CUESTIONARIO DE VERIFICACIN CUMPLIMIENTO CNBS 1301-2005 AL 20/04/2012

>> ORGANIZACIN Y ADMINISTRACIN<<

NO PREGUNTA SI NO N/A REFERENCIA
1 La institucin tiene separada fsicamente y lgicamente X
los ambientes de produccin, desarrollo y pruebas?.
(CNBS).

2 Se tiene nombrado un Administrador de Seguridad X

Informtica?

3 El el Administrador de Seguridad depende de la Gerencia X Depende de la

General o de otro funcionario de alta jerarqua diferente Gerencia de
de la Jefatura del Departamento de Sistemas?. (CNBS). Riesgos
4 La Gerencia General ha nombrado un ejecutivo X Ver Descripcin
especializado, responsable de todos los asuntos del puesto de Jefe
relacionados con las tecnologas de la informacin. Este de Tecnologa de
ejecutivo deber tener al menos formacin profesional Informacin
sobre la administracin de las tecnologas de informacin
en materia de comunicaciones, sistemas operativos,
desarrollo de software, base de datos, entre otros y deber
tener experiencia comprobada en el campo de la
informtica?.(CNBS)
5 En relacin al Administrador Seguridad determine lo X Acta de
siguiente: Nombramiento-
a) Ha sido nombrado por la junta o consejo de Est por contrato.
Administracin?.
b) Depende del gerencia General y no del
responsable ejecutivo de (TIC) Para evitar conflictos de
intereses y asegurar la independencia del mismo?.
(CNBS)
6 Se ha definido por parte de la gerencia general de la X
institucin y no el responsable de TIC las
responsabilidades y funciones del jefe de seguridad de
informtica?. (CNBS)
NO PREGUNTA SI NO N/A REFERENCIA
7 El Administrador de Seguridad de Informtica cumple X No se cumple por
con las siguientes funciones y responsabilidades? no tener las
herramientas
a. Proponer a la institucin las polticas, normas y necesarias
procedimientos de seguridad informtica;
b. Documentar e implementar las polticas, normas y
procedimientos de seguridad informtica
aprobadas por la Junta o Consejo;
c. Verificar que los usuarios de los distintos
sistemas y recursos tecnolgicos cumplan con las
polticas, normas y procedimientos aprobados;
d. Tomar las acciones correctivas que garanticen la
seguridad informtica requerida, una vez que se
hayan identificado violaciones;
e. Identificar e implementar herramientas de
seguridad informtica que aseguren que la
informacin y el equipamiento, no sean utilizados
en perjuicio de la institucin y los usuarios;
f. Controlar el uso indebido de programas
(utilitarios) o herramientas que permiten la
manipulacin de los datos en los diferentes
sistemas; y,
g. Desarrollar por lo menos una vez al ao,
evaluaciones de seguridad a las tecnologas de
informacin y comunicaciones de la institucin.
(CNBS).
h. Atender oportunamente los reportes de
incidencias de seguridad, detectando el origen de
los problemas, adoptando acciones correctivas
para que no vuelvan a suceder y reportndolos a
y/o su superior o al Comit de Gestin de la
Seguridad

