CUESTIONARIO DE VERIFICACIN CUMPLIMIENTO CNBS 1301-2005 AL 20/04/2012

>> ORGANIZACIN Y ADMINISTRACIN<<

NO

PREGUNTA
La institucin tiene separada fsicamente y lgicamente
los ambientes de produccin, desarrollo y pruebas?.
(CNBS).

SI

Se tiene nombrado un Administrador de Seguridad

Informtica?

El el Administrador de Seguridad depende de la Gerencia

General o de otro funcionario de alta jerarqua diferente
de la Jefatura del Departamento de Sistemas?. (CNBS).
La Gerencia General ha nombrado un ejecutivo
especializado, responsable de todos los asuntos
relacionados con las tecnologas de la informacin. Este
ejecutivo deber tener al menos formacin profesional
sobre la administracin de las tecnologas de informacin
en materia de comunicaciones, sistemas operativos,
desarrollo de software, base de datos, entre otros y
deber tener experiencia comprobada en el campo de la
informtica?.(CNBS)
En relacin al Administrador Seguridad determine lo
siguiente:
a) Ha sido nombrado por la junta o consejo de
Administracin?.
b) Depende del gerencia General y no del
responsable ejecutivo de (TIC) Para evitar conflictos de
intereses y asegurar la independencia del mismo?.
(CNBS)
Se ha definido por parte de la gerencia general de la
institucin y no el responsable de TIC las
responsabilidades y funciones del jefe de seguridad de
informtica?. (CNBS)

NO

N/A

REFERENCIA

Depende de la
Gerencia de
Riesgos
Ver Descripcin
del puesto de Jefe
de Tecnologa de
Informacin

Acta de
NombramientoEst por contrato.

NO

PREGUNTA
El Administrador de Seguridad de Informtica cumple
con las siguientes funciones y responsabilidades?

SI

NO

a. Proponer a la institucin las polticas, normas y

procedimientos de seguridad informtica;
b. Documentar e implementar las polticas, normas
y procedimientos de seguridad informtica
aprobadas por la Junta o Consejo;

N/A

REFERENCIA
No se cumple por
no tener las
herramientas
necesarias

c. Verificar que los usuarios de los distintos sistemas

y recursos tecnolgicos cumplan con las polticas,
normas y procedimientos aprobados;
d. Tomar las acciones correctivas que garanticen la
seguridad informtica requerida, una vez que se
hayan identificado violaciones;
e. Identificar e implementar herramientas de
seguridad informtica que aseguren que la
informacin y el equipamiento, no sean utilizados
en perjuicio de la institucin y los usuarios;
f. Controlar el uso indebido de programas
(utilitarios) o herramientas que permiten la
manipulacin de los datos en los diferentes
sistemas; y,
g. Desarrollar por lo menos una vez al ao,
evaluaciones de seguridad a las tecnologas de
informacin y comunicaciones de la institucin.
(CNBS).

h. Atender

oportunamente los reportes de

incidencias de seguridad, detectando el origen de
los problemas, adoptando acciones correctivas
para que no vuelvan a suceder y reportndolos a
y/o su superior o al Comit de Gestin de la
Seguridad

Se han previsto los recursos necesarios y una

capacitacin continua para que este administrador
cumpla sus funciones?. (CNBS).

No se ha definido
un presupuesto

Se realizan evaluaciones de seguridad que midan la

eficiencia de los medios de proteccin e incluir
propuestas para corregir las vulnerabilidades?.

Se present el
informe a la
Gerencia de
Riesgos pero
ignoramos si fue
comunicado a la
Gerencia
General.

