Seguridad Informática y Continuidad de...

Anlisis de la Norma BCRA A 4609Seguridad Informtica y

Continuidad de Procesamiento

Mdulo I: Fase Terica

Lic. Ral CastellanosLic. Ral Castellanosrcastellanos@[email protected]

55 de de JunioJunio de de 20072007Buenos Aires Buenos Aires -- ARGENTINAARGENTINA

B.C.R.A. Comunicacin A4609

AgendaAgenda

Antecedentes

Estructura de la norma

Alineacin con normas internacionales

Novedades de la A4609


Antecedentes

La Comunicacin A 4609 releva a su predecesora A 3198 del ao 2000

Antecedentes

La Comunicacin A 4609 releva a su predecesora A 3198 del ao 2000

La Comunicacin A 3198 a su vez , es un compendio de las Comunicaciones A 2659 (23 de enero de 98), A3149 (14 de agosto de 2000) y B 6776 (15 de noviembre de 2000).

La Comunicacin A 3198 a su vez , es un compendio de las Comunicaciones A 2659 (23 de enero de 98), A3149 (14 de agosto de 2000) y B 6776 (15 de noviembre de 2000).


A quines afecta?

A Entidades Financieras, nicamente.

Las Cmaras Electrnicas de Compensacin continan siendo regidas por la Comunicacin A 3198

A quines afecta?

A Entidades Financieras, nicamente.

Las Cmaras Electrnicas de Compensacin continan siendo regidas por la Comunicacin A 3198


Alineacin con normas y prcticas internacionales

Information Security Governance

Information Technology Governance

ISO 17799: 2005

Sarbanes Oxley Act

Basilea II

Alineacin con normas y prcticas internacionales

Information Security Governance

Information Technology Governance

ISO 17799: 2005

Sarbanes Oxley Act

Basilea II


Principios

Organizacin TI

ProteccinInformacin

Continuidad delProcesamiento

Operaciones

Banca Electrnica

Delegacin enTerceros

Sistemas Aplicativos

Estructura de la Norma A 4609


Incremento en la cantidad y detalle de lineamientos Involucra y responsabiliza a las ms altas autoridades de la OrganizacinFuerte influencia de buenas prcticas internacionales de seguridad de la informacinGestin de seguridad en base a riesgoSegregacin de funcionesPosicionamiento organizacional de la proteccin de activos informticos

Incremento en la cantidad y detalle de lineamientos Involucra y responsabiliza a las ms altas autoridades de la OrganizacinFuerte influencia de buenas prcticas internacionales de seguridad de la informacinGestin de seguridad en base a riesgoSegregacin de funcionesPosicionamiento organizacional de la proteccin de activos informticos

Qu hay de nuevo viejo?


Seccin 1Seccin 1


Seccin 1 Aspectos GeneralesSeccin 1 Aspectos Generales

Eficacia

Eficiencia

Confidencialidad

Integridad

Disponibilidad

Cumplimiento

Confiabilidad

Eficacia

Eficiencia

Confidencialidad

Integridad

Disponibilidad

Cumplimiento

Confiabilidad

Igual en A3198Igual en A3198


Seccin 2Seccin 2


Seccin 2 Organizacin funcional yGestin de tecnologa informtica y sistemasSeccin 2 Organizacin funcional yGestin de tecnologa informtica y sistemas

Rol activo y responsabilidad de la Alta Gerencia en la gestin de riesgos de seguridad de la informacin.Comit de Tecnologa Informtica

Integracin y funcionesNivel de los integrantesResponsabilidades

Polticas y procedimientos para administrar el riesgo relacionado a los sistemas de informacin y la tecnologaAnlisis de Riesgos; El Directorio, o autoridad equivalente, serresponsable de la existencia de mecanismos de control del grado de exposicin a potenciales riesgos



Gestin de Tecnologa Informtica y Sistemas.- Alineacin con los planes estratgicos de la Entidad FinancieraSegregacin de funciones.- deber presentar una clara delimitacin de tareas entre los sectores que estn bajo su dependencia.Incompatibilidades.- entre las funciones de un sector especfico, con respecto a las actividades desempeadas por otras reas o sectores.Anlisis de Riesgos; El Directorio, o autoridad equivalente, serresponsable de la existencia de mecanismos de control del grado de exposicin a potenciales riesgos.


