Tarea No_1 Normativas de CBNS Resumen Alumno: Neil Josu Hernndez Girn. Cuenta: 30911246 Asignatura: Auditoria Informtica.

Catedrtico: Ing. Juan Carlos Inestroza. Seccin: 711.

Tegucigalpa M. D. C. Del 2012

Pg. No_1

Objetivos.

Identificar algunas Normas Internacionales. Analizar conceptos referentes a Normas Internacionales. Determinar importancia de aplicacin de Normas. Aplicacin de Normas Internacionales en empresas. Definir ventajas y desventajas en la aplicacin de Normas Internacionales.

Pg. No_2

Introduccin

Las normativa de la CNBS tienen como propsitos brindar normas para regular la administracin de las tecnologas de informacin y comunicaciones en las instituciones del sistema financiero que se debern cumplir las mismas, basndose en la legislacin vigente y en los acuerdos y prcticas internacionales, refirindonos a aquellas conductas que tienen como instrumento o fin computadoras u otros bienes informticos, lesionan o daan bienes, intereses o derechos de personas fsicas o morales. En trminos jurdicos, para que exista delito es necesario un acto u omisin que sancionen las leyes penales, porque una de las caractersticas indispensables del delito es la tipicidad, es decir, que la conducta est descrita en un tipo penal, en una ley penal, adems de ser anti-jurdica, culpable y punible.

Pg. No_3

ndice

Pg. Portada ...1 Objetivos.2 Introduccin3 ndice...4 Artculos 1, 2, 3....5 Artculos 5............6 Artculos 7, 8, 10......7 Artculos 11, 12, 13, 14, 15......8 Artculos 16, 17, 18......9 Artculos 23,24, 26, 27, 29, 31, 32......10 Artculos 33, 34, 36, 40, 41.....11 Artculos 43, 44, 45, 46, 50, 552, 53, 54, 55...12 Artculos 56, 61, 65, 66, 68.....13 Artculos 71,72....14 Conclusiones....15 Bibliografa..16

Pg. No_4

Los siguientes artculos son los que yo considero ms importante y son los ms comunes en nuestro pas. DISPOSICIONES GENERALES ARTCULO 1.- Objeto Las presentes normas, tienen por objeto regular la administracin de las tecnologas de informacin y comunicaciones, tomando en cuenta que su continuidad, desarrollo y funcionamiento constituyen el elemento central para su operatividad y su manejo administrativo y financiero. ARTCULO 2.- Alcance Las presentes normas estn en concordancia con los principios del Comit de Basilea y el estndar internacional ISO/IEC 17799:2000, emitidos en materia de banca electrnica y administracin de la Seguridad Informtica y constituyen una gua general para la documentacin formal e implementacin de la seguridad en las tecnologas de informacin y comunicaciones de las instituciones del sistema financiero. ARTCULO 3.- Definiciones Para los efectos de aplicacin de la presente normativa y bajo la perspectiva de la tecnologa de informacin, debern considerarse las siguientes definiciones: 1) 2) 3) 4) 5) 6) 7) 8) 9) 10) 11) 12) Ataques de Denegacin de Servicio. Ataques de Diccionario. Ataques de Fuerza Bruta. Banca Electrnica. Canal de Comunicacin. La Comisin o CNBS. Contrasea Segura o Fuerte. Discontinuidad de Servicio Significativo. Hash. Localizador Uniforme de Recursos (URL. Memoria Cach. No Repudio.
Pg. No_5

13) 14) 15) 16) 17) 18) 19) 20) 21) 22) 23)

Pared de Fuego (Firewall. Penetracin Significativa. Procedimientos Almacenados (Stored Procedure).. Red de Produccin. Servidor. Sesin. Sistema de Deteccin de Intrusos (IDS). Tecnologas de Informacin y Comunicaciones (TIC. Tercerizacin (Outsourcing. Tercerizacin Significativa. Valor SALT.

