Gestión de TI y Sistemas en El BCRA (Banco Central de La República Argentina)

GRUPO 3: ALEJANDRO CASELLA, CLAUDIA LATRECCHIANA, MACARENA POSSE
Banco Central de la
Repblica Argentina
(BCRA)
Gestin de Tecnologa Informtica y Sistemas
Taller de Auditora y Control de Sistemas Computarizados UMSA
25/06/2014
El Banco Central de la Repblica Argentina (BCRA) es la autoridad mxima monetaria y financiera

del pas. En este trabajo, analizaremos los principales lineamientos de su gestin de tecnologa
informtica y de sistemas.
Taller de Control y Auditora de Sistemas Computarizados
Universidad del Museo Social Argentino (UMSA)
Introduccio n
Carta orgnica: funciones y objetivos del Banco Central de la Repblica

Argentina (BCRA)
En su carta orgnica, el BCRA establece su naturaleza, objetivos y funciones:
Es una entidad autrquica del Estado nacional regida por las disposiciones de su
Carta Orgnica y las dems normas legales concordantes.
El Estado nacional garantiza las obligaciones asumidas por el banco.
El banco tiene por finalidad promover, en la medida de sus facultades y en el
marco de las polticas establecidas por el gobierno nacional, la estabilidad
monetaria, la estabilidad financiera, el empleo y el desarrollo econmico con
equidad social.
Algunas de sus funciones y facultades principales son:
a) Regular el funcionamiento del sistema financiero y aplicar la Ley de Entidades

Financieras y las normas que, en su consecuencia, se dicten;
b) Regular la cantidad de dinero y las tasas de inters y regular y orientar el crdito;
c) Concentrar y administrar sus reservas de oro, divisas y otros activos externos;
d) Contribuir al buen funcionamiento del mercado de capitales;
e) Ejecutar la poltica cambiaria de acuerdo a la legislacin que apruebe el
Congreso de la Nacin;
f) Regular, en la medida de sus facultades, los sistemas de pago, las cmaras
liquidadoras y compensadoras, las remesadoras de fondos y las empresas
transportadoras de caudales, as como toda otra actividad que guarde relacin con
la actividad financiera y cambiaria.
OBJETIVOS DEL BCRA:
Una de las misiones fundamentales que tiene el BCRA es crear las condiciones
necesarias para desarrollar y fortalecer la estabilidad financiera.
Un marco slido de estabilidad financiera es indispensable para incentivar el

ahorro, desarrollar el crdito, alentar la inversin productiva y, as, alentar la produccin,
el empleo y el bienestar social.
La poltica financiera es la principal herramienta utilizada por los bancos centrales

para alcanzar la estabilidad financiera. Desde el BCRA se desarrolla y aplica el esquema
normativo prudencial que sienta las bases de un sistema financiero estable en un entorno
de crecimiento de la actividad financiera. Esta estructura normativa se complementa con
Trabajo Prctico Final. Grupo: Claudia Latrecchiana, Alejandro Casella, Macarena Posse.
JUNIO 2014
un esquema de supervisin de la operatoria bancaria, mediante el cual se monitorea la

normativa prudencial.
Con la aprobacin de la nueva carta Orgnica del BCRA, en el ao 2012, el sector

pblico recupera mayor capacidad para hacer polticas pblicas y de regulacin que sean
funcionales al proyecto de desarrollo en el pas, para intervenir en la recreacin y
recomposicin del canal del crdito.
En una entrevista realizada a la ex presidenta del BCRA, Mercedes Marc del Pont,
remarca Es fundamental crear sistemas informativos, contar con muy buena informacin
para saber qu es lo que est pasando, cmo operan estas nuevas reas (). Tendremos
una etapa de diagnstico y trabajo tcnico importante. Esta reforma de la Carta Orgnica
tambin pone de manifiesto la importancia de la gestin de tecnologa informtica y de
sistemas, ya que el BCRA redefine sus funciones, amplindolas y expandiendo sus
funciones de contralor a toda organizacin crediticia y de transporte de caudales, lo que
requiere de nuevos instrumentos para un eficiente desempeo.
LA POLTICA DE SEGURIDAD DE LA INFORMACIN EN EL BCRA
Por lo comentado anteriormente, para el Banco Central, la informacin

institucional es un recurso clave que debe ser salvaguardado adecuadamente, como
cualquier otro activo de la organizacin. Por lo tanto, su proteccin ante una amplia gama
de amenazas, la minimizacin de los eventuales riesgos de dao, y la contribucin a la
administracin de la continuidad de los sistemas de informacin, puede alcanzarse, entre
otras, mediante la aplicacin de los ltimos y reconocidos estndares internacionales de
seguridad.
La informacin (escrita e impresa en papel o almacenada electrnicamente,

transmitida va postal o electrnica, etc.) deber protegerse en cualquiera de las formas
en que se presente o en medios que se comparta o almacene, dentro o fuera del mbito
Institucional. La Seguridad de la Informacin quedar establecida mediante la
implementacin de controles, normas, procedimientos, mejores prcticas, guas y
procesos automatizados, que el Banco determinar por medio de su poltica de seguridad
de tecnologa informtica.
Manteniendo como eje central el resguardo de la efectiva confidencialidad,

integridad, disponibilidad, legalidad y confiabilidad de la informacin emergente de los
activos de informacin de la institucin, el Directorio aprob en 2006 su Poltica de
Seguridad de la Informacin.
Esta poltica tiene como objetivos:
Proteger los activos de informacin de la Institucin, frente a los riesgos internos

o externos, deliberados o accidentales, con el objeto de asegurar la efectiva
JUNIO 2014
confidencialidad, integridad, disponibilidad, legalidad y confiabilidad de la

informacin emergente de tales activos.
Promover el conocimiento y el sentido de la responsabilidad de los agentes de la
Institucin en materia de seguridad para coadyuvar en que las disposiciones de la
Seguridad de la Informacin logren el mximo impacto de cumplimiento, tanto en
el mbito interno y externo del BCRA.
Adoptar la presente Poltica como la principal herramienta directriz de la garanta
de la Seguridad de la Informacin, en consecuencia se debe promover y verificar
su acabado cumplimiento en toda la Organizacin.
Mantener permanentemente actualizada esta Poltica a efectos de asegurar su
vigencia y nivel de eficacia.
DIRECTRICES:
A partir de los lineamientos de la Poltica de Seguridad de la Informacin, se fijaron nueve