Seccin 3Seccin 3


Seccin 3 Proteccin de activos de informacinSeccin 3 Proteccin de activos de informacin

Gestin de SeguridadLas Entidades Financieras deben considerar en su estructura organizacional un rea para la proteccin de los activos de informacin.La ubicacin jerrquica del rea deber garantizar, en forma directa, su independencia funcional y operativa de las reas de tecnologa y el resto.Deben definirse misiones y funciones, responsabilidades, habilidades necesarias para cubrir los puestos.



Estrategia de seguridad de acceso las entidades financieras deben definir una estrategia de proteccin de activos de informacin.La estrategia debe considerar las amenazas y las vulnerabilidades asociadas a cada entorno tecnolgico. La estrategia deber contemplar el establecimiento de mecanismos de control para la deteccin, registro, anlisis, comunicacin, correccin, clasificacin y cuantificacin de los incidentes.



Planeamiento de los recursos De acuerdo con los riesgos identificados en las metas y planes estratgicos, se deben elaborar planes operativos.En los nuevos proyectos informticos se deben contemplar los requerimientos de seguridad desde sus etapas iniciales.



Poltica de proteccinLas entidades financieras deben desarrollar una poltica de proteccin de los activos de informacin.El Directorio, deber establecer una direccin poltica clara, mediante la formulacin, aprobacin formal y difusin de la misma.Se establecen los requisitos mnimos de contenido.

Contraseas fuertesPrevencin, comunicacin y manejo de incidentesUsuarios de emergenciaControl de cambiosUso de correo Electrnico e InternetDeteccin/proteccin de intrusosSeguridad en la adquisicin de nuevos recursos



Poltica de proteccinDeber estar sujeta a revisiones peridicas, de acuerdo a la evaluacin de riesgo.Deber ser implementada y comunicada a todo el personal y servir como base para el desarrollo de las normas, los manuales, los estndares, los procedimientos y las prcticas.Clasificacin de los activos de informacin - Niveles de acceso a los datos: Las entidades financieras deben clasificar sus activos de informacin de acuerdo con su criticidad y sensibilidad, estableciendo adecuados derechos de acceso a los datos.La asignacin de derechos de acceso debe otorgarse a travs de un proceso de autorizacin formal del propietario de los datos.



Poltica de proteccinEstndares de acceso, de identificacin y autenticacin, y reglas de seguridad. Se deben implementar mtodos de identificacin y autenticacin, debindose considerar:

Modificacin de las contraseas maestras y de cuentas especiales por defectoCambio obligatorio de las contraseas en el primer inicio de sesin.8 (ocho) caracteres de longitud para las clavesControl de la composicin de las contraseasRegistro histrico de las ltimas 12 (doce) contraseas utilizadasCaducidad automtica de las mismas a los 30 (treinta) das;Desconexin automtica por tiempo de inactividad a los 15 minutos;Eliminacin de las cuentas inactivas por ms de 90 (noventa) dasNo utilizacin de usuario genricoEncriptacin para el archivo de las contraseasRestriccin de accesos concurrentes la identificacin nica (ID) de usuarios



Poltica de proteccinEstndares de acceso, de identificacin y autenticacin, y reglas de seguridad. Se deben implementar mtodos de identificacin y autenticacin, debindose considerar:

revocar los usuarios que se desvincularan de la entidad y modificar los perfiles de aquellos que cambiaron de funcin

la permanente actualizacin de los sistemas operativos y herramientas con respecto a nuevas vulnerabilidades, y patches



Poltica de proteccinProgramas de utilidad con capacidades de manejo de datos.

Deben implementarse adecuadas restricciones para el empleo de los programas que permitan el alta, la baja o la modificacin de datos

Deben desarrollarse mecanismos formales para la asignacin y la utilizacin de usuarios especiales con capacidades de administracin, que puedan ser usados en caso de emergencia o interrupcin de las actividades.

