Você está na página 1de 50

Anlisis de la Norma BCRA A 4609

Seguridad Informtica y
Continuidad de Procesamiento

Mdulo II: Fase Prctica

Lic. Matas Pagouap


mpagouape@cybsec.com

5 de Junio de 2007
Buenos Aires - ARGENTINA
BCRA A 4609 - Seguridad Informtica y
Continuidad de Procesamiento - Mdulo II: Fase Prctica
Estrategia de implementacin 2007

Estrategia de implementacin
Recomendaciones

Liderazgo: nombrar un lder idneo para dirigir la implementacin


de la norma A 4609. Alternativa: tercerizar el liderazgo en
consultores externos.
Responzabilidades del lder: coordinar los esfuerzos de la entidad
para cumplir en tiempo y forma con la normativa.

2
BCRA A 4609 - Seguridad Informtica y
Continuidad de Procesamiento - Mdulo II: Fase Prctica
Estrategia de implementacin 2007

Metodologa:
a) Gap Analysis
-Identificacin de Requerimientos para el estado deseado.
-Relevamiento del estado actual. Determinacin del Gap.
-Identificacin de acciones necesarias para alcanzar el
estado deseado.

b) Ejecucin de Implementacin
-Acciones: determinacin de tiempos, presupuestos,
recursos humanos y prioridades.
-Delegacin de tareas a los distintos responsables.
-Seguimiento.
-Reporte a la alta gerencia.
3
BCRA A 4609 - Seguridad Informtica y
Continuidad de Procesamiento - Mdulo II: Fase Prctica
Estrategia de implementacin 2007

Herramientas:
a) Matriz
-Eje Y: Items del Comunicado A 4609
-Eje X: Nmero de Item, Descripcin, Estado de
cumplimiento, Accin Requerida, reas involucradas, Presupuesto
requerido, RRHH necesarios, Tiempo de implementacin, Prioridad,
Tareas Previas Requeridas, % de Avance.

b) Diagrama de Gantt
-MS Project u otros.
-tiles para determinar la duracin total del proyecto y
seguimiento.

4
BCRA A 4609 - Seguridad Informtica y
Continuidad de Procesamiento - Mdulo II: Fase Prctica
Recomendaciones puntuales para el cumplimiento de la norma 2007

Recomendaciones puntuales sobre


puntos clave
para el cumplimiento
de la norma A 4609

5
BCRA A 4609 - Seguridad Informtica y
Continuidad de Procesamiento - Mdulo II: Fase Prctica
Organigramas y Responsabilidades 2007

Seguridad de la Informacin
en el organigrama corporativo
(2.4, 2.5.3, 3.1.1)

Considerando que la norma establece:

reas de Sistemas y rea de Seguridad de la Informacin


independientes de otras reas usuarias.
rea de Seguridad de la Informacin independiente del rea de
Sistemas o del rea de Auditora.
Segregacin de funciones por contraposicin de intereses.

Se podra ilustrar el siguiente organigrama modelo:


6
BCRA A 4609 - Seguridad Informtica y
Continuidad de Procesamiento - Mdulo II: Fase Prctica
Organigramas y Responsabilidades 2007

Seguridad de la Informacin
en el organigrama corporativo
(2.4, 2.5.3, 3.1.1)
Directorio / CEO

Direccin General

Sistemas / Informtica Seguridad de la Informacin Auditora

Anlisis Funcional/Programacin Asignacin de Perfiles

Control de Calidad Definicin e implementacin de polticas, perfiles y accesos

Operaciones Control y Monitoreo de seguridad informtica

Administracin de Resguardos

Implementaciones

Data Entry

Administracin de bases de datos

Administracin de redes

Administracin de comunicaciones

Administracin de sistemas operativos

Mesa de Ayuda 7
BCRA A 4609 - Seguridad Informtica y
Continuidad de Procesamiento - Mdulo II: Fase Prctica
Organigramas y Responsabilidades 2007

Seguridad de la Informacin
Organizacin del rea
(3.1.1, 3.1.5)

Crear un documento orgnico con las funciones, roles, misiones


y responsabilidades del rea y de cada uno de sus sectores
(como mnimo se deber contemplar los items de la A 4609).
Contratar personal formado en implementacin de controles y
polticas de seguridad.
Capacitar y actualizar al personal.