directrices a implementar:
1. Organizacin de la Seguridad
Administrar la seguridad de la informacin dentro de la Institucin, en un marco
adecuado para controlar su efectiva implementacin.
El propsito fundamental de la organizacin de la seguridad es la obtencin y la
permanencia de un nivel de seguridad adecuado, homogneo y duradero. Sobre esta
premisa deber definirse la estructura organizativa, instrumentada a travs de un Comit,
as como los roles y responsabilidades de seguridad asociados a los integrantes de ste.
2. Clasificacin de la Informacin
La correcta clasificacin de la informacin, facilitar la determinacin de las
premisas bsicas de proteccin conforme con el grado de clasificacin asignado a la
informacin. Los niveles de clasificacin se establecern acorde con la sensibilidad y
criticidad de la informacin, con el fin de determinar su confidencialidad, integridad y
disponibilidad.
3. Seguridad en relacin con los Recursos Humanos

Mitigar los riesgos relacionados con los errores humanos, robo, fraude o uso
indebido de la informacin y/o de los medios de procesamiento.
Las responsabilidades en materia de seguridad deben ser explicitadas en la etapa
de induccin a los agentes y/o funcionarios que ingresan, conforme con lo establecido en
el Estatuto para el Personal del BCRA y seguidas y evaluadas durante el desempeo del
individuo como empleado. Los empleados y usuarios externos a las instalaciones del
Banco deben firmar un acuerdo de confidencialidad.
4. Seguridad Fsica y del Entorno

Impedir los accesos no autorizados, daos e interferencia a la informacin de la
Institucin. Se debern garantizar los suficientes recaudos fsicos para minimizar los
riesgos de daos, prdidas o sustracciones de activos de informacin. En tal sentido
JUNIO 2014
podrn requerirse controles adicionales para asegurar ciertos servicios e infraestructuras

clasificadas dentro de categoras especiales.
5. Gestin de las Comunicaciones y Operaciones

Garantizar la seguridad sobre el correcto funcionamiento de las instalaciones de
procesamiento y comunicacin de la informacin (confidencialidad, integridad y
disponibilidad).
Se establecern las responsabilidades y procedimientos para la gestin y operacin
de todas las instalaciones de procesamiento de informacin, incluyendo el desarrollo de
instrucciones operativas para dar respuesta a incidentes de seguridad.
6. Control de Accesos lgicos

Controlar los accesos lgicos a la informacin, por cuanto stos por medio de un
sistema de restricciones y excepciones son la base de todo sistema de seguridad
informtica. Debern existir procedimientos formales para el control de la asignacin de
derechos de acceso a los sistemas de informacin y servicios conexos, los cuales debern
estar fehacientemente documentados, comunicados y controlados en cuanto a su
cumplimiento.
7. Desarrollo y Mantenimiento de Aplicaciones Informticas

Se deber garantizar que la seguridad alcance a todas las fases del ciclo de vida de
los sistemas. La seguridad deber incluirse en el diseo, desarrollo e implementacin y
tambin ante eventuales tareas de mantenimiento de las aplicaciones propias o de
terceros. Se debern separar adecuadamente los ambientes de desarrollo, prueba y
produccin de aplicaciones informticas para un efectivo control por oposicin y reducir el
riesgo de uso negligente o mal uso deliberado de los sistemas.
8. Continuidad de las Actividades

Contrarrestar las interrupciones de las actividades de la Institucin y proteger los
procesos crticos de los efectos de fallas significativas o desastres. Las actividades crticas
deben estar garantizadas mediante la implementacin de planes de continuidad de los
sistemas de informacin con adecuados controles preventivos y correctivos, a fin de
reducir las interrupciones a niveles aceptables.
9. Cumplimiento
Asegurar el cumplimiento de las disposiciones legales, normativas y contractuales a
fin de evitar sanciones administrativas y/o legales al Organismo y que el empleado incurra
en responsabilidad civil o penal como resultado de su incumplimiento.
La Poltica, encuadrada dentro de los marcos legales y regulatorios vigentes, se
aplica a todo el personal del Organismo, cualquiera sea su situacin de revista, as como a
todos los sistemas de informacin, procedimientos, documentacin y plataformas tcnicas
del Organismo.
JUNIO 2014
GLOSARIO
A los efectos de la aplicacin de la Poltica de Seguridad de la Informacin, se

entender por:
Informacin: se refiere a toda comunicacin o representacin de conocimiento
como datos, en cualquier forma, con inclusin de formas textuales, numricas, grficas,
narrativas, o audiovisuales, y en cualquier medio, ya sea magntico, en papel, en pantallas
de computadoras, audiovisual u otro.
Confidencialidad: garantizar que la informacin sea accesible slo a aquellas
personas autorizadas a tener acceso a la misma.
Disponibilidad: garantizar que los usuarios autorizados tengan acceso a la
informacin y a los recursos relacionados con la misma, toda vez que lo requieran.
Integridad: es la exactitud y totalidad de la informacin y los mtodos de
procesamiento.
Activos de Informacin: conjunto de elementos informticos fsicos, lgicos y
humanos que, interrelacionados, permiten la gestin de la informacin a lo largo de su
ciclo de vida.
Sistemas de Informacin: se refiere a un conjunto independiente de recursos de
informacin organizados para la recopilacin, procesamiento, mantenimiento,
transmisin y difusin de informacin segn determinados procedimientos, tanto
automatizados como manuales.
Legalidad: referido al cumplimiento de las leyes, normas, reglamentaciones o
disposiciones a las que est sujeto el Organismo.
Confiabilidad de la Informacin: es decir, que la informacin generada sea
adecuada para sustentar la toma de decisiones y la ejecucin de las misiones y funciones.
JUNIO 2014
Organizacio n funcional y gestio n de

tecnologa informa tica y sistemas
El Banco Central de la Repblica Argentina (BCRA), emiti la Comunicacin A 4609
para los bancos, entidades financieras y cambiarias del pas, en la que detalla los
requisitos mnimos para la implementacin y funcionamiento de un sistema de gestin de
riesgos relacionados con los sistemas de informacin de estas organizaciones,
especialmente en los aspectos de tecnologa de la informacin.
Sus caractersticas generales (algunas compartidas con las normas IRAM pero
referenciadas solo a este tipo de riesgos, otras especficas), son:
- que la direccin es la responsable de la gestin de los riesgos relacionados con

seguridad de la informacin, y debe estar involucrada en el proceso (y, al menos
un miembro de la direccin debe formar parte del Comit de Tecnologa
Informtica),
- que se deben considerar los siguientes aspectos (identificacin general de riesgos):
o eficacia de la informacin,
o eficiencia en la obtencin de informacin,
o confidencialidad de la informacin crtica o sensible,
o integridad y validez de la informacin,
o disponibilidad en tiempo y forma,
o cumplimiento de leyes y reglamentaciones,
o confiabilidad de la informacin generada.
- se establece un responsable del funcionamiento del sistema: el Comit de