Registros de seguridad y pistas de auditora. Se deben implementar:Registros operativos de las actividades de los usuarios, las tareas realizadas y las funciones utilizadas.

Reportes de seguridad que registren la asignacin de claves y derechos de accesos.

Reportes de auditora que registren las excepciones.Se deber proteger la informacin registrada en dichos reportes, y deber ser resguardada adecuadamente, mantenindose en archivo por un trmino no menor a 10 (diez) aos.



Poltica de proteccinAlertas de seguridad y software de anlisis.

Implementar funciones de alertas de seguridad y sistemas de deteccin y reporte de accesos sospechosos a los activos de informacin.

Monitoreo constante de los accesos a recursos y eventos crticos.Deteccin en tiempo real de los eventos o intrusiones,Utilizacin de herramientas automatizadas para el anlisis de la informacin contenida en los registros operativos, de seguridad y de auditora.

Software malicioso.Implementar adecuados mecanismos de proteccin contra programas maliciosos.

Deben implementarse herramientas para la prevencin, deteccin y eliminacin de este tipo de software.

Prevenir la presencia de cdigo malicioso en archivos adjuntos a correos electrnicos y en los accesos a Internet.

Impedir la instalacin y utilizacin de software no autorizado.



Responsabilidades del AreaObservar la existencia y correcta aplicacin de los controles. Comprenden:

La existencia de una poltica de proteccin de los activos de informacin.La asignacin de responsabilidades operativas en materia de administracin de la proteccin de los activos de informacin.

La comunicacin oportuna de incidentes relativos a la seguridad, a los responsables propietarios de los datos.

La existencia de procedimientos de control y monitoreo, y su aplicacin, sobre el empleo continuo de los estndares fijados de seguridad.

La instruccin y el entrenamiento en materia de seguridad de la informacin.Los controles deben establecerse formalmente a travs de reportes operativos.Implementar controles precisos, oportunos y eficaces sobre las funciones de acceso a los datos y a los recursos de informacin.


Seccin 3 Proteccin de activos de informacinSeccin 3 Proteccin de activos de informacinControl y Monitoreo

El rea de proteccin de activos de informacin es la responsable primaria de efectuar las actividades regulares de monitoreo y controles de verificacin.Se deben evaluar los accesos a las funciones de administracin y procesamiento de los programas de aplicacin y sus registros de datos resultantes.Se deben controlar especialmente los usuarios con niveles de accesos privilegiados.Los incidentes y debilidades en materia de seguridad deben registrarse y comunicarse.



Implementacin de los controles de seguridad fsicaEl Directorio, o autoridad equivalente, es el responsable primario por la existencia de distintos niveles de seguridad fsica en correspondencia con el valor, confidencialidad y criticidad de los recursos a proteger y los riesgos identificados.

la localizacin del centro de procesamiento de datos est en un rea que resulte de difcil identificacin pblica.

instalaciones para equipamientos de apoyo, tales como: equipos de aire acondicionado, grupos generadores, llaves de transferencia automtica, UPS, bateras, tableros de distribucin de energa y de telecomunicaciones y estabilizadores

Control de Acceso fsico a las instalaciones del centro de procesamiento de datos.

proteccin ambiental.Destruccin de residuos y de medios de almacenamiento de informacin.


Seccin 4Seccin 4


Seccin 4 Continuidad del procesamiento Seccin 4 Continuidad del procesamiento

Responsabilidades sobre la planificacin de la continuidad del procesamiento de datos

El Directorio debe asegurar la existencia y la provisin de los recursos necesarios para la creacin, mantenimiento y prueba de un plan de recuperacin del procesamiento electrnico de datos.

Anlisis de impactoEvidenciar que se han identificado los eventos que puedan ocasionar interrupciones en sus procesos crticos.

Es responsabilidad del Directorio observar que se haya llevado a cabo una evaluacin de riesgos para determinar el impacto de distintos eventos.

La evaluacin considerar todos los procesos de negocio y no se limitar slo a las instalaciones de procesamiento de la informacin, sino tambin a todos los recursos relacionados.