8 Se han previsto los recursos necesarios y una X No se ha definido

capacitacin continua para que este administrador un presupuesto
cumpla sus funciones?. (CNBS).
9 Se realizan evaluaciones de seguridad que midan la X Se present el
eficiencia de los medios de proteccin e incluir informe a la
propuestas para corregir las vulnerabilidades?. Gerencia de
Riesgos pero
Estos resultados se presentan a la gerencia general en un ignoramos si fue
reporte detallado con recomendaciones, que incluya un comunicado a la
sumario ejecutivo con los principales hallazgos. (CNBS) Gerencia
General.
NO PREGUNTA SI NO N/A REFERENCIA
10 Determinar que auditora interna realiza auditoria a la X
tecnologa de informacin y comunicacin (TIC) a fin de
verificar la integridad, disponibilidad y
confidencialidad de la informacin
11 Las personas encargadas de auditar las TIC cuentan con X No hay este tipo de
experiencia y entrenamiento calificado para llevar a cabo capacitaciones en
este tipo de auditoras basadas en las mejores prcticas el expediente
existentes tales como COBIT e ISO/IEC 27002
12 La Gerencia General provee a la auditora interna o de X
sistemas la herramientas necesarias para la realizacin y
control de ambiente de la TIC; ya que el auditor interno
es el responsable de realizar este tipo de auditoras?.
(CNBS).
13 Al realizar las auditorias de sistemas basadas en un X No se sabe el
anlisis de riesgo y cumpliendo las normativas existentes alcance de las
se incluyan al menos los factores siguientes: Auditorias de
Sistemas
a) Los usuarios externos e internos del sistema de Actuales pero no
informacin; son basadas en
b) El ambiente del sistema, la operatividad del sistema y riesgos ya que
sus implicaciones sobre el negocio; hasta ahora no
c) Los niveles de acceso y la sensibilidad de la hay una matriz de
informacin; riesgo autorizada
d) La calidad de la informacin;
e) La Tercerizacin (outsourcing); y,
f) Planes de contingencia y recuperacin ante desastres.
(CNBS)

14 La institucin cumple con el articulo N 11 de la X

Resolucin N 1301/2005 de la CNBS de resguardar los
registros previstos de las transacciones por un periodo de
5 aos y de 6 meses para los de consulta?. (CNBS).
 >> DESARROLLO DE APLICACIONES <<

NO PREGUNTA SI NO N/A REFERENCIA

15 Previo a la implantacin de cambios en el ambiente de X No se cumple por
produccin; los sistemas de alto riesgo definidos por la no tener las
administracin y los servicios financieros por medios herramientas
electrnicos se realiza una evaluacin de seguridad? necesarias ni se
comunica al rea
de Riesgos con
suficiente tiempo.
16 Se realiza una evaluacin de seguridad cuando ocurren X No se cumple por
cambios significativos en el ambiente tecnolgico en que no tener las
operan los sistemas de informacin o se implementen herramientas
nuevos sistemas?. (CNBS) necesarias ni se
comunica al rea
de Riesgos con
suficiente tiempo.
17 Se mantienen registros de los accesos, transacciones y X No se cumple por
consultas realizadas tanto a los sistemas de informacin no tener las
como a los dispositivos de seguridad?. herramientas
necesarias.
Se realicen auditorias a los mismos y se toman
Acciones correctivas. (CNBS). El nuevo core
bancario ayudar
muchsimo pero
no ser suficiente
ya que solo sern
bitcoras a nivel
de aplicativo.
18 Existen procedimientos en la administracin de registros X No se cumple por
que las alertas correspondientes para las autoridades no tener las
internas y externas, especialmente los casos externos no herramientas
autorizados y tambin aquellas actividades excepcionales necesarias.
realizadas por los diferentes tipos de usuarios. (CNBS).

19 La tercerizacin (Outsourcing) de los servicios X Ningn contrato

contratados contienen como mnimo los temas las incluye
relacionados de responsabilidad de las partes? Como ser:
introduccin, alcance del trabajo, seguridad y
confidencialidad de la informacin, etc. Contemplados en
el articulo N 39 (Contrato escrito de tercerizacin) de la
Resolucin 1301/22-11-2005 de la CNBS.
20 En los casos que existan contratos de tercerizacin X No aplica
significativa (Articulo N 38 de la Resolucin 1301/22-
11-2005 de la CNBS) se han hecho del conocimiento
previo conocimiento a la CNBS de los contratos
relacionados con:
a) Tercerizacin de sistemas centrales; y
b) Almacenamiento de informacin de
cualquier tipo, con respecto a los clientes
de la institucin, en sistemas que no se
encuentren dentro de su control exclusivo.
(CNBS).

