad de Procesamiento - Mdulo II: Fase Prctica
Seguridad Informtica Banca electrnica 2007
m-Banking
(celulares como terminales)
(6.5)
Phone Banking
(6.6)
46
BCRA A 4609 - Seguridad Informtica y
Continuidad de Procesamiento - Mdulo II: Fase Prctica
Seguridad Informtica Banca electrnica 2007
47
BCRA A 4609 - Seguridad Informtica y
Continuidad de Procesamiento - Mdulo II: Fase Prctica
Seguridad Informtica Terceros 2007
www.cybsec.com
50