Está en la página 1de 34

Anexo B - Nivel de cumplimiento de las sentencias declarativas del Ma

Nro. Dominio Factor de Evaluación N. ISSUE


Nivel de Madurez

3: Controles de
93 1: Controles Preventivos - Línea Base
ciberseguridad

3: Controles de
94 1: Controles Preventivos ISS.90 Línea Base
ciberseguridad

3: Controles de
95 1: Controles Preventivos ISS.175 Línea Base
ciberseguridad

3: Controles de
96 1: Controles Preventivos ISS.176 Línea Base
ciberseguridad

3: Controles de
97 1: Controles Preventivos ISS.177 Línea Base
ciberseguridad

3: Controles de
98 1: Controles Preventivos - Línea Base
ciberseguridad

3: Controles de
103 1: Controles Preventivos - Línea Base
ciberseguridad

3: Controles de
104 1: Controles Preventivos - Línea Base
ciberseguridad
3: Controles de
105 1: Controles Preventivos ISS.178 Línea Base
ciberseguridad

3: Controles de
106 1: Controles Preventivos ISS.140 Línea Base
ciberseguridad

3: Controles de
107 1: Controles Preventivos ISS.212 Línea Base
ciberseguridad

3: Controles de
108 1: Controles Preventivos - Línea Base
ciberseguridad

3: Controles de
109 1: Controles Preventivos ISS.179 Línea Base
ciberseguridad

3: Controles de
110 1: Controles Preventivos - Línea Base
ciberseguridad

3: Controles de
111 1: Controles Preventivos - Línea Base
ciberseguridad

3: Controles de
112 1: Controles Preventivos ISS.141 Línea Base
ciberseguridad

3: Controles de
113 1: Controles Preventivos - Línea Base
ciberseguridad

3: Controles de
114 1: Controles Preventivos ISS.142 Línea Base
ciberseguridad

3: Controles de
115 1: Controles Preventivos ISS.64 Línea Base
ciberseguridad
3: Controles de
116 1: Controles Preventivos ISS.91 Línea Base
ciberseguridad

3: Controles de
117 1: Controles Preventivos - Línea Base
ciberseguridad

3: Controles de
118 1: Controles Preventivos ISS.180 Línea Base
ciberseguridad

3: Controles de
123 1: Controles Preventivos ISS.92 Línea Base
ciberseguridad

3: Controles de
126 1: Controles Preventivos ISS.251 Línea Base
ciberseguridad

3: Controles de
127 1: Controles Preventivos ISS.95 Línea Base
ciberseguridad

3: Controles de
128 1: Controles Preventivos - Línea Base
ciberseguridad

3: Controles de
129 1: Controles Preventivos - Línea Base
ciberseguridad

3: Controles de
133 2: Controles Detectivos - Línea Base
ciberseguridad

3: Controles de
134 2: Controles Detectivos - Línea Base
ciberseguridad

3: Controles de
135 2: Controles Detectivos - Línea Base
ciberseguridad
3: Controles de
141 2: Controles Detectivos - Línea Base
ciberseguridad

3: Controles de
142 2: Controles Detectivos ISS.184 Línea Base
ciberseguridad

3: Controles de
143 2: Controles Detectivos ISS.97 Línea Base
ciberseguridad

3: Controles de
144 2: Controles Detectivos ISS.186 Línea Base
ciberseguridad

3: Controles de
154 2: Controles Detectivos ISS.189 Línea Base
ciberseguridad

3: Controles de
155 2: Controles Detectivos - Línea Base
ciberseguridad

3: Controles de
156 2: Controles Detectivos ISS.99 Línea Base
ciberseguridad

3: Controles de
157 2: Controles Detectivos - Línea Base
ciberseguridad

3: Controles de
158 2: Controles Detectivos - Línea Base
ciberseguridad

3: Controles de
162 3: Controles Correctivos ISS.65 Línea Base
ciberseguridad

3: Controles de
163 3: Controles Correctivos ISS.190 Línea Base
ciberseguridad
3: Controles de
164 3: Controles Correctivos ISS.68 Línea Base
ciberseguridad

3: Controles de
170 3: Controles Correctivos ISS.145 Línea Base
ciberseguridad

3: Controles de
252 1: Controles Preventivos - Línea Base
ciberseguridad

3: Controles de
253 1: Controles Preventivos ISS.238 Línea Base
ciberseguridad

3: Controles de
254 1: Controles Preventivos ISS.67 Línea Base
ciberseguridad

3: Controles de
262 1: Controles Preventivos ISS.146 Línea Base
ciberseguridad

3: Controles de
263 1: Controles Preventivos ISS.123 Línea Base
ciberseguridad

3: Controles de
275 2: Controles Detectivos ISS.206 Línea Base
ciberseguridad

3: Controles de
334 2: Controles Detectivos ISS.49 Línea Base
Ciberseguridad

3: Controles de
345 1: Controles Preventivos ISS.208 Línea Base
ciberseguridad
declarativas del Marco de Ciberseguridad FFIEC

Sentencia Declarativa

Se utilizan herramientas de defensa perimetral de red (por ejemplo, enrutador de borde


y firewall).