8
BCRA A 4609 - Seguridad Informtica y
Continuidad de Procesamiento - Mdulo II: Fase Prctica
Organigramas y Responsabilidades 2007

Nuevas Responsabilidades
Concientizacin
Sistemas - Seguridad de la Informacin - Auditora

Estudio Completo de la Norma

Directorio - CEO

Presentacin y Resumen que incluya los siguientes puntos


(incluidos todos los temas, no slo seguridad)
1, 2.1, 2.2, 2.3, 3.1.4, 3.2, 4.1, 4.2, 5.4, 6.1, 7.2, 7.6, 7.7
9
BCRA A 4609 - Seguridad Informtica y
Continuidad de Procesamiento - Mdulo II: Fase Prctica
Reportes 2007

Reportes formales de
Seguridad y Continuidad
(2.3, 3.1.5, )

Reporte Frecuencia-Motivo Origen Destino

Anlisis de Riesgos de N/A N/A Directorio-CEO


Sistemas de Informacin Sugerido: anual Sugerido: Seguridad-
Gestin de Riesgos
Incidente de Seguridad - En caso de incidente Seguridad Propietario de datos
Vulnerabilidad de seguridad o - Administrador
vulnerabilidad
Reporte Operativo Sugerido: trimestral Seguridad Gerencia General /
(almacenado en CD/DVD, Directorio-CEO
por 2 aos, con hash).
Reporte de pruebas de Anual Auditora - reas Directorio-CEO
Continuidad de usuarias
procesamiento
10
BCRA A 4609 - Seguridad Informtica y
Continuidad de Procesamiento - Mdulo II: Fase Prctica
Anlisis de Riesgos de Sistemas 2007

Anlisis de Riesgos de Sistemas


(2.3)

Es la base para la toma de decisiones relacionadas con la


seguridad. De l depende:
Estrategia.
Polticas de Seguridad.
Plan de Continuidad de Procesamiento.
El Directorio o CEO es responsable directo de la gestin de riesgos
de sistemas.
El Anlisis de Riesgos de Sistemas debe ser actualizado
peridicamente (sugerido anualmente).
11
BCRA A 4609 - Seguridad Informtica y
Continuidad de Procesamiento - Mdulo II: Fase Prctica
Anlisis de Riesgos de Sistemas 2007

Anlisis de Riesgos de Sistemas


(2.3)

El anlisis de riesgos tiene metodologa estndar. Ej: COBIT,


NIST, Octave (CERT).
Debe ser realizado por personal experimentado en la metodologa
anlisis, sistemas y seguridad.

2 opciones de implementacin:
1) Ejecucin in house: designando personal capacitado en la
materia.
2) Tercerizacin: mediante consultoras independientes

12
BCRA A 4609 - Seguridad Informtica y
Continuidad de Procesamiento - Mdulo II: Fase Prctica
Anlisis de Riesgos de Sistemas 2007

Etapas generales de un Anlisis


de Riesgos de Sistemas
1. Identificacin de activos informticos
2. Clasificacin de activos informticos crticos
3. Determinacin de la Matriz de Impacto
4. Determinacin de la Matriz de Probabilidad de
Ocurrencia
5. Determinacin de la Matriz de Riesgos
6. Identificacin de Amenazas
7. Determinacin de Riesgos Brutos y Riesgos Residuales
13
BCRA A 4609 - Seguridad Informtica y
Continuidad de Procesamiento - Mdulo II: Fase Prctica
Seguridad Informtica Normativas de seguridad internas 2007

Normativas de seguridad internas


Estrategia
(3.1.2)

