CUESTIONARIO DE VERIFICACIN CUMPLIMIENTO CNBS 1301-2005 AL 20/04/2012
>> ORGANIZACIN Y ADMINISTRACIN<<
NO PREGUNTA SI NO N/A REFERENCIA 1 La institucin tiene separada fsicamente y lgicamente X los ambientes de produccin, desarrollo y pruebas?. (CNBS).
2 Se tiene nombrado un Administrador de Seguridad X
Informtica?
3 El el Administrador de Seguridad depende de la Gerencia X Depende de la
General o de otro funcionario de alta jerarqua diferente Gerencia de de la Jefatura del Departamento de Sistemas?. (CNBS). Riesgos 4 La Gerencia General ha nombrado un ejecutivo X Ver Descripcin especializado, responsable de todos los asuntos del puesto de Jefe relacionados con las tecnologas de la informacin. Este de Tecnologa de ejecutivo deber tener al menos formacin profesional Informacin sobre la administracin de las tecnologas de informacin en materia de comunicaciones, sistemas operativos, desarrollo de software, base de datos, entre otros y deber tener experiencia comprobada en el campo de la informtica?.(CNBS) 5 En relacin al Administrador Seguridad determine lo X Acta de siguiente: Nombramiento- a) Ha sido nombrado por la junta o consejo de Est por contrato. Administracin?. b) Depende del gerencia General y no del responsable ejecutivo de (TIC) Para evitar conflictos de intereses y asegurar la independencia del mismo?. (CNBS) 6 Se ha definido por parte de la gerencia general de la X institucin y no el responsable de TIC las responsabilidades y funciones del jefe de seguridad de informtica?. (CNBS) NO PREGUNTA SI NO N/A REFERENCIA 7 El Administrador de Seguridad de Informtica cumple X No se cumple por con las siguientes funciones y responsabilidades? no tener las herramientas a. Proponer a la institucin las polticas, normas y necesarias procedimientos de seguridad informtica; b. Documentar e implementar las polticas, normas y procedimientos de seguridad informtica aprobadas por la Junta o Consejo; c. Verificar que los usuarios de los distintos sistemas y recursos tecnolgicos cumplan con las polticas, normas y procedimientos aprobados; d. Tomar las acciones correctivas que garanticen la seguridad informtica requerida, una vez que se hayan identificado violaciones; e. Identificar e implementar herramientas de seguridad informtica que aseguren que la informacin y el equipamiento, no sean utilizados en perjuicio de la institucin y los usuarios; f. Controlar el uso indebido de programas (utilitarios) o herramientas que permiten la manipulacin de los datos en los diferentes sistemas; y, g. Desarrollar por lo menos una vez al ao, evaluaciones de seguridad a las tecnologas de informacin y comunicaciones de la institucin. (CNBS). h. Atender oportunamente los reportes de incidencias de seguridad, detectando el origen de los problemas, adoptando acciones correctivas para que no vuelvan a suceder y reportndolos a y/o su superior o al Comit de Gestin de la Seguridad
8 Se han previsto los recursos necesarios y una X No se ha definido
capacitacin continua para que este administrador un presupuesto cumpla sus funciones?. (CNBS). 9 Se realizan evaluaciones de seguridad que midan la X Se present el eficiencia de los medios de proteccin e incluir informe a la propuestas para corregir las vulnerabilidades?. Gerencia de Riesgos pero Estos resultados se presentan a la gerencia general en un ignoramos si fue reporte detallado con recomendaciones, que incluya un comunicado a la sumario ejecutivo con los principales hallazgos. (CNBS) Gerencia General. NO PREGUNTA SI NO N/A REFERENCIA 10 Determinar que auditora interna realiza auditoria a la X tecnologa de informacin y comunicacin (TIC) a fin de verificar la integridad, disponibilidad y confidencialidad de la informacin 11 Las personas encargadas de auditar las TIC cuentan con X No hay este tipo de experiencia y entrenamiento calificado para llevar a cabo capacitaciones en este tipo de auditoras basadas en las mejores prcticas el expediente existentes tales como COBIT e ISO/IEC 27002 12 La Gerencia General provee a la auditora interna o de X sistemas la herramientas necesarias para la realizacin y control de ambiente de la TIC; ya que el auditor interno es el responsable de realizar este tipo de auditoras?. (CNBS). 13 Al realizar las auditorias de sistemas basadas en un X No se sabe el anlisis de riesgo y cumpliendo las normativas existentes alcance de las se incluyan al menos los factores siguientes: Auditorias de Sistemas a) Los usuarios externos e internos del sistema de Actuales pero no informacin; son basadas en b) El ambiente del sistema, la operatividad del sistema y riesgos ya que sus implicaciones sobre el negocio; hasta ahora no c) Los niveles de acceso y la sensibilidad de la hay una matriz de informacin; riesgo autorizada d) La calidad de la informacin; e) La Tercerizacin (outsourcing); y, f) Planes de contingencia y recuperacin ante desastres. (CNBS)
14 La institucin cumple con el articulo N 11 de la X
Resolucin N 1301/2005 de la CNBS de resguardar los registros previstos de las transacciones por un periodo de 5 aos y de 6 meses para los de consulta?. (CNBS). >> DESARROLLO DE APLICACIONES <<
NO PREGUNTA SI NO N/A REFERENCIA