Los resultados de la evaluacin deben ser el soporte para la seleccin de mecanismos alternativos de recuperacin para la confeccin del plan de recuperacin y vuelta a la normalidad del procesamiento de datos.



Instalaciones alternativas de procesamiento de datos. Deben atender los requisitos mnimos establecidos por estas normas, pudiendo ser propias o de terceros.En caso de un siniestro o suceso contingente que torne inoperantes las instalaciones principales, la localizacin de las instalaciones alternativas deber ser tal que no sean alcanzadas por el mismo evento.La seleccin de la localizacin antes mencionada deber estar soportada por la evidencia documental de la existencia de un anlisis de riesgo de eventos simultneos.



Plan de continuidad del procesamiento de datos Se debe evidenciar la existencia de un procedimiento escrito, aprobado formalmente, para atender a la continuidad del procesamiento de datosEl documento deber, como mnimo, contener lo siguiente:

Procedimientos de emergencia que describan las acciones a emprender una vez ocurrido un incidente.

Los nombres, direcciones, nmeros de telfono y "localizadores" actuales del personal clave.

Las aplicaciones criticas y su prioridad con respecto a los tiempos de recuperacin y regreso a la operacin normal.

El detalle de los proveedores de servicios involucrados en las acciones de contingencia / emergencia.

La informacin logstica de la localizacin de recursos claves.Los procedimientos de emergencia que describan las acciones para el traslado de actividades esenciales a las ubicaciones alternativas, y para el restablecimiento de los procesos de negocio en los plazos requeridos.

La inclusin de los planes de reconstruccin para la recuperacin en la ubicacin original de todos los sistemas y recursos.



Mantenimiento y actualizacin del plan de continuidadDebe mantenerse por medio de revisiones y actualizaciones peridicas para garantizar su eficacia permanente.Evidenciar que existen procedimientos escritos a fin de asegurar que todo cambio en los procesos de negocio y en su tecnologa relacionada se reflejen en las actualizacionesDebe existir un responsable formalmente identificado para el mantenimiento y adecuacin del plan de continuidad, al cual deberasignarse la responsabilidad de las revisiones peridicas, la identificacin de cambios y su actualizacin.



Pruebas de continuidad del procesamiento de datosDebe ser probado peridicamente, como mnimo una vez al ao.Las pruebas deben permitir asegurar la operatoria integral de todos los sistemas automatizados crticosDeber evidenciarse la existencia de un cronograma formal de pruebas que indicar cmo debe probarse cada elemento del plan.En las pruebas deben participar las reas usuarias de los procesos de negocio, quienes deben verificar los resultados de las mismas.Se deber documentar formalmente su satisfaccin con el resultado de la prueba. La auditora interna de la entidad tambin deber conformar la satisfaccin por el resultado.El informe realizado deber ser tomado en conocimiento por el Directorio.


Seccin 5Seccin 5


Seccin 5 Operaciones y procesamiento de datosSeccin 5 Operaciones y procesamiento de datos

Administracin de las bases de datos En todos los casos se deber evidenciar la existencia de un fuerte control por oposicin de responsabilidades en las actividades que realizan los encargados de gestionar los sistemas administradores de las bases mencionadas.Los controles ejercidos deben estar en concordancia con la frecuencia de administracin de los DBMS, ser formalmente documentados, y en caso de no ser efectuados por el rea de proteccin de activos de informacin, deben ser reportados a ella.



Gestin de cambios al software de base. Establecer responsabilidades y procedimientos formalmente documentados, para garantizar un control satisfactorio de todos los cambios en el equipamiento, el software de base o los procedimientos operativos.Los cambios en el ambiente operativo pueden tener impacto en lasaplicaciones. Por este motivo, se debe considerar la existencia -como mnimo- de la siguiente informacin:

aprobacin formal de los cambios propuestos; identificacin y registro de los cambios significativos realizados;comunicacin de detalles de cambios a todas las reas pertinentes.