Estos resultados se presentan a la gerencia general en un

reporte detallado con recomendaciones, que incluya un
sumario ejecutivo con los principales hallazgos. (CNBS)

NO

10

11

12

13

PREGUNTA
Determinar que auditora interna realiza auditoria a la
tecnologa de informacin y comunicacin (TIC) a fin de
verificar
la
integridad,
disponibilidad
y
confidencialidad de la informacin
Las personas encargadas de auditar las TIC cuentan con
experiencia y entrenamiento calificado para llevar a cabo
este tipo de auditoras basadas en las mejores prcticas
existentes tales como COBIT e ISO/IEC 27002
La Gerencia General provee a la auditora interna o de
sistemas la herramientas necesarias para la realizacin y
control de ambiente de la TIC; ya que el auditor interno
es el responsable de realizar este tipo de auditoras?.
(CNBS).
Al realizar las auditorias de sistemas basadas en un
anlisis de riesgo y cumpliendo las normativas existentes
se incluyan al menos los factores siguientes:
a) Los usuarios externos e internos del sistema de
informacin;
b) El ambiente del sistema, la operatividad del sistema y
sus implicaciones sobre el negocio;
c) Los niveles de acceso y la sensibilidad de la
informacin;
d) La calidad de la informacin;
e) La Tercerizacin (outsourcing); y,

f) Planes de contingencia y recuperacin ante desastres.

(CNBS)

SI

NO

N/A

REFERENCIA

No hay este tipo de

capacitaciones en
el expediente

No se sabe el
alcance de las
Auditorias de
Sistemas
Actuales pero no
son basadas en
riesgos ya que
hasta ahora no
hay una matriz de
riesgo autorizada

14 La institucin cumple con el articulo N 11 de la

Resolucin N 1301/2005 de la CNBS de resguardar los
registros previstos de las transacciones por un periodo de
5 aos y de 6 meses para los de consulta?. (CNBS).

>> DESARROLLO DE APLICACIONES <<

NO

15

16

PREGUNTA
Previo a la implantacin de cambios en el ambiente de
produccin; los sistemas de alto riesgo definidos por la
administracin y los servicios financieros por medios
electrnicos se realiza una evaluacin de seguridad?

Se realiza una evaluacin de seguridad cuando ocurren

cambios significativos en el ambiente tecnolgico en que
operan los sistemas de informacin o se implementen
nuevos sistemas?. (CNBS)

SI

NO
X

N/A

REFERENCIA
No se cumple por
no tener las
herramientas
necesarias ni se
comunica al rea
de Riesgos con
suficiente tiempo.
No se cumple por
no tener las
herramientas
necesarias ni se
comunica al rea
de Riesgos con
suficiente tiempo.

17

Se mantienen registros de los accesos, transacciones y

consultas realizadas tanto a los sistemas de informacin
como a los dispositivos de seguridad?.

No se cumple por
no tener las
herramientas
necesarias.

Se realicen auditorias a los mismos y se toman

Acciones correctivas. (CNBS).

18

Existen procedimientos en la administracin de registros

que las alertas correspondientes para las autoridades
internas y externas, especialmente los casos externos no
autorizados y tambin aquellas actividades excepcionales
realizadas por los diferentes tipos de usuarios. (CNBS).

19

La tercerizacin (Outsourcing) de los servicios

contratados contienen como mnimo los temas
relacionados de responsabilidad de las partes? Como ser:
introduccin, alcance del trabajo, seguridad y
confidencialidad de la informacin, etc. Contemplados en
el articulo N 39 (Contrato escrito de tercerizacin) de la
Resolucin 1301/22-11-2005 de la CNBS.
En los casos que existan contratos de tercerizacin
significativa (Articulo N 38 de la Resolucin 1301/2211-2005 de la CNBS) se han hecho del conocimiento
previo conocimiento a la CNBS de los contratos
relacionados con:
a) Tercerizacin de sistemas centrales; y
b) Almacenamiento de informacin de
cualquier tipo, con respecto a los clientes
de la institucin, en sistemas que no se
encuentren dentro de su control exclusivo.
(CNBS).

Se verifican las comunicaciones efectuadas entre la

institucin y la CNBS respecto a la tercerizaciones
efectuadas con el propsito de investigar anomalas de la
institucin regulada (Bancos y Financieras). (CNBS).