21 Se verifican las comunicaciones efectuadas entre la X No se cumple por

institucin y la CNBS respecto a la tercerizaciones no tener las
efectuadas con el propsito de investigar anomalas de la herramientas
institucin regulada (Bancos y Financieras). (CNBS). necesarias.
 >> OPERACIONES <<

NO PREGUNTA SI NO N/A REFERENCIA

22 La institucin asigna una identificacin nica y personal X
a cualquier usuario con acceso al sistema de informacin,
como una condicin previa a la autorizacin de acceso?.
(CNBS)
23 La institucin tiene implementado las reglas y el X Proyecto
procedimiento para dicha identificacin, as como para el Directorio Activo
otorgamiento de autorizaciones a terceros que accedan a y la
los componentes de la tecnologa de informacin?. Implementacin
del Protocolo
Estas reglas toman en cuenta los riesgos derivados de las 802.1X para el
responsabilidades y autorizaciones dadas a los usuarios cual se requiere
de acuerdo a su agrupacin, as como la sensibilidad de la completar la
informacin, y los derechos a las aplicaciones y a compra de
cualquier otro componente de la tecnologa?. (CNBS). switches
administrables
24 La institucin implementa mecanismos para la X Tiene algunos
administracin, control y monitoreo de las autorizaciones pero tienen
del sistema. (CNBS). algunas
debilidades
25 La institucin utiliza tecnologas que combinen la X
identificacin y la autenticacin del usuario, con el objeto
de garantizar la confidencialidad e integridad de la
informacin, el no repudio del usuario, controlar los
accesos de alto riesgo a los sistemas de informacin, y en
todos los casos de acceso remoto a los equipos
tecnolgicos realizados por los empleados y terceros?.
(CNBS).
26 La institucin ha fijado el tiempo de expiracin de una X No todos los
sesin, cuando iniciada la misma no se hayan ejecutado dispositivos tiene
actividades despus de cierto perodo de tiempo? esta caracterstica

27 La institucin verifica la bitcora de accesos de los

auditores de la CNBS, para verificar las actividades
realizadas por estas personas en la red?,
28 Existe un plan de Contingencias en la Institucin? X

29 El plan de contingencia ha sido revisado como mnimo X

cada dos aos, as como cada vez que existan cambios
significativos?. (CNBS)
30 Se efecten simulacros peridicos por lo menos una vez X
al ao y que se deja constancia y documentacin de las
pruebas de sus procesos de respaldo y recuperacin.
(CNBS)

31 Los equipos de almacenamiento de los respaldos de X

informacin o los respaldos en s estn localizados en un
lugar distante y distinto en donde se gener la copia de la
informacin original. (CNBS)

32 La Administracin de la institucin se ha reunido al X

menos una vez por ao para discutir los principios de
respaldo y recuperacin as como tomar decisiones y
documentar detalladamente, con base en un anlisis de
riesgo, los temas sealados en el artculo No
37(principios de respaldo y recuperacin) de la
resolucin 1301/22-11-2005 de la CNBS?.

33 La institucin toma las medidas necesarias para certificar X

la identidad del sitio de Internet y evitar posibles
imitaciones?.
34 Provee y capacita a sus clientes con las metodologas y X
mecanismos apropiados de identificacin en el acceso al
sitio de Internet?. (CNBS).
35 Las conexiones a Internet por parte de los empleados est X
autorizada por la gerencia general con acceso autorizado
a las operaciones que diga esta y que dicha conexin sea
a travs de una red conectada a Internet a travs de un
servidor separado del servidor de produccin?. (CNBS)
36 La conexin de la red de la institucin hacia Internet se X Se completara el
encuentra asegurada por lo menos con: un antivirus, un 6 de Mayo al
filtro de contenido, un Sistema de Deteccin de Intrusos finalizar el
(IDS) a nivel de red y un firewall. (CNBS) Proyecto de
Segmentacin de
la red
37 Se encuentra segmentada la red de la institucin en X Se completara el
cuanto a su red interna, produccin e Internet. 6 de Mayo al
finalizar el
Proyecto de
Segmentacin de
la red
38 Se permite la descarga de archivos de Internet con la X
segmentacin adecuada?
39 El Servidor de Internet este separado fsicamente y X Proyecto de
lgicamente de los Servidores de Produccin. (CNBS) Segmentacin de
la red
40 La institucin hace firmar a los clientes de servicios de X No se tiene
banca electrnica un contrato donde se menciones Banca por
expresamente el nivel de servicio que requiere as como Internet
sus derechos y obligaciones, y lo sealado en el Articulo
N 43 (Revelacin de informacin) de la Resolucin
1301/22-11-2005 de la CNBS.