Tecnologa Informtica (entre otras tareas, debe efectuar la evaluacin del Plan de
Tecnologa Informtica, monitorear resultados y proponer mejoras, entre otras
funciones),
- documentacin: las polticas y procedimientos deben estar: escritos, formalmente

comunicados, y actualizados,
- los responsables deben estar claramente designados dentro de las polticas y

procedimientos,
- los anlisis de riesgos deben ser efectuados peridicamente, documentarse e

informarse a la direccin.
Dentro de la norma se detallan procedimientos para el tratamiento del riesgo, por

ejemplo:
- separacin de funciones,
- estrategias para proteccin de la seguridad de los activos de informacin, tales

como: polticas de seguridad, de acceso a datos, proteccin ambiental, etc.,
polticas de seguridad en el caso de banca electrnica, etc.
JUNIO 2014
- y, para modificar el impacto de la ocurrencia de eventos adversos, el diseo y

prueba de la poltica de continuidad de procesamiento de datos.
Considera tambin la transferencia de determinado tipo de actividades (tercerizacin o

outsourcing), pero manteniendo la entidad financiera la responsabilidad de la supervisin.
CONCLUSIONES:
En cuanto a la separacin de funciones, el organigrama del BCRA, detalla la

dependencia de las reas de Sistemas y Organizacin; de Seguridad de la Informacin y
Seguridad de la Informacin de la Gerencia General, con sus propias gerencias y
subgerencias.
Luego de analizar el organigrama, sus funciones y responsables, y en entrevista con
la Gerente de Seguridad General, confirmamos la separacin de las funciones de
administracin, control y usuarias de servicios de la informacin. Un aspecto a destacar es
el proceso actual de la gestin de dicha Gerencia, en vistas a lograr una mayor
descentralizacin de las reas dependientes de la seguridad de la informacin, delegando
funciones de administracin y conservando el control de las reas.
Adjuntamos el organigrama y detallamos las principales funciones de sus

respectivos responsables.
GERENCIA DE TECNOLOGA
Funcin:
Proyectar el desarrollo tecnolgico de la Institucin a fin de mantener una infraestructura
acorde con sus necesidades e impulsar su evolucin.
Entender en las investigaciones de mercado propendiendo, conforme a las mejores
prcticas en la materia, a la implementacin de soluciones de hardware y software que
permitan mejorar la eficiencia en el uso de los recursos.
Gerente:
Ingeniero Roberto Carretero
GERENCIA PRINCIPAL DE SEGURIDAD DE LA INFORMACIN
Funcin:
Promover el establecimiento de pautas, normas y estndares de seguridad respecto de la
Informacin sistematizada en el mbito de la Institucin as como de las entidades
financieras.
Gerente Principal
Lic. Mara Misto Macas (entrevistada personalmente)
JUNIO 2014
GERENCIA DE SEGURIDAD INFORMATICA
Funcin:
Formular pautas, normas y estndares de seguridad respecto de la informacin
sistematizada de la Institucin, con el propsito de asegurar su proteccin en los procesos
de acceso, procesamiento y transmisin, y entender en la implementacin de los mismos.
Gerente
Ingeniero Eduardo A. Barbazn
SUBGERENCIA GENERAL DE SISTEMAS Y ORGANIZACION
Funcin:
Dirigir, coordinar y controlar las actividades relacionadas con la gestin de los recursos
informticos de la Institucin, tanto en el diseo, desarrollo y soporte tcnico, como en la
ejecucin de los procesos automatizados. Asesorar sobre herramientas estratgicas para
el desarrollo informtico, analizando su evolucin tecnolgica.
Entender en el relevamiento y anlisis de los procesos de la organizacin y elaborar
propuestas de diseo o rediseo tendientes a promover su eficiencia.
Elaborar y mantener los manuales orgnicos funcionales y de procedimientos de la
Institucin.
Subgerente General
Sr. Germn Carranza
JUNIO 2014
Seguridad fsica y lo gica de la

informacio n
ASPECTOS TERICOS ABORDADOS EN LA MATERIA
SEGURIDAD FSICA:
COBIT: Es una gua de mejores prcticas dirigido al control y supervisin de tecnologa de

la informacin. Representa un marco de trabajo, definido por un conjunto estandarizado
de conceptos, prcticas y criterios a utilizar en dicha materia. Su contenido es mantenido
por las organizaciones ISACA ( Information Systems Audit and Control Association) y el
ITGI (IT Governance Institute), habiendo sido publicada su primera edicin en el ao 1996.
Uno de los captulos del COBIT, titulado Entregar y dar soporte (DS), en su apartado 12,
se refiere a la administracin del ambiente fsico de los centros de datos. Los puntos
abordados son:
DS12.1 Seleccin y diseo de los centros de proceso de datos

Definir el tipo de centro de datos fsico para la tecnologa a implementar. Se deben
considerar un diseo apropiado segn los riesgos naturales y tambin los riesgos causados
por el hombre. Tambin normas locales como regulaciones legales o en materia de salud
DS12.2 Medidas de Seguridad Fsica

Permetro de seguridad, ubicacin del equipo, monitoreo y reporte de incidentes en la
seguridad fsica.
DS12.3 Acceso Fsico

Restricciones de acceso por reas y sub-reas. Restricciones en casos de emergencias.
Control de los accesos, registro de autorizaciones y accesos otorgados.
DS12.4 Proteccin contra factores ambientales