15 Previo a la implantacin de cambios en el ambiente de X No se cumple por produccin; los sistemas de alto riesgo definidos por la no tener las administracin y los servicios financieros por medios herramientas electrnicos se realiza una evaluacin de seguridad? necesarias ni se comunica al rea de Riesgos con suficiente tiempo. 16 Se realiza una evaluacin de seguridad cuando ocurren X No se cumple por cambios significativos en el ambiente tecnolgico en que no tener las operan los sistemas de informacin o se implementen herramientas nuevos sistemas?. (CNBS) necesarias ni se comunica al rea de Riesgos con suficiente tiempo. 17 Se mantienen registros de los accesos, transacciones y X No se cumple por consultas realizadas tanto a los sistemas de informacin no tener las como a los dispositivos de seguridad?. herramientas necesarias. Se realicen auditorias a los mismos y se toman Acciones correctivas. (CNBS). El nuevo core bancario ayudar muchsimo pero no ser suficiente ya que solo sern bitcoras a nivel de aplicativo. 18 Existen procedimientos en la administracin de registros X No se cumple por que las alertas correspondientes para las autoridades no tener las internas y externas, especialmente los casos externos no herramientas autorizados y tambin aquellas actividades excepcionales necesarias. realizadas por los diferentes tipos de usuarios. (CNBS).
19 La tercerizacin (Outsourcing) de los servicios X Ningn contrato
contratados contienen como mnimo los temas las incluye relacionados de responsabilidad de las partes? Como ser: introduccin, alcance del trabajo, seguridad y confidencialidad de la informacin, etc. Contemplados en el articulo N 39 (Contrato escrito de tercerizacin) de la Resolucin 1301/22-11-2005 de la CNBS. 20 En los casos que existan contratos de tercerizacin X No aplica significativa (Articulo N 38 de la Resolucin 1301/22- 11-2005 de la CNBS) se han hecho del conocimiento previo conocimiento a la CNBS de los contratos relacionados con: a) Tercerizacin de sistemas centrales; y b) Almacenamiento de informacin de cualquier tipo, con respecto a los clientes de la institucin, en sistemas que no se encuentren dentro de su control exclusivo. (CNBS).
21 Se verifican las comunicaciones efectuadas entre la X No se cumple por
institucin y la CNBS respecto a la tercerizaciones no tener las efectuadas con el propsito de investigar anomalas de la herramientas institucin regulada (Bancos y Financieras). (CNBS). necesarias. >> OPERACIONES <<
NO PREGUNTA SI NO N/A REFERENCIA
22 La institucin asigna una identificacin nica y personal X a cualquier usuario con acceso al sistema de informacin, como una condicin previa a la autorizacin de acceso?. (CNBS) 23 La institucin tiene implementado las reglas y el X Proyecto procedimiento para dicha identificacin, as como para el Directorio Activo otorgamiento de autorizaciones a terceros que accedan a y la los componentes de la tecnologa de informacin?. Implementacin del Protocolo Estas reglas toman en cuenta los riesgos derivados de las 802.1X para el responsabilidades y autorizaciones dadas a los usuarios cual se requiere de acuerdo a su agrupacin, as como la sensibilidad de la completar la informacin, y los derechos a las aplicaciones y a compra de cualquier otro componente de la tecnologa?. (CNBS). switches administrables 24 La institucin implementa mecanismos para la X Tiene algunos administracin, control y monitoreo de las autorizaciones pero tienen del sistema. (CNBS). algunas debilidades 25 La institucin utiliza tecnologas que combinen la X identificacin y la autenticacin del usuario, con el objeto de garantizar la confidencialidad e integridad de la informacin, el no repudio del usuario, controlar los accesos de alto riesgo a los sistemas de informacin, y en todos los casos de acceso remoto a los equipos tecnolgicos realizados por los empleados y terceros?. (CNBS). 26 La institucin ha fijado el tiempo de expiracin de una X No todos los sesin, cuando iniciada la misma no se hayan ejecutado dispositivos tiene actividades despus de cierto perodo de tiempo? esta caracterstica
27 La institucin verifica la bitcora de accesos de los
auditores de la CNBS, para verificar las actividades realizadas por estas personas en la red?, 28 Existe un plan de Contingencias en la Institucin? X
29 El plan de contingencia ha sido revisado como mnimo X
cada dos aos, as como cada vez que existan cambios significativos?. (CNBS) 30 Se efecten simulacros peridicos por lo menos una vez X al ao y que se deja constancia y documentacin de las pruebas de sus procesos de respaldo y recuperacin. (CNBS)
31 Los equipos de almacenamiento de los respaldos de X
informacin o los respaldos en s estn localizados en un lugar distante y distinto en donde se gener la copia de la informacin original. (CNBS)
32 La Administracin de la institucin se ha reunido al X
menos una vez por ao para discutir los principios de respaldo y recuperacin as como tomar decisiones y documentar detalladamente, con base en un anlisis de riesgo, los temas sealados en el artculo No 37(principios de respaldo y recuperacin) de la resolucin 1301/22-11-2005 de la CNBS?.