41 Determinar que la institucin utiliza eficientes X No se tiene

procedimientos para la capacitacin de los usuarios de la Banca por
banca electrnica, respecto a las seguridades que deben Internet
tener con las contraseas de acceso, medios de
identificacin, responsabilidades, riesgos, polticas de
seguridad de la institucin y sobretodo la capacitacin a
sus clientes en la creacin y administracin de
contraseas seguras y fuertes. (CNBS)
42 Determine que las operaciones a favor de terceros que X No se tiene
realizan los clientes por medios de servicio de banca Banca por
electrnica estn sujetos a techos o topes e informacin Internet
bsica exigida en el articulo N 61 y 62 de la Resolucin
1301/22-11-2005 de la CNBS.
43 Verificar que la institucin tiene mecanismos adecuados X No se tiene
de verificacin previos a la actualizacin de la Banca por
informacin particular o personal del cliente Internet
(mecanismos automatizados o manuales) que hace uso de
los servicios de banca electrnica. (CNBS).
44 Verificar que la institucin mantenga almacenado por X
medios electrnicos una lista de beneficiarios por cada
cliente que usa el servicio de Banca Electrnica. (CNBS).
45 Determinar que lista de beneficiarios por cada cliente es X
aprobada y actualizada por el mismo utilizando medios
como el envi directo a la institucin o en forma
electrnica segn lo considere ms conveniente la
institucin, este envi estar condicionado a la utilizacin
de tecnologa segura aprobada por la CNBS. Asimismo
verificar que la institucin informe a sus clientes las
implicaciones en caso de que el cliente no mantenga
actualiza la lista. (CNBS).
46 Verificar que la institucin cuente con un procedimiento X
formalizado para mantener comunicacin electrnica con
los clientes. (CNBS).
47 La institucin tiene mecanismos o medios que le X Certificados
permiten determinar inequvocamente si el cliente recibi Digitales
informacin por medio de correo electrnico?. (CNBS).
48 La institucin sobre operaciones especiales lleva X
registros estadsticos y comunica a la CNBS los eventos
excepcionales?.
49 Los reportes sealados en los numerales 1) y 2) del X
Artculo N 68 de la Resolucin 1301/22-11-2005 de la
CNBS o a) y b) del inciso anterior, debern ser
registrados utilizando el Programa de Reporte de Eventos
que est a disposicin de las instituciones supervisadas
en la red de interconexin financiera de la CNBS.
50 Los reportes mencionados en el Artculo 68 numerales 3) X
al 5) y la comunicacin a que se refiere el Artculo 70 o
c), d) y e) del inciso anterior, debern ser enviados a la
Comisin con la documentacin que soporta tal evento.
51 Los reportes establecidos en los numerales 1) y 2) del X
Artculo N 68, debern enviarse dentro de los siguientes
tres das hbiles a la fecha en que hubiere ocurrido el
evento. Los reportes establecidos en los numerales 3) al
5) del mismo, debern ser enviados con treinta (30) das
de anticipacin a su entrada en funcionamiento. (CNBS).
52 La institucin tiene adecuados sistemas de deteccin y/o X Segmentacin de
prevencin a nivel de todas sus redes que generen alertas la red
oportunas a los administradores de la red o a los jefes de
seguridad para que tomen las medidas pertinentes.
(CNBS).
 >> SEGURIDAD LGICA <<

