Upload
aalfonsop
View
222
Download
0
Embed Size (px)
Citation preview
7/23/2019 Cuestionario de Verificacin Cumplimiento Cnbs 1301-2005
1/12
CUESTIONARIO DE VERIFICACIN CUMPLIMIENTO CNBS 1301-2005 AL 20/04/2012
>> ORGANIZACIN Y ADMINISTRACIN ORGANIZACIN Y ADMINISTRACIN
7/23/2019 Cuestionario de Verificacin Cumplimiento Cnbs 1301-2005
2/12
NO PREGUNTA SI NO N/A REFERENCIA7 #l dministrador de Seguridad de !nform"tica cumple
con las siguientes funciones y responsabilidades?
a. 3roponer a la institucin las polticas, normas y
procedimientos de seguridad inform"tica5b. ocumentar e implementar las polticas, normas
y procedimientos de seguridad inform"tica
aprobadas por la 'unta o Conse%o5
c. /erificar &ue los usuarios de los distintos sistemasy recursos tecnolgicos cumplan con las polticas,
normas y procedimientos aprobados5
d. 0omar las acciones correcti+as &ue garanticen la
seguridad inform"tica re&uerida, una +e &ue se
*ayan identificado +iolaciones5
e. !dentificar e implementar *erramientas de
seguridad inform"tica &ue aseguren &ue la
informacin y el e&uipamiento, no sean utiliadosen per%uicio de la institucin y los usuarios5
f. Controlar el uso indebido de programas
(utilitarios) o *erramientas &ue permiten la
manipulacin de los datos en los diferentessistemas5 y,
g. esarrollar por lo menos una +e al a6o,
e+aluaciones de seguridad a las tecnologas de
informacin y comunicaciones de la institucin.(CNBS).
! tender oportunamente los reportes deincidencias de seguridad, detectando el origen de
los problemas, adoptando acciones correcti+aspara &ue no +uel+an a suceder y report"ndolos a
y7o su superior o al Comit8 de $estin de la
Seguridad
X No se cumple pno tener las*erramientas
necesarias
" Se *an pre+isto los recursos necesarios y unacapacitacin continua para &ue este administrador
cumpla sus funciones?. (CNBS).
X No se *a definidun presupuesto
7/23/2019 Cuestionario de Verificacin Cumplimiento Cnbs 1301-2005
3/12
# Se realian e+aluaciones de seguridad &ue midan laeficiencia de los medios de proteccin e incluir
propuestas para corregir las +ulnerabilidades?.
#stos resultados se presentan a la gerencia general en un
reporte detallado con recomendaciones, &ue incluya unsumario e%ecuti+o con los principales *allagos. (CNBS)
X Se present elinforme a la
$erencia de
iesgos pero
ignoramos si fu
comunicado a la$erencia
$eneral.
NO PREGUNTA SI NO N/A REFERENCIA10 eterminar &ue auditora interna realia auditoria a la
tecnologa de informacin y comunicacin (0!C) a fin de+erificar la integridad, disponibilidad y
confidencialidad de la informacin
X
11 Las personas encargadas de auditar las 0!C cuentan coneperiencia y entrenamiento calificado para lle+ar a cabo
este tipo de auditoras basadas en las me%ores pr"cticas
eistentes tales como C9B!0 e !S97!#C : ;
7/23/2019 Cuestionario de Verificacin Cumplimiento Cnbs 1301-2005
4/12
14 La institucin cumple con el articulo N 11 de laesolucin N> @=7;==A de la CNBS de resguardar los
registros pre+istos de las transacciones por un periodo de
A a6os y de meses para los de consulta?. (CNBS).
X
>> DESARROLLO DE APLICACIONES DESARROLLO DE APLICACIONES
7/23/2019 Cuestionario de Verificacin Cumplimiento Cnbs 1301-2005
5/12
17 Se mantienen registros de los accesos, transacciones yconsultas realiadas tanto a los sistemas de informacin
como a los dispositi+os de seguridad?.
Se realicen auditorias a los mismos y se toman
cciones correcti+as. (CNBS).
X No se cumple pno tener las
*erramientas
necesarias.