Es el documento de ms alto rango en la documentacin de


seguridad.
Debe ser validada y aprobada por el Directorio o CEO.
Se puede implementar a travs de la redaccin de un documento de
aproximadamente 2 hojas.
Es anloga al Prembulo de la Constitucin.
Requiere conocimientos avanzados en management de seguridad.
Debe mencionar el compromiso, alineacin y equilibrio de la
seguridad de la informacin con los objetivos de negocio.
14
BCRA A 4609 - Seguridad Informtica y
Continuidad de Procesamiento - Mdulo II: Fase Prctica
Seguridad Informtica Normativas de seguridad internas 2007

Estructura de la documentacin
(3.1.2, 3.1.4)

Comparable con:

Estrategia Prembulo

Polticas Constitucin

Normas Leyes

Procedimientos
Reglamentaciones
Lineamientos

Standards/Checklists/Baselines
15
BCRA A 4609 - Seguridad Informtica y
Continuidad de Procesamiento - Mdulo II: Fase Prctica
Seguridad Informtica Normativas de seguridad internas 2007

Polticas
(3.1.4)

El Directorio o CEO debe ser el principal interesado en las Polticas.


Deben ser aprobadas directamente por l.
Las Polticas de Seguridad de la Informacin pueden conformarse
en un nico documento. Tpicamente poseen entre 15 y 25 pginas.
Deben ser comunicadas a toda la compaa. Se recomienda ejecutar
presentaciones para que cada gerencia entienda cual es su rol en el
mantenimiento de la seguridad.
Su redaccin requiere conocimientos avanzados en management de
seguridad.
Buenas fuentes para usar como punto de partida para el desarrollo
de polticas son: A 4609, ISO 17799 : 2005, ISO 27001:2005,
Manual de Preparacin al Exmen CISM.
Deben ser revisadas peridicamente. 16
BCRA A 4609 - Seguridad Informtica y
Continuidad de Procesamiento - Mdulo II: Fase Prctica
Seguridad Informtica Normativas de seguridad internas 2007

Normas y resto de documentacin


(3.1.4)

Son documentos consecuentes y derivados de la Poltica.


Son emitidas por el rea de Seguridad de la Informacin.
Los puntos mnimos a reglar estn listados en el punto 3.1.4 del
comunicado.
Deben ser revisados peridicamente ante cambios tecnolgicos o de
procedimientos.
Son documentos que requieren alta adaptacin a la entidad.
Se recomienda el esfuerzo en una redaccin clara, sin ambigedades
y con optimizacin de recursos y tiempos.

17
BCRA A 4609 - Seguridad Informtica y
Continuidad de Procesamiento - Mdulo II: Fase Prctica
Seguridad Informtica Planeamiento de recursos 2007

Planeamiento de Recursos
(3.1.3)

Para cumplir las metas de seguridad es necesario preveer los


recursos necesarios. Por lo que se recomienda:
Establecer en las Polticas de Seguridad la ejecucin de un
presupuesto anual para el rea de Seguridad que contemple
dinero y personal necesario para alcanzar las metas de
seguridad.
Establecer en las Polticas de Seguridad que todo nuevo
proyecto informtico debe contemplar los requerimientos de
seguridad desde el inicio del ciclo de vida.

18
BCRA A 4609 - Seguridad Informtica y
Continuidad de Procesamiento - Mdulo II: Fase Prctica
Seguridad Informtica Clasificacin de Datos y Niveles de Seguridad 2007

Clasificacin de Datos y Niveles


de Seguridad
(3.1.4.1)

Se recomiendan los siguientes pasos:


Redactar la Norma de Clasificacin de Datos. En esencia, la misma
contendra la definicin de niveles y el tratamiento de cada nivel.
Niveles tpicos: Pblico, Interno, Confidencial, Estrictamente
Confidencial.
Clasificar toda la informacin que maneja la entidad en un anexo de
la norma.
Se aconseja validar con el Directorio o CEO.
La administracin de accesos debe ser coherente con la clasificacin.
19
BCRA A 4609 - Seguridad Informtica y
Continuidad de Procesamiento - Mdulo II: Fase Prctica
Seguridad Informtica Control de accesos y Actualizacin 2007

Control de Accesos y Actualizacin


(3.1.4.2)

