Cumplimiento de Sentencias Declarativas Del Marco de Ciberseguridad FFIEC 26.08.19 (J.N)

Anexo B - Nivel de cumplimiento de las sentencias declarativas del Ma
Nro. Dominio Factor de Evaluación N. ISSUE

Nivel de Madurez
3: Controles de
93 1: Controles Preventivos - Línea Base
ciberseguridad
3: Controles de
94 1: Controles Preventivos ISS.90 Línea Base
ciberseguridad
3: Controles de
ciberseguridad
3: Controles de
ciberseguridad
3: Controles de
ciberseguridad
3: Controles de
ciberseguridad
3: Controles de
ciberseguridad
3: Controles de
ciberseguridad
3: Controles de
ciberseguridad
3: Controles de
ciberseguridad
3: Controles de
ciberseguridad
3: Controles de
ciberseguridad
3: Controles de
ciberseguridad
3: Controles de
ciberseguridad
3: Controles de
ciberseguridad
3: Controles de
ciberseguridad
3: Controles de
ciberseguridad
3: Controles de
ciberseguridad
3: Controles de
ciberseguridad
3: Controles de
ciberseguridad
3: Controles de
ciberseguridad
3: Controles de
ciberseguridad
3: Controles de
ciberseguridad
3: Controles de
ciberseguridad
3: Controles de
ciberseguridad
3: Controles de
ciberseguridad
3: Controles de
ciberseguridad
3: Controles de
133 2: Controles Detectivos - Línea Base
ciberseguridad
3: Controles de
ciberseguridad
3: Controles de
ciberseguridad
3: Controles de
ciberseguridad
3: Controles de
142 2: Controles Detectivos ISS.184 Línea Base
ciberseguridad
3: Controles de
ciberseguridad
3: Controles de
ciberseguridad
3: Controles de
ciberseguridad
3: Controles de
ciberseguridad
3: Controles de
ciberseguridad
3: Controles de
ciberseguridad
3: Controles de
ciberseguridad
3: Controles de
162 3: Controles Correctivos ISS.65 Línea Base
ciberseguridad
3: Controles de
ciberseguridad
3: Controles de
ciberseguridad
3: Controles de
ciberseguridad
3: Controles de
ciberseguridad
3: Controles de
ciberseguridad
3: Controles de
ciberseguridad
3: Controles de
ciberseguridad
3: Controles de
ciberseguridad
3: Controles de
ciberseguridad
3: Controles de
Ciberseguridad
3: Controles de
ciberseguridad
declarativas del Marco de Ciberseguridad FFIEC
Sentencia Declarativa
Se utilizan herramientas de defensa perimetral de red (por ejemplo, enrutador de borde

y firewall).
Se usan herramientas antivirus y anti-malware actualizadas.
Las configuraciones de sistemas (para servidores, escritorios, enrutadores, etc.) siguen

los estándares de la industria y se aplican.
Se controla y supervisa el acceso para realizar cambios en las configuraciones de los

sistemas (incluidas las máquinas virtuales y los hipervisores).
Las sesiones del sistema se bloquean después de un período de inactividad predefinido

y se terminan una vez que se cumplen las condiciones predefinidas.
Los entornos de red inalámbricos requieren configuraciones de seguridad con cifrado

fuerte para autenticación y transmisión.
El acceso de los empleados se otorga a los sistemas y datos confidenciales basados en
las responsabilidades laborales y los principios de privilegio mínimo.
El acceso de los empleados a los sistemas y los datos confidenciales prevé la

separación de funciones.
Los privilegios elevados (por ejemplo, privilegios de administrador) son limitados y están
estrechamente controlados (por ejemplo, asignados a individuos, no compartidos y
requieren controles de contraseñas más fuertes).
Las revisiones de acceso de usuario se realizan periódicamente para todos los sistemas
y aplicaciones en función del riesgo para la aplicación o el sistema.
Los cambios en el acceso físico y lógico de los usuarios, incluidos los que resultan de
terminaciones voluntarias e involuntarias, son enviados y aprobados por personal
apropiado.
La identificación y la autenticación se requieren y se administran para el acceso a