NO PREGUNTA SI NO N/A REFERENCIA

53 En el caso de accesos para la red de cajeros automtico y X
terminales de servicio determine que se incluya por lo
menos dos de los siguientes tres requisitos:
1. Algo que conoce le cliente;
2. Algo que le pertenece al clientes; y
3. Algo que identifique fsicamente al cliente.
(caractersticas biomtricas, por ejemplo: huella
digital, iris del ojo, la voz, etc.)
54 Efectu pruebas para verificar que el perfil de los X
diferentes usuarios de banca electrnica se hayan
definido con los permisos de accesos conforme con lo
establecido en los contratos de servicios. (CNBS).
55 Determinar que la contrasea inicial se le otorga a los X
clientes de forma personal y confidencial. (CNBS).
56 Verificar que la institucin realiza los cambios de las X
contraseas de los usuarios en los siguientes casos:
- Inmediatamente despus de la primera conexin
el programa deber pedirle al cliente cambiar su
contrasea inicial.
- Peridicamente, de acuerdo al tiempo definido en
la poltica de seguridad establecida por la
institucin (CNBS).
57 Efectuar pruebas para verificar que la institucin cancele
las contraseas de sus usuarios cuando ocurre alguno de
los siguientes casos:
a) Si pasa un periodo de tiempo, el cual no
debe ser superior a treinta (30) das y la
contrasea inicial no ha sido utilizada;
Cuando el usuario la requiera o cuando la institucin
sospeche que la
a) contrasea fue utilizada sin la respectiva
autorizacin;
b) Despus de numero de intentos fallidos
para entrar al sistema. Este numero deber
ser definido por la institucin, el cual no
deber de exceder mas de cinco (5)
intentos fallidos; y
c) Despus de seis (6) meses de no utilizar
las contraseas en los sistemas para los
que fueron creados. (CNBS).
58 La identificacin o administracin de la sesin es llevada X
a cabo por la aplicacin y no por el Servidor de Internet
de la institucin, la aplicacin debe generar un nmero
nico y aleatorio de sesin para cada nueva sesin.
(CNBS).
59 Determinar que la aplicacin elimina las sesiones X
inactivas despus de terminado el tiempo mximo de
inactividad requerido por la institucin. (CNBS).
60 Determinar que la pantalla de ingreso presente en los X
casos de ingresos equivocados de los usuarios el mensaje
de error genrico, por ejemplo: Acceso no autorizado y
no presentar mensajes descriptivos como Usuario no
existe o Contrasea incorrecta. (CNBS).
61 Determinar que las aplicaciones generan un archivo X
donde capturen y manejen todos los mensajes y
condiciones de error que puedan presentarse dentro de
una sesin, incluyendo mensajes de sistema operativo o
de la base de datos. Adems verifique que este archivo es
analizado por el administrador de seguridad dejando
constancia de dicha labor de control. (CNBS).
62 Determinar que cada acceso de banca electrnica la X
pantalla muestre el cliente, detalle del tiempo de su
ltima conexin y la direccin IP de donde se conecto.
(CNBS).
63 El servidor de produccin o aplicaciones se encuentra X Segmentacin de
separado lgicamente de los dems servidores?. (CNBS). la red
64 Para proteger sus sistemas la institucin incorpora X Proyecto de
como mnimo en todas sus redes los controles de Segmentacin de la
Seguridad los siguientes elementos? red y la
Implementacin de
un Nuevo
a) Sistemas de Deteccin y/o Prevencin a nivel
Directorio Activo
de todas sus redes que generen alertas
oportunas a los administradores de la red, para
que se tomen las medidas pertinentes.

b) Un Antivirus Corporativo actualizado tanto

en las estaciones de trabajo fijas y porttiles
como en los servidores.

c) Un mecanismo que actualice automticamente

los sistemas operativos, base de datos y
programas de oficina. Estas actualizaciones
debern probarse primero, en ambientes
controlados para prevenir que la instalacin
de las actualizaciones produzca interrupcin o
discontinuidad de las operaciones normales de
la institucin.