El contenido de la primera parte del punto 3.1.4.2 debera ser parte de


una Norma de Control de Accesos (salvo actualizacin y parches).
La mayora de esos puntos estn pensados para aplicaciones y
sistemas operativos de red, por lo que es razonable la no
implementacin de algunos puntos en ciertos dispositivos (ej, registro
histrico de contraseas en un print server, bloqueo de cuentas en un
access point por intentos fallidos, etc).
Se aconseja emitir una norma de Administracin de Actualizaciones
para tratar el tema parches.
El resto del punto 3.1.4.2 son buenas prcticas recomendadas aunque
no obligatorias.
20
BCRA A 4609 - Seguridad Informtica y
Continuidad de Procesamiento - Mdulo II: Fase Prctica
Seguridad Informtica Control de accesos y Actualizacin 2007

Acceso de bajo nivel a bases de datos


(3.1.4.3, 5.6)

El acceso de bajo nivel a los datos es altamente riesgoso. Dado que


las aplicaciones encargadas de resguardar la integridad,
confidencialidad y disponibilidad de los mismos sufren un bypass.
El punto 3.1.4.3 y 5.6 debera ser tratado especialmente en la Norma
de Control de Accesos.
Se debe impedir el acceso a datos por fuera de las aplicaciones a
personas o software utilitario.
La cantidad de personal que posee este tipo de privilegios deber ser
mnimo, sus acciones registradas y vigiladas.

21
BCRA A 4609 - Seguridad Informtica y
Continuidad de Procesamiento - Mdulo II: Fase Prctica
Seguridad Informtica Logs y alertas 2007

Registros de auditora (logs) y


alertas
Punto Descripcin Medio de Tiempo de Monitoreo
almacenamiento conservacin y Alertas?
3.1.4.3 Actividad de bajo nivel con datos No reutilizable (ej 10 aos Si
5.6 CD/DVD)
3.1.4.4 Registros Operativos de usuarios No reutilizable 10 aos Si
8.2 en aplicaciones
3.1.4.4 Actividad de Control de Accesos y No reutilizable 10 aos Si
5.6 usuarios privilegiados.
3.1.4.4 Excepciones y actividades crticas No reutilizable 10 aos Si
en plataforma
6.2 Actividad de Cajeros Automticos No reutilizable 10 aos N/A
(no papel term.)
6.2 Sistema de Administracin de No reutilizable 10 aos Si
Cajeros Automticos
6.3 Sistema de Administracin de POS No reutilizable 10 aos Si

6.4, Transacciones y gestin de claves No reutilizable 10 aos Si


6.5,6.6 en e-Banking, m-banking y phone 22
banking
BCRA A 4609 - Seguridad Informtica y
Continuidad de Procesamiento - Mdulo II: Fase Prctica
Seguridad Informtica Logs y alertas 2007

Alertas de Seguridad
(3.1.4.5)

La A 4609 exige implementar funciones de deteccin y alerta de


accesos sospechosos a los sistemas as como monitoreo constante de
los accesos. Aunque no exige que sean automatizados.
Sin embargo, recomienda la automatizacin para reducir costos
operativos de la seguridad (IDSs/IPSs y herramientas de anlisis de
logs).

23
BCRA A 4609 - Seguridad Informtica y
Continuidad de Procesamiento - Mdulo II: Fase Prctica
Seguridad Informtica Software malicioso 2007

Software malicioso
(3.1.4.6)

Antivirus / Antispyware en las plataformas propensas a infeccin


o trfico (desktops, gateways de correo, etc).
Programa de Concientizacin de usuarios. (charlas, carteleras,
mails de alerta).

24
BCRA A 4609 - Seguridad Informtica y
Continuidad de Procesamiento - Mdulo II: Fase Prctica
Seguridad Informtica Seguridad fsica 2007

Seguridad fsica
(3.2)

El objetivo planteado es proteger fsicamente los activos de


informacin, que incluyen a:

Personas (en primera instancia)


Hardware
Software
Datos productivos
Archivo (Papeles, backups, registros de seguridad, etc)

25
BCRA A 4609 - Seguridad Informtica y
Continuidad de Procesamiento - Mdulo II: Fase Prctica
Seguridad Informtica Seguridad fsica 2007

Construccin y localizacin de
instalaciones
(3.2.1)

Destacable: el comunicado sugiere bajo perfil para la


ubicacin del centro de cmputos (recordar crisis de 2001).
Esta medida puede reducir en gran medida el riesgo de
conmocin popular en nuestro pas.