Se usan herramientas antivirus y anti-malware actualizadas.

Las configuraciones de sistemas (para servidores, escritorios, enrutadores, etc.) siguen


los estándares de la industria y se aplican.

Se controla y supervisa el acceso para realizar cambios en las configuraciones de los


sistemas (incluidas las máquinas virtuales y los hipervisores).

Las sesiones del sistema se bloquean después de un período de inactividad predefinido


y se terminan una vez que se cumplen las condiciones predefinidas.

Los entornos de red inalámbricos requieren configuraciones de seguridad con cifrado


fuerte para autenticación y transmisión.

El acceso de los empleados se otorga a los sistemas y datos confidenciales basados ​en
las responsabilidades laborales y los principios de privilegio mínimo.

El acceso de los empleados a los sistemas y los datos confidenciales prevé la


separación de funciones.
Los privilegios elevados (por ejemplo, privilegios de administrador) son limitados y están
estrechamente controlados (por ejemplo, asignados a individuos, no compartidos y
requieren controles de contraseñas más fuertes).

Las revisiones de acceso de usuario se realizan periódicamente para todos los sistemas
y aplicaciones en función del riesgo para la aplicación o el sistema.

Los cambios en el acceso físico y lógico de los usuarios, incluidos los que resultan de
terminaciones voluntarias e involuntarias, son enviados y aprobados por personal
apropiado.

La identificación y la autenticación se requieren y se administran para el acceso a


sistemas, aplicaciones y hardware.

Los controles de acceso incluyen la complejidad de la contraseña y los límites para los
intentos de contraseña y la reutilización.

Todas las contraseñas predeterminadas y las cuentas predeterminadas innecesarias se


cambian antes de la implementación del sistema.

El acceso del cliente a los productos o servicios basados ​en Internet requiere controles
de autenticación (por ejemplo, controles en capas, multifactoriales) que sean acorde con
el riesgo.

Los entornos de producción y no producción están separados para evitar el acceso no


autorizado o los cambios en los activos de información. (* N / A si no existe un entorno
de producción en la institución o el tercero de la institución).

Los controles físicos de seguridad se utilizan para evitar el acceso no autorizado a los
sistemas de información y de telecomunicaciones.

Los datos confidenciales se cifran cuando se transmiten a través de redes públicas o no


confiables (por ejemplo, Internet).

Los dispositivos móviles (por ejemplo, computadoras portátiles, tabletas y medios


extraíbles) están encriptados si se usan para almacenar datos confidenciales.
Existen controles administrativos, físicos o técnicos para evitar que los usuarios sin
responsabilidades administrativas puedan instalar software no autorizado

El servicio al cliente (por ejemplo, el centro de llamadas) utiliza procedimientos formales


para autenticar a los clientes de acuerdo con el riesgo de la transacción o la solicitud.

Los datos se eliminan o se destruyen de acuerdo con los requisitos documentados y


dentro de los plazos previstos.

Existen controles para restringir el uso de medios extraíbles al personal autorizado.

Los desarrolladores que trabajan para la institución siguen prácticas seguras de


codificación de programas, como parte de un ciclo de vida de desarrollo del sistema
(SDLC), que cumplen con los estándares de la industria.

Los controles de seguridad de software desarrollado internamente son revisados ​y


probados periódicamente.

Los controles de seguridad en el código de software desarrollado internamente se


revisan independientemente antes de migrar el código a la producción.

La propiedad intelectual y el código de producción se mantienen en réplica.

Las pruebas independientes (incluidas las pruebas de penetración y la detección de


vulnerabilidades) se realizan de acuerdo con la evaluación de riesgos para los sistemas
externos y la red interna.

Las herramientas antivirus y antimalware se utilizan para detectar ataques.

Los mecanismos de protección por correo electrónico se utilizan para filtrar las
amenazas cibernéticas comunes (por ejemplo, malware adjunto o enlaces maliciosos).
Las transacciones de los clientes que generan alertas de actividad anómalas se
supervisan y revisan.