Monitoreo y control de factores naturales que pudieran afectar al centro de datos
DS12.5 Gestin de las Instalaciones

Administracin general de las instalaciones, servicio de telecomunicaciones y suministro
de energa, lineamientos de seguridad y salud.
JUNIO 2014
NORMA ISO 27002:2005 SEGURIDAD FSICA Y DEL ENTORNO
Las normas ISO son publicaciones en las cuales se definen estndares de calidad en
distintos mbitos y su confeccin est a cargo del ISO (Organizacin Internacional para la
Estandarizacin).
En el caso de la norma ISO 27002, el ISO trabaj conjuntamente con la IEC (Comisin
Electrotcnica Internacional), definiendo el cdigo de buenas prcticas en la gestin de la
informacin. Los puntos destacados respecto de la seguridad fsica son:
Permetro de seguridad
Los permetros de seguridad (como paredes, tarjetas de control de entrada a puertas o un
puesto manual de recepcin) deberan utilizarse para proteger las reas que contengan
informacin y recursos para su procesamiento.
Controles fsicos de entrada

Las reas de seguridad deberan estar protegidas por controles de entrada adecuados que
garanticen el acceso nicamente al personal autorizado.
Proteccin contra amenazas externas y ambientales

Se debera designar y aplicar medidas de proteccin fsica contra incendio, inundacin,
terremoto, explosin, malestar civil y otras formas de desastre natural o humano
reas de acceso pblico, reas de carga y descarga

Se deberan controlar las reas de carga y descarga con objeto de evitar accesos no
autorizados y, si es posible, aislarlas de los recursos para el tratamiento de la informacin.
Instalacin y proteccin de los equipos

El equipo debera situarse y protegerse para reducir el riesgo de materializacin de las
amenazas del entorno, as como las oportunidades de acceso no autorizado
Suministro elctrico
Se deberan proteger los equipos contra fallos en el suministro de energa u otras
anomalas elctricas en los equipos de apoyo.
Seguridad del cableado

Se debera proteger el cableado de energa y de telecomunicaciones que transporten
datos o soporten servicios de informacin contra posibles interceptaciones o daos
Mantenimiento de equipos
JUNIO 2014
Se deberan mantener adecuadamente los equipos para garantizar su continua

disponibilidad e integridad.
Seguridad de los equipos fuera de los locales de la Organizacin

Se debera aplicar seguridad a los equipos que se encuentran fuera de los locales de la
organizacin considerando los diversos riesgos a los que estn expuestos.
Seguridad en la reutilizacin, enajenacin o desechado de equipos

Debera revisarse cualquier elemento del equipo que contenga dispositivos de
almacenamiento con el fin de garantizar que cualquier dato sensible y software con
licencia se haya eliminado o sobrescrito con seguridad antes de la eliminacin.
Salida de las instalaciones

No deberan sacarse equipos, informacin o software fuera del local sin una autorizacin
SEGURIDAD LGICA:
Por su parte, la norma ISO 27002, tambin aborda aspectos de la seguridad lgica:
Control de Acceso
Se deberan controlar los accesos a la informacin, los recursos de tratamiento de la
informacin y los procesos de negocio en base a las necesidades de seguridad y de
negocio de la Organizacin. Las regulaciones para el control de los accesos deberan
considerar las polticas de distribucin de la informacin y de autorizaciones
Poltica de control de acceso

Se debera establecer, documentar y revisar una poltica de control de accesos en base a
las necesidades de seguridad y de negocio de la Organizacin.
Gestin de accesos de usuarios

Debera existir un procedimiento formal de alta y baja de usuarios con objeto de
garantizar y cancelar los accesos a todos los sistemas y servicios de informacin
Gestin de los privilegios

Se debera restringir y controlar la asignacin y uso de los privilegios.
Revisin de derechos de acceso de usuarios
El rgano de Direccin debera revisar con regularidad los derechos de acceso de los
usuarios, siguiendo un procedimiento formal.
Equipo informtico de usuario desatendido

Los usuarios deberan garantizar que los equipos desatendidos disponen de la proteccin
apropiada
JUNIO 2014
Poltica de limpieza de escritorio y pantalla

Polticas para escritorios y monitores limpios de informacin
Informtica mvil y comunicaciones

Se debera establecer una poltica formal y se deberan adoptar las medidas de seguridad
adecuadas para la proteccin contra los riesgos derivados del uso de los recursos de
informtica mvil y las telecomunicaciones.
Se debera desarrollar e implantar una poltica, planes operacionales y procedimientos
para las actividades de teletrabajo
ASPECTOS PRCTICOS ANALIZADOS EN EL CASO PARTICULAR DEL

BCRA
POLTICA DE SEGURIDAD EN LA INFORMACIN BCRA
Con fecha 27/07/2006, el Directorio del BCRA aprueba la Poltica de Seguridad en

la Informacin, con el objetivo de salvaguardar los activos de informacin de esta
Institucin.
En su el punto 4 de este documento, dentro de las Directrices, destaca la

Seguridad Fsica y del entorno, as como tambin el control de accesos lgicos.
Respecto del primer punto, plantea la premisa de Impedir los accesos no

autorizados, daos e interferencia a la informacin de la Institucin. Para lograrlo,
determina que se deben tomar los recaudos necesarios con el fin de minimizar los riegos
por daos, prdidas o sustracciones de activos de informacin.
Por otro lado, para preservar los activos frente a amenazas virtuales, define que se
deber Controlar los accesos lgicos a la informacin, por cuanto stos por medio de un
sistema de restricciones y excepciones son la base de todo sistema de seguridad
informtica. Para ello, determina que deber existir un estricto control de los derechos
de acceso asignados, en base a registros de comunicaciones y control de cumplimiento.
Para analizar la aplicacin prctica de las directrices trazadas por la Poltica de