20

21

El nuevo core
bancario ayudar
muchsimo pero
no ser suficiente
ya que solo sern
bitcoras a nivel
de aplicativo.
No se cumple por
no tener las
herramientas
necesarias.
Ningn contrato
las incluye

No aplica

No se cumple por
no tener las
herramientas
necesarias.

>> OPERACIONES <<

NO

PREGUNTA
La
institucin
asigna
una identificacin nica y personal
22
a cualquier usuario con acceso al sistema de informacin,
como una condicin previa a la autorizacin de acceso?.
(CNBS)
23 La institucin tiene implementado las reglas y el
procedimiento para dicha identificacin, as como para el
otorgamiento de autorizaciones a terceros que accedan a
los componentes de la tecnologa de informacin?.
Estas reglas toman en cuenta los riesgos derivados de las
responsabilidades y autorizaciones dadas a los usuarios
de acuerdo a su agrupacin, as como la sensibilidad de
la informacin, y los derechos a las aplicaciones y a
cualquier otro componente de la tecnologa?. (CNBS).

SI

NO

N/A

REFERENCIA

Proyecto
Directorio Activo
y la
Implementacin
del Protocolo
802.1X para el
cual se requiere
completar la
compra de
switches
administrables

24 La

institucin implementa mecanismos para la

administracin, control y monitoreo de las autorizaciones
del sistema. (CNBS).

25 La institucin utiliza tecnologas que combinen la

identificacin y la autenticacin del usuario, con el

objeto de garantizar la confidencialidad e integridad de la
informacin, el no repudio del usuario, controlar los
accesos de alto riesgo a los sistemas de informacin, y en
todos los casos de acceso remoto a los equipos
tecnolgicos realizados por los empleados y terceros?.
(CNBS).
26 La institucin ha fijado el tiempo de expiracin de una
sesin, cuando iniciada la misma no se hayan ejecutado
actividades despus de cierto perodo de tiempo?

27 La institucin verifica la bitcora de accesos de los

auditores de la CNBS, para verificar las actividades
realizadas por estas personas en la red?,
28 Existe un plan de Contingencias en la Institucin?

29 El plan de contingencia ha sido revisado como mnimo

cada dos aos, as como cada vez que existan cambios

significativos?. (CNBS)
30 Se efecten simulacros peridicos por lo menos una vez
al ao y que se deja constancia y documentacin de las
pruebas de sus procesos de respaldo y recuperacin.
(CNBS)

31 Los equipos de almacenamiento de los respaldos de

32 La Administracin de la institucin se ha reunido al

33 La institucin toma las medidas necesarias para certificar

informacin o los respaldos en s estn localizados en un

lugar distante y distinto en donde se gener la copia de la
informacin original. (CNBS)

menos una vez por ao para discutir los principios de

respaldo y recuperacin as como tomar decisiones y
documentar detalladamente, con base en un anlisis de
riesgo, los temas sealados en el artculo No
37(principios de respaldo y recuperacin) de la
resolucin 1301/22-11-2005 de la CNBS?.
la identidad del sitio de Internet y evitar posibles
imitaciones?.

Tiene algunos
pero tienen
algunas
debilidades

No todos los
dispositivos tiene
esta caracterstica

34 Provee y capacita a sus clientes con las metodologas y

mecanismos apropiados de identificacin en el acceso al

sitio de Internet?. (CNBS).
35 Las conexiones a Internet por parte de los empleados est
autorizada por la gerencia general con acceso autorizado
a las operaciones que diga esta y que dicha conexin sea
a travs de una red conectada a Internet a travs de un
servidor separado del servidor de produccin?. (CNBS)
36 La conexin de la red de la institucin hacia Internet se
encuentra asegurada por lo menos con: un antivirus, un
filtro de contenido, un Sistema de Deteccin de Intrusos
(IDS) a nivel de red y un firewall. (CNBS)

X
X

37 Se encuentra segmentada la red de la institucin en

38 Se permite la descarga de archivos de Internet con la

39 El Servidor de Internet este separado fsicamente y

cuanto a su red interna, produccin e Internet.

segmentacin adecuada?

lgicamente de los Servidores de Produccin. (CNBS)