ARTCULO 5.- Polticas de las Tecnologas de Informacin y Comunicaciones Las polticas mencionadas en el Artculo anterior debern incluir al menos temas como: a) Seguridad de la informacin incluyendo: Uso de Internet; Uso del Correo Electrnico; Uso de las estaciones de Trabajo; Proceso Antivirus; Adquisicin de Hardware y Software; Seguridad de Contraseas; Seguridad de la Informacin Sensitiva; Seguridad de Servidores; Seguridad de equipos de comunicacin; Seguridad en redes inalmbricas (Si existen);

Pg. No_6

Seguridad en Redes con Terceros; Acceso y Configuracin remotos; Administracin de respaldos; y, Administracin de dispositivos mviles de almacenamiento magntico. b) Procesos de respaldo y recuperacin en caso de un desastre y situaciones de mal funcionamiento de uno o varios componentes del sistema de informacin; Tercerizacin (outsourcing); Mantenimiento y desarrollo de sistemas; y, Documentacin de todos los procesos que se desarrollan en el rea de TIC.

c) d) e)

ARTCULO 7.- Unidad Responsable Dentro de la estructura organizacional, la unidad responsable de administrar los aspectos tecnolgicos y de seguridad de la informacin deber contar con el manual de puestos para el personal de TIC, que deber incluir los perfiles de puestos y la segregacin de funciones y de autoridad. Asimismo, la unidad responsable deber estructurar un programa de capacitacin de acuerdo con las prioridades de la administracin, que permita maximizar las contribuciones que brinde el personal del rea de TIC. Esta capacitacin deber incluirse en el presupuesto anual y ser consistente con los requerimientos mnimos de la organizacin. ARTCULO 8.- Establecimiento de Polticas y Estrategias El Administrador de Seguridad Informtica deber proponer a la Gerencia General las polticas y estrategias correspondientes. Los eventos calificados debern ser comunicados a la Gerencia General, al Administrador de Seguridad Informtica y las dependencias involucradas, para su respectivo anlisis y tomar las medidas correctivas necesarias. ARTCULO 10.- Mantenimiento de Registros La institucin deber mantener registros de las auditoras a los sistemas automatizados, basados en un anlisis de riesgos, en bitcoras automatizadas registrando los accesos, transacciones y consultas realizadas tanto a los sistemas de informacin como a los dispositivos de comunicaciones y seguridad. Estos registros debern como mnimo identificar la persona, lugar, tiempo y las acciones relacionadas con el aplicativo utilizado.

Pg. No_7

ARTCULO 11.- Perodo de Resguardo La institucin deber resguardar los registros previstos en el Artculo anterior. El periodo de resguardo ser de 5 aos para las transacciones y 6 meses para la consulta. ARTCULO 12.- Mantenimiento de Bitcoras El sistema de administracin de registros deber crear las alertas correspondientes para las autoridades internas y externas, especialmente en los casos de actividades externas no autorizadas y tambin aquellas actividades excepcionales realizadas por los diferentes tipos de usuarios. ARTCULO 13.- Auditora de Sistemas La Auditora Interna de la institucin deber auditar la Tecnologa de Informacin y Comunicacin (TIC) a fin de verificar la integridad, disponibilidad y confidencialidad de la informacin. La persona(s) encargada(s) de auditar las TIC deber contar con experiencia y entrenamiento calificado para llevar a cabo este tipo de auditoras basadas en las mejores prcticas existentes en el mercado tales como COBIT e ISO17799. La institucin deber proveerle a la Auditora Interna las herramientas necesarias para la realizacin y control del ambiente de la TIC. ARTCULO 14.- Responsabilidad del Auditor Interno El Auditor Interno ser responsable de que, aun en el caso de que la Auditora de Sistemas sea llevada a cabo por medio de la Tercerizacin (outsourcing) se cumplan las disposiciones contenidas en las Normas Mnimas para el Funcionamiento de las Unidades de Auditora Interna de las Instituciones del Sistema Financiero y en las presentes normas. ARTCULO 15.- Factores de Riesgo La institucin deber realizar sus auditoras de sistemas basadas en un anlisis de riesgos y cumpliendo las normativas existentes. Esta auditora deber incluir todos los riesgos potenciales en la administracin de las Tecnologas de Informacin y Comunicaciones, incluyendo al menos los factores siguientes: Los usuarios externos e internos del sistema de informacin; El ambiente del sistema, la operatividad del sistema y sus implicaciones sobre el negocio; Los niveles de acceso y la sensibilidad de la informacin; La calidad de la informacin; La Tercerizacin (outsourcing);y,
Pg. No_8

Planes de contingencia y recuperacin ante desastres.

