DISEÑO DE UN SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN Fecha de

(SGSI) EN OPERACIONES FINANCIERAS (CAJA) elaboración:23/09/2021

Página 1

Interpretación de los requisitos del SGSI según NB/ISO 27001:2013

MÓDULO II

EJERCICIO Nº 7
Elaboración:

Victor Hugo Achocalla Romero.

Gonzalo Tarifa Rodríguez

Judy Adriana Quispe Geronimo

Karina America Dávila Mendez

Freddy Alejandro Mamani Choque

Edson Alberto Calle Medina

 DISEÑO DE UN SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN Fecha de
(SGSI) EN OPERACIONES FINANCIERAS (CAJA) elaboración:23/09/2021
Página 2

Se ha definido para el Sistema de Gestión de Seguridad de la Información para el

proceso de operaciones financieras en cajas de Banco FIE S.A.

CONTROL A.14 ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE

SISTEMAS

A.14.2 Seguridad en procesos de desarrollo y soporte

Asegurar que la seguridad de la información está diseñada e implementada dentro del ciclo
de desarrollo de los sistemas de información.

Para tal efecto se plantea los siguientes controles:

A.14.2.1 Política de desarrollo seguro

● Normar el proceso de desarrollo, mantenimiento e implementación de sistemas de

información para una adecuada administración de seguridad en sus componentes
considerando la seguridad de la información en el ciclo de vida del desarrollo de
software, proceso de análisis, diseño, desarrollo, pruebas y pase a producción.
● Banco FIE S.A. es propietario del software desarrollado por sus trabajadores, tanto
de licencia de uso, código fuente y toda su documentación relacionada al desarrollo,
mantenimiento e implementación de sistema de información.
● Normas de Seguridad de la Información de Desarrollo, Mantenimiento e
Implementación de Sistemas de Información.
● Los datos almacenados en el ambiente de producción no deben ser utilizados para
las actividades de certificación o pruebas.
● Los datos utilizados en los ambientes de desarrollo, pruebas, certificación no deben
ser los utilizados en el ambiente de producción.
● Habilitar solo los módulos, servicios, protocolos y aplicaciones que sean necesarias
para el buen funcionamiento del sistema de información.
● Aquellos que no se utilicen deberán ser deshabilitados.
● El desarrollador es responsable de documentar cuáles son estrictamente necesarios
para el correcto funcionamiento del aplicativo.
● Verificar que los aplicativos cuenten con las últimas versiones estables, tanto a nivel
de software como de sistema operativo, parches de seguridad, servidor de
aplicaciones, base de datos, máquina virtual de java, etc., antes del despliegue.
● Verificar que no se pueda listar los directorios de la aplicación.
● Verificar que en el servidor no se encuentren instalados módulos, extensiones,
programas por defecto y que no serán usados por la aplicación.
● Controlar para que los usuarios no tengan acceso a aquellos archivos de
configuración o a directorios sensibles que no puedan ser eliminados.
● Solo usuarios con privilegios o autorizados deberán tener acceso.
● Controlar para que todos los usuarios de la aplicación y el software que se ejecuten
en el servidor (base de datos, sftp, apache, iis, jboss, tomcat, etc.) tengan los
mínimos privilegios sobre el sistema.
● Garantizar que no se permita la transferencia de archivos con configuraciones del
sistema a los usuarios.
 DISEÑO DE UN SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN Fecha de
(SGSI) EN OPERACIONES FINANCIERAS (CAJA) elaboración:23/09/2021
Página 3

● Controlar si la aplicación requiere que el usuario adjunte archivos, verificar que solo
esté permitido el envío de documentos con extensiones específicas, por ejemplo:
doc, docx, pdf. No permitir que el usuario adjunte archivos con extensiones asp, txt,
php, jsp, exe, etc.
● Validar los archivos enviados al servidor por el usuario en la estructura de su
cabecera, ya que la extensión puede ser falsificada por este.
● Controlar para que los archivos que son enviados por el usuario no sean
almacenados en el mismo entorno de trabajo de la aplicación, se recomienda
guardarlos en un dispositivo aislado.
● Controlar y de ser posible solo permitir el cargue de archivos .pdf a los sistemas de
información y, en la medida de lo posible, no deben incluir scripts.
● Controlar para que los archivos transferidos al servidor por el usuario no se
almacenen con permisos de ejecución, sólo de lectura.
● No utilizar rutas específicas en los parámetros o variables, se recomienda utilizar
índices que internamente se asocian a directorios o rutas predefinidas.
● Utilizar protocolos seguros, tales como SSH, SFTP, FTPS, VPN SSL, IP SEC, etc.
Para la comunicación y transferencia de archivos.
● Todos los sistemas que implementen Web Services dentro de su funcionamiento,
deben contar con mecanismos de seguridad adecuados. Se deben tener en cuenta
los siguientes aspectos, sin limitarse a:
○ Configurar solo métodos HTTP seguros, tales como POST.
○ No permitir el uso de los métodos DELETE, PUT, GET, y TRACE.
○ Implementación de soporte HTTPS para mensajes tipo SOAP.
○ Cifrado y firma de contenido XML.
○ Implementación de especificaciones de seguridad como: WS-Security,
WSTrust, WS-Signature, XML Encryption, SAML,
○ ebXML, WS-policy.
○ Validación de entradas.
○ Validación de XML según el esquema definido.
○ Generación de logs de las transacciones de los Web Services.
○ Modificar las cabeceras HTTP para que no muestre información sobre las
versiones y las aplicaciones que se encuentran en el servidor. Por ejemplo:
modificar la cabecera “Server”.