sistemas, aplicaciones y hardware.
Los controles de acceso incluyen la complejidad de la contraseña y los límites para los
intentos de contraseña y la reutilización.
Todas las contraseñas predeterminadas y las cuentas predeterminadas innecesarias se

cambian antes de la implementación del sistema.
El acceso del cliente a los productos o servicios basados en Internet requiere controles
de autenticación (por ejemplo, controles en capas, multifactoriales) que sean acorde con
el riesgo.
Los entornos de producción y no producción están separados para evitar el acceso no

autorizado o los cambios en los activos de información. (* N / A si no existe un entorno
de producción en la institución o el tercero de la institución).
Los controles físicos de seguridad se utilizan para evitar el acceso no autorizado a los
sistemas de información y de telecomunicaciones.
Los datos confidenciales se cifran cuando se transmiten a través de redes públicas o no

confiables (por ejemplo, Internet).
Los dispositivos móviles (por ejemplo, computadoras portátiles, tabletas y medios

extraíbles) están encriptados si se usan para almacenar datos confidenciales.
Existen controles administrativos, físicos o técnicos para evitar que los usuarios sin
responsabilidades administrativas puedan instalar software no autorizado
El servicio al cliente (por ejemplo, el centro de llamadas) utiliza procedimientos formales

para autenticar a los clientes de acuerdo con el riesgo de la transacción o la solicitud.
Los datos se eliminan o se destruyen de acuerdo con los requisitos documentados y

dentro de los plazos previstos.
Existen controles para restringir el uso de medios extraíbles al personal autorizado.
Los desarrolladores que trabajan para la institución siguen prácticas seguras de

codificación de programas, como parte de un ciclo de vida de desarrollo del sistema
(SDLC), que cumplen con los estándares de la industria.
Los controles de seguridad de software desarrollado internamente son revisados y

probados periódicamente.
Los controles de seguridad en el código de software desarrollado internamente se

revisan independientemente antes de migrar el código a la producción.
La propiedad intelectual y el código de producción se mantienen en réplica.
Las pruebas independientes (incluidas las pruebas de penetración y la detección de

vulnerabilidades) se realizan de acuerdo con la evaluación de riesgos para los sistemas
externos y la red interna.
Las herramientas antivirus y antimalware se utilizan para detectar ataques.
Los mecanismos de protección por correo electrónico se utilizan para filtrar las
amenazas cibernéticas comunes (por ejemplo, malware adjunto o enlaces maliciosos).
Las transacciones de los clientes que generan alertas de actividad anómalas se
supervisan y revisan.
Los registros de acceso físico y / o lógico se revisan después de los eventos.
El acceso a los sistemas críticos por parte de terceros se controla para detectar
actividades no autorizadas o inusuales.
Los privilegios elevados son monitoreados.
Se establece una línea base de actividad de red normal.
Los mecanismos (por ejemplo, alertas de antivirus, alertas de eventos de registro) están
en su lugar para alertar a la administración sobre posibles ataques.
Existen procesos para controlar la presencia de usuarios no autorizados, dispositivos,

conexiones y software.
Se han asignado las responsabilidades para monitorear y reportar la actividad de los

sistemas sospechosos.
El entorno físico se supervisa para detectar posibles accesos no autorizados.
Se implementa un programa de administración de parches y se asegura que los parches

de software y firmware se apliquen de manera oportuna.
Los parches se prueban antes de ser aplicados a sistemas y / o software.

Los informes de gestión de revisiones se revisan y reflejan los parches de seguridad
faltantes.
Los problemas identificados en las evaluaciones se priorizan y se resuelven en función

de la criticidad y dentro de los plazos establecidos en la respuesta al informe de
evaluación.
Los sistemas a los que se accede desde Internet o por terceros están protegidos por
firewalls u otros dispositivos similares.
Todos los puertos están monitoreados
Los puertos, funciones, protocolos y servicios están prohibidos si ya no son necesarios

para fines comerciales.
Todas las contraseñas están encriptadas en almacenamiento y en tránsito.
El acceso remoto a sistemas críticos por parte de empleados, contratistas y terceros

utiliza conexiones cifradas y autenticación multifactor.
Las reglas de firewall son auditadas o verificadas al menos trimestralmente.
La institución puede detectar actividades anómalas a través del monitoreo en el entorno.
Los programas que pueden anular el sistema, el objeto, la red, la máquina virtual y los
controles de la aplicación están restringidos.
Responsable - cargo Estado agosto-18
Subgerente De Redes Y Comunicaciones Cumple
Subgerente de Seguridad de Información No Cumple
Subgerente de Seguridad de Información Cumple