Los registros de acceso físico y / o lógico se revisan después de los eventos.

El acceso a los sistemas críticos por parte de terceros se controla para detectar
actividades no autorizadas o inusuales.

Los privilegios elevados son monitoreados.

Se establece una línea base de actividad de red normal.

Los mecanismos (por ejemplo, alertas de antivirus, alertas de eventos de registro) están
en su lugar para alertar a la administración sobre posibles ataques.

Existen procesos para controlar la presencia de usuarios no autorizados, dispositivos,


conexiones y software.

Se han asignado las responsabilidades para monitorear y reportar la actividad de los


sistemas sospechosos.

El entorno físico se supervisa para detectar posibles accesos no autorizados.

Se implementa un programa de administración de parches y se asegura que los parches


de software y firmware se apliquen de manera oportuna.

Los parches se prueban antes de ser aplicados a sistemas y / o software.


Los informes de gestión de revisiones se revisan y reflejan los parches de seguridad
faltantes.

Los problemas identificados en las evaluaciones se priorizan y se resuelven en función


de la criticidad y dentro de los plazos establecidos en la respuesta al informe de
evaluación.

Los sistemas a los que se accede desde Internet o por terceros están protegidos por
firewalls u otros dispositivos similares.

Todos los puertos están monitoreados

Los puertos, funciones, protocolos y servicios están prohibidos si ya no son necesarios


para fines comerciales.

Todas las contraseñas están encriptadas en almacenamiento y en tránsito.

El acceso remoto a sistemas críticos por parte de empleados, contratistas y terceros


utiliza conexiones cifradas y autenticación multifactor.

Las reglas de firewall son auditadas o verificadas al menos trimestralmente.

La institución puede detectar actividades anómalas a través del monitoreo en el entorno.

Los programas que pueden anular el sistema, el objeto, la red, la máquina virtual y los
controles de la aplicación están restringidos.
Responsable - cargo Estado agosto-18