A.14.2.2 Procedimientos de control de cambios del sistema

● Establecer la separación de los ambientes de desarrollo respecto a los ambientes de

certificación y ambientes de producción.
● Documentar y hacer cumplir los procedimientos formales de control de cambios que
se tienen definidos, para asegurar la integridad del sistema, las aplicaciones y los
productos, desde las primeras etapas de diseño a través de todos los esfuerzos de
mantenimiento posteriores. Este proceso debe incluir:
○ Una valoración de riesgos de seguridad digital.
○ Análisis de los impactos de los cambios y la especificación de los controles
de seguridad.
 DISEÑO DE UN SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN Fecha de
(SGSI) EN OPERACIONES FINANCIERAS (CAJA) elaboración:23/09/2021
Página 4

○ El uso de un sistema de gestión de versiones, que permite recuperar

versiones específicas cuando se requiera.
○ Propender por el cumplimiento del Procedimiento de gestión de cambios y el
Instructivo Lineamientos Gestión de cambios definidos para asegurar la
integridad del sistema, las aplicaciones y los productos, desde las primeras
etapas de diseño a través de todos los esfuerzos de mantenimiento
posteriores.
○ Exigir que en los nuevos sistemas y cambios importantes a los sistemas
existentes se ejecute un proceso formal de documentación, especificación,
pruebas, control de calidad y gestión de la implementación.

A.14.2.3 Revisión técnica de las aplicaciones después de los cambios en la

plataforma de operación

● Programas, aplicaciones y/o sistemas de información que se desarrollen, actualicen

y/o se implementen, Banco FIE S.A. debe evaluar el nivel de protección de la
información en base a criterios de seguridad de la información

A.14.2.4 Restricciones en los cambios a los paquetes de software

1. En caso de considerarlo necesario la modificación de paquetes de software

suministrados por proveedores, y previa autorización del responsable del activo de
información se debe:
a. Analizar los términos y condiciones de la licencia a fin de determinar si las
modificaciones se encuentran autorizadas.
b. Evaluar el impacto que se produce si el Banco FIE se hace cargo del
mantenimiento.
c. Conservar el software original realizando los cambios sobre una copia
perfectamente identificada, documentando exhaustivamente por si fuera
necesario aplicarlo a nuevas versiones.

A.14.2.5 Principios de ingeniería de sistema seguro

● El acceso a los aplicativos deberán contar con pistas de auditoría, donde se

registran los accesos correctos e intentos fallidos de autenticación.
● Los aplicativos y/o sistemas que involucre consulta, adición, modificación o
eliminación de información crítica debe contar con pistas de auditoría que
especifique como mínimo:
➢ Identificación del usuario responsable del cambio.
➢ Identificación de la PC (computador) desde la que se produjo la conexión.
➢ Tipo de acción y el detalle de la información afectada.
➢ Fecha y hora del evento.

● Generación de certificados digitales para paginas Web (https)

● La emisión de certificado digital para uso externo debe ser realizada por una entidad
de certificación autorizada por la ATT.
 DISEÑO DE UN SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN Fecha de
(SGSI) EN OPERACIONES FINANCIERAS (CAJA) elaboración:23/09/2021
Página 5

● El acceso al código fuente será controlado por la Gerencia nacional de Tecnología

quién es responsable de centralizar todos los recursos y códigos fuente de los
desarrollos

A.14.2.6 Entorno de desarrollo seguro

● Separación de Ambientes de desarrollo, certificación y producción se debe

implementar mecanismos que garanticen dicha separación:

Físicos Lógicos

Separación física de ambientes de Segmentación de red mediante VLAN`s

desarrollo, pruebas y producción.

La Gerencia nacional de Tecnología debe garantizar la separación de dichos

ambientes considerando los controles mencionados

A.14.2.7 Desarrollo tercerizado

● El Banco FIE contará con estándares de metodología para el proceso de ingeniería

del software en el desarrollo terciarizado, que comprendan aspectos tales como:
estudio de factibilidad, análisis y especificaciones, diseño, desarrollo, pruebas,
migraciones de datos preexistentes, implementación y mantenimiento de los
sistemas aplicativos de información, con la finalidad de garantizar la calidad del
mismo.
Verificar y hacer cumplir por parte del tercero los siguientes puntos en toda la
cadena de suministro:
● Los acuerdos de licenciamiento, propiedad de los códigos y derechos de
propiedad intelectual relacionados con el contenido contratado externamente.
● Los requisitos contractuales para prácticas seguras de diseño, codificación y
pruebas.
● El suministro del modelo de amenaza aprobado al desarrollador externo.
● Las pruebas de aceptación para determinar la calidad y exactitud de los
entregables.
● La entrega de evidencias de que se usaron umbrales de seguridad para
establecer niveles mínimos aceptables de calidad de la seguridad y de la
privacidad.
● La entrega de evidencias de que se han hecho pruebas suficientes para
garantizar que el sistema está protegido contra contenido malicioso
intencional y no intencional en el momento de la entrega.
● La entrega de evidencias de que se han hecho pruebas suficientes para
garantizar que el sistema está protegido contra la presencia de
vulnerabilidades conocidas.
● Derecho contractual con relación a procesos y controles de desarrollo de
● auditorías.
● Documentación eficaz del ambiente de construcción usado para crear los
 DISEÑO DE UN SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN Fecha de
(SGSI) EN OPERACIONES FINANCIERAS (CAJA) elaboración:23/09/2021
Página 6

● entregables.
● Aceptar las políticas y procedimientos que se encuentran dentro de este
documento.
● Cumplir con el procedimiento del protocolo de paso a producción.
● Realizar para todos los sistemas desarrollados, un proceso de verificación de
código antes de su salida a producción, incluyendo aquellas librerías de
terceros que son incluidas en el desarrollo (DLL).
● Establecer programas de prueba para aceptación y criterios de aceptación
relacionados para los sistemas de información nuevos, actualizaciones y
nuevas versiones.

