Cuestionario de Verificación Cumplimiento Cnbs 1301-2005

7/23/2019 Cuestionario de Verificacin Cumplimiento Cnbs 1301-2005

1/12

CUESTIONARIO DE VERIFICACIN CUMPLIMIENTO CNBS 1301-2005 AL 20/04/2012

>> ORGANIZACIN Y ADMINISTRACIN ORGANIZACIN Y ADMINISTRACIN


2/12

NO PREGUNTA SI NO N/A REFERENCIA7 #l dministrador de Seguridad de !nform"tica cumple

con las siguientes funciones y responsabilidades?

a. 3roponer a la institucin las polticas, normas y

procedimientos de seguridad inform"tica5b. ocumentar e implementar las polticas, normas

y procedimientos de seguridad inform"tica

aprobadas por la 'unta o Conse%o5

c. /erificar &ue los usuarios de los distintos sistemasy recursos tecnolgicos cumplan con las polticas,

normas y procedimientos aprobados5

d. 0omar las acciones correcti+as &ue garanticen la

seguridad inform"tica re&uerida, una +e &ue se

*ayan identificado +iolaciones5

e. !dentificar e implementar *erramientas de

seguridad inform"tica &ue aseguren &ue la

informacin y el e&uipamiento, no sean utiliadosen per%uicio de la institucin y los usuarios5

f. Controlar el uso indebido de programas

(utilitarios) o *erramientas &ue permiten la

manipulacin de los datos en los diferentessistemas5 y,

g. esarrollar por lo menos una +e al a6o,

e+aluaciones de seguridad a las tecnologas de

informacin y comunicaciones de la institucin.(CNBS).

! tender oportunamente los reportes deincidencias de seguridad, detectando el origen de

los problemas, adoptando acciones correcti+aspara &ue no +uel+an a suceder y report"ndolos a

y7o su superior o al Comit8 de $estin de la

Seguridad

X No se cumple pno tener las*erramientas

necesarias

" Se *an pre+isto los recursos necesarios y unacapacitacin continua para &ue este administrador

cumpla sus funciones?. (CNBS).

X No se *a definidun presupuesto


3/12

# Se realian e+aluaciones de seguridad &ue midan laeficiencia de los medios de proteccin e incluir

propuestas para corregir las +ulnerabilidades?.

#stos resultados se presentan a la gerencia general en un

reporte detallado con recomendaciones, &ue incluya unsumario e%ecuti+o con los principales *allagos. (CNBS)

X Se present elinforme a la

$erencia de

iesgos pero

ignoramos si fu

comunicado a la$erencia

$eneral.

NO PREGUNTA SI NO N/A REFERENCIA10 eterminar &ue auditora interna realia auditoria a la

tecnologa de informacin y comunicacin (0!C) a fin de+erificar la integridad, disponibilidad y

confidencialidad de la informacin

X

11 Las personas encargadas de auditar las 0!C cuentan coneperiencia y entrenamiento calificado para lle+ar a cabo

este tipo de auditoras basadas en las me%ores pr"cticas

eistentes tales como C9B!0 e !S97!#C : ;


4/12

14 La institucin cumple con el articulo N 11 de laesolucin N> @=7;==A de la CNBS de resguardar los

registros pre+istos de las transacciones por un periodo de

A a6os y de meses para los de consulta?. (CNBS).

X

>> DESARROLLO DE APLICACIONES DESARROLLO DE APLICACIONES


5/12

17 Se mantienen registros de los accesos, transacciones yconsultas realiadas tanto a los sistemas de informacin

como a los dispositi+os de seguridad?.

Se realicen auditorias a los mismos y se toman

cciones correcti+as. (CNBS).

X No se cumple pno tener las

*erramientas

necesarias.

#l nue+o corebancario ayudar

muc*simo perono ser" suficien

ya &ue solo ser"

bit"coras a ni+ede aplicati+o.