26
BCRA A 4609 - Seguridad Informtica y
Continuidad de Procesamiento - Mdulo II: Fase Prctica
Seguridad Informtica Seguridad fsica 2007

Acceso fsico al centro de


cmputos
(3.2.2)

El control de acceso fsico puede implementarse a travs de


un sistema automatizado, o bien manualmente (ej. travs de
un guardia).
Es obligatorio el registro de las entradas al centro de
cmputos (automatizadamente o manualmente).

27
BCRA A 4609 - Seguridad Informtica y
Continuidad de Procesamiento - Mdulo II: Fase Prctica
Seguridad Informtica Continuidad del procesamiento 2007

Continuidad del procesamiento


(y del negocio)
(4)

La A 4609 exige la implementacin de un Business Continuity Plan


(BCP).

El BCP es un proyecto que requiere:


Compromiso por parte de la Direccin de la empresa para que sea
efectivo y pueda ser desarrollado con xito.
Conciencia del tamao del Proyecto.
Inversiones (Hardware, Software, Lugar fsico, Consultora,
Recursos humanos, Contratos, etc).
ES UN PROYECTO DE NEGOCIOS, NO SLO TECNOLGICO. 28
BCRA A 4609 - Seguridad Informtica y
Continuidad de Procesamiento - Mdulo II: Fase Prctica
Seguridad Informtica Continuidad del procesamiento 2007

Componentes Metodolgicos del BCP

29
BCRA A 4609 - Seguridad Informtica y
Continuidad de Procesamiento - Mdulo II: Fase Prctica
Seguridad Informtica Continuidad del procesamiento 2007

Continuidad del procesamiento


Pasos Necesarios
(4.1)

Obtener recursos Presentar al Directorio o CEO la necesidad de


elaborar el plan de recuperacin con el fin de:
- mitigar los riesgos identificados en el Anlisis de Riesgos,
- mitigar el riesgo de no cumplir con la normativa del BCRA,
- cumplir con las Polticas de Seguridad internas de la
entidad.

Asignar un rea o sector encargado de crear, mantener y probar el


BCP. Sugerencia: crear un Comit de coordinacin con miembros del
Directorio, Sistemas, Seguridad, Auditora y Dueos de procesos. 30
BCRA A 4609 - Seguridad Informtica y
Continuidad de Procesamiento - Mdulo II: Fase Prctica
Seguridad Informtica Continuidad del procesamiento 2007

Pasos necesarios:
Llevar a cabo un: (4.2)

Anlisis de Impacto al negocio


(BIA)
- Se utiliza metodologa standard. Ej: COBIT, NIST, Octave (CERT).
- Alcance Todos los procesos de negocio, no slo los informticos.
- Trabajo en equipo con los dueos de procesos.
- Objetivo final del anlisis es determinar qu procesos son crticos,
y para cada proceso crtico:
Punto de Recuperacin (RPO)
Tiempo de Recuperacin (RTO)
- Los resultados constituyen la base para la implementacin de los
31
mecanismos de continuidad.
BCRA A 4609 - Seguridad Informtica y
Continuidad de Procesamiento - Mdulo II: Fase Prctica
Seguridad Informtica Continuidad del procesamiento 2007

Pasos necesarios:
Elaborar y documentar un (4.4)