Subgerente De Redes Y Comunicaciones Cumple

Subgerente de Seguridad de Información No Cumple

Subgerente de Seguridad de Información No Cumple

Subgerente de Seguridad de Información No Cumple

Subgerente de Seguridad de Información No Cumple

Subgerente de Seguridad de Información Cumple

Subgerente de Seguridad de Información Cumple

Subgerente de Seguridad de Información Cumple


Subgerente de Seguridad de Información No Cumple

Subgerente de Seguridad de Información No Cumple

Gerente De Soporte Legal Y Contractual No Cumple

Subgerente De Redes Y Comunicaciones Cumple

Subgerente de Seguridad de Información No Cumple

Subgerente De Redes Y Comunicaciones Cumple

Subgerente de Seguridad de Información Cumple

Subgerente de Seguridad de Información No Cumple

Subgerente de Seguridad de Información Cumple

Subgerente de Seguridad de Información No Cumple

Subgerente de Operaciones de Sistemas No Cumple


Subgerente de Seguridad de Información No Cumple

Subgerente de Seguridad de Información Cumple

Subgerente de Operaciones de Sistemas No Cumple

Subgerente de Seguridad de Información No Cumple

Gerente de Desarrollo de Sistemas No Cumple

Subgerente de Seguridad de Información No Cumple

Subgerente de Aseguramiento de Calidad Cumple

Gerente de Desarrollo de Sistemas Cumple

Subgerente de Seguridad de Información Cumple

Subgerente de Seguridad de Información Cumple

Supervisor de Servicios de TI Cumple


Subgerente De Prevencion E Investigacion De
Cumple
Fraudes

Subgerente de Seguridad de Información No Cumple

Subgerente de Seguridad de Información No Cumple

Subgerente de Seguridad de Información No Cumple

Subgerente de Seguridad de Información No Cumple

Subgerente de Seguridad de Información Cumple

Subgerente de Seguridad de Información No Cumple

Subgerente de Seguridad de Información Cumple

Subgerente de Seguridad de Información Cumple

Subgerente de Infraestructura de TI No Cumple

Subgerente de Seguridad de Información No Cumple


Subgerente de Infraestructura de TI No Cumple

Subgerente de Seguridad de Información No Cumple

Subgerente de Seguridad de Información Cumple

Subgerente De Redes Y Comunicaciones No Cumple

Subgerente de Infraestructura de TI No Cumple

Subgerente de Seguridad de Información No Cumple

Subgerente de Seguridad de Información No Cumple

Subgerente de Seguridad de Información No Cumple

Subgerente de Seguridad de Información No Cumple

Subgerente de Seguridad de Información No Cumple


Estado de la recomendación TM abr-19 Estado-abril19

Cumple Cumple

En proceso No cumple

En proceso No cumple

En proceso No cumple

En proceso No cumple

Cumple Cumple

Cumple Cumple

Cumple Cumple
En proceso No cumple

En proceso No cumple

Cerrada - Verificada Cumple

Cumple Cumple

En proceso No cumple

Cumple Cumple

Cumple Cumple

En proceso No cumple

Cumple Cumple

En proceso No cumple

Cerrada - Verificada Cumple


Cerrada - Verificada Cumple

Cumple Cumple

Cerrada - Verificada Cumple

Cerrada - Verificada Cumple

Cerrada - Verificada Cumple

Cerrada - Verificada Cumple

Cumple Cumple

Cumple Cumple

Cumple Cumple

Cumple Cumple

Cumple Cumple
Cumple Cumple

En proceso No cumple

Cerrada - Verificada Cumple

En proceso No cumple

En proceso No cumple

Cumple Cumple

Cerrada - Verificada Cumple

Cumple Cumple

Cumple Cumple

Cerrada - Verificada Cumple

En proceso No cumple
Cerrada - Verificada Cumple

En proceso No cumple

Cumple Cumple

Cerrada - Verificada Cumple

Cerrada - Verificada Cumple

En proceso No cumple

En proceso No cumple

En proceso No cumple

En proceso No cumple

En proceso No cumple
Estado de la recomendación TM ago-19 Estado-ago19

Cumple Cumple

En proceso No cumple

En proceso No cumple

En proceso No cumple

En proceso No cumple

Cumple Cumple

Cumple Cumple

Cumple Cumple
En proceso No cumple

En proceso No cumple

Cerrada - Verificada Cumple

Cumple Cumple

En proceso No cumple

Cumple Cumple

Cumple Cumple

En proceso No cumple

Cumple Cumple

En proceso No cumple

Cerrada - Verificada Cumple


Cerrada - Verificada Cumple

Cumple Cumple

Cerrada - Verificada Cumple

Cerrada - Verificada Cumple

Cerrada - Verificada Cumple

Cerrada - Verificada Cumple

Cumple Cumple

Cumple Cumple

Cumple Cumple

Cumple Cumple

Cumple Cumple
Cumple Cumple

En proceso No cumple

Cerrada - Verificada Cumple

En proceso No cumple

En proceso No cumple

Cumple Cumple

Cerrada - Verificada Cumple

Cumple Cumple

Cumple Cumple

Cerrada - Verificada Cumple

En proceso No cumple
Cerrada - Verificada Cumple

En proceso No cumple

Cumple Cumple

Cerrada - Verificada Cumple

Cerrada - Verificada Cumple

En proceso No cumple

En proceso No cumple

En proceso No cumple

En proceso No cumple

En proceso No cumple
Recomendacion Consultor

Se deben instalar herramientas que cumplan con la funcion especificada y que esten al dia con los ultimos requerimiento
industria. Ej. EDR. Luego de dicha puesta en produccion, se deben observar los patrones de conductas dentro de la re
empezar a crear reglas en base a los mismos e impactar el negocio lo menos posible manteniendo la seguridad al

Se deben estandarizar las configuraciones utilizadas en todos los activos informaticos de la empresa. Ej. GPO's, separ
principio de menor acceso, etc.

Se debe documentar el proceso de dar privilegios a los usuarios que los necesiten, basandose en los roles del usuario.
realizada por cualquier personal autorizado debe ser documentada y registrada en los registros de dicha plataforma pa
posterior.

Las desconexiones por inactividad deben ser onfiguradas por la criticidad del sistema en cuestion, pero como maximo el ti
debe pasar de 5 minutos.
Se deben crear politicas de grupos que apliquen a estos usuarios de servicio o de administracion para que los mismos cum
de la industria en cuanto la longitud recomendada de contraseñas. Tambien debe documentarse por parte del personal de
quienes tienen dichos accesos con las justificaciones necesarias para los mismos.

Esta responsabilidad debe caer sobre el area de gestion de identidades o del personal de admistracion del dominio, a fin d
anteriores, todo acceso que se de, este debidamente documentado y justificado para que al momento de una auditoria
orden.