A.14.2.8 Prueba de seguridad del sistema

● La ejecución de pruebas debe ser realizada conforme a un plan acordado entre el

Responsable Técnico y el Área solicitante, durante la ejecución de las mismas es
responsabilidad del Responsable Técnico registrar todas las observaciones con el
mayor detalle para posteriormente remitir a los desarrolladores y corregirlas. Esa si
que se realizará la siguiente pruebas como mínimo:
○ Pruebas funcionales, prueba completa del sistema con opciones, menús,
pantallas, reportes, etc. (Condiciones válidas y esperadas).
○ Pruebas de proceso, pruebas de navegación (smoke).
○ Pruebas de control, control de registros, control de totales, control de datos,
control de salidas.
○ Pruebas de salidas, control de reportes, control de archivos
○ Pruebas de stress, someter al sistema o programa a procesos masivos, se
debe considerar la cantidad de usuarios o accesos que tendría en una
situación normal o grandes grupos de personas.
○ Pruebas de concurrencia, someter al sistema o programa en el mismo
momento, al ingreso de varios usuarios consultando los mismos registros a la
vez.
○ Pruebas de accesos, Control de contraseñas y usuarios, control de
administración, control de perfiles y accesos.
○ Pruebas de seguridad, Control de generación de logs del sistema.
○ Pruebas de interfaces, Control de pruebas con interfaces entre el sistema
de administración y otros sistemas.
○ Pruebas de integración, Control de componentes del sistema con otros
sistemas o aplicativos adicionales.
 DISEÑO DE UN SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN Fecha de
(SGSI) EN OPERACIONES FINANCIERAS (CAJA) elaboración:23/09/2021
Página 7

A.14.2.9 Prueba de aprobación del sistema

Política 1.

Requisitos de Seguridad de los Sistemas:

La metodología definida para el desarrollo de las aplicaciones deberá considerar los

aspectos de seguridad y control durante todo el ciclo de vida del desarrollo.

Análisis y Especificaciones de los Requisitos de Seguridad

● Se deberá incluir un proceso de evaluación de riesgos durante la etapa de
especificación de requisitos, en la cual debieran participar el Responsable de
Gestión de Seguridad de la Información, el Responsable del Desarrollo, el
Responsable de Infraestructura, el Responsable de Auditoría, el Dueño de la
Información y el Usuario Dueño.
● Deberá documentarse el resultado de dicha evaluación.
● En base al análisis de riesgos realizado deberá generarse un documento o un
apartado en el documento de requisitos del sistema que identifique los
requisitos de seguridad especificados para la mitigación de los riesgos
identificados.
● Se deberá considerar el nivel que se debe cumplir de los tres principios
básicos de la seguridad de la información: Confidencialidad Integridad
Disponibilidad
● Se deberá agregar los siguientes: trazabilidad y no repudio.
● El Responsable de Gestión de Seguridad de la Información, el Responsable
del Desarrollo, el Responsable de Infraestructura y el Dueño de la Información,
deberán especificar y aprobar los controles que satisfagan a los distintos
requisitos, pudiendo incluso solicitar una evaluación previa de los mismos,
para verificar la viabilidad del control.
● Deberá especificarse el mapeo entre el requisito de seguridad y uno o más
controles que implementan el requisito.
● Se deberán considerar controles manuales como apoyo a los automáticos, de
manera obligatoria, y no asumir que porque de forma automática ya se
cumple con ese requisito entonces se puede omitir la implementación del
mismo. Al especificar controles de seguridad se deberán evaluar los controles
 DISEÑO DE UN SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN Fecha de
(SGSI) EN OPERACIONES FINANCIERAS (CAJA) elaboración:23/09/2021
Página 8

propuestos considerando el costo, esfuerzo, criticidad de la información y/o

los bienes que quieren protegerse y las probabilidades del riesgo que mitiga.
● Considerar que la inclusión de este proceso y el diseño de los controles en
etapas tempranas del desarrollo siempre es menos costoso que
considerarlas en la implementación o luego de ella.

Ambientes en el Proceso de Desarrollo.

● Se deberá contar con tres ambientes completos para el ciclo de ingeniería de
software.
● Estos ambientes serán:
○ Desarrollo: Es el ambiente propio de los desarrolladores. El
desarrollador es el responsable del mantenimiento del ambiente, Se
recomienda utilizar en lo posible productos semejantes a los
empleados en producción de manera de disminuir las diferencias.
○ Testeo: Es el ambiente en el cual se realizan las pruebas de caja negra
a las aplicaciones.
Deberá replicar exactamente en productos y configuración al ambiente
de producción, siendo recomendable además que también utilice una
réplica exacta de la infraestructura.
La administración del mismo deberá estar en manos de infraestructura,
el Responsable de Infraestructura deberá indicar quien de su sector
será el o los encargados de este ambiente.
El personal del desarrollo no deberá acceder a la administración de
este ambiente, pero sí podrá participar en las pruebas a realizar en el
mismo, siendo lo ideal que el personal vinculado al área de
Verificación, sea el único encargado de realizar las pruebas en este
ambiente.
Este ambiente es exclusivo de Testeo y no deberá en ningún momento,
salvo las excepciones acordadas por el Responsable de Seguridad, el
responsable de Infraestructura y el responsable de Desarrollo, apuntar
a datos de producción.
Con respecto a los datos los mismos deberán ser enmascarados tal
cual lo explica en Protección de los Datos de Producción.
 DISEÑO DE UN SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN Fecha de
(SGSI) EN OPERACIONES FINANCIERAS (CAJA) elaboración:23/09/2021
Página 9

● Producción: Es el ambiente operativo.

