Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Banco Central de la
Repblica Argentina
(BCRA)
Gestin de Tecnologa Informtica y Sistemas
Taller de Auditora y Control de Sistemas Computarizados UMSA
25/06/2014
Introduccio n
Es una entidad autrquica del Estado nacional regida por las disposiciones de su
Carta Orgnica y las dems normas legales concordantes.
El Estado nacional garantiza las obligaciones asumidas por el banco.
El banco tiene por finalidad promover, en la medida de sus facultades y en el
marco de las polticas establecidas por el gobierno nacional, la estabilidad
monetaria, la estabilidad financiera, el empleo y el desarrollo econmico con
equidad social.
Algunas de sus funciones y facultades principales son:
Una de las misiones fundamentales que tiene el BCRA es crear las condiciones
necesarias para desarrollar y fortalecer la estabilidad financiera.
Trabajo Prctico Final. Grupo: Claudia Latrecchiana, Alejandro Casella, Macarena Posse.
JUNIO 2014
Taller de Control y Auditora de Sistemas Computarizados
Universidad del Museo Social Argentino (UMSA)
En una entrevista realizada a la ex presidenta del BCRA, Mercedes Marc del Pont,
remarca Es fundamental crear sistemas informativos, contar con muy buena informacin
para saber qu es lo que est pasando, cmo operan estas nuevas reas (). Tendremos
una etapa de diagnstico y trabajo tcnico importante. Esta reforma de la Carta Orgnica
tambin pone de manifiesto la importancia de la gestin de tecnologa informtica y de
sistemas, ya que el BCRA redefine sus funciones, amplindolas y expandiendo sus
funciones de contralor a toda organizacin crediticia y de transporte de caudales, lo que
requiere de nuevos instrumentos para un eficiente desempeo.
Trabajo Prctico Final. Grupo: Claudia Latrecchiana, Alejandro Casella, Macarena Posse.
JUNIO 2014
Taller de Control y Auditora de Sistemas Computarizados
Universidad del Museo Social Argentino (UMSA)
DIRECTRICES:
1. Organizacin de la Seguridad
Administrar la seguridad de la informacin dentro de la Institucin, en un marco
adecuado para controlar su efectiva implementacin.
El propsito fundamental de la organizacin de la seguridad es la obtencin y la
permanencia de un nivel de seguridad adecuado, homogneo y duradero. Sobre esta
premisa deber definirse la estructura organizativa, instrumentada a travs de un Comit,
as como los roles y responsabilidades de seguridad asociados a los integrantes de ste.
2. Clasificacin de la Informacin
La correcta clasificacin de la informacin, facilitar la determinacin de las
premisas bsicas de proteccin conforme con el grado de clasificacin asignado a la
informacin. Los niveles de clasificacin se establecern acorde con la sensibilidad y
criticidad de la informacin, con el fin de determinar su confidencialidad, integridad y
disponibilidad.
9. Cumplimiento
Asegurar el cumplimiento de las disposiciones legales, normativas y contractuales a
fin de evitar sanciones administrativas y/o legales al Organismo y que el empleado incurra
en responsabilidad civil o penal como resultado de su incumplimiento.
La Poltica, encuadrada dentro de los marcos legales y regulatorios vigentes, se
aplica a todo el personal del Organismo, cualquiera sea su situacin de revista, as como a
todos los sistemas de informacin, procedimientos, documentacin y plataformas tcnicas
del Organismo.
Trabajo Prctico Final. Grupo: Claudia Latrecchiana, Alejandro Casella, Macarena Posse.
JUNIO 2014
Taller de Control y Auditora de Sistemas Computarizados
Universidad del Museo Social Argentino (UMSA)
GLOSARIO
Trabajo Prctico Final. Grupo: Claudia Latrecchiana, Alejandro Casella, Macarena Posse.
JUNIO 2014
Taller de Control y Auditora de Sistemas Computarizados
Universidad del Museo Social Argentino (UMSA)
Sus caractersticas generales (algunas compartidas con las normas IRAM pero
referenciadas solo a este tipo de riesgos, otras especficas), son:
o eficacia de la informacin,
- separacin de funciones,
CONCLUSIONES:
GERENCIA DE TECNOLOGA
Funcin:
Proyectar el desarrollo tecnolgico de la Institucin a fin de mantener una infraestructura
acorde con sus necesidades e impulsar su evolucin.
Entender en las investigaciones de mercado propendiendo, conforme a las mejores
prcticas en la materia, a la implementacin de soluciones de hardware y software que
permitan mejorar la eficiencia en el uso de los recursos.