#l nue+o corebancario ayudar
muc*simo perono ser" suficien
ya &ue solo ser"
bit"coras a ni+ede aplicati+o.
1" #isten procedimientos en la administracin de registros&ue las alertas correspondientes para las autoridades
internas y eternas, especialmente los casos eternos no
autoriados y tambi8n a&uellas acti+idades ecepcionales
realiadas por los diferentes tipos de usuarios. (CNBS).
X No se cumple pno tener las
*erramientas
necesarias.
1# La terceriacin (9utsourcing) de los ser+icioscontratados contienen como mnimo los temas
relacionados de responsabilidad de las partes? Como ser1
introduccin, alcance del traba%o, seguridad y
confidencialidad de la informacin, etc. Contemplados enel articulo N> @ (Contrato escrito de terceriacin) de la
esolucin @=7;;44;==A de la CNBS.
X NingDn contratolas incluye
20 #n los casos &ue eistan contratos de terceriacinsignificati+a (rticulo N> @E de la esolucin @=7;;4
4;==A de la CNBS) se *an *ec*o del conocimientopre+io conocimiento a la CNBS de los contratos
relacionados con1
a) 0erceriacin de sistemas centrales5 yb) lmacenamiento de informacin de
cual&uier tipo, con respecto a los clientes
de la institucin, en sistemas &ue no se
encuentren dentro de su control eclusi+o.(CNBS).
X No aplica
21 Se +erifican las comunicaciones efectuadas entre la
institucin y la CNBS respecto a la terceriacionesefectuadas con el propsito de in+estigar anomalas de lainstitucin regulada (Bancos y Financieras). (CNBS).
X No se cumple p
no tener las*erramientasnecesarias.
7/23/2019 Cuestionario de Verificacin Cumplimiento Cnbs 1301-2005
6/12
>> OPERACIONES OPERACIONES
7/23/2019 Cuestionario de Verificacin Cumplimiento Cnbs 1301-2005
7/12
24 La institucin implementa mecanismos para laadministracin, control y monitoreo de las autoriaciones
del sistema. (CNBS).
X 0iene algunospero tienen
algunas
debilidades
25 La institucin utilia tecnologas &ue combinen la
identificacin y la autenticacin del usuario, con elob%eto de garantiar la confidencialidad e integridad de lainformacin, el no repudio del usuario, controlar los
accesos de alto riesgo a los sistemas de informacin, y en
todos los casos de acceso remoto a los e&uipos
tecnolgicos realiados por los empleados y terceros?.(CNBS).
X
26 La institucin *a fi%ado el tiempo de epiracin de unasesin, cuando iniciada la misma no se *ayan e%ecutado
acti+idades despu8s de cierto perodo de tiempo?
X No todos losdispositi+os tien
esta caractersti
27 La institucin +erifica la bit"cora de accesos de losauditores de la CNBS, para +erificar las acti+idadesrealiadas por estas personas en la red?,
2" #iste un plan de Contingencias en la !nstitucin? X
2# #l plan de contingencia *a sido re+isado como mnimocada dos a6os, as como cada +e &ue eistan cambiossignificati+os?. (CNBS)
X
30 Se efectDen simulacros peridicos por lo menos una +eal a6o y &ue se de%a constancia y documentacin de las
pruebas de sus procesos de respaldo y recuperacin.
(CNBS)
X
31 Los e&uipos de almacenamiento de los respaldos deinformacin o los respaldos en s est"n localiados en un
lugar distante y distinto en donde se gener la copia de la
informacin original. (CNBS)
X
32 La dministracin de la institucin se *a reunido almenos una +e por a6o para discutir los principios derespaldo y recuperacin as como tomar decisiones y
documentar detalladamente, con base en un an"lisis de
riesgo, los temas se6alados en el artculo No@
7/23/2019 Cuestionario de Verificacin Cumplimiento Cnbs 1301-2005
8/12
34 3ro+ee y capacita a sus clientes con las metodologas ymecanismos apropiados de identificacin en el acceso al
sitio de !nternet?. (CNBS).