La administración del mismo deberá estar en manos de infraestructura,
el Responsable de Infraestructura deberá indicar quien de su sector
será el o los encargados de este ambiente.
El personal del desarrollo no deberá acceder a la administración de
este ambiente.
No se deberán realizar pruebas que modifiquen datos en este
ambiente.
● Control de Acceso: Todos los sistemas que no sean de libre acceso
deberán contar con control de acceso basado en roles.
La autorización deberá realizarse sobre el mismo sujeto que se
autentica o también podrá requerirse mayor información que permita
obtener la autorización con granularidad más fina. Como ejemplo: se
autentica una aplicación, se autoriza a la aplicación junto con el
usuario que la utiliza.
El tipo de autenticación/autorización varía de acuerdo al sujeto y a los
nodos.
Es recomendable que entre distintos nodos exista autenticación, y
autorización. Por ejemplo en una interacción entre un usuario con una
aplicación web, que se aloja en un servidor web, el cual se comunica
con un servidor de aplicaciones, el que finalmente accede a la base de
datos.
A nivel de comunicación con la base de datos, si la
aplicación/componente es de solo lectura, deberá utilizarse un usuario
de genérico propio de la aplicación para acceder a la base de datos (no
es compartido con ninguna otra aplicación) con derechos de solo
lectura.
Si la aplicación/componente es de escritura, entonces pueden
tomarse, por ejemplo, las siguientes alternativas:
1. Tener un usuario de la base de datos genérico propio de la
aplicación con derechos de lectura/escritura.
2. Contar con dos usuarios de la base de datos propios de la
aplicación. Uno tendrá derechos de solo lectura y se utilizará
para aquellas funciones donde solo se requiera consulta. Y un
segundo usuario con derechos de escritura. Según la criticidad
de la aplicación/componente y el costo/beneficio ganado por la
 DISEÑO DE UN SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN Fecha de
(SGSI) EN OPERACIONES FINANCIERAS (CAJA) elaboración:23/09/2021
Página 10

utilización de estas opciones se elegirá la número 1, 2, o alguna

otra alternativa que sea debidamente justificada.
3. Para cualquier caso deberán activarse los controles de auditoría
necesarios. En la siguiente figura de ejemplo el servidor web
coincide con el servidor de aplicaciones.

User1 Servidor Datos user1@domain User2 User3

user2@domain user3@domain user: application_A (read/write)

4. Se deberá diseñar y desarrollar los componentes responsables

de distintos dominios de negocio. El resto de las
aplicaciones/componentes que requieran datos de un
determinado dominio del negocio, no deberán acceder
directamente a los datos en sí, sino que utilizarán estos
componentes. De esta manera se unifica el control de acceso a
los datos, basados en la creación de distintos dominios de
seguridad determinados por el negocio.

Controles Criptográficos

Se utilizarán sistemas y técnicas criptográficas para la protección de la información

en base a un análisis de riesgo efectuado, con el fin de asegurar una adecuada
protección de su confidencialidad e integridad.

Utilización de Controles Criptográficos.

El Banco FIE. define el siguiente conjunto de controles criptográficos, a fin de
determinar su correcto uso. Para ello se indica que se utilizarán controles
criptográficos en los siguientes casos:
1. Para la protección de claves de acceso a sistemas, datos y servicios.
2. Para la transmisión de información clasificada, fuera del ámbito del Banco FIE
3. Para el resguardo de información, cuando así surja de la evaluación de
riesgos realizada por el Dueño de la Información y el Responsable de
Seguridad Informática.
4. Se desarrollarán procedimientos respecto de la administración de claves, de
la recuperación de información cifrada en caso de pérdida, compromiso o
daño de las claves y en cuanto al reemplazo de las claves de cifrado.
 DISEÑO DE UN SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN Fecha de
(SGSI) EN OPERACIONES FINANCIERAS (CAJA) elaboración:23/09/2021
Página 11

5. El Responsable del Desarrollo, del Área Informática propondrá la siguiente

asignación de funciones: a. Implementación de los Controles Criptográficos
6. Los Certificados Digitales Personales utilizados en cualquiera de sus
aplicaciones deberán cumplir con los requisitos propuestos por la ASFI en
particular deberán ser brindados por una empresa u organización reconocida
como CA.
7. Si se utilizara Dispositivos criptográficos USB, se deberán seguir las pautas
propuestas la ASFI Cifrado Mediante la evaluación de riesgos se identificará
el nivel requerido de protección, tomando en cuenta el tipo y la calidad del
algoritmo de cifrado utilizado y la longitud de las claves criptográficas a
utilizar.

Firma Digital

Las firmas digitales proporcionan un medio de protección de la autenticidad e

integridad de los documentos electrónicos. Pueden aplicarse a cualquier tipo de
documento que se procesa electrónicamente. Se implementan mediante el uso de
una técnica criptográfica sobre la base de dos claves relacionadas de manera única,
donde una clave, denominada privada, se utiliza para crear una firma y la otra,
denominada pública, para verificarla.

Se tomarán recaudos para proteger la confidencialidad de las claves privadas.

Asimismo, es importante proteger la integridad de la clave pública. Esta protección
se provee mediante el uso de un certificado de clave pública.

Utilización de Controles Criptográficos.

Se recomienda que las claves criptográficas utilizadas para firmar digitalmente no

sean empleadas en procedimientos de cifrado de información. Dichas claves deben
ser resguardadas bajo el control exclusivo de su titular.

Al utilizar firmas y certificados digitales, se considerará la legislación vigente que

describa las condiciones bajo las cuales una firma digital es legalmente válida.

En algunos casos podría ser necesario establecer acuerdos especiales para

respaldar el uso de las firmas digitales.
 DISEÑO DE UN SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN Fecha de
(SGSI) EN OPERACIONES FINANCIERAS (CAJA) elaboración:23/09/2021
Página 12

A tal fin se deberá obtener asesoramiento legal con respecto al marco normativo
aplicable y la modalidad del acuerdo a implementar.

Servicios de No Repudio.

Estos servicios se utilizarán cuando sea necesario resolver disputas acerca de la

ocurrencia de un evento o acción. Su objetivo es proporcionar herramientas para
evitar que aquél que haya originado una transacción electrónica niegue haberla
efectuado.
Cuando se requiera el no repudio de elaboración de un documento, o de pertenencia
de un documento, se recurrirá a la firma digital de documentos. Utilizando
certificados digitales, acorde al punto Firma Digital.