Gerente:
Ingeniero Roberto Carretero
Funcin:
Promover el establecimiento de pautas, normas y estndares de seguridad respecto de la
Informacin sistematizada en el mbito de la Institucin as como de las entidades
financieras.
Gerente Principal
Lic. Mara Misto Macas (entrevistada personalmente)
Trabajo Prctico Final. Grupo: Claudia Latrecchiana, Alejandro Casella, Macarena Posse.
JUNIO 2014
Taller de Control y Auditora de Sistemas Computarizados
Universidad del Museo Social Argentino (UMSA)
GERENCIA DE SEGURIDAD INFORMATICA
Funcin:
Formular pautas, normas y estndares de seguridad respecto de la informacin
sistematizada de la Institucin, con el propsito de asegurar su proteccin en los procesos
de acceso, procesamiento y transmisin, y entender en la implementacin de los mismos.
Gerente
Ingeniero Eduardo A. Barbazn
Funcin:
Dirigir, coordinar y controlar las actividades relacionadas con la gestin de los recursos
informticos de la Institucin, tanto en el diseo, desarrollo y soporte tcnico, como en la
ejecucin de los procesos automatizados. Asesorar sobre herramientas estratgicas para
el desarrollo informtico, analizando su evolucin tecnolgica.
Entender en el relevamiento y anlisis de los procesos de la organizacin y elaborar
propuestas de diseo o rediseo tendientes a promover su eficiencia.
Elaborar y mantener los manuales orgnicos funcionales y de procedimientos de la
Institucin.
Subgerente General
Sr. Germn Carranza
Trabajo Prctico Final. Grupo: Claudia Latrecchiana, Alejandro Casella, Macarena Posse.
JUNIO 2014
Taller de Control y Auditora de Sistemas Computarizados
Universidad del Museo Social Argentino (UMSA)
SEGURIDAD FSICA:
Uno de los captulos del COBIT, titulado Entregar y dar soporte (DS), en su apartado 12,
se refiere a la administracin del ambiente fsico de los centros de datos. Los puntos
abordados son:
Trabajo Prctico Final. Grupo: Claudia Latrecchiana, Alejandro Casella, Macarena Posse.
JUNIO 2014
Taller de Control y Auditora de Sistemas Computarizados
Universidad del Museo Social Argentino (UMSA)
Las normas ISO son publicaciones en las cuales se definen estndares de calidad en
distintos mbitos y su confeccin est a cargo del ISO (Organizacin Internacional para la
Estandarizacin).
En el caso de la norma ISO 27002, el ISO trabaj conjuntamente con la IEC (Comisin
Electrotcnica Internacional), definiendo el cdigo de buenas prcticas en la gestin de la
informacin. Los puntos destacados respecto de la seguridad fsica son:
Permetro de seguridad
Los permetros de seguridad (como paredes, tarjetas de control de entrada a puertas o un
puesto manual de recepcin) deberan utilizarse para proteger las reas que contengan
informacin y recursos para su procesamiento.
Suministro elctrico
Se deberan proteger los equipos contra fallos en el suministro de energa u otras
anomalas elctricas en los equipos de apoyo.
Mantenimiento de equipos
Trabajo Prctico Final. Grupo: Claudia Latrecchiana, Alejandro Casella, Macarena Posse.
JUNIO 2014
Taller de Control y Auditora de Sistemas Computarizados
Universidad del Museo Social Argentino (UMSA)
SEGURIDAD LGICA:
Por su parte, la norma ISO 27002, tambin aborda aspectos de la seguridad lgica:
Control de Acceso
Se deberan controlar los accesos a la informacin, los recursos de tratamiento de la
informacin y los procesos de negocio en base a las necesidades de seguridad y de
negocio de la Organizacin. Las regulaciones para el control de los accesos deberan
considerar las polticas de distribucin de la informacin y de autorizaciones
Trabajo Prctico Final. Grupo: Claudia Latrecchiana, Alejandro Casella, Macarena Posse.
JUNIO 2014
Taller de Control y Auditora de Sistemas Computarizados
Universidad del Museo Social Argentino (UMSA)
Por otro lado, para preservar los activos frente a amenazas virtuales, define que se
deber Controlar los accesos lgicos a la informacin, por cuanto stos por medio de un
sistema de restricciones y excepciones son la base de todo sistema de seguridad
informtica. Para ello, determina que deber existir un estricto control de los derechos
de acceso asignados, en base a registros de comunicaciones y control de cumplimiento.