1" #isten procedimientos en la administracin de registros&ue las alertas correspondientes para las autoridades

internas y eternas, especialmente los casos eternos no

autoriados y tambi8n a&uellas acti+idades ecepcionales

realiadas por los diferentes tipos de usuarios. (CNBS).

X No se cumple pno tener las

*erramientas

necesarias.

1# La terceriacin (9utsourcing) de los ser+icioscontratados contienen como mnimo los temas

relacionados de responsabilidad de las partes? Como ser1

introduccin, alcance del traba%o, seguridad y

confidencialidad de la informacin, etc. Contemplados enel articulo N> @ (Contrato escrito de terceriacin) de la

esolucin @=7;;44;==A de la CNBS.

X NingDn contratolas incluye

20 #n los casos &ue eistan contratos de terceriacinsignificati+a (rticulo N> @E de la esolucin @=7;;4

4;==A de la CNBS) se *an *ec*o del conocimientopre+io conocimiento a la CNBS de los contratos

relacionados con1

a) 0erceriacin de sistemas centrales5 yb) lmacenamiento de informacin de

cual&uier tipo, con respecto a los clientes

de la institucin, en sistemas &ue no se

encuentren dentro de su control eclusi+o.(CNBS).

X No aplica

21 Se +erifican las comunicaciones efectuadas entre la

institucin y la CNBS respecto a la terceriacionesefectuadas con el propsito de in+estigar anomalas de lainstitucin regulada (Bancos y Financieras). (CNBS).

X No se cumple p

no tener las*erramientasnecesarias.


6/12

>> OPERACIONES OPERACIONES


7/12

24 La institucin implementa mecanismos para laadministracin, control y monitoreo de las autoriaciones

del sistema. (CNBS).

X 0iene algunospero tienen

algunas

debilidades

25 La institucin utilia tecnologas &ue combinen la

identificacin y la autenticacin del usuario, con elob%eto de garantiar la confidencialidad e integridad de lainformacin, el no repudio del usuario, controlar los

accesos de alto riesgo a los sistemas de informacin, y en

todos los casos de acceso remoto a los e&uipos

tecnolgicos realiados por los empleados y terceros?.(CNBS).

X

26 La institucin *a fi%ado el tiempo de epiracin de unasesin, cuando iniciada la misma no se *ayan e%ecutado

acti+idades despu8s de cierto perodo de tiempo?

X No todos losdispositi+os tien

esta caractersti

27 La institucin +erifica la bit"cora de accesos de losauditores de la CNBS, para +erificar las acti+idadesrealiadas por estas personas en la red?,

2" #iste un plan de Contingencias en la !nstitucin? X

2# #l plan de contingencia *a sido re+isado como mnimocada dos a6os, as como cada +e &ue eistan cambiossignificati+os?. (CNBS)

X

30 Se efectDen simulacros peridicos por lo menos una +eal a6o y &ue se de%a constancia y documentacin de las

pruebas de sus procesos de respaldo y recuperacin.

(CNBS)

X

31 Los e&uipos de almacenamiento de los respaldos deinformacin o los respaldos en s est"n localiados en un

lugar distante y distinto en donde se gener la copia de la

informacin original. (CNBS)

X

32 La dministracin de la institucin se *a reunido almenos una +e por a6o para discutir los principios derespaldo y recuperacin as como tomar decisiones y

documentar detalladamente, con base en un an"lisis de

riesgo, los temas se6alados en el artculo No@


8/12

34 3ro+ee y capacita a sus clientes con las metodologas ymecanismos apropiados de identificacin en el acceso al

sitio de !nternet?. (CNBS).