Seguridad en la Informacin, mencionaremos algunos puntos verificados en el
funcionamiento de los procesos.
Para los responsables de la Seguridad de la Informacin, la seguridad fsica tiene

como fin proteger la informacin, lo cual implica tener como premisas los criterios de
confidencialidad, integridad y disponibilidad.
El BCRA aplica como poltica la seleccin de los procesos de informacin cuyo

contenido resulta ms sensible y, sobre ellos, gestiona controles ms estrictos. De tal
forma, no resulta tan delicado el resguardo de una comunicacin interna respecto de
algn evento institucional como s ocurre con informacin relativa a las reservas del pas,
el tipo del cambio del da o interrelacin de transacciones entre entidades financieras
JUNIO 2014
(trfico de informacin que se considera "dinero online"). Est claro que en este ltimo
ejemplo, la manipulacin inadecuada de informacin podra tener consecuencias muy
negativas para particulares e incluso para la economa del pas.
En la prctica, el BCRA define un grupo de procesos que tienen prioridad sobre el

resto en materia de seguridad fsica y lgica y, luego, a su vez, genera un nuevo subgrupo
definiendo los procesos que se consideran vitales y esenciales para la entidad e, inclusive,
para la estabilidad del pas. Entre ellos, se destaca el mbito de incumbencia de la
Superintendencia General de Operaciones, que tiene incidencia en todo lo que se refiere
al pago de bonos y manejo de reservas. La diferencia entre un proceso y otro, radica
principalmente en la imperiosa necesidad de garantizar la disponibilidad absoluta de
cierta informacin, caracterstica que en el resto de los procesos no resulta tan vital.
El sector de Seguridad fsica, dependiente de la Gerencia de Seguridad General, es

el encargado de dictar las normas que rigen las caractersticas a respetar por el Centro de
Procesamiento de Datos (CPD)
La estructura bsica de la seguridad fsica se basa en un sistema de "anillos de

seguridad", que no son ms que distintos controles que quien accede debe superar para
llegar hasta el CPD.
La auditora que el propio BCRA aplica sobre su sector de Seguridad de la

Informacin, se basa en los puntos de la norma COBIT y de la ISO 27001, las cuales son la
base de la normativa dictada por la Jefatura de Gabinete.
El CPD es un rea que corresponde netamente al sector de sistemas. A su vez,

existe una interrelacin con el sector de Servicios Generales que es el encargado de
brindar la electricidad y mantener las instalaciones edilicias de acuerdo con las exigencias
de la normativa. Por su parte, el sector de Seguridad Fsica es el que provee todo el
servicio de control de accesos fsicos al sector, ya que tambin es el encargado de verificar
los accesos al propio edificio del banco.
El CPD est ubicado en la planta baja del edificio ubicado en Reconquista 266 CABA
y su recinto no tiene comunicacin directa al exterior por ventanas ni puertas. Si bien su
estructura no es antissmica, cuenta con instalaciones anti-incendios tales como
matafuegos y extintores.
Cabe destacar que el Banco cuenta con un CPD que oficia de Sitio de
Contingencias, el cual se aloja en un piso del edificio de la Armada Argentina, "Edificio
Libertad", ubicado en la calle Comodoro Py 2055 CABA. Los servidores se encuentran
duplicados mediante una fibra oscura (canal de fibra ptica ms segura y con mayores
prestaciones que las comerciales), que permite la sustitucin de los servidores de manera
instantnea mediante la rplica de los mismos, garantizando la disponibilidad de la
informacin de forma inmediata.
Para garantizar el suministro ininterrumpido de energa elctrica para su CPD, el

Banco se encuentra permanentemente modernizando sus instalaciones. Con fecha
10/03/2014, abri una licitacin para adquirir 2 Unidades de Energa Ininterrumpida (UPS)
para el CPD. En las especificaciones tcnicas de la licitacin, se informa que la empresa
adjudicataria deber proveer 1 equipo que deber suministrar, como mnimo
JUNIO 2014
100KVA/100KW para el CPD principal, ubicado en el edificio de Reconquista 266 CABA,

reemplazando al actual que alcanza slo 80KVA. Asimismo, la licitacin contempla la
provisin de un segundo UPS para el Sitio de Contingencias ubicado en el Edificio
Libertad, zona de Retiro CABA. El documento de la licitacin es muy extenso y completo,
incluyendo detalles tcnicos de los equipos a instalar, as como tambin las normas de
calidad que deben cumplir y las garantas que debe otorgar la adjudicataria.
El nivel de sofisticacin de las medidas de seguridad del CPD no resulta tan

sofisticado como s lo son algunos otros de alto nivel, como por ejemplo el de la AFIP, que
cumple con rigurosos estndares de calidad internacional. Esta diferencia radica en que
los requerimientos del CPD del BCRA son distintos. El hecho de contar con un servidor de
backup que replica permanentemente la informacin, hace que no sea necesario un
altsimo nivel de seguridad fsica para contar con la disponibilidad de la informacin. Por el
contrario, el CPD de la AFIP no se encuentra replicado en ningn otro servidor que pueda
servirle de backup ante una cada de servicio.
Cuando un servidor es desafectado, sufre dos procesos que garantizan la

imposibilidad de acceso a su informacin. Por un lado, se les realiza un proceso de
borrado seguro que consiste en escribir encima de donde se encontraba la informacin de
tal forma que lo que exista anteriormente no pueda ser recuperado. El mismo proceso se
aplica cuando una PC o un telfono se pasan de un empleado a otro.
Actualmente el sector de Seguridad de la Informacin se encuentra abocado a una

campaa grfica de concientizacin hacia todos los empleados del Banco para que no
utilicen la opcin de recordar contraseas en sus accesos a la web mail. Ocurre que, en
caso de que les fuera sustrada esta contrasea, resulta ser la misma que deben utilizar
para acceder a la intranet del banco, y as se vulnerara fcilmente la seguridad interna de
las redes. Si bien existe un proyecto que consiste en lanzar propaganda masiva al
personal, actualmente el sector se encuentra estudiando la mejor manera de dar solucin
a este problema.
La red wifi que existe dentro del banco, la cual se utiliza para las visitas que
necesitan navegar por internet o, inclusive, para los empleados que tiene permisos de
acceso, es absolutamente ajena a la red interna. De este modo, quien accede a navegar
por internet, no necesariamente cuenta con permisos para ingresar a la intranet, lo cual
implica una medida para evitar ataques a los servidores.
El Banco desarroll un software llamado 802.1 que se utiliza para autenticar el

acceso a la red wifi del banco. De tal forma, quien desea acceder a ella, debe primero
pasar por el sector de sistemas, quienes lo instalan en el servidor, garantizando que ste
no cuenta con virus que pudieran afectar a la red.
Acceso de usuarios y permisos: los permisos a las distintas aplicaciones que