Gerente De Soporte Legal Y Contractual No Cumple
Subgerente de Operaciones de Sistemas No Cumple

Subgerente de Operaciones de Sistemas No Cumple
Gerente de Desarrollo de Sistemas No Cumple
Subgerente de Aseguramiento de Calidad Cumple
Gerente de Desarrollo de Sistemas Cumple
Supervisor de Servicios de TI Cumple

Subgerente De Prevencion E Investigacion De
Cumple
Fraudes
Subgerente de Infraestructura de TI No Cumple

Subgerente De Redes Y Comunicaciones No Cumple

Estado de la recomendación TM abr-19 Estado-abril19
Cumple Cumple
En proceso No cumple
Cumple Cumple
Cumple Cumple
Cumple Cumple
Cerrada - Verificada Cumple
Cumple Cumple
Cumple Cumple
Cumple Cumple
Cumple Cumple

Cumple Cumple
Cumple Cumple
Cumple Cumple
Cumple Cumple
Cumple Cumple
Cumple Cumple
Cumple Cumple
Cumple Cumple
Cumple Cumple
Cumple Cumple
Cumple Cumple
Estado de la recomendación TM ago-19 Estado-ago19
Cumple Cumple
Cumple Cumple
Cumple Cumple
Cumple Cumple
Cumple Cumple
Cumple Cumple
Cumple Cumple
Cumple Cumple