X
35 Las coneiones a !nternet por parte de los empleados est"autoriada por la gerencia general con acceso autoriado
a las operaciones &ue diga esta y &ue dic*a conein seaa tra+8s de una red conectada a !nternet a tra+8s de unser+idor separado del ser+idor de produccin?. (CNBS)
X
36 La conein de la red de la institucin *acia !nternet seencuentra asegurada por lo menos con1 un anti+irus, un
filtro de contenido, un Sistema de eteccin de !ntrusos
(!S) a ni+el de red y un fire-all. (CNBS)
X Se completara e de Hayo al
finaliar el
3royecto deSegmentacin d
la red
37 Se encuentra segmentada la red de la institucin encuanto a su red interna, produccin e !nternet.
X Se completara e de Hayo al
finaliar el3royecto deSegmentacin d
la red
3" Se permite la descarga de arc*i+os de !nternet con lasegmentacin adecuada?
X
3# #l Ser+idor de !nternet este separado fsicamente ylgicamente de los Ser+idores de 3roduccin. (CNBS)
X 3royecto deSegmentacin d
la red
40 La institucin *ace firmar a los clientes de ser+icios debanca electrnica un contrato donde se menciones
epresamente el ni+el de ser+icio &ue re&uiere as comosus derec*os y obligaciones, y lo se6alado en el rticulo
N> I@ (e+elacin de informacin) de la esolucin
@=7;;44;==A de la CNBS.
X No se tieneBanca por
!nternet
41 eterminar &ue la institucin utilia eficientesprocedimientos para la capacitacin de los usuarios de labanca electrnica, respecto a las seguridades &ue deben
tener con las contrase6as de acceso, medios de
identificacin, responsabilidades, riesgos, polticas deseguridad de la institucin y sobretodo la capacitacin a
sus clientes en la creacin y administracin decontrase6as seguras y fuertes. (CNBS)
X No se tieneBanca por!nternet
42 etermine &ue las operaciones a fa+or de terceros &uerealian los clientes por medios de ser+icio de banca
electrnica est8n su%etos a tec*os o topes e informacinb"sica eigida en el articulo N> y ; de la esolucin
@=7;;44;==A de la CNBS.
X No se tieneBanca por
!nternet
7/23/2019 Cuestionario de Verificacin Cumplimiento Cnbs 1301-2005
9/12
43 /erificar &ue la institucin tiene mecanismos adecuadosde +erificacin pre+ios a la actualiacin de la
informacin particular o personal del cliente
(mecanismos automatiados o manuales) &ue *ace uso de
los ser+icios de banca electrnica. (CNBS).
X No se tieneBanca por
!nternet
44 /erificar &ue la institucin mantenga almacenado pormedios electrnicos una lista de beneficiarios por cadacliente &ue usa el ser+icio de Banca #lectrnica. (CNBS).
X
45 eterminar &ue lista de beneficiarios por cada cliente esaprobada y actualiada por el mismo utiliando medios
como el en+i directo a la institucin o en forma
electrnica segDn lo considere m"s con+eniente lainstitucin, este en+i estar" condicionado a la utiliacin
de tecnologa segura aprobada por la CNBS. simismo
+erificar &ue la institucin informe a sus clientes las
implicaciones en caso de &ue el cliente no mantenga
actualia la lista. (CNBS).
X
46 /erificar &ue la institucin cuente con un procedimientoformaliado para mantener comunicacin electrnica con
los clientes. (CNBS).
X
47 La institucin tiene mecanismos o medios &ue lepermiten determinar ine&u+ocamente si el cliente recibi
informacin por medio de correo electrnico?. (CNBS).
X Certificadosigitales
4" La institucin sobre operaciones especiales lle+aregistros estadsticos y comunica a la CNBS los e+entos
ecepcionales?.
X
4# Los reportes se6alados en los numerales ) y ;) del
rtculo N> E de la esolucin @=7;;44;==A de laCNBS o a) y b) del inciso anterior, deber"n ser
registrados utiliando el 3rograma de eporte de #+entos
&ue est" a disposicin de las instituciones super+isadasen la red de interconein financiera de la CNBS.
X
50 Los reportes mencionados en el rtculo E numerales @)al A) y la comunicacin a &ue se refiere el rtculo
7/23/2019 Cuestionario de Verificacin Cumplimiento Cnbs 1301-2005
10/12
52 La institucin tiene adecuados sistemas de deteccin y7opre+encin a ni+el de todas sus redes &ue generen alertas
oportunas a los administradores de la red o a los %efes de
seguridad para &ue tomen las medidas pertinentes.