Plan de Continuidad
- El plan debe basarse en el Anlisis de Riesgos y en el de Impactos.
- Debe preveerse y enunciarse los posibles escenarios de desastre
que activaran el plan (inundacin, incendio, conmocin popular, etc).
- El BCP cubre las contingencias que se definan durante el desarrollo
del mismo. Mientras ms abarcativo sea el BCP, ms costosa es su
implementacin y mantenimiento. Se debe llegar al Punto de
Equilibrio y la empresa debe definir qu riesgos desea aceptar.
- El Plan deber prever las estrategias tcnicas a implementar:
- ubicacin del site alternativo.
- tipo de disponibilidad: cold site, warm site, hot site, mirrored
site. 32
BCRA A 4609 - Seguridad Informtica y
Continuidad de Procesamiento - Mdulo II: Fase Prctica
Seguridad Informtica Continuidad del procesamiento 2007

Contenidos mnimos del Plan de


Continuidad
(4.4)

Procedimientos de emergencia que describan las acciones a


emprender una vez ocurrido un incidente. Estos deben incluir
disposiciones con respecto a la gestin de vnculos eficaces a
establecer con las autoridades pblicas pertinentes, por ej.: entes
reguladores, polica, bomberos y otras autoridades.
Los nombres, direcciones, nmeros de telfono y "localizadores"
actuales del personal clave.
Las aplicaciones crticas y su prioridad con respecto a los tiempos
de recuperacin y regreso a la operacin normal.
El detalle de los proveedores de servicios involucrados en las
acciones de contingencia / emergencia.
33
BCRA A 4609 - Seguridad Informtica y
Continuidad de Procesamiento - Mdulo II: Fase Prctica
Seguridad Informtica Continuidad del procesamiento 2007

Contenidos mnimos del Plan de


Continuidad
(4.4)

La informacin logstica de la localizacin de recursos claves,


incluyendo: ubicacin de las instalaciones alternativas, de los
resguardos de datos, de los sistemas operativos, de las aplicaciones,
los archivos de datos, los manuales de operacin y documentacin de
programas / sistemas / usuarios.
Los procedimientos de emergencia que describan las acciones a
emprender para el traslado de actividades esenciales a las
ubicaciones transitorias alternativas, y para el restablecimiento de
los procesos de negocio en los plazos requeridos.
La inclusin de los planes de reconstruccin para la recuperacin en
la ubicacin original de todos los sistemas y recursos.

34
BCRA A 4609 - Seguridad Informtica y
Continuidad de Procesamiento - Mdulo II: Fase Prctica
Seguridad Informtica Continuidad del procesamiento 2007

Instalaciones alternativas de
procesamiento de datos
(4.3)

Es posible utilizar instalaciones propias o de terceros.


Objetivos primarios que establece la norma:
- No estar alcanzado por los mismos riesgos que la
instalacin central (segn el Anlisis de Riesgos).
- Alojar y proveer disponibilidad a los sistemas crticos.
- Proveer servicios a sucursales Telecomunicaciones.
- Tiempo de Recuperacin que no afecte la atencin de los
clientes ni deje a la entidad fuera de compensacin.
- No estar alcanzado por eventos que pueden darse
simultneamente (ej inundacin y corte de suministro elctrico).
35
BCRA A 4609 - Seguridad Informtica y
Continuidad de Procesamiento - Mdulo II: Fase Prctica
Seguridad Informtica Continuidad del procesamiento 2007

Mantenimiento y actualizacin del


BCP
(4.5)

Eficacia permanente del BCP Actualizacn del Plan.


Establecer y documentar procedimientos para actualizar el BCP
con cada cambio en los sistemas y procesos de negocio.
Asignar un responsable de actualizacin y revisin peridica.
Si existen cambios en el BCP, la informacin le debe llegar a cada
uno de los responsables involucrados en el mismo.

36
BCRA A 4609 - Seguridad Informtica y
Continuidad de Procesamiento - Mdulo II: Fase Prctica
Seguridad Informtica Continuidad del procesamiento 2007

Prueba del BCP


(4.6)

La A 4609 establece la prueba anual del BCP para verificar la


efectividad del plan y de su mantenimiento.
Las pruebas deben garantizar que todos los miembros del equipo
de recuperacin conocen sus funciones.
Confeccionar un cronograma de pruebas definiendo el cmo y el
cundo para cada elemento del plan.
reas usuarias y Auditora deben ser los certificadores de los
resultados de la prueba. Deben elevar un informe al Directorio o CEO
con los resultados de la prueba.
Este informe debe ser guardado en archivo ya que sera controlado
por BCRA.
37
BCRA A 4609 - Seguridad Informtica y
Continuidad de Procesamiento - Mdulo II: Fase Prctica
Seguridad Informtica Inventario 2007