Cumple Cumple
Cumple Cumple
Cumple Cumple
Cumple Cumple
Cumple Cumple
Cumple Cumple
Cumple Cumple
Cumple Cumple
Cumple Cumple
Cumple Cumple
Cumple Cumple
Recomendacion Consultor
Se deben instalar herramientas que cumplan con la funcion especificada y que esten al dia con los ultimos requerimiento
industria. Ej. EDR. Luego de dicha puesta en produccion, se deben observar los patrones de conductas dentro de la re
empezar a crear reglas en base a los mismos e impactar el negocio lo menos posible manteniendo la seguridad al
Se deben estandarizar las configuraciones utilizadas en todos los activos informaticos de la empresa. Ej. GPO's, separ
principio de menor acceso, etc.
Se debe documentar el proceso de dar privilegios a los usuarios que los necesiten, basandose en los roles del usuario.
realizada por cualquier personal autorizado debe ser documentada y registrada en los registros de dicha plataforma pa
posterior.
Las desconexiones por inactividad deben ser onfiguradas por la criticidad del sistema en cuestion, pero como maximo el ti
debe pasar de 5 minutos.
Se deben crear politicas de grupos que apliquen a estos usuarios de servicio o de administracion para que los mismos cum
de la industria en cuanto la longitud recomendada de contraseñas. Tambien debe documentarse por parte del personal de
quienes tienen dichos accesos con las justificaciones necesarias para los mismos.
Esta responsabilidad debe caer sobre el area de gestion de identidades o del personal de admistracion del dominio, a fin d
anteriores, todo acceso que se de, este debidamente documentado y justificado para que al momento de una auditoria
orden.
Esto debe ser manejado a travez de aplicacion de politicas de grupo (GPO's) y el personal de gestion de identidade
En este caso se debe de aclarar la ingerencia de cada departamento en los procesos de desarrollo, prueba, QA y produc
que se desarrollen de manera individual para la entidad. Se debe tomar en cuenta el metodo a utilizar para el desarrollo, q
como se maneja la ubicacion y los accesos de la informacion en uso.
La transmision de datos a tercero, por recomendaciones estandares de la industria deben contar con el minimo de cifrado
canal utilizado. Ejemplos Https: TLS 1.2 o 1.3. VPN IPSEC: algoritmos con al menos 512 bits de cifrado
Los registros de accesos fisicos y logicos que generan los sistemas utilizados para dichos fines, deben ser resguarda
centralizado de logs (SIEM) para que los mismos puedan ser correlacionados a fin de que en el caso de que pase algun ev
como evidencia. Al mismo fin dicho resguardo actua como repositorio en caso de una auditoria
Todo usuario que cuente con una cuenta con altos privilegios debe estar dentro de las alertas del equipo de gestion de
acesos deben ser monitoreados constantemente a fin de que si ocurre algun incidente esa informacion este d
Cuando se instala un sistema de correlacion de eventos o algun tipo de monitoreo de red, los primeros meses de operacio
a la verificacion de la operacion de la red. Se verifica que todos los patrones detectados se correspondan con el uso diario
entidad, se detallen dichos procesos en caso de no tener el detalle, se realizan verificaciones de los mismos a fin de mejo
que salgan en dicho monitoreo.
Cuando se reciben parches por parte de los fabricantes de software, por lo general se prueban en una pequeña parte d
entidad. Dicho grupo de equipos debe estar en ambiente de prueba pero debe contener todas las aplicaciones que se usan
que la prueba sea lo mas real posible. En caso de no contar con esta facilidad, se puede tener un grupo de equipos e
empleados que puedan ofrecer rapida informacion en caso de una falla y antes de aplicar dichos parchos, realizar un
Se debe realizar una coordinacion con el personal que debe realizar las remediaciones, a fin de que al momento que lle
determine que se deben realizar adecuaciones, las mismas se apliquen en el orden de criticidad establecido. Dichas ade
pasar de un tiempo maximo establecido en las coordinaciones.
Toda aplicacion que se utilize dentro de la entidad, debe contar con metodos de transmision de informacion de manera ci
controladores de dominio y todo trafico web tanto interno como externo. Las aplicaciones que no tengan esta facilidad, de
sus datos por canales cifrados (Ej. VPN)
Todo acceso que venga desde cualquier red exterior de la entidad, debe ser via comunicacion cifrada (IPSEC VPN, SSL
dicho canal debe tener varios factores de autenticacion y contraseñas fuertes para el acceso al mismo. Dicho canal so
funciones especificas para las que fue creado y toda actividad del mismo debe ser monitoreada de manera
Todas las reglas de firewalls, sean permitrales o de DMZ dentro de la entidad, deben ser auditadas de manera regular, a
que las mismas cumplen con el proposito por las cuales fueron creadas y no dejen ningun canal abierto por error. Dichas r
creacion, deben ser documentadas para que al momento de las auditorias su proposito incial sea verificado con
Dentro de las tareas del equipo de monitoreo, deben estar las de constante vision sobre los equipos que protegen el per
entidad. Dichos administradores son los encargados de dar seguimiento a los firewalls y proxys que permiten la entrada
Estos equipos a su vez, deben estar conectados a un concentrador de logs el cual pueda generar alertas en caso de a
personal de monitoreo no haya visto
Todo programa que tenga privilegios de administrador, o que su funcion basica sea la de modificar componentes clave de
estar monitoreado por el equipo de infraestructura y su activacion debe de estar condicionada a creacion de un log el cual
repositorio central para su posterior correlacion y creacion de alertas en caso de algun evento.
Subdominio FFIEC asociado (Dominio 3)
Deteccion de Amenazas y vulnerabilidades
Administracion de Infraestructura
Administracion de Accesos y Datos
Desarrollo Seguro

Manejo de Parchado
Remediacion
Deteccion de Amenazas y vulnerabilidades
Deteccion de Eventos

Idioma

¡Te damos la bienvenida a Scribd!