Si se requiere el No Repudio de una variación a nivel de datos, entonces deberá

realizarse un registro de auditoría de cada cambio que el usuario realiza, explícita o
implícitamente, permitiendo de esta manera identificar el conjunto de pasos que el
usuario realizó, y replicarlo en un nuevo ambiente.
Administración de Claves Protección de Claves Criptográficas

Se implementará un sistema de administración de claves criptográficas para

respaldar la utilización por parte del Organismo de los dos tipos de técnicas
criptográficas, a saber:
1. Técnicas de clave secreta (criptografía simétrica), cuando dos o más actores
comparten la misma clave y ésta se utiliza tanto para cifrar información como
para descifrarla.
2. Técnicas de clave pública (criptografía asimétrica), cuando cada usuario tiene
un par de claves: una clave pública (que puede ser revelada a cualquier
persona) utilizada para cifrar y una clave privada (que debe mantenerse en
secreto) utilizada para descifrar.
3. Las claves asimétricas utilizadas para cifrado no deben ser las mismas que
se utilizan para firmar digitalmente.
4. Todas las claves serán protegidas contra modificación y destrucción, y las
claves secretas y privadas serán protegidas contra copia o divulgación no
autorizada.
 DISEÑO DE UN SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN Fecha de
(SGSI) EN OPERACIONES FINANCIERAS (CAJA) elaboración:23/09/2021
Página 13

5. Se proporcionará una protección adecuada al equipamiento utilizado para

generar, almacenar y archivar claves, considerándolo crítico o de alto riesgo.

Procedimientos y Métodos

● Se redactarán procedimientos necesarios para: Generar claves para

diferentes sistemas criptográficos y diferentes aplicaciones. Generar y
obtener certificados de clave pública de manera segura.
● Distribuir claves de forma segura a los usuarios que corresponda, incluyendo
información sobre cómo deben activarse cuando se reciban.
● Almacenar claves, incluyendo la forma de acceso a las mismas por parte de
los usuarios autorizados.
● Cambiar o actualizar claves, incluyendo reglas sobre cuándo y cómo deben
cambiarse las claves.
● Revocar claves, incluyendo cómo deben retirarse o desactivarse las mismas,
por ejemplo cuando las claves están comprometidas o cuando un usuario se
desvincula del Organismo (en cuyo caso las claves también deben
archivarse).
● Recuperar claves perdidas o alteradas como parte de la administración de la
continuidad de las actividades del Organismo, por ejemplo para la
recuperación de la información cifrada.
● Archivar claves, por ejemplo, para la información archivada o resguardada.
Destruir claves. Registrar y auditar las actividades relativas a la
administración de claves. A fin de reducir la probabilidad de compromiso, las
claves tendrán fechas de inicio y caducidad de vigencia, definidas de manera
que sólo puedan ser utilizadas por el lapso (no debería ser mayor a 12
meses).
● Además de la administración segura de las claves secretas y privadas, deberá
tenerse en cuenta la protección de las claves públicas. Este problema es
abordado mediante el uso de un certificado de clave pública. Este certificado
se generará de forma que vincule de manera única la información relativa al
propietario del par de claves pública/privada con la clave pública. En
consecuencia es importante que el proceso de administración de los
certificados de clave pública sea absolutamente confiable.
Este proceso es llevado a cabo por una entidad denominada Autoridad de
Certificación (AC) o Certificador. Seguridad de los Archivos del Sistema Se
 DISEÑO DE UN SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN Fecha de
(SGSI) EN OPERACIONES FINANCIERAS (CAJA) elaboración:23/09/2021
Página 14

garantizará que los desarrollos y actividades de soporte a los sistemas se

lleven a cabo de manera segura, controlando el acceso a los archivos del
mismo.

Protección de los archivos en el disco duro

● Ningún programa podrá acceder a archivos y/o carpetas en los sistemas que
no sean de su propiedad.
● Esto deberá cumplirse independientemente de si las aplicaciones se
encuentran alojadas en Servidores de Aplicaciones o en Computadoras de
Escritorio.
● Los archivos propios de cada aplicación deberán guardarse en lugares
predefinidos.
● En el caso de las aplicaciones de escritorio, deberá acordarse un lugar donde
el sistema operativo en el cual se corre la aplicación le provea al usuario la
capacidad de guardar archivos de aplicaciones, evitando la necesidad de
derechos especiales para la ejecución de estos programas, como puede ser la
escritura de archivos en el disco duro en la ruta raíz.
● En el caso de las aplicaciones alojadas en servidores deberá acordarse un
lugar donde la aplicación deberá acceder,
● Los servidores de aplicaciones solo deberán acceder a los archivos que le
pertenecen, y deberá mantenerse el debido aislamiento entre las aplicaciones
de un mismo servidor de aplicaciones y entre los recursos que utilizan.
● Deberán realizarse los controles necesarios para garantizar el control de
acceso a los recursos del sistema.
● Los sistemas deberán acceder únicamente a los archivos que les pertenecen.
● Es recomendable que además sean los sistemas propietarios de estos
archivos los únicos capaces de acceder a éstos.

Control del Software Operativo

Se definen los siguientes controles a realizar durante la implementación del software
en producción, a fin de minimizar el riesgo de alteración de los sistemas.
● Toda aplicación, desarrollada por el Organismo o por un tercero tendrá un
único responsable informático designado formalmente por el Responsable
del Desarrollo al que se denominará Responsable Informático de la Aplicación
y también un único un Dueño de la Información.
 DISEÑO DE UN SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN Fecha de
(SGSI) EN OPERACIONES FINANCIERAS (CAJA) elaboración:23/09/2021
Página 15

● Ningún programador o analista de desarrollo y mantenimiento de

aplicaciones podrá acceder a los ambientes de producción.
● El Responsable del Desarrollo, propondrá la asignación de la función de
“Implantador” al personal de su área que considere adecuado, quien tendrá
como funciones principales:
Coordinar la implantación de modificaciones o nuevos programas en el
ambiente de Producción.
Asegurar que los sistemas aplicativos en uso, en el ambiente de
Producción, sean los autorizados y aprobados de acuerdo a las
normas y procedimientos vigentes.
Solicitar la Instalación las modificaciones, controlando previamente la
recepción de la prueba aprobada por parte del dueño de la información
y del grupo encargado de la verificación.