(CNBS).
X Segmentacin dla red
>> SEGURIDAD LGICA SEGURIDAD LGICA
7/23/2019 Cuestionario de Verificacin Cumplimiento Cnbs 1301-2005
11/12
55 eterminar &ue la contrase6a inicial se le otorga a losclientes de forma personal y confidencial. (CNBS).
X
56 /erificar &ue la institucin realia los cambios de lascontrase6as de los usuarios en los siguientes casos1
4 !nmediatamente despu8s de la primera conein
el programa deber" pedirle al cliente cambiar sucontrase6a inicial.
- 3eridicamente, de acuerdo al tiempo definido enla poltica de seguridad establecida por la
institucin (CNBS).
X
57 #fectuar pruebas para +erificar &ue la institucin cancelelas contrase6as de sus usuarios cuando ocurre alguno de
los siguientes casos1&% Si pasa un periodo de tiempo, el cual no
debe ser superior a treinta (@=) das y la
contrase6a inicial no *a sido utiliada5
Cuando el usuario la re&uiera o cuando la institucinsospec*e &ue la
&% contrase6a fue utiliada sin la respecti+aautoriacin5
'% espu8s de numero de intentos fallidospara entrar al sistema. #ste numero deber"
ser definido por la institucin, el cual nodeber" de eceder mas de cinco (A)
intentos fallidos5 y
(% espu8s de seis () meses de no utiliarlas contrase6as en los sistemas para los
&ue fueron creados. (CNBS).5" La identificacin o administracin de la sesin es lle+ada
a cabo por la aplicacin y no por el Ser+idor de !nternet
de la institucin, la aplicacin debe generar un nDmero
Dnico y aleatorio de sesin para cada nue+a sesin.
(CNBS).
X
5# eterminar &ue la aplicacin elimina las sesionesinacti+as despu8s de terminado el tiempo m"imo deinacti+idad re&uerido por la institucin. (CNBS).
X
60 eterminar &ue la pantalla de ingreso presente en loscasos de ingresos e&ui+ocados de los usuarios el mensa%e
de error gen8rico, por e%emplo1 Jcceso no autoriadoK yno presentar mensa%es descripti+os como Jsuario noeisteK o JContrase6a incorrectaK. (CNBS).
X
7/23/2019 Cuestionario de Verificacin Cumplimiento Cnbs 1301-2005
12/12
61 eterminar &ue las aplicaciones generan un arc*i+odonde capturen y mane%en todos los mensa%es y
condiciones de error &ue puedan presentarse dentro de
una sesin, incluyendo mensa%es de sistema operati+o o
de la base de datos. dem"s +erifi&ue &ue este arc*i+o es
analiado por el administrador de seguridad de%andoconstancia de dic*a labor de control. (CNBS).
X
62 eterminar &ue cada acceso de banca electrnica lapantalla muestre el cliente, detalle del tiempo de su
Dltima conein y la direccin !3 de donde se conecto.(CNBS).
X
63 #l ser+idor de produccin o aplicaciones se encuentraseparado lgicamente de los dem"s ser+idores?. (CNBS).
G Segmentacin dla red
64 3ara proteger sus sistemas la institucin incorporacomo mnimo en todas sus redes los controles deSeguridad los siguientes elementos?
a) Sistemas de eteccin y7o 3re+encin a ni+el
de todas sus redes &ue generen alertas
oportunas a los administradores de la red, para&ue se tomen las medidas pertinentes.
b) n nti+irus Corporati+o actualiado tanto en
las estaciones de traba%o fi%as y port"tiles
como en los ser+idores.
c) n mecanismo &ue actualice
autom"ticamente los sistemas operati+os, basede datos y programas de oficina. #stas
actualiaciones deber"n probarse primero, enambientes controlados para pre+enir &ue la
instalacin de las actualiaciones produca
interrupcin o discontinuidad de lasoperaciones normales de la institucin.
G 3royecto deSegmentacin de
red y la
!mplementacin dun Nue+o
irectorio cti+o