Control de cambios a los sistemas productivos.las entidades financieras deben definir un adecuado esquema de separacin entre sus ambientes informticos de procesamiento (desarrollo, prueba y produccin)El proceso de actualizacin de nuevas versiones de sistemas deber ser estrictamente controlado y realizado por personal que no tenga relacin con el rea de desarrollo y mantenimiento.las nuevas versiones y las modificaciones de los programas aplicativos deben someterse a procedimientos formales de revisin, registro y aprobacin, antes de la implementacinEn los casos de implementaciones de sistemas adquiridos, desarrollados o mantenidos por externos, se deben registrar adecuadamente los cambios efectuados, verificando que todos los programas fuentes en custodia se correspondan con los programas ejecutables, antes de su puesta operativa en el ambiente de produccin.



Mecanismos de distribucin de informacin.La informacin generada por los sistemas informticos, debercontemplar los recaudos mnimos de seguridad a efectos de impedir su difusin a personas no autorizadas.Los responsables del rea de proteccin de activos de informacin y el rea de operaciones y procesamiento de datos son responsables delanlisis y la implementacin de los controles necesarios para limitar la prdida de confidencialidad en la distribucin de la informacin.



Manejo de incidentesSe debe evidenciar la existencia de procedimientos formalmente documentados para la gestin, registro, accionar y comunicacin de anomalas de los sistemas productivos y de software de base.Se deben considerar, como mnimo, las siguientes acciones:

advertir y registrar los sntomas del problema y los mensajes que aparecen en pantalla, fecha y hora del incidente;

dejar constancia de la comunicacin a los sectores responsables de la resolucin;

documentar las acciones realizadas, fecha y hora de la resolucin.



Soporte a usuarios.Deber existir una funcin (que, de acuerdo con la complejidad que presente la entidad financiera podr ser un rea, sector o persona) para el soporte, registro y seguimiento de los incidentes que surjan con los sistemas,Esta funcin deber mantener un registro con los inconvenientes que hayan surgido (paradas de programa, fallos de sistemas, cancelacin, fallas de hardware, y todo otro tipo de incidente relevante)


Seccin 6Seccin 6


Seccin 6 - Banca ElectrnicaSeccin 6 - Banca Electrnica

Controles generales.El Directorio, o autoridad equivalente, es el responsable primario del reconocimiento y comprensin de los riesgos y amenazas que cada uno de los distintos canales presenta para la entidad financiera.Deber evidenciarse la existencia de anlisis de riesgos formalmente realizados para cada uno de los canales y para los servicios por ellos ofrecidos.Toda comunicacin electrnica deber mantener, como mnimo, los criterios de confidencialidad e integridad de los datos en trnsito.Deber existir un responsable de su administracin y monitoreo permanente



Operatoria y control de las transacciones cursadas por ATMs.Entre otros que la entidad financiera estime aplicar, los siguientes son los de cumplimiento obligatorio:

Cuando, por razones contingentes, los cajeros automticos slo estn operando en lnea con el computador de la entidad, y no con la red que los administra, ser responsabilidad de la entidad el mantenimiento y registro de todos los datos y eventos que surjan durante la operacin.

En aquellos casos que por cualquier causa una tarjeta sea retenida por un ATM, la entidad responsable de este ltimo deber regularizar la situacin planteada ante la entidad emisora de la tarjeta, en el lapso de 48 horas.



Operatoria y control de las transacciones cursadas por medio de POSLos sistemas de seguridad, aplicativos y operativos que operen con los sistemas de punto de venta, deben restringir el acceso para la realizacin de transacciones despus de tres intentos de acceso fallido.Se deben registrar, en tiempo real, todas las transacciones y mensajes del sistema que administra los puntos de venta, para uso de los responsables del control y de la auditora.



Operatoria y control de las transacciones por medio de InternetSe aplicarn mecanismos de seguridad para delimitar la red interna y la red externa.Los servicios Web para los usuarios externos deber evidenciar las mismas medidas de seguridad fsica y lgica.Contar con diagramas detallados de la infraestructura tecnolgica utilizada para los servicios de e-BankingLa pgina Web de las entidades financieras, con la que se brindan losservicios a los usuarios externos, deber:

Informar claramente cual es la poltica de seguridad con que la entidad opera;

Enunciar claramente cual ser la ventana de tiempo en la cual se puede operar con los servicios y productos bancarios;

Cuando se utilicen enlaces a otras pginas Web, informar al usuario que estabandonando la pgina Web de la entidad financiera y que no se tiene responsabilidad sobre la pgina Web en la cual se est por ingresar.