ARTCULO 16.- Proceso de Auditora Basada en Riesgos El proceso de auditora basada en riesgos deber ser permanente y se revisar de acuerdo a los cambios en los factores de riesgos. La institucin deber, conforme a la administracin y anlisis de riesgos, tomar las medidas necesarias para minimizar los impactos negativos en toda su infraestructura de Tecnologas de Informacin y Comunicaciones. ARTCULO 17.- Administrador de Seguridad Informtica La Junta o Consejo deber nombrar a un Administrador de Seguridad Informtica, el cual deber estar subordinado a la Gerencia General de la institucin. Las funciones de este Administrador de Seguridad Informtica sern definidas evitando conflictos de inters, por tanto deber ser independiente del ejecutivo especializado responsable de la administracin de las Tecnologas de Informacin y Comunicaciones. ARTCULO 18.- Perfil de Responsabilidades La Gerencia General de la institucin deber definir las funciones y las responsabilidades del Administrador de Seguridad Informtica. Dichas funciones y responsabilidades comprendern como mnimo las siguientes: Proponer a la institucin las polticas, normas y procedimientos de seguridad informtica; Documentar e implementar las polticas, normas y procedimientos de seguridad informtica aprobadas por la Junta o Consejo; Verificar que los usuarios de los distintos sistemas y recursos tecnolgicos cumplan con las polticas, normas y procedimientos aprobados; Tomar las acciones correctivas que garanticen la seguridad informtica requerida, una vez que se hayan identificado violaciones; Identificar e implementar herramientas de seguridad informtica que aseguren que la informacin y el equipamiento, no sean utilizados en perjuicio de la institucin y los usuarios; Desarrollar por lo menos una vez al ao, evaluaciones de seguridad a las tecnologas de informacin y comunicaciones de la institucin. ARTCULO 21.- Implementacin de Cambios Previo a la implantacin de cambios en: el ambiente de produccin; los sistemas de alto riesgo definidos por la administracin; y los servicios financieros por medios electrnicos, deber realizarse una evaluacin de seguridad. Asimismo, cuando
Pg. No_9

ocurran cambios significativos en el ambiente tecnolgico en que operan los sistemas de informacin, o se implementen nuevos sistemas. ARTCULO 23.- Informe de Seguridad La Gerencia General, para minimizar los riesgos, deber implementar las recomendaciones contenidas en el informe de seguridad, y establecer un cronograma de actividades a realizar. ARTCULO 24.- Identificacin de Acceso La institucin deber asignar una identificacin nica y personal de cualquier usuario con acceso al sistema de informacin, como una condicin previa a la autorizacin de acceso. ARTCULO 26.- Clasificacin de Grupos y Asignacin de Perfiles de Usuarios Las instituciones debern adoptar una clasificacin de grupos y asignacin de perfiles de usuarios internos y externos atendiendo su relacin con las unidades internas, procesos y servicios. ARTCULO 27.- Control de Acceso Las polticas de control de acceso a los sistemas de informacin debern establecerse cumpliendo con las disposiciones vigentes y las mejores prcticas internacionales.. ARTCULO 29.- Encriptacin de Informacin La institucin deber determinar, de acuerdo a un anlisis de riesgos, la necesidad de encriptar la informacin a ser transmitida y almacenada. ARTCULO 31.- Conexin de Internet La conexin de Internet de la institucin se realizar en los siguientes casos: 1) Conexin al Internet por parte de empleados, con sujecin a lo establecido en los artculos 32 y 33 de estas normas; Servicios financieros por medios electrnicos, conforme lo dispuesto en los artculos 40 al 67 de las presentes normas; y, Cualquier otro caso aprobado, con anticipacin, por la Comisin.

2)

3)

ARTCULO 32.- Operaciones Autorizadas La Gerencia General de la institucin deber determinar las operaciones que sus empleados podrn realizar para la utilizacin del Internet, as como cumplir con los requerimientos del siguiente Artculo.