33 La institucin toma las medidas necesarias para certificar X
la identidad del sitio de Internet y evitar posibles imitaciones?. 34 Provee y capacita a sus clientes con las metodologas y X mecanismos apropiados de identificacin en el acceso al sitio de Internet?. (CNBS). 35 Las conexiones a Internet por parte de los empleados est X autorizada por la gerencia general con acceso autorizado a las operaciones que diga esta y que dicha conexin sea a travs de una red conectada a Internet a travs de un servidor separado del servidor de produccin?. (CNBS) 36 La conexin de la red de la institucin hacia Internet se X Se completara el encuentra asegurada por lo menos con: un antivirus, un 6 de Mayo al filtro de contenido, un Sistema de Deteccin de Intrusos finalizar el (IDS) a nivel de red y un firewall. (CNBS) Proyecto de Segmentacin de la red 37 Se encuentra segmentada la red de la institucin en X Se completara el cuanto a su red interna, produccin e Internet. 6 de Mayo al finalizar el Proyecto de Segmentacin de la red 38 Se permite la descarga de archivos de Internet con la X segmentacin adecuada? 39 El Servidor de Internet este separado fsicamente y X Proyecto de lgicamente de los Servidores de Produccin. (CNBS) Segmentacin de la red 40 La institucin hace firmar a los clientes de servicios de X No se tiene banca electrnica un contrato donde se menciones Banca por expresamente el nivel de servicio que requiere as como Internet sus derechos y obligaciones, y lo sealado en el Articulo N 43 (Revelacin de informacin) de la Resolucin 1301/22-11-2005 de la CNBS.
41 Determinar que la institucin utiliza eficientes X No se tiene
procedimientos para la capacitacin de los usuarios de la Banca por banca electrnica, respecto a las seguridades que deben Internet tener con las contraseas de acceso, medios de identificacin, responsabilidades, riesgos, polticas de seguridad de la institucin y sobretodo la capacitacin a sus clientes en la creacin y administracin de contraseas seguras y fuertes. (CNBS) 42 Determine que las operaciones a favor de terceros que X No se tiene realizan los clientes por medios de servicio de banca Banca por electrnica estn sujetos a techos o topes e informacin Internet bsica exigida en el articulo N 61 y 62 de la Resolucin 1301/22-11-2005 de la CNBS. 43 Verificar que la institucin tiene mecanismos adecuados X No se tiene de verificacin previos a la actualizacin de la Banca por informacin particular o personal del cliente Internet (mecanismos automatizados o manuales) que hace uso de los servicios de banca electrnica. (CNBS). 44 Verificar que la institucin mantenga almacenado por X medios electrnicos una lista de beneficiarios por cada cliente que usa el servicio de Banca Electrnica. (CNBS). 45 Determinar que lista de beneficiarios por cada cliente es X aprobada y actualizada por el mismo utilizando medios como el envi directo a la institucin o en forma electrnica segn lo considere ms conveniente la institucin, este envi estar condicionado a la utilizacin de tecnologa segura aprobada por la CNBS. Asimismo verificar que la institucin informe a sus clientes las implicaciones en caso de que el cliente no mantenga actualiza la lista. (CNBS). 46 Verificar que la institucin cuente con un procedimiento X formalizado para mantener comunicacin electrnica con los clientes. (CNBS). 47 La institucin tiene mecanismos o medios que le X Certificados permiten determinar inequvocamente si el cliente recibi Digitales informacin por medio de correo electrnico?. (CNBS). 48 La institucin sobre operaciones especiales lleva X registros estadsticos y comunica a la CNBS los eventos excepcionales?. 49 Los reportes sealados en los numerales 1) y 2) del X Artculo N 68 de la Resolucin 1301/22-11-2005 de la CNBS o a) y b) del inciso anterior, debern ser registrados utilizando el Programa de Reporte de Eventos que est a disposicin de las instituciones supervisadas en la red de interconexin financiera de la CNBS. 50 Los reportes mencionados en el Artculo 68 numerales 3) X al 5) y la comunicacin a que se refiere el Artculo 70 o c), d) y e) del inciso anterior, debern ser enviados a la Comisin con la documentacin que soporta tal evento. 51 Los reportes establecidos en los numerales 1) y 2) del X Artculo N 68, debern enviarse dentro de los siguientes tres das hbiles a la fecha en que hubiere ocurrido el evento. Los reportes establecidos en los numerales 3) al 5) del mismo, debern ser enviados con treinta (30) das de anticipacin a su entrada en funcionamiento. (CNBS). 52 La institucin tiene adecuados sistemas de deteccin y/o X Segmentacin de prevencin a nivel de todas sus redes que generen alertas la red oportunas a los administradores de la red o a los jefes de seguridad para que tomen las medidas pertinentes. (CNBS). >> SEGURIDAD LGICA <<