conforman los sistemas del banco, estn gestionados por cada sector en particular y no
por el sector de informtica. A modo de ejemplo, los accesos a los sistemas contables son
exclusivamente validados por el sector de contabilidad y este mismo sector se ocupa de
definir los perfiles de cada usuario.
JUNIO 2014
Cuando un empleado es desvinculado del Banco, el sector de RRHH es el

responsable de comunicarlo a todas las reas y cada una de ellas se debe encargar de
"matar" el usuario y su perfil de accesos. De igual manera, pero en sentido contrario, es lo
que ocurre con las nuevas altas.
Segn inform el sitio www.infobae.com.ar en su nota del da 04/09/2012, el sitio

del BCRA sufri un ataque del famoso grupo de hackers "Anonymous", el cual se sum a
reclamos de ciertos sectores sociales para manifestarse. Debido a que en el sitio del BCRA
no se encuentra informacin demasiado sensible, slo tuvo como consecuencia la cada
del sitio web durante algunas horas, pero no hubo incidencia sobre procesos sensibles.
JUNIO 2014
HACKING E3 TICO
Hacking tico es una forma de referirse al acto de un profesional de la seguridad
informtica de utilizar sus conocimientos para realizar pruebas en redes y encontrar
vulnerabilidades, para luego reportarlas y que se tomen contramedidas para solucionar y
mitigar los posibles riesgos.
La idea es tener el conocimiento de cules elementos dentro de una red son vulnerables y
corregirlo antes de que ocurra el hurto de informacin sensible.
Estas pruebas se llaman "pen tests" o "penetration tests" en ingls. En espaol se conocen
como "pruebas de penetracin", en donde se intenta de mltiples formas burlar la
seguridad de la red para robar informacin sensitiva de una organizacin.
El Banco Central de la Repblica Argentina somete sus sistemas y bases de datos a

diferentes pruebas de penetracin. Este servicio, no lo realiza personal directamente
dependiente del banco, sino que se terceriza mediante el sistema de licitacin.
Actualmente, la empresa adjudicataria de este servicio es la firma Cybsec.
Cybsec, es una firma que comienza a operar en el ao 1996 y se dedica exclusivamente a

prestar servicios profesionales de Seguridad Informtica. Si bien su casa matriz se
encuentra en Buenos Aires, su rea de servicios cubre Latinoamrica y Espaa.
La contratacin de esta empresa tiene como objetivo principal el de mantener

disponibles, seguras y confiables a las instalaciones informticas del Banco, previniendo
as los incidentes gravsimos que se podran ocasionar como consecuencia de fraudes
informticos, tales como robo de informacin, destruccin o modificacin de datos,
ataques de denegacin de servicio, intrusiones en la red, publicacin de informacin
privada, etc.
Para lograr su objetivo, la empresa implementa distintas pruebas de penetracin

(penetration test), a travs de los cuales los expertos de CYBSEC se conectan a la red
externa sin disponer de ningn tipo de informacin, intentando acceder a los sistemas
protegidos.
El desarrollo de este trabajo, permite conocer el nivel de seguridad real y detectar

expuestos de seguridad rpidamente para luego avanzar en la solucin de los mismos.
La metodologa aplicada por la empresa se basa en tareas que se ejecutan en paralelo con
los distintos sectores del Banco, a los cuales les brindan soporte y asistencia en la
implementacin de las soluciones a los problemas detectados.
JUNIO 2014
Proteccio n de Datos Personales
LEY 25.326, DECRETO REGLAMENTARIO 1558/2001
Esta ley tiene por objeto garantizar el derecho al honor y a la intimidad de la personas, as
como tambin el acceso a la informacin que sobre ellas se registre, de conformidad con
el Art.43 de la Constitucin Nacional; Toda persona puede interponer accin expedita y
rpida de amparo, siempre que no exista otro medio judicial ms idneo, contra todo acto
u omisin de autoridades pblicas o de particulares, que en forma actual o inminente
lesione, restrinja, altere o amenace, con arbitrariedad o ilegalidad manifiesta, derechos,
garantas reconocidas por esta constitucin, un tratado o una ley. En el caso el juez podr
declarar la inconstitucionalidad de la norma en que se funde el acto u omisin lesiva
La Direccin Nacional de Proteccin de datos personales (DNPDO), es el rgano de control

y tiene facultades para determinar la normativa.
La normativa indica que las bases de datos que registran informacin de carcter
personal deben ser obligatoriamente registradas ante el ente regulador siempre que est
destinado a proveer informes y exceda el uso exclusivamente personal
La ley exige que los datos sean ciertos, adecuados, pertinentes y no excesivos para la
finalidad que deben cumplir con su obtencin
Y que su difusin requiere el consentimiento previo de las personas ya sean fsicas o
jurdicas, el tratamiento de estos datos no es lcito si no media la conformidad expresa
por escrito u otro medio similar
En el caso de las entidades financieras podemos decir que hay excepciones a que el
procesamiento de datos personales requiere consentimiento previo, escrito e informado
de sus titulares (Art. 5 de la ley).
Respecto de los empleados y proveedores no presentan grandes diferencia respecto de

las empresas, pero en lo que se refiere a los clientes, las entidades financieras tienen
informacin sobre todas las actividades, por ejemplo las:
Operaciones pasivas, en donde los bancos toman fondos del pblico, cajas de ahorro,
cuentas corrientes, plazos fijos.
Operaciones activas: en donde los bancos prestan fondos al pblico en general, ya sean
personas fsicas o jurdicas, todos tipos de prstamos.
Y otras operaciones: custodias, depsitos de ttulos, transferencias, etc.
JUNIO 2014
Respecto de las operaciones pasivas podemos decir que se encuentran protegidas por el
derecho bancario. informacin de clientes que puede te
La ley 21526 de entidades financieras dice en su Art 40 Las informaciones que el Banco
Central de Repblica Argentina reciba o recoja en ejercicio de sus funciones, vinculadas a
operaciones pasivas, tendrn carcter estrictamente confidencial
El BCRA recibe informacin del sistema financiero a travs de la Central de Deudores, esta
base de datos registra a todas las personas sean fsicas o jurdicas que tengan deudas que
superen un determinado monto, el BCRA difunde en su sitio Web, a travs de esta base,
solo los datos correspondiente al ltimo mes, esta informacin se puede consultar, por
nmero de CUIT, y con clave de identificacin fiscal, estos datos son actualizados mes a
mes.
El BCRA informa que estos datos publicados fueron elaborados por las entidades
financieras y no es alterada, ni modificada por ellos, por lo tanto el BCRA es un mero
intermediario y su difusin no implica conformidad del banco.
De acuerdo a lo dispuesto en la reglamentacin del artculo 16 de la Ley 25.326 de