Pg. No_10

ARTCULO 33.- Requisitos de Conexin de Internet Para que las estaciones de trabajo de los empleados tengan acceso al Internet debern estar conectadas nicamente al Internet, o a una red que est conectada exclusivamente al Internet a travs de servidores separados de la red de produccin. Tampoco debe existir conectividad simultnea entre la estacin de trabajo y los sistemas de produccin de la institucin, ni acceso a informacin sensitiva. ARTCULO 34.- Resguardo de la Conexin de Internet La conexin de la red de la institucin hacia Internet deber encontrarse asegurada por lo menos con: un antivirus, un filtro de contenido, un Sistema de Deteccin de Intrusos (IDS) a nivel de red y un firewall. ARTCULO 36.- Plan de Contingencias La institucin deber mantener un plan de contingencias detallado para recuperar y operar su tecnologa de informacin en los casos de mal funcionamiento y desastres. La institucin deber examinar y revisar su plan de contingencias atendiendo los cambios que han ocurrido desde la revisin anterior. Los equipos de almacenamiento de los respaldos de informacin o los respaldos en s debern estar localizados en un lugar distante y distinto en donde se gener la copia de la informacin original. ARTCULO 40.- Servicios y Operaciones de Banca Electrnica Los servicios y operaciones de banca electrnica, permitirn a los clientes obtener informacin de sus cuentas, realizar operaciones o dar instrucciones para realizar transacciones en su nombre, a travs de los sistemas electrnicos conectados al sistema de produccin de la institucin. ARTCULO 41.- Niveles de Servicios Los servicios de banca electrnica se categorizarn en distintos niveles, e incluirn los servicios de los niveles que les preceden. Nivel de Servicio 1: Transferir informacin desde la institucin hacia el cliente (estados de cuentas). Nivel de Servicio 2: Transacciones y actividades en las cuentas del cliente de la institucin, como son: transferencia hacia depsitos, adquisicin de fianzas, transferencia de cuenta a cuenta, solicitud de chequeras y cualquier otra transaccin similar. Nivel de Servicio 3: Transacciones definidas, por adelantado, por el cliente, en beneficio de una lista de beneficiarios. Nivel de Servicio 4: Transacciones en beneficio de cuentas, que no estn incluidas en uno de los niveles de servicios antes mencionados.

Pg. No_11

ARTCULO 43.- Revelacin de Informacin El contrato de servicio deber contener las condiciones, responsabilidades, excepciones y riesgos de la utilizacin de los servicios que la institucin provee a travs de su banca electrnica. ARTCULO 44.- Medios de Identificacin En cumplimiento a las disposiciones establecidas en el Artculo 24, la institucin deber determinar los medios de identificacin para cada cliente que tenga ARTCULO 45.- Definicin del Perfil de Usuario de Banca Electrnica El perfil del usuario de banca electrnica deber definirse con los permisos y accesos conforme lo establecido en el contrato de servicios. ARTCULO 46.- Asignacin de Contrasea de Acceso La contrasea inicial se le otorgar al cliente en forma personal y sta ser confidencial para terceros. La contrasea inicial deber ser otorgada al cliente en la institucin o por cualquier otro canal de comunicacin seguro que la institucin est utilizando. ARTCULO 50.- Validaciones Las aplicaciones deben efectuar validaciones en todos los campos de entrada ubicados en las formas de las mismas, las validaciones deben incluir como mnimo controles de longitud mxima y mnima permitida, as como caracteres permitidos en los campos. ARTCULO 52.- Implementacin de Controles La aplicacin debe implantar controles que minimicen el riesgo que la sesin de un usuario pueda ser obtenida o interceptada por un tercero para obtener acceso al sistema con credenciales previamente ingresadas. ARTCULO 53.- Separacin de Servidores La base de datos de la institucin debe estar en un servidor separado del servidor de Internet o servidor de aplicaciones. ARTCULO 54.- Proceso de Autenticacin de Usuario Para autenticar a un usuario la aplicacin deber en la medida de lo posible solicitar adems del usuario y la contrasea, un campo de control con letras y nmeros aleatorios que el usuario debe ingresar a fin de evitar ataques de denegacin de servicio automatizado. ARTCULO 55.- Medidas de Resguardo para Informacin til