Inventario tecnolgico
(5.2)

Si bien es responsabilidad del rea Sistemas/Informtica la


creacin y mantenimiento del Inventario Tecnolgico, es muy
importante que el rea de Seguridad lo controle y utilice.
No es posible aplicar efectivamente controles de seguridad sobre
recursos que no se encuentran registrados en ninguna parte.
Elementos a ser inventariados: hardware, software, recursos de
informacin, activos fsicos y servicios descentralizados de terceros.

38
BCRA A 4609 - Seguridad Informtica y
Continuidad de Procesamiento - Mdulo II: Fase Prctica
Seguridad Informtica Banca electrnica 2007

Banca Electrnica por diversos


medios
(6, 6.1)

Debe realizarse un Anlisis de Riesgos para cada uno de los


canales y los servicios por ellos ofrecidos.
Se debe garantizar confidencialidad, integridad y disponibilidad
en el medio en que se transmiten los datos Uso de Encriptacin
standard.
Debe aplicarse a estos medios todos los requerimientos de
seguridad de la norma + la seccin 6.

39
BCRA A 4609 - Seguridad Informtica y
Continuidad de Procesamiento - Mdulo II: Fase Prctica
Seguridad Informtica Banca electrnica 2007

Control en cajeros automticos


(ATMs)
(6.2)

Requerimientos de Seguridad:
(estas prcticas ya son aplicadas por los grandes administradores
de cajeros):
Identificacin con tarjeta y clave.
Encriptacin y Control de Acceso en lugares de alojamiento.
Control de Accesos en algoritmos de generacin de claves.
Separacin de funciones en generacin de tarjetas y claves.
No visibilidad de claves o datos de tarjetas.
No entrega simultnea de tarjeta y clave. 40
BCRA A 4609 - Seguridad Informtica y
Continuidad de Procesamiento - Mdulo II: Fase Prctica
Seguridad Informtica Banca electrnica 2007

Tarjetas de Dbito y POS


(6.3)

Requerimientos de Seguridad:
Se debe requerir Documento de Identidad al usuario.
Se debe requerir la clave al usuario y una firma en el ticket.
Debe permitir una clave distinta para realizar compras.
Restriccin de operacin luego de 3 intentos fallidos.

41
BCRA A 4609 - Seguridad Informtica y
Continuidad de Procesamiento - Mdulo II: Fase Prctica
Seguridad Informtica Banca electrnica 2007

e-Banking
(6.4)

Canal con alto nivel de riesgo

Proteger a la red interna con Firewalls, IDS (del tipo de red y de


host en servidores) y antivirus.
Se valorizar que todo dispositivo de control de trfico de red y
de deteccin cuente con capacidad de registro de actividad. Dicho
registro deber evidenciar la realizacin de controles por los
responsables designados para tal fin.
El e-Banking debe poseer las mismas medidas de seguridad fsica y
lgica que el resto de la instalacin expresada en la A 4609. Se
valorar la incorporacin de medidas adicionales segn el riesgo.
42
BCRA A 4609 - Seguridad Informtica y
Continuidad de Procesamiento - Mdulo II: Fase Prctica
Seguridad Informtica Banca electrnica 2007

e-Banking
(6.4)

La pgina debe enunciar claramente:


La poltica de seguridad con la que la entidad opera. Ej,
Terminos y Condiciones, Ley de Habeas Data, Comunicacin A
4609, otras normas de seguridad del banco de conocimiento
pblico.
Ventana de tiempo de utilizacin e inactividad.
Informar al usuario sobre no responsabilidad sobre links que
guan a pginas externas.
Se valorizar el uso de entidades certificadoras.
El e-banking debe utilizar usuario/clave distintas a otros medios.
Cmo mnimo debe respetar las exigencias de 3.1.4.2.
43
BCRA A 4609 - Seguridad Informtica y
Continuidad de Procesamiento - Mdulo II: Fase Prctica
Seguridad Informtica Banca electrnica 2007

e-Banking
(6.4)