Operatoria y control de las transacciones por medio de Internet Todo acceso a funciones monetarias (sean stas de consulta o transaccionales) en la banca por Internet, debe basarse en la utilizacin de una identificacin de usuario y una clave de identificacin personal distinta a la utilizada en otros canales de banca electrnica.Poseer registros lgicos de toda la actividad realizada por los usuarios externos .Se valorizar la utilizacin de mecanismos de autenticacin de los usuarios y de no repudio de las transacciones.Contar con planes de continuidad de operaciones, como los requeridos en la presente normativa, que involucren las acciones de recuperacin de los servicios ofrecidos a los usuarios externos por medio de Internet. (An si se delegan en terceros hosting o housing)



Operatoria y control de las transacciones cursadas por medio de dispositivos mviles (m-Banking)

Asegurar la confidencialidad de los datos que se comunican por medio de las redes de comunicacin inalmbrica y redes de comunicacin de telefona celular, por medio de encriptacin extremo a extremo.Con el objeto de mantener la encriptacin mencionada, debern evidenciar la aplicacin de controles permanentes a efectos de asegurar que no se empleen dispositivos de conversin (gateways) que apliquen desencriptacin de datos.



Operatoria y control de las transacciones cursadas por medio de PhoneBanking

Las operatorias y transacciones que las entidades financieras ofrezcan por medio de atencin telefnica, no podrn basarse en la comunicacin oral de datos crticos de los usuarios, como las claves de seguridad relacionadas con cualquiera de los sistemas de identificacin, o cualquier otro dato que requiera medidas de confidencialidad.Para toda transaccin de ndole monetaria o vinculada con la gestin de claves de seguridad, se deben registrar en tiempo real toda la informacin cursada por este medio.


Seccin 7Seccin 7


Seccin 7 Delegacin de actividades en tercerosSeccin 7 Delegacin de actividades en terceros

Responsabilidades propias de la entidad.El Directorio, o autoridad equivalente de la entidad financiera, debe establecer y aprobar formalmente polticas basadas en un previo anlisis de riesgos.Para toda actividad vinculada a la administracin y/o procesamiento de datos, sistemas o tecnologas relacionadas, deber evidenciarse la existencia de contratos que definan claramente el alcance de los servicios, las responsabilidades y acuerdos sobre confidencialidad y no divulgacin.

Responsabilidades del terceroLos terceros, en los cuales se hayan delegado actividades vinculadas a la administracin y/o procesamiento de datos, sistemas o tecnologas relacionadas, deben mantener la aplicacin de las pautas mnimas establecidas en las presentes normas.


Seccin 7 Delegacin de actividades en tercerosSeccin 7 Delegacin de actividades en terceros

Responsabilidades del terceroLos sistemas de administracin de la seguridad de los datos, y de los programas relativos a una entidad financiera, tendrn un entorno de seguridad individual.

Control de las actividades delegadasEl Directorio, o autoridad equivalente de la entidad, es el responsable primario sobre el control y monitoreo continuo del cumplimiento de los niveles de servicios acordados, el mantenimiento de confidencialidad de la informacin y de todos los aspectos normados por la presente comunicacin.


Seccin 8Seccin 8


Seccin 8 Sistemas aplicativos de informacinSeccin 8 Sistemas aplicativos de informacin

Integridad y validez de la informacinAdministracin y registro de las operaciones.Sistemas de informacin que generan el rgimen informativo a remitir y/o a disposicin del Banco Central de la Repblica Argentina.Documentacin de los sistemas de informacin.

Estndares para el proceso de ingeniera del software.Documentacin tcnica y manuales de usuarios.


Gracias por su atencin!!Gracias por su atencin!!

www.cybsec.com

Seguridad Informática y Continuidad de...

Documents

Transcript of Seguridad Informática y Continuidad de...