Trabajo Prctico Final. Grupo: Claudia Latrecchiana, Alejandro Casella, Macarena Posse.
JUNIO 2014
Taller de Control y Auditora de Sistemas Computarizados
Universidad del Museo Social Argentino (UMSA)
(trfico de informacin que se considera "dinero online"). Est claro que en este ltimo
ejemplo, la manipulacin inadecuada de informacin podra tener consecuencias muy
negativas para particulares e incluso para la economa del pas.
El CPD est ubicado en la planta baja del edificio ubicado en Reconquista 266 CABA
y su recinto no tiene comunicacin directa al exterior por ventanas ni puertas. Si bien su
estructura no es antissmica, cuenta con instalaciones anti-incendios tales como
matafuegos y extintores.
Cabe destacar que el Banco cuenta con un CPD que oficia de Sitio de
Contingencias, el cual se aloja en un piso del edificio de la Armada Argentina, "Edificio
Libertad", ubicado en la calle Comodoro Py 2055 CABA. Los servidores se encuentran
duplicados mediante una fibra oscura (canal de fibra ptica ms segura y con mayores
prestaciones que las comerciales), que permite la sustitucin de los servidores de manera
instantnea mediante la rplica de los mismos, garantizando la disponibilidad de la
informacin de forma inmediata.
Trabajo Prctico Final. Grupo: Claudia Latrecchiana, Alejandro Casella, Macarena Posse.
JUNIO 2014
Taller de Control y Auditora de Sistemas Computarizados
Universidad del Museo Social Argentino (UMSA)
La red wifi que existe dentro del banco, la cual se utiliza para las visitas que
necesitan navegar por internet o, inclusive, para los empleados que tiene permisos de
acceso, es absolutamente ajena a la red interna. De este modo, quien accede a navegar
por internet, no necesariamente cuenta con permisos para ingresar a la intranet, lo cual
implica una medida para evitar ataques a los servidores.
Trabajo Prctico Final. Grupo: Claudia Latrecchiana, Alejandro Casella, Macarena Posse.
JUNIO 2014
Taller de Control y Auditora de Sistemas Computarizados
Universidad del Museo Social Argentino (UMSA)
Trabajo Prctico Final. Grupo: Claudia Latrecchiana, Alejandro Casella, Macarena Posse.
JUNIO 2014
Taller de Control y Auditora de Sistemas Computarizados
Universidad del Museo Social Argentino (UMSA)
HACKING E3 TICO
Hacking tico es una forma de referirse al acto de un profesional de la seguridad
informtica de utilizar sus conocimientos para realizar pruebas en redes y encontrar
vulnerabilidades, para luego reportarlas y que se tomen contramedidas para solucionar y
mitigar los posibles riesgos.
La idea es tener el conocimiento de cules elementos dentro de una red son vulnerables y
corregirlo antes de que ocurra el hurto de informacin sensible.
Estas pruebas se llaman "pen tests" o "penetration tests" en ingls. En espaol se conocen
como "pruebas de penetracin", en donde se intenta de mltiples formas burlar la
seguridad de la red para robar informacin sensitiva de una organizacin.
La metodologa aplicada por la empresa se basa en tareas que se ejecutan en paralelo con
los distintos sectores del Banco, a los cuales les brindan soporte y asistencia en la
implementacin de las soluciones a los problemas detectados.
Trabajo Prctico Final. Grupo: Claudia Latrecchiana, Alejandro Casella, Macarena Posse.
JUNIO 2014
Taller de Control y Auditora de Sistemas Computarizados
Universidad del Museo Social Argentino (UMSA)
Esta ley tiene por objeto garantizar el derecho al honor y a la intimidad de la personas, as
como tambin el acceso a la informacin que sobre ellas se registre, de conformidad con
el Art.43 de la Constitucin Nacional; Toda persona puede interponer accin expedita y
rpida de amparo, siempre que no exista otro medio judicial ms idneo, contra todo acto
u omisin de autoridades pblicas o de particulares, que en forma actual o inminente
lesione, restrinja, altere o amenace, con arbitrariedad o ilegalidad manifiesta, derechos,
garantas reconocidas por esta constitucin, un tratado o una ley. En el caso el juez podr
declarar la inconstitucionalidad de la norma en que se funde el acto u omisin lesiva
La normativa indica que las bases de datos que registran informacin de carcter
personal deben ser obligatoriamente registradas ante el ente regulador siempre que est
destinado a proveer informes y exceda el uso exclusivamente personal
La ley exige que los datos sean ciertos, adecuados, pertinentes y no excesivos para la
finalidad que deben cumplir con su obtencin
Y que su difusin requiere el consentimiento previo de las personas ya sean fsicas o
jurdicas, el tratamiento de estos datos no es lcito si no media la conformidad expresa
por escrito u otro medio similar
En el caso de las entidades financieras podemos decir que hay excepciones a que el
procesamiento de datos personales requiere consentimiento previo, escrito e informado
de sus titulares (Art. 5 de la ley).