NO PREGUNTA SI NO N/A REFERENCIA
53 En el caso de accesos para la red de cajeros automtico y X terminales de servicio determine que se incluya por lo menos dos de los siguientes tres requisitos: 1. Algo que conoce le cliente; 2. Algo que le pertenece al clientes; y 3. Algo que identifique fsicamente al cliente. (caractersticas biomtricas, por ejemplo: huella digital, iris del ojo, la voz, etc.) 54 Efectu pruebas para verificar que el perfil de los X diferentes usuarios de banca electrnica se hayan definido con los permisos de accesos conforme con lo establecido en los contratos de servicios. (CNBS). 55 Determinar que la contrasea inicial se le otorga a los X clientes de forma personal y confidencial. (CNBS). 56 Verificar que la institucin realiza los cambios de las X contraseas de los usuarios en los siguientes casos: - Inmediatamente despus de la primera conexin el programa deber pedirle al cliente cambiar su contrasea inicial. - Peridicamente, de acuerdo al tiempo definido en la poltica de seguridad establecida por la institucin (CNBS). 57 Efectuar pruebas para verificar que la institucin cancele las contraseas de sus usuarios cuando ocurre alguno de los siguientes casos: a) Si pasa un periodo de tiempo, el cual no debe ser superior a treinta (30) das y la contrasea inicial no ha sido utilizada; Cuando el usuario la requiera o cuando la institucin sospeche que la a) contrasea fue utilizada sin la respectiva autorizacin; b) Despus de numero de intentos fallidos para entrar al sistema. Este numero deber ser definido por la institucin, el cual no deber de exceder mas de cinco (5) intentos fallidos; y c) Despus de seis (6) meses de no utilizar las contraseas en los sistemas para los que fueron creados. (CNBS). 58 La identificacin o administracin de la sesin es llevada X a cabo por la aplicacin y no por el Servidor de Internet de la institucin, la aplicacin debe generar un nmero nico y aleatorio de sesin para cada nueva sesin. (CNBS). 59 Determinar que la aplicacin elimina las sesiones X inactivas despus de terminado el tiempo mximo de inactividad requerido por la institucin. (CNBS). 60 Determinar que la pantalla de ingreso presente en los X casos de ingresos equivocados de los usuarios el mensaje de error genrico, por ejemplo: Acceso no autorizado y no presentar mensajes descriptivos como Usuario no existe o Contrasea incorrecta. (CNBS). 61 Determinar que las aplicaciones generan un archivo X donde capturen y manejen todos los mensajes y condiciones de error que puedan presentarse dentro de una sesin, incluyendo mensajes de sistema operativo o de la base de datos. Adems verifique que este archivo es analizado por el administrador de seguridad dejando constancia de dicha labor de control. (CNBS). 62 Determinar que cada acceso de banca electrnica la X pantalla muestre el cliente, detalle del tiempo de su ltima conexin y la direccin IP de donde se conecto. (CNBS). 63 El servidor de produccin o aplicaciones se encuentra X Segmentacin de separado lgicamente de los dems servidores?. (CNBS). la red 64 Para proteger sus sistemas la institucin incorpora X Proyecto de como mnimo en todas sus redes los controles de Segmentacin de la Seguridad los siguientes elementos? red y la Implementacin de un Nuevo a) Sistemas de Deteccin y/o Prevencin a nivel Directorio Activo de todas sus redes que generen alertas oportunas a los administradores de la red, para que se tomen las medidas pertinentes.
b) Un Antivirus Corporativo actualizado tanto
en las estaciones de trabajo fijas y porttiles como en los servidores.
c) Un mecanismo que actualice automticamente
los sistemas operativos, base de datos y programas de oficina. Estas actualizaciones debern probarse primero, en ambientes controlados para prevenir que la instalacin de las actualizaciones produzca interrupcin o discontinuidad de las operaciones normales de la institucin.