Pg. No_12

Las aplicaciones deben asegurar que ningn parmetro con informacin til para un posible atacante viaje a travs del navegador del cliente y as evitar que estos parmetros puedan ser manipulados, incluyendo las consultas a nivel de URL. ARTCULO 56.- Acceso Restringido La aplicacin debe asegurar que los usuarios de la misma tengan acceso solamente a las funciones, recursos y datos que estn especficamente autorizados a acceder. ARTCULO 61.- Transmisin de Datos Cuando el cliente imparta una instruccin para efectuar un pago a un tercero a travs del servicio de banca electrnica, la institucin deber requerirle que especifique las particularidades del beneficiario y la naturaleza y frecuencia de pago. ARTCULO 65.- Correo Electrnico La institucin deber determinar los tipos de operaciones que sus clientes podrn realizar por medio de correo electrnico. ARTCULO 66.- Procedimiento Formalizado La institucin deber contar con un procedimiento formalizado para mantener comunicaciones electrnicas con los clientes. ARTCULO 68.- Remisin de Informacin La institucin deber llevar registros, estadsticas y a la vez comunicar a la Comisin, los siguientes temas y eventos: 1) Eventos excepcionales tales como: intentos de ataques y penetraciones significativas, as como todos los incidentes de penetracin a los sistemas; inoperatividad del sistema central o de produccin, operacin del plan de emergencia o cualquier otro similar; La discontinuidad de servicios significativos para sus clientes, como consecuencia de un cierre no planificado de los sistemas computarizados que dure ms de un da de trabajo; El establecimiento de una sociedad relacionada o auxiliar que se ocupe del campo de las tecnologas de informacin de la institucin; para lo cual requerir autorizacin previa de la Comisin conforme a la norma sobre sociedades auxiliares o de servicios esenciales a las actividades de intermediacin financiera; La decisin de anticipar cambios significativos sobre las polticas de administracin de las tecnologas de informacin, la migracin y conversin de sus sistemas centrales computarizados; y,

2)

3)

4)

Pg. No_13

5)

La decisin de expandir los niveles de servicio o una nueva iniciativa de proporcionar servicios financieros por Medios Electrnicos.

ARTCULO 71.- Banca del Exterior Cuando las presentes normas se apliquen a las instituciones subsidiarias de instituciones extranjeras o miembros de Grupos Financieros extranjeros que operan en el territorio nacional, se incorporarn las siguientes modificaciones al texto. ARTCULO 72.- Controles de Seguridad Para proteger sus sistemas las instituciones debern incorporar como mnimo en todas sus redes los controles de Seguridad siguientes: a) Sistemas de Deteccin y/o Prevencin a nivel de todas sus redes que generen alertas oportunas a los administradores de la red, para que se tomen las medidas pertinentes. Un Antivirus Corporativo actualizado tanto en las estaciones de trabajo fijas y porttiles como en los servidores. Un mecanismo que actualice automticamente los sistemas operativos, base de datos y programas de oficina. Estas actualizaciones debern probarse primero, en ambientes controlados para prevenir que la instalacin de las actualizaciones produzca interrupcin o discontinuidad de las operaciones normale s de la
institucin.

b)

c)

Pg. No_14

Conclusiones

Las normativas tienen como propsito que las evaluaciones sean lo ms objetivas y uniformes posibles, existiendo estndares homogneos para el cumplimiento de los Principios Bsicos. La experiencia ha demostrado que los principios pueden ser interpretados de diferente manera y las interpretaciones incorrectas pueden dar como resultado inconsistencias entre las evaluaciones. Las CNBS se llevan a cabo como importantes reformas en materia de regulacin bancaria y se registr un mejoramiento en todos los indicadores de la empresa, incluyendo las normas principales de adecuacin que son alineadas con estndares internacionales Conforme con lo establecido en la Ley de la Comisin Nacional de Bancos y Seguros, sta se encuentra sujeta a ciertos criterios, entre los cuales se seala el de promover la adopcin de buenas prcticas en la administracin de los riesgos inherentes a las actividades que realizan las instituciones supervisadas.

Pg. No_15

Bibliografa.

La Comisin Nacional de Bancos y Seguros La Gaceta Republica de Honduras - Tegucigalpa M.D.C 10 de Diciembre del 2005 No. 30,872.

Enlaces web consultados: http://www.cnbs.gov.hn/circulares/2005/C1192005.htm http://www.cnbs.gov.hn/Leyes/metobasilea.htm

Pg. No_16