Además deberían seguirse los siguientes controles:

● Guardar sólo los ejecutables en el ambiente de producción y/o archivos de
configuración.
● Llevar un registro de auditoría de las actualizaciones realizadas. Retener las
versiones previas del sistema, como medida de contingencia.
● Definir un procedimiento que establezca los pasos a seguir para implementar
las autorizaciones y estándares pertinentes, las pruebas previas a realizarse,
etc.
● Denegar permisos de modificación al implantador sobre los programas
fuentes bajo su custodia.
● Evitar, que la función de implantador sea ejercida por personal que pertenezca
al sector de desarrollo de esa aplicación.

Protección de los Datos de Producción

● Se prohíbe el uso de base de datos operativas (de producción) para la

realización de pruebas.
● Las pruebas de los sistemas se efectuarán sobre datos extraídos del
ambiente de Producción y se volcarán en el ambiente de testeo.
● Para proteger los datos de prueba se establecerán procedimientos que
contemplen:
○ Despersonalización de los datos antes de su uso.
 DISEÑO DE UN SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN Fecha de
(SGSI) EN OPERACIONES FINANCIERAS (CAJA) elaboración:23/09/2021
Página 16

○ Aplicar idénticos procedimientos de control de acceso que en la base

de producción.
○ De manera de replicar lo más posible el ambiente de producción.
Solicitar autorización formal para realizar una copia de la base
operativa como base de prueba, llevando registro de tal autorización
○ Eliminar inmediatamente, una vez completadas las pruebas, la
información operativa utilizada.
○ Control de Cambios a Datos de Producción La modificación,
actualización o eliminación de los datos operativos serán realizadas a
través de los sistemas que procesan dichos datos y de acuerdo al
esquema de control de accesos implementado en los mismos.
○ Una modificación por fuera de los sistemas a un dato (No Regular),
almacenado ya sea en un archivo o base de datos, podría poner en
riesgo la integridad de la información. Los casos en los que no fuera
posible la aplicación de la precedente estrategia, se considerarán
como excepciones.
○ El Responsable de Gestión de Seguridad de la Información definirá
procedimientos para la gestión de dichas excepciones que
contemplarán lo siguiente:
■ Se generará una solicitud formal para la realización de la
modificación, actualización o eliminación del dato.
■ El Dueño de la Información afectada y el Responsable de
Desarrollo aprobarán la ejecución del cambio evaluando las
razones por las cuales se solicita.
○ La justificación de las decisiones tomadas, así como la información
sobre el cambio realizado deberá estar disponible para una posterior
revisión de Auditoría.
○ Se generarán cuentas de usuario de emergencia para ser utilizadas en
la ejecución de excepciones.
○ Las mismas serán protegidas mediante contraseñas, sujetas al
procedimiento de administración de contraseñas críticas y habilitadas
sólo ante un requerimiento de emergencia y por el lapso que ésta dure.
○ Se designará un encargado de implantar los cambios denominados
“Implantadores de cambios en Datos”, se deberá evitar que la función
sea ejercida por personal que pertenezca al sector de desarrollo de esa
aplicación.
 DISEÑO DE UN SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN Fecha de
(SGSI) EN OPERACIONES FINANCIERAS (CAJA) elaboración:23/09/2021
Página 17

○ Se registran todas las actividades realizadas con las cuentas de

emergencia.
○ Dicho registro será revisado posteriormente por el Responsable de
Seguridad de la Información.

Control de Acceso a las Bibliotecas de Programas Fuentes

Para reducir la probabilidad de alteración de programas fuentes, se aplicarán los

siguientes controles:
El Responsable del Área Informática, propondrá la función de “Administrador de
código fuente” al personal de su área que considere adecuado, quien tendrá en
custodia los programas fuentes y deberá:
● Proveer al Área de Desarrollo los códigos fuentes solicitados para su
modificación, manteniendo en todo momento la correlación código fuente /
ejecutable.
● Llevar un registro actualizado de todo el código fuente en uso, indicando
nombre del programa, programador, Analista Responsable que autorizó,
versión, fecha de última modificación y fecha / hora de compilación y estado
(en desarrollo, testeo, o producción).
● Verificar que el Responsable que autoriza la solicitud de un programa fuente
sea el designado para la aplicación, rechazando el pedido en caso contrario.
Registrar cada solicitud aprobada.
● Administrar las distintas versiones de una aplicación.
● Asegurar que un mismo programa fuente no sea modificado
simultáneamente por más de un desarrollador. Denegar al “Administrador de
código fuente” permisos de modificación sobre los programas fuentes bajo
su custodia.
● Establecer que todo programa objeto o ejecutable en producción tenga un
único programa fuente asociado que garantice su origen.
● Establecer que el Implantador de producción efectuará la generación del
programa objeto o ejecutable que estará en producción (compilación), a fin de
garantizar tal correspondencia.
● Desarrollar un procedimiento que garantice que toda vez que se migre a
producción el módulo fuente, se cree el código ejecutable correspondiente en
forma automática.
 DISEÑO DE UN SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN Fecha de
(SGSI) EN OPERACIONES FINANCIERAS (CAJA) elaboración:23/09/2021
Página 18

● Evitar que la función de “Administrador de código fuente” sea ejercida por

personal que pertenezca al sector de desarrollo y/o mantenimiento.
● Prohibir la guarda de programas o código fuente histórico (que no sea
correspondiente a los programas operativos) en el ambiente de producción.
● Prohibir el acceso a todo operador y/o usuario de aplicaciones a los
ambientes y a las herramientas que permitan la generación y/o manipulación
de los programas fuentes. Realizar las copias de respaldo de los programas
fuentes cumpliendo los requisitos de seguridad establecidos por el
Organismo en los procedimientos que surgen del presente documento.