Cumplimiento de Sentencias Declarativas Del Marco de Ciberseguridad FFIEC 26.08.19 (J.N)

Cargado por

Información del documento

Título original

Derechos de autor

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Descripción:

Copyright:

Cumplimiento de Sentencias Declarativas Del Marco de Ciberseguridad FFIEC 26.08.19 (J.N)

Título original:

Cargado por

Descripción:

Copyright:

Títulos relacionados

Anexo B - Nivel de cumplimiento de las sentencias declarativas del Ma

Nro. Dominio Factor de Evaluación N. ISSUE

Se utilizan herramientas de defensa perimetral de red (por ejemplo, enrutador de borde

Se usan herramientas antivirus y anti-malware actualizadas.

Las configuraciones de sistemas (para servidores, escritorios, enrutadores, etc.) siguen

Se controla y supervisa el acceso para realizar cambios en las configuraciones de los

Las sesiones del sistema se bloquean después de un período de inactividad predefinido

Los entornos de red inalámbricos requieren configuraciones de seguridad con cifrado

El acceso de los empleados a los sistemas y los datos confidenciales prevé la

La identificación y la autenticación se requieren y se administran para el acceso a

Todas las contraseñas predeterminadas y las cuentas predeterminadas innecesarias se

Los entornos de producción y no producción están separados para evitar el acceso no

Los datos confidenciales se cifran cuando se transmiten a través de redes públicas o no

Los dispositivos móviles (por ejemplo, computadoras portátiles, tabletas y medios

El servicio al cliente (por ejemplo, el centro de llamadas) utiliza procedimientos formales

Los datos se eliminan o se destruyen de acuerdo con los requisitos documentados y

Existen controles para restringir el uso de medios extraíbles al personal autorizado.

Los desarrolladores que trabajan para la institución siguen prácticas seguras de

Los controles de seguridad de software desarrollado internamente son revisados ​y

Los controles de seguridad en el código de software desarrollado internamente se

La propiedad intelectual y el código de producción se mantienen en réplica.

Las pruebas independientes (incluidas las pruebas de penetración y la detección de

Las herramientas antivirus y antimalware se utilizan para detectar ataques.

Los registros de acceso físico y / o lógico se revisan después de los eventos.

Los privilegios elevados son monitoreados.

Se establece una línea base de actividad de red normal.

Existen procesos para controlar la presencia de usuarios no autorizados, dispositivos,

Se han asignado las responsabilidades para monitorear y reportar la actividad de los

El entorno físico se supervisa para detectar posibles accesos no autorizados.

Se implementa un programa de administración de parches y se asegura que los parches

Los parches se prueban antes de ser aplicados a sistemas y / o software.

Los problemas identificados en las evaluaciones se priorizan y se resuelven en función

Todos los puertos están monitoreados

Los puertos, funciones, protocolos y servicios están prohibidos si ya no son necesarios

Todas las contraseñas están encriptadas en almacenamiento y en tránsito.

El acceso remoto a sistemas críticos por parte de empleados, contratistas y terceros

Las reglas de firewall son auditadas o verificadas al menos trimestralmente.

La institución puede detectar actividades anómalas a través del monitoreo en el entorno.

Subgerente De Redes Y Comunicaciones Cumple

Subgerente de Seguridad de Información No Cumple

Subgerente de Seguridad de Información No Cumple

Subgerente de Seguridad de Información No Cumple

Subgerente de Seguridad de Información No Cumple

Subgerente de Seguridad de Información Cumple

Subgerente de Seguridad de Información Cumple

Subgerente de Seguridad de Información Cumple

Subgerente de Seguridad de Información No Cumple

Gerente De Soporte Legal Y Contractual No Cumple

Subgerente De Redes Y Comunicaciones Cumple

Subgerente de Seguridad de Información No Cumple

Subgerente De Redes Y Comunicaciones Cumple

Subgerente de Seguridad de Información Cumple

Subgerente de Seguridad de Información No Cumple

Subgerente de Seguridad de Información Cumple

Subgerente de Seguridad de Información No Cumple

Subgerente de Operaciones de Sistemas No Cumple

Subgerente de Seguridad de Información Cumple

Subgerente de Operaciones de Sistemas No Cumple

Subgerente de Seguridad de Información No Cumple

Gerente de Desarrollo de Sistemas No Cumple

Los controles de seguridad de software desarrollado internamente son revisados y