Proteccin de los Datos Personales, los derechos de rectificacin, actualizacin, supresin y
confidencialidad deben ejercerse ante la entidad financiera que sea parte en la relacin
jurdica a la que se refiere el dato impugnado
Respecto del acceso a las base de datos, el BCRA limita el ingreso, ya sea a los usuarios
externos e internos, en el caso que la funcin as lo requiera lo permiten con
autorizaciones especiales para tal fin.
El BCRA terceriza el sistema de control de los sistemas informticos a travs de

licitaciones, a continuacin detallamos algunas cuestiones que tienen en cuenta para esta
tarea:
ESPECIFICACIONES GENERALES (GERENCIA DE CONTRATACIONES)
CONFIDENCIALIDAD DE LA INFORMACIN
1.1 Dada la naturaleza de las actividades propias de esta Institucin, la Adjudicataria

estar obligada a mantener estricta reserva sobre toda aquella informacin o datos
pertenecientes o administrados por el Banco, as como sobre detalles sobre las
instalaciones del Centro de Procesamiento de Datos, salvo expresa autorizacin por
parte de este Banco.
1.2 La Adjudicataria designar representantes autorizados para suscribir el Acta de

mantenimiento del secreto Institucional, el que se firmar por los representantes
legales de ambas partes luego de adjudicado el presente. Sin la suscripcin del acta antes
mencionada no se podr dar inicio al servicio adjudicado.
JUNIO 2014
PLAN DE CONTINUIDAD
BANCO CENTRAL DE LA REPU3 BLICA
ARGENTINA (BCRA)
Un plan de contingencia o Plan de continuidad de las operaciones es una estrategia

planificada constituida por un conjunto de recursos de respaldo o procedimientos de
actuaciones encaminadas a conseguir una restauracin progresiva y gil de los servicios
por una paralizacin total o parcial de la capacidad operativa del BCRA.
OBJETIVO DEL PLAN:
Garantizar la continuidad de las operaciones y de los elementos considerados crticos que

componen los sistemas de informacin.
Definir acciones y procedimientos a ejecutar en caso de fallas de estos sistemas de
informacin.
El proceso debe ser documentado, caso contrario, no tendr un efecto positivo, por lo
tanto debe manifestarse por escrito y debe ser comunicado a todas las personas
involucradas.
BENEFICIOS
Minimizar las potenciales perdidas econmicas

Reducir interrupciones en la organizacin.
Proteger los activos de la organizacin.
Ampliar la seguridad de los empleados.
Facilitar una recuperacin ordenada.
Minimizar el riego de problemas legales.
Las etapas que usualmente se desarrollan en la elaboracin de un plan de continuidad son

las siguientes:
RELEVAMIENTO Y DIAGNSTICO DE SITUACIN INICIAL
Relevamiento de infraestructura
Determinacin de reas de riesgo
Relevamiento de seguridad de las reas de riesgo
Definicin de acciones preventivas inmediatas
JUNIO 2014
DESARROLLO DEL PLAN
Relevamiento de infraestructura
Definicin de siniestros a ser analizados
Relevamiento detallado de recursos afectados al Plan
Realizar acuerdos de niveles de servicio
Definicin de equipamiento y locales de alternativa
Definicin de los procedimientos de recuperacin
Generacin del Manual del Plan de Contingencias
Distribucin del Plan de Contingencias
Capacitacin de involucrados en el Plan
PRUEBA DEL PLAN
Definicin de tipos de siniestros a probar

Definir alcance de las pruebas
Elaborar cronograma de pruebas
Ejecucin y evaluacin tcnica de una prueba
MANTENIMIENTO DEL PLAN
Las etapas que usualmente se desarrollan en la elaboracin del plan son las siguientes
Anlisis de Riesgo.
Anlisis y reduccin de los riesgos a que est expuesta la organizacin.
Identificacin de amenazas y vulnerabilidades.
Identificacin de riesgos potenciales: Probabilidad y consecuencias
Determinacin de niveles aceptables de riesgo. Alternativas Compromiso de la

Direccin
EVALUACIN DEL PLAN DE CONTINGENCIAS
Esta evaluacin se debe hacer puntuando el grado de realizacin de cada tarea a evaluar,
con el criterio de 0 a 4 segn el grado de realizacin.
El conjunto de evaluacin de cada tem nos dar el grado de realizacin del plan en cada
rea.
JUNIO 2014
El grado de cumplimiento podr ir de nada a completo y deber ser el evaluador quien

efecte la puntuacin.
POLTICA DE SEGURIDAD CIRCULAR INTERNA N 4193 BANCO

CENTRAL DE LA REPUBLICA ARGENTINA.
Continuidad de las Actividades

Contrarrestar las interrupciones de las actividades de la Institucin y proteger los procesos
crticos de los efectos de fallas significativas o desastres.
Las actividades crticas deben estar garantizadas mediante la implementacin de planes
de continuidad de los sistemas de informacin con adecuados controles preventivos y
correctivos, a fin de reducir las interrupciones a niveles aceptables.
El Banco Central de la Repblica Argentina cuenta con una poltica integral de

administracin de riesgos y requerimientos normativos a fin de garantizar la continuidad
de las operaciones de los elementos considerados crticos en materia de planes y
procedimientos de continuidad operacional. A fin de restaurar dichas operaciones en un
plazo aceptable.
La continuidad operacional del BCRA, es administrada mediante un sistema de gestin que

permite:
Identificar los posibles impactos ante interrupciones que amenazan la continuidad de sus
operaciones.
Proporcionar un marco que permite aumentar la capacidad de otorgar una respuesta
eficaz ante ellas.
Cules son las prioridades del BCRA

La prioridad es salvaguardar la vida de las personas y los Activos.
La clasificacin medular del banco en cuanto a niveles crticos es respecto de la