Operaciones pasivas, en donde los bancos toman fondos del pblico, cajas de ahorro,
cuentas corrientes, plazos fijos.
Operaciones activas: en donde los bancos prestan fondos al pblico en general, ya sean
personas fsicas o jurdicas, todos tipos de prstamos.
Trabajo Prctico Final. Grupo: Claudia Latrecchiana, Alejandro Casella, Macarena Posse.
JUNIO 2014
Taller de Control y Auditora de Sistemas Computarizados
Universidad del Museo Social Argentino (UMSA)
Respecto de las operaciones pasivas podemos decir que se encuentran protegidas por el
derecho bancario. informacin de clientes que puede te
La ley 21526 de entidades financieras dice en su Art 40 Las informaciones que el Banco
Central de Repblica Argentina reciba o recoja en ejercicio de sus funciones, vinculadas a
operaciones pasivas, tendrn carcter estrictamente confidencial
El BCRA recibe informacin del sistema financiero a travs de la Central de Deudores, esta
base de datos registra a todas las personas sean fsicas o jurdicas que tengan deudas que
superen un determinado monto, el BCRA difunde en su sitio Web, a travs de esta base,
solo los datos correspondiente al ltimo mes, esta informacin se puede consultar, por
nmero de CUIT, y con clave de identificacin fiscal, estos datos son actualizados mes a
mes.
El BCRA informa que estos datos publicados fueron elaborados por las entidades
financieras y no es alterada, ni modificada por ellos, por lo tanto el BCRA es un mero
intermediario y su difusin no implica conformidad del banco.
Respecto del acceso a las base de datos, el BCRA limita el ingreso, ya sea a los usuarios
externos e internos, en el caso que la funcin as lo requiera lo permiten con
autorizaciones especiales para tal fin.
CONFIDENCIALIDAD DE LA INFORMACIN
Trabajo Prctico Final. Grupo: Claudia Latrecchiana, Alejandro Casella, Macarena Posse.
JUNIO 2014
Taller de Control y Auditora de Sistemas Computarizados
Universidad del Museo Social Argentino (UMSA)
PLAN DE CONTINUIDAD
BANCO CENTRAL DE LA REPU3 BLICA
ARGENTINA (BCRA)
El proceso debe ser documentado, caso contrario, no tendr un efecto positivo, por lo
tanto debe manifestarse por escrito y debe ser comunicado a todas las personas
involucradas.
BENEFICIOS
Relevamiento de infraestructura
Trabajo Prctico Final. Grupo: Claudia Latrecchiana, Alejandro Casella, Macarena Posse.
JUNIO 2014
Taller de Control y Auditora de Sistemas Computarizados
Universidad del Museo Social Argentino (UMSA)
DESARROLLO DEL PLAN
Relevamiento de infraestructura
Las etapas que usualmente se desarrollan en la elaboracin del plan son las siguientes
Anlisis de Riesgo.
Anlisis y reduccin de los riesgos a que est expuesta la organizacin.
Esta evaluacin se debe hacer puntuando el grado de realizacin de cada tarea a evaluar,
con el criterio de 0 a 4 segn el grado de realizacin.
El conjunto de evaluacin de cada tem nos dar el grado de realizacin del plan en cada
rea.
Trabajo Prctico Final. Grupo: Claudia Latrecchiana, Alejandro Casella, Macarena Posse.
JUNIO 2014
Taller de Control y Auditora de Sistemas Computarizados
Universidad del Museo Social Argentino (UMSA)
OPERACIONES CRTICAS
OPERACIONES IMPORTANTES
Trabajo Prctico Final. Grupo: Claudia Latrecchiana, Alejandro Casella, Macarena Posse.
JUNIO 2014
Taller de Control y Auditora de Sistemas Computarizados
Universidad del Museo Social Argentino (UMSA)
OPERACIONES DE RUTINA
El modelo cuenta con una metodologa que permitida determinar el nivel crtico, y riesgo
de sus reas o procesos?
El plan es auditado?
- El plan es auditado.
Trabajo Prctico Final. Grupo: Claudia Latrecchiana, Alejandro Casella, Macarena Posse.
JUNIO 2014