Se completara el
6 de Mayo al
finalizar el
Proyecto de
Segmentacin de
la red
Se completara el
6 de Mayo al
finalizar el
Proyecto de
Segmentacin de
la red

Proyecto de
Segmentacin de
la red
No se tiene
Banca por
Internet

40 La institucin hace firmar a los clientes de servicios de

41 Determinar

No se tiene
Banca por
Internet

No se tiene
Banca por
Internet

banca electrnica un contrato donde se menciones

expresamente el nivel de servicio que requiere as como
sus derechos y obligaciones, y lo sealado en el Articulo
N 43 (Revelacin de informacin) de la Resolucin
1301/22-11-2005 de la CNBS.

que la institucin utiliza eficientes

procedimientos para la capacitacin de los usuarios de la
banca electrnica, respecto a las seguridades que deben
tener con las contraseas de acceso, medios de
identificacin, responsabilidades, riesgos, polticas de
seguridad de la institucin y sobretodo la capacitacin a
sus clientes en la creacin y administracin de
contraseas seguras y fuertes. (CNBS)
42 Determine que las operaciones a favor de terceros que
realizan los clientes por medios de servicio de banca
electrnica estn sujetos a techos o topes e informacin
bsica exigida en el articulo N 61 y 62 de la Resolucin
1301/22-11-2005 de la CNBS.

43 Verificar que la institucin tiene mecanismos adecuados

44

45

46
47
48
49

50

51

de verificacin previos a la actualizacin de la

informacin particular o personal del cliente
(mecanismos automatizados o manuales) que hace uso de
los servicios de banca electrnica. (CNBS).
Verificar que la institucin mantenga almacenado por
medios electrnicos una lista de beneficiarios por cada
cliente que usa el servicio de Banca Electrnica. (CNBS).
Determinar que lista de beneficiarios por cada cliente es
aprobada y actualizada por el mismo utilizando medios
como el envi directo a la institucin o en forma
electrnica segn lo considere ms conveniente la
institucin, este envi estar condicionado a la utilizacin
de tecnologa segura aprobada por la CNBS. Asimismo
verificar que la institucin informe a sus clientes las
implicaciones en caso de que el cliente no mantenga
actualiza la lista. (CNBS).
Verificar que la institucin cuente con un procedimiento
formalizado para mantener comunicacin electrnica con
los clientes. (CNBS).
La institucin tiene mecanismos o medios que le
permiten determinar inequvocamente si el cliente recibi
informacin por medio de correo electrnico?. (CNBS).
La institucin sobre operaciones especiales lleva
registros estadsticos y comunica a la CNBS los eventos
excepcionales?.
Los reportes sealados en los numerales 1) y 2) del
Artculo N 68 de la Resolucin 1301/22-11-2005 de la
CNBS o a) y b) del inciso anterior, debern ser
registrados utilizando el Programa de Reporte de Eventos
que est a disposicin de las instituciones supervisadas
en la red de interconexin financiera de la CNBS.
Los reportes mencionados en el Artculo 68 numerales 3)
al 5) y la comunicacin a que se refiere el Artculo 70 o
c), d) y e) del inciso anterior, debern ser enviados a la
Comisin con la documentacin que soporta tal evento.
Los reportes establecidos en los numerales 1) y 2) del
Artculo N 68, debern enviarse dentro de los siguientes
tres das hbiles a la fecha en que hubiere ocurrido el
evento. Los reportes establecidos en los numerales 3) al
5) del mismo, debern ser enviados con treinta (30) das
de anticipacin a su entrada en funcionamiento. (CNBS).

No se tiene
Banca por
Internet

X
X
X
X

Certificados
Digitales

52 La institucin tiene adecuados sistemas de deteccin y/o

Segmentacin de
la red

prevencin a nivel de todas sus redes que generen alertas

oportunas a los administradores de la red o a los jefes de
seguridad para que tomen las medidas pertinentes.
(CNBS).