X

35 Las coneiones a !nternet por parte de los empleados est"autoriada por la gerencia general con acceso autoriado

a las operaciones &ue diga esta y &ue dic*a conein seaa tra+8s de una red conectada a !nternet a tra+8s de unser+idor separado del ser+idor de produccin?. (CNBS)

X

36 La conein de la red de la institucin *acia !nternet seencuentra asegurada por lo menos con1 un anti+irus, un

filtro de contenido, un Sistema de eteccin de !ntrusos

(!S) a ni+el de red y un fire-all. (CNBS)

X Se completara e de Hayo al

finaliar el

3royecto deSegmentacin d

la red

37 Se encuentra segmentada la red de la institucin encuanto a su red interna, produccin e !nternet.

X Se completara e de Hayo al

finaliar el3royecto deSegmentacin d

la red

3" Se permite la descarga de arc*i+os de !nternet con lasegmentacin adecuada?

X

3# #l Ser+idor de !nternet este separado fsicamente ylgicamente de los Ser+idores de 3roduccin. (CNBS)

X 3royecto deSegmentacin d

la red

40 La institucin *ace firmar a los clientes de ser+icios debanca electrnica un contrato donde se menciones

epresamente el ni+el de ser+icio &ue re&uiere as comosus derec*os y obligaciones, y lo se6alado en el rticulo

N> I@ (e+elacin de informacin) de la esolucin

@=7;;44;==A de la CNBS.

X No se tieneBanca por

!nternet

41 eterminar &ue la institucin utilia eficientesprocedimientos para la capacitacin de los usuarios de labanca electrnica, respecto a las seguridades &ue deben

tener con las contrase6as de acceso, medios de

identificacin, responsabilidades, riesgos, polticas deseguridad de la institucin y sobretodo la capacitacin a

sus clientes en la creacin y administracin decontrase6as seguras y fuertes. (CNBS)

X No se tieneBanca por!nternet

42 etermine &ue las operaciones a fa+or de terceros &uerealian los clientes por medios de ser+icio de banca

electrnica est8n su%etos a tec*os o topes e informacinb"sica eigida en el articulo N> y ; de la esolucin

@=7;;44;==A de la CNBS.


!nternet


9/12

43 /erificar &ue la institucin tiene mecanismos adecuadosde +erificacin pre+ios a la actualiacin de la

informacin particular o personal del cliente

(mecanismos automatiados o manuales) &ue *ace uso de

los ser+icios de banca electrnica. (CNBS).


!nternet

44 /erificar &ue la institucin mantenga almacenado pormedios electrnicos una lista de beneficiarios por cadacliente &ue usa el ser+icio de Banca #lectrnica. (CNBS).

X

45 eterminar &ue lista de beneficiarios por cada cliente esaprobada y actualiada por el mismo utiliando medios

como el en+i directo a la institucin o en forma

electrnica segDn lo considere m"s con+eniente lainstitucin, este en+i estar" condicionado a la utiliacin

de tecnologa segura aprobada por la CNBS. simismo

+erificar &ue la institucin informe a sus clientes las

implicaciones en caso de &ue el cliente no mantenga

actualia la lista. (CNBS).

X

46 /erificar &ue la institucin cuente con un procedimientoformaliado para mantener comunicacin electrnica con

los clientes. (CNBS).

X

47 La institucin tiene mecanismos o medios &ue lepermiten determinar ine&u+ocamente si el cliente recibi

informacin por medio de correo electrnico?. (CNBS).

X Certificadosigitales

4" La institucin sobre operaciones especiales lle+aregistros estadsticos y comunica a la CNBS los e+entos

ecepcionales?.

X

4# Los reportes se6alados en los numerales ) y ;) del

rtculo N> E de la esolucin @=7;;44;==A de laCNBS o a) y b) del inciso anterior, deber"n ser

registrados utiliando el 3rograma de eporte de #+entos

&ue est" a disposicin de las instituciones super+isadasen la red de interconein financiera de la CNBS.

X

50 Los reportes mencionados en el rtculo E numerales @)al A) y la comunicacin a &ue se refiere el rtculo


10/12

52 La institucin tiene adecuados sistemas de deteccin y7opre+encin a ni+el de todas sus redes &ue generen alertas

oportunas a los administradores de la red o a los %efes de

seguridad para &ue tomen las medidas pertinentes.