Protección de datos de prueba

● Seleccionar, proteger y controlar cuidadosamente los datos de prueba que se

utilicen para los desarrollos de sistemas de información.
● Autorizar específicamente cada copia información operacional a un ambiente
de pruebas.
● Registrar las acciones para realizar el copiado y uso de la información
operacional a través de log para suministrar un rastro de auditoría.
● Evitar el uso de datos operacionales que contengan información de datos
personales o cualquier otra información confidencial para propósitos de
prueba. Si esta información de datos personales u otra información
confidencial se usa para propósitos de las pruebas, todos los detalles y
contenido sensible se deben proteger eliminándolos o modificándolos.
● Aplicar los procedimientos de control de acceso, que se aplican a los
sistemas de información operacionales, también a los sistemas de
información de pruebas.
● La información operacional se debe borrar del ambiente de pruebas
inmediatamente después de finalizar las pruebas

Seguridad en las comunicaciones

● En aquellas aplicaciones/componentes cuya comunicación implique

comunicación entre distintos nodos, ya sean virtuales y/o físicos, deberá
protegerse la integridad de los datos, y la confidencialidad de los mismos (si
así se requiere).
 DISEÑO DE UN SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN Fecha de
(SGSI) EN OPERACIONES FINANCIERAS (CAJA) elaboración:23/09/2021
Página 19

● Deberán seguirse los estándares y pautas de la organización. Seguridad de

los Procesos de Desarrollo y Soporte Se controlará la seguridad en los
entornos y el soporte dado a los mismos.
● Procedimiento de Control de Cambios
A fin de minimizar los riesgos de alteración de los sistemas de información,
se implementarán controles estrictos durante la implementación de cambios
imponiendo el cumplimiento de procedimientos formales.
Éstos garantizarán que se cumplan los procedimientos de seguridad y control,
respetando la división de funciones. Para ello se establecerá un
procedimiento que incluya las siguientes consideraciones:
● Verificar que los cambios sean propuestos por usuarios autorizados
(deberá indicarse en la documentación de la
aplicación/componente/sistema quienes son los usuarios autorizados
a solicitar cambios).
● Mantener un registro de los niveles de autorización acordados.
Solicitar la autorización del Dueño de la Información, en caso de
tratarse de cambios a sistemas de procesamiento de la misma.
Identificar todos los elementos que requieren modificaciones
(componentes de software, bases de datos, hardware).
● Revisar los controles y los procedimientos de integridad para
garantizar que no serán comprometidos por los cambios.
● Obtener aprobación formal por parte del Responsable del Desarrollo
para las tareas detalladas, antes que comiencen las tareas.
● Solicitar la revisión del Responsable de Seguridad Informática para
garantizar que no se violen los requisitos de seguridad que debe
cumplir el software.
● Efectuar las actividades relativas al cambio en el ambiente de
desarrollo.
● Obtener la aprobación por parte del usuario autorizado y del Área de
Verificación mediante pruebas en el ambiente correspondiente.
● Actualizar la documentación para cada cambio implementado, tanto
de los manuales de usuario como de la documentación operativa.
● Mantener un control de versiones para todas las actualizaciones de
software.
 DISEÑO DE UN SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN Fecha de
(SGSI) EN OPERACIONES FINANCIERAS (CAJA) elaboración:23/09/2021
Página 20

● Garantizar que la implementación se llevará a cabo minimizando la

discontinuidad de las actividades y sin alterar los procesos
involucrados.
● Informar a las áreas usuarias antes de la implementación de un
cambio que pueda afectar su operatoria.
● Garantizar que sea el implantador quien efectúe el pasaje de los
objetos modificados al ambiente operativo, de acuerdo a lo establecido
en “Control del Software Operativo”.
● En Ambientes en el Proceso de Desarrollo se presenta un esquema
modelo de segregación de ambientes.

Pruebas de Seguridad en los sistemas

Se deben tener en cuenta las siguientes consideraciones al realizar pruebas de

seguridad:
● Las revisiones de código pueden ser realizadas por terceros contratados para
tal efecto, o por personal interno capacitado para hacerlo con el fin de
asegurar la idoneidad de quien realiza dicha actividad.
● Puede realizarse a través de herramientas automáticas o mediante técnicas
manuales.
● Los cambios en el código fuente deben ser revisados por personas diferentes
al autor de este, con conocimiento en técnicas de verificación de código y
desarrollo seguro.
● Las revisiones de código deben estar orientadas a verificar que la
codificación cumpla con todos los requerimientos expuestos en la presente
política.
● Las observaciones generadas en la revisión deben ser atendidas antes de la
puesta en producción del sistema.
● Los procesos de revisión deben alinearse a los requerimientos de normativas
y regulaciones aplicables.
● Una evaluación del riesgo de vulnerabilidades en el código debe realizarse y
valorarse con los interesados en el software creado.
● Verificar que los aplicativos cuenten con las últimas versiones estables, tanto
a nivel de software como de sistema operativo, parches de seguridad,
servidor de aplicaciones, base de datos, máquina virtual de java, etc., antes
del despliegue.
 DISEÑO DE UN SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN Fecha de
(SGSI) EN OPERACIONES FINANCIERAS (CAJA) elaboración:23/09/2021
Página 21

● Realizar por lo menos una revisión del código antes de liberarlo en

producción, y poder llevar a cabo las actividades de remediación y
seguimiento a estas vulnerabilidades antes que salga a producción. En este
proceso se deben tener en cuenta las vulnerabilidades más importantes en la
industria (OWASP Top 10, CWE Top 25, etc.).

Revisión Técnica de los Cambios en el Sistema Operativo

Cada cambio que se considere significativo en el Sistema Operativo será evaluado y

se deberá decidir si las aplicaciones serán revisadas para asegurar que no se
produzca un impacto en su funcionamiento o seguridad. Esta revisión será
obligatoria si se cambia de Sistema Operativo.