Disponibilidad, Integridad y Confidencialidad de la informacin.
OPERACIONES CRTICAS
Sistema de pagos, sistemas registracin de los ttulos pblicos, mesa de operaciones,

administracin de carteras de inversin, visualizacin de operaciones de las entidades
financieras con el BCRA.
OPERACIONES IMPORTANTES
Central de deudores, balances de los bancos, encuestas de tasas y depsitos.
JUNIO 2014
OPERACIONES DE RUTINA
Compras, presupuesto, expedientes.
Algunas preguntas y respuestas a fin de facilitar la comprensin de los elementos de

continuidad.
El modelo cuenta con una metodologa que permitida determinar el nivel crtico, y riesgo
de sus reas o procesos?
- El modelo se encuentra definido en 4 etapas: anlisis, desarrollo,

implementacin y mantenimiento.
Existe un responsable definido a cargo del modelo?

- Existe un rol principal de coordinacin, pero se est tratando de
descentralizar y que cada unidad de negocio y de servicio sean
responsables de la continuidad en las materias a su mbito de aplicacin.
Contempla distintos escenarios de interrupcin y plan de emergencia que permita

salvaguardar la vida humana?
- Se incluyen distintos escenarios de riesgo y se realizan simulacros
programados.
El plan es auditado?
- El plan es auditado.
Respecto del sitio de recuperacin:
A que distancia se encuentra ubicado el sitio de recuperacin
- Aproximadamente a unas 15 cuadras, edificio de la Armada Argentina,

"Edificio Libertad", ubicado en la calle Comodoro Py 2055 CABA
El sitio de recuperacin tiene fuente de alimentacin y telecomunicaciones

independientes?
- Si
La capacidad de proceso es igual al del sitio original?
- S.
Cunto tiempo puede funcionar el sitio de recuperacin?

- Puede funcionar normalmente con plazo indefinido.
JUNIO 2014

Gestión de TI y Sistemas en El BCRA (Banco Central de La República Argentina)

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Gestión de TI y Sistemas en El BCRA (Banco Central de La República Argentina)

Cargado por

Copyright:

Formatos disponibles

GRUPO 3: ALEJANDRO CASELLA, CLAUDIA LATRECCHIANA, MACARENA POSSE

El Banco Central de la Repblica Argentina (BCRA) es la autoridad mxima monetaria y financiera

Carta orgnica: funciones y objetivos del Banco Central de la Repblica

En su carta orgnica, el BCRA establece su naturaleza, objetivos y funciones:

a) Regular el funcionamiento del sistema financiero y aplicar la Ley de Entidades

OBJETIVOS DEL BCRA:

Un marco slido de estabilidad financiera es indispensable para incentivar el

La poltica financiera es la principal herramienta utilizada por los bancos centrales

un esquema de supervisin de la operatoria bancaria, mediante el cual se monitorea la

Con la aprobacin de la nueva carta Orgnica del BCRA, en el ao 2012, el sector

LA POLTICA DE SEGURIDAD DE LA INFORMACIN EN EL BCRA

Por lo comentado anteriormente, para el Banco Central, la informacin

La informacin (escrita e impresa en papel o almacenada electrnicamente,

Manteniendo como eje central el resguardo de la efectiva confidencialidad,

Esta poltica tiene como objetivos:

Proteger los activos de informacin de la Institucin, frente a los riesgos internos

confidencialidad, integridad, disponibilidad, legalidad y confiabilidad de la

A partir de los lineamientos de la Poltica de Seguridad de la Informacin, se fijaron nueve

3. Seguridad en relacin con los Recursos Humanos

4. Seguridad Fsica y del Entorno

podrn requerirse controles adicionales para asegurar ciertos servicios e infraestructuras

5. Gestin de las Comunicaciones y Operaciones

6. Control de Accesos lgicos

7. Desarrollo y Mantenimiento de Aplicaciones Informticas

8. Continuidad de las Actividades

A los efectos de la aplicacin de la Poltica de Seguridad de la Informacin, se

Organizacio n funcional y gestio n de

- que la direccin es la responsable de la gestin de los riesgos relacionados con

- que se deben considerar los siguientes aspectos (identificacin general de riesgos):

o eficiencia en la obtencin de informacin,

o confidencialidad de la informacin crtica o sensible,

o integridad y validez de la informacin,

o disponibilidad en tiempo y forma,

o cumplimiento de leyes y reglamentaciones,

o confiabilidad de la informacin generada.

- se establece un responsable del funcionamiento del sistema: el Comit de

- documentacin: las polticas y procedimientos deben estar: escritos, formalmente

- los responsables deben estar claramente designados dentro de las polticas y

- los anlisis de riesgos deben ser efectuados peridicamente, documentarse e

Dentro de la norma se detallan procedimientos para el tratamiento del riesgo, por

- estrategias para proteccin de la seguridad de los activos de informacin, tales

- y, para modificar el impacto de la ocurrencia de eventos adversos, el diseo y

Considera tambin la transferencia de determinado tipo de actividades (tercerizacin o

En cuanto a la separacin de funciones, el organigrama del BCRA, detalla la

Adjuntamos el organigrama y detallamos las principales funciones de sus

GERENCIA PRINCIPAL DE SEGURIDAD DE LA INFORMACIN

SUBGERENCIA GENERAL DE SISTEMAS Y ORGANIZACION

Seguridad fsica y lo gica de la

ASPECTOS TERICOS ABORDADOS EN LA MATERIA

COBIT: Es una gua de mejores prcticas dirigido al control y supervisin de tecnologa de

DS12.1 Seleccin y diseo de los centros de proceso de datos

DS12.2 Medidas de Seguridad Fsica

DS12.3 Acceso Fsico

DS12.4 Proteccin contra factores ambientales

DS12.5 Gestin de las Instalaciones

NORMA ISO 27002:2005 SEGURIDAD FSICA Y DEL ENTORNO

Controles fsicos de entrada

Proteccin contra amenazas externas y ambientales

reas de acceso pblico, reas de carga y descarga

Instalacin y proteccin de los equipos

Seguridad del cableado

Se deberan mantener adecuadamente los equipos para garantizar su continua

Seguridad de los equipos fuera de los locales de la Organizacin