Se valorizar que los usuarios deban utilizar: certificados


digitales, tarjetas inteligentes, dispositivos biomtricos, teclados
virtuales.
El e-banking debe estar incluido en el BCP.
Se valorizar la implementacin de duplicacin de componentes
(Non stop service).
En casos de Hosting o Housing el banco es responsable de exigir
implementacin y prueba por parte del ISP de planes de continuidad
con especificaciones del punto 4 Incluir en SLAs.

44
BCRA A 4609 - Seguridad Informtica y
Continuidad de Procesamiento - Mdulo II: Fase Prctica
Seguridad Informtica Banca electrnica 2007

m-Banking
(celulares como terminales)
(6.5)

Canal con alto nivel de riesgo

Debe contemplar los mismos requerimientos de seguridad del e-


Banking del punto 6.4.

Debe implementarse encriptacin extremo a WAP 1 NO


extremo.
No deben existir gateways que realicen
desencriptacin-encriptacin WAP 2 OK
45
BCRA A 4609 - Seguridad Informtica y
Continuidad de Procesamiento - Mdulo II: Fase Prctica
Seguridad Informtica Banca electrnica 2007

Phone Banking
(6.6)

Los operadores no deben conocer las claves de los usuarios


utilizacin de IVRs.
El usuario debe conocer su nmero de transaccin.
En caso de atencin personalizada el usuario debe conocer con
quien habl.
Se valorizar la grabacin de la comunicacin.

46
BCRA A 4609 - Seguridad Informtica y
Continuidad de Procesamiento - Mdulo II: Fase Prctica
Seguridad Informtica Banca electrnica 2007

Otros medios / Futuros medios


(6.7)

Se deber informar al Directorio o CEO sobre los riesgos de la


nueva tecnologa para que el mismo tome las medidas de seguridad
necesarias.

Se deber remitir un informe con la descripcin del proyecto a la


Gerencia de Auditora Externa de Sistemas de la Superintendencia de
Entidades Financieras y Cambiarias con 90 das de antelacin a su
implementacin.

47
BCRA A 4609 - Seguridad Informtica y
Continuidad de Procesamiento - Mdulo II: Fase Prctica
Seguridad Informtica Terceros 2007

Delegacin de Actividades Propias


de la Entidad en Terceros
(7.2)

Directorio-CEO Responsable mximo.


Se requiere Anlisis de Riesgos para la actividad a delegar.
Se deben redactar polticas de seguridad acordes al riesgo, tamao
y complejidad de las tareas delegadas.
El Directorio o CEO debe estar al tanto del riesgo y las polticas, y
aprobar formalmente la delegacin.
Firmar contratos (o SLA) que incluyan servicios, responsabilidades
y acuerdos sobre confidencialidad y no divulgacin.
La administracin de las utilidades de seguridad se debe realizar
con RRHH propios (remotamente o en las instalaciones del tercero).
48
BCRA A 4609 - Seguridad Informtica y
Continuidad de Procesamiento - Mdulo II: Fase Prctica
Seguridad Informtica Terceros 2007

Delegacin de Actividades Propias


de la Entidad en Terceros
(7.6)

Se debe normar sobre el plan de controles a ejecutar en las


actividades delegadas.
Se debe documentar todas las solicitudes de mejoras enviadas al
proveedor en caso de incumplimientos.
Debe existir un BCP para las actividades delegadas en terceros
debe figurar en las Polticas y Normas.
El proveedor debe contar con un BCP propio coherente con el nivel
de riesgo de la entidad contratos / SLA.
El BCP del proveedor debe ser probado anualmente, con resultados
documentados y vigilados por la gerencia.
49
BCRA A 4609 - Seguridad Informtica y
Continuidad de Procesamiento - Mdulo II: Fase Prctica
2007

Gracias por su atencin!!!

www.cybsec.com

50