Esto debe ser manejado a travez de aplicacion de politicas de grupo (GPO's) y el personal de gestion de identidade

En este caso se debe de aclarar la ingerencia de cada departamento en los procesos de desarrollo, prueba, QA y produc
que se desarrollen de manera individual para la entidad. Se debe tomar en cuenta el metodo a utilizar para el desarrollo, q
como se maneja la ubicacion y los accesos de la informacion en uso.

La transmision de datos a tercero, por recomendaciones estandares de la industria deben contar con el minimo de cifrado
canal utilizado. Ejemplos Https: TLS 1.2 o 1.3. VPN IPSEC: algoritmos con al menos 512 bits de cifrado
Los registros de accesos fisicos y logicos que generan los sistemas utilizados para dichos fines, deben ser resguarda
centralizado de logs (SIEM) para que los mismos puedan ser correlacionados a fin de que en el caso de que pase algun ev
como evidencia. Al mismo fin dicho resguardo actua como repositorio en caso de una auditoria

Todo usuario que cuente con una cuenta con altos privilegios debe estar dentro de las alertas del equipo de gestion de
acesos deben ser monitoreados constantemente a fin de que si ocurre algun incidente esa informacion este d

Cuando se instala un sistema de correlacion de eventos o algun tipo de monitoreo de red, los primeros meses de operacio
a la verificacion de la operacion de la red. Se verifica que todos los patrones detectados se correspondan con el uso diario
entidad, se detallen dichos procesos en caso de no tener el detalle, se realizan verificaciones de los mismos a fin de mejo
que salgan en dicho monitoreo.

Cuando se reciben parches por parte de los fabricantes de software, por lo general se prueban en una pequeña parte d
entidad. Dicho grupo de equipos debe estar en ambiente de prueba pero debe contener todas las aplicaciones que se usan
que la prueba sea lo mas real posible. En caso de no contar con esta facilidad, se puede tener un grupo de equipos e
empleados que puedan ofrecer rapida informacion en caso de una falla y antes de aplicar dichos parchos, realizar un
Se debe realizar una coordinacion con el personal que debe realizar las remediaciones, a fin de que al momento que lle
determine que se deben realizar adecuaciones, las mismas se apliquen en el orden de criticidad establecido. Dichas ade
pasar de un tiempo maximo establecido en las coordinaciones.

Toda aplicacion que se utilize dentro de la entidad, debe contar con metodos de transmision de informacion de manera ci
controladores de dominio y todo trafico web tanto interno como externo. Las aplicaciones que no tengan esta facilidad, de
sus datos por canales cifrados (Ej. VPN)

Todo acceso que venga desde cualquier red exterior de la entidad, debe ser via comunicacion cifrada (IPSEC VPN, SSL
dicho canal debe tener varios factores de autenticacion y contraseñas fuertes para el acceso al mismo. Dicho canal so
funciones especificas para las que fue creado y toda actividad del mismo debe ser monitoreada de manera

Todas las reglas de firewalls, sean permitrales o de DMZ dentro de la entidad, deben ser auditadas de manera regular, a
que las mismas cumplen con el proposito por las cuales fueron creadas y no dejen ningun canal abierto por error. Dichas r
creacion, deben ser documentadas para que al momento de las auditorias su proposito incial sea verificado con

Dentro de las tareas del equipo de monitoreo, deben estar las de constante vision sobre los equipos que protegen el per
entidad. Dichos administradores son los encargados de dar seguimiento a los firewalls y proxys que permiten la entrada
Estos equipos a su vez, deben estar conectados a un concentrador de logs el cual pueda generar alertas en caso de a
personal de monitoreo no haya visto

Todo programa que tenga privilegios de administrador, o que su funcion basica sea la de modificar componentes clave de
estar monitoreado por el equipo de infraestructura y su activacion debe de estar condicionada a creacion de un log el cual
repositorio central para su posterior correlacion y creacion de alertas en caso de algun evento.
Subdominio FFIEC asociado (Dominio 3)

Deteccion de Amenazas y vulnerabilidades

Administracion de Infraestructura

Administracion de Accesos y Datos

Administracion de Infraestructura
Administracion de Accesos y Datos

Administracion de Accesos y Datos

Administracion de Accesos y Datos

Desarrollo Seguro

Administracion de Accesos y Datos


Administracion de Accesos y Datos

Administracion de Accesos y Datos

Administracion de Accesos y Datos

Manejo de Parchado
Remediacion

Administracion de Accesos y Datos

Administracion de Accesos y Datos

Deteccion de Amenazas y vulnerabilidades

Deteccion de Eventos

Administracion de Infraestructura