>> SEGURIDAD LGICA <<

NO

PREGUNTA
53 En el caso de accesos para la red de cajeros automtico y
terminales de servicio determine que se incluya por lo
menos dos de los siguientes tres requisitos:
1. Algo que conoce le cliente;
2. Algo que le pertenece al clientes; y
3. Algo que identifique fsicamente al cliente.
(caractersticas biomtricas, por ejemplo: huella
digital, iris del ojo, la voz, etc.)
54 Efectu pruebas para verificar que el perfil de los
diferentes usuarios de banca electrnica se hayan
definido con los permisos de accesos conforme con lo
establecido en los contratos de servicios. (CNBS).

SI

NO

N/A

REFERENCIA

55 Determinar que la contrasea inicial se le otorga a los

56

57

58

59
60

clientes de forma personal y confidencial. (CNBS).

Verificar que la institucin realiza los cambios de las
contraseas de los usuarios en los siguientes casos:
- Inmediatamente despus de la primera conexin
el programa deber pedirle al cliente cambiar su
contrasea inicial.
- Peridicamente, de acuerdo al tiempo definido en
la poltica de seguridad establecida por la
institucin (CNBS).
Efectuar pruebas para verificar que la institucin cancele
las contraseas de sus usuarios cuando ocurre alguno de
los siguientes casos:
a) Si pasa un periodo de tiempo, el cual no
debe ser superior a treinta (30) das y la
contrasea inicial no ha sido utilizada;
Cuando el usuario la requiera o cuando la institucin
sospeche que la
a) contrasea fue utilizada sin la respectiva
autorizacin;
b) Despus de numero de intentos fallidos
para entrar al sistema. Este numero deber
ser definido por la institucin, el cual no
deber de exceder mas de cinco (5)
intentos fallidos; y
c) Despus de seis (6) meses de no utilizar
las contraseas en los sistemas para los
que fueron creados. (CNBS).
La identificacin o administracin de la sesin es llevada
a cabo por la aplicacin y no por el Servidor de Internet
de la institucin, la aplicacin debe generar un nmero
nico y aleatorio de sesin para cada nueva sesin.
(CNBS).
Determinar que la aplicacin elimina las sesiones
inactivas despus de terminado el tiempo mximo de
inactividad requerido por la institucin. (CNBS).
Determinar que la pantalla de ingreso presente en los
casos de ingresos equivocados de los usuarios el mensaje
de error genrico, por ejemplo: Acceso no autorizado y
no presentar mensajes descriptivos como Usuario no
existe o Contrasea incorrecta. (CNBS).

X
X

61 Determinar que las aplicaciones generan un archivo

donde capturen y manejen todos los mensajes y

condiciones de error que puedan presentarse dentro de
una sesin, incluyendo mensajes de sistema operativo o
de la base de datos. Adems verifique que este archivo es
analizado por el administrador de seguridad dejando
constancia de dicha labor de control. (CNBS).
62 Determinar que cada acceso de banca electrnica la
pantalla muestre el cliente, detalle del tiempo de su
ltima conexin y la direccin IP de donde se conecto.
(CNBS).
63 El servidor de produccin o aplicaciones se encuentra
separado lgicamente de los dems servidores?. (CNBS).

64

Para proteger sus sistemas la institucin incorpora

como mnimo en todas sus redes los controles de
Seguridad los siguientes elementos?
a)

Sistemas de Deteccin y/o Prevencin a nivel

de todas sus redes que generen alertas
oportunas a los administradores de la red, para
que se tomen las medidas pertinentes.

b)

Un Antivirus Corporativo actualizado tanto en

las estaciones de trabajo fijas y porttiles
como en los servidores.

c)

Un
mecanismo
que
actualice
automticamente los sistemas operativos, base
de datos y programas de oficina. Estas
actualizaciones debern probarse primero, en
ambientes controlados para prevenir que la
instalacin de las actualizaciones produzca
interrupcin o discontinuidad de las
operaciones normales de la institucin.

Segmentacin de
la red

Proyecto de
Segmentacin de la
red y la
Implementacin de
un Nuevo
Directorio Activo