(CNBS).

X Segmentacin dla red

>> SEGURIDAD LGICA SEGURIDAD LGICA


11/12

55 eterminar &ue la contrase6a inicial se le otorga a losclientes de forma personal y confidencial. (CNBS).

X

56 /erificar &ue la institucin realia los cambios de lascontrase6as de los usuarios en los siguientes casos1

4 !nmediatamente despu8s de la primera conein

el programa deber" pedirle al cliente cambiar sucontrase6a inicial.

- 3eridicamente, de acuerdo al tiempo definido enla poltica de seguridad establecida por la

institucin (CNBS).

X

57 #fectuar pruebas para +erificar &ue la institucin cancelelas contrase6as de sus usuarios cuando ocurre alguno de

los siguientes casos1&% Si pasa un periodo de tiempo, el cual no

debe ser superior a treinta (@=) das y la

contrase6a inicial no *a sido utiliada5

Cuando el usuario la re&uiera o cuando la institucinsospec*e &ue la

&% contrase6a fue utiliada sin la respecti+aautoriacin5

'% espu8s de numero de intentos fallidospara entrar al sistema. #ste numero deber"

ser definido por la institucin, el cual nodeber" de eceder mas de cinco (A)

intentos fallidos5 y

(% espu8s de seis () meses de no utiliarlas contrase6as en los sistemas para los

&ue fueron creados. (CNBS).5" La identificacin o administracin de la sesin es lle+ada

a cabo por la aplicacin y no por el Ser+idor de !nternet

de la institucin, la aplicacin debe generar un nDmero

Dnico y aleatorio de sesin para cada nue+a sesin.

(CNBS).

X

5# eterminar &ue la aplicacin elimina las sesionesinacti+as despu8s de terminado el tiempo m"imo deinacti+idad re&uerido por la institucin. (CNBS).

X

60 eterminar &ue la pantalla de ingreso presente en loscasos de ingresos e&ui+ocados de los usuarios el mensa%e

de error gen8rico, por e%emplo1 Jcceso no autoriadoK yno presentar mensa%es descripti+os como Jsuario noeisteK o JContrase6a incorrectaK. (CNBS).

X


12/12

61 eterminar &ue las aplicaciones generan un arc*i+odonde capturen y mane%en todos los mensa%es y

condiciones de error &ue puedan presentarse dentro de

una sesin, incluyendo mensa%es de sistema operati+o o

de la base de datos. dem"s +erifi&ue &ue este arc*i+o es

analiado por el administrador de seguridad de%andoconstancia de dic*a labor de control. (CNBS).

X

62 eterminar &ue cada acceso de banca electrnica lapantalla muestre el cliente, detalle del tiempo de su

Dltima conein y la direccin !3 de donde se conecto.(CNBS).

X

63 #l ser+idor de produccin o aplicaciones se encuentraseparado lgicamente de los dem"s ser+idores?. (CNBS).

G Segmentacin dla red

64 3ara proteger sus sistemas la institucin incorporacomo mnimo en todas sus redes los controles deSeguridad los siguientes elementos?

a) Sistemas de eteccin y7o 3re+encin a ni+el

de todas sus redes &ue generen alertas

oportunas a los administradores de la red, para&ue se tomen las medidas pertinentes.

b) n nti+irus Corporati+o actualiado tanto en

las estaciones de traba%o fi%as y port"tiles

como en los ser+idores.

c) n mecanismo &ue actualice

autom"ticamente los sistemas operati+os, basede datos y programas de oficina. #stas

actualiaciones deber"n probarse primero, enambientes controlados para pre+enir &ue la

instalacin de las actualiaciones produca

interrupcin o discontinuidad de lasoperaciones normales de la institucin.

G 3royecto deSegmentacin de

red y la

!mplementacin dun Nue+o

irectorio cti+o

Documents

Cuestionario de Verificación Cumplimiento Cnbs 1301-2005