Para ello, se definirá un procedimiento que incluya:

● Revisar los procedimientos de integridad y control de aplicaciones para
garantizar que no hayan sido comprometidas por el cambio.
● Garantizar que los cambios en el sistema operativo sean informados con
anterioridad a la implementación.
● Asegurar la actualización del Plan de Continuidad de las Actividades del
Banco Fie.

Canales Ocultos y Código Malicioso

Un canal oculto puede exponer información utilizando algunos medios indirectos y

desconocidos.

El código malicioso está diseñado para afectar a un sistema en forma no autorizada

y no requerida por el usuario.

En este sentido, se redactarán normas y procedimientos que incluyan: Adquirir

programas a proveedores acreditados o productos ya evaluados. Examinar los
códigos fuentes (cuando sea posible) antes de utilizar los programas que sean
externos que se posea el código. Controlar el acceso y las modificaciones al código
instalado.
 DISEÑO DE UN SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN Fecha de
(SGSI) EN OPERACIONES FINANCIERAS (CAJA) elaboración:23/09/2021
Página 22

Utilizar herramientas para la protección contra la infección del software con código
malicioso.

Auditoría y Trazabilidad.

● Se utilizará un registro de auditoría, logging y monitoreo centralizado que

provea herramientas para su administración.
● La información de auditoría deberá presentarse mediante un aplicativo de
usuario final de forma que sea fácilmente legible y entendible, pudiéndose
realizar reportes y estadísticas de uso de forma sencilla y precisa.
● Deberá quedar registrado en el sistema métricas de uso y quienes utilizan los
sistemas.
● Se deberá guardar la trazabilidad completa de cada aplicación, funcionalidad,
timestamp y el usuario de la aplicación para aquellas aplicaciones internas
del organismo, cuando el mismo se desencadene una modificación que sea
comentada en los datos.
● Se registran todas las actividades realizadas con las cuentas de emergencia
creadas en las bases de datos, tal cual se menciona en puntos anteriores. Se
deberá contar con un registro de los datos que se modifican, datos viejos y
datos nuevos, y timestamp.
● Esta actividad podrá ser realizada por la propia base de datos. Como se
mencionó anteriormente se deberá registrar y auditar las actividades relativas
a la administración de claves.

Verificación de la Seguridad.

La verificación de la seguridad se debe dar en distintos niveles:

● En el desarrollo de un componente, clase o conjunto de métodos. (en el
código desarrollado o el que se está desarrollando).
● En la vista externa de los componentes de una aplicación (caja Negra).
● La aplicación (como sistema global).

Sistema de aplicaciones.
● Estado de salud de la aplicación en producción.
● Verificación de la seguridad en el desarrollo intra componente.
 DISEÑO DE UN SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN Fecha de
(SGSI) EN OPERACIONES FINANCIERAS (CAJA) elaboración:23/09/2021
Página 23

● Se debe verificar la seguridad del código que se está desarrollado intra

componente, sin esperar a que sea verificado cuando se esté listo. Es tarea
del desarrollador realizar esta verificación.
● Es deseable contar con herramientas que ayudan al desarrollador a lograr
este objetivo, para facilitar su trabajo. Ejemplos de este tipo de herramientas
pueden ser aquellas que realizan revisiones de código automáticas. Sin
embargo, las revisiones automáticas no deben sustituir la labor manual
humana, ya que está siempre detecta mayor cantidad o gravedad de
situaciones inseguras, ambas técnicas deben complementarse.
● Deberá especificarse qué tipo de verificaciones se realizarán desarrollar y
cuáles no, así como la respuesta esperada considerando tanto casos de éxito
como de falla.
● Se documentaran las decisiones tomadas.

Verificación de la seguridad de un componente.

● Deberán diseñarse pruebas de verificación de la seguridad en para cada

componente y sus interacciones.
● Debido a la variedad en la criticidad de los componentes, es posible que el
diseño de estas pruebas pueda recaer en la responsabilidad del desarrollador,
o bien del Responsable de Verificación. También podrá ayudar con el diseño y
ejecución de las pruebas, con herramientas de revisión de seguridad en el
código de las aplicaciones, es decir test de seguridad de caja blanca.
● Puede ser útil además utilizar herramientas que testeen la seguridad del
componente utilizando métodos de caja negra. Verificación de la seguridad
de la aplicación.
● La verificación de una aplicación deberá ser cuidadosamente diseñada y
deberá incluir la verificación de la seguridad de la misma y su entorno.
● En ambiente de desarrollo cuando la aplicación se encuentre en desarrollo, la
verificación de la aplicación es responsabilidad del desarrollador. También es
de utilidad complementar el testeo, utilizando herramientas que chequen la
seguridad del código desarrollado.
● Deberá realizarse la verificación de la seguridad de la aplicación en un
ambiente de testeo que simula el ambiente de producción.
 DISEÑO DE UN SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN Fecha de
(SGSI) EN OPERACIONES FINANCIERAS (CAJA) elaboración:23/09/2021
Página 24

● De esta manera posibles errores son detectados previamente a su puesta en

producción.
● Para esto es conveniente utilizar además de las pruebas diseñadas por el
Responsable de Verificación, el uso de una herramienta que testear la
seguridad de las aplicaciones utilizando métodos de caja negra.
● Una vez puesta en producción la aplicación, deberán realizarse verificaciones
correspondientes a la seguridad de la aplicación que no interfieran con el
negocio. Podrán realizarse test selectivos sobre determinados grupos de
aplicaciones.
● Ninguna herramienta de verificación o pruebas manuales en ambientes de
producción deberán modificar datos. Esto deberá ser garantizado.
Deberán crearse además:
1. Procedimientos que establezcan la revisión periódica de los registros
de auditoría de forma de detectar cualquier anomalía en la ejecución
de las transacciones.
2. Procedimientos que establezcan los controles y verificaciones
necesarios para prevenir la ejecución de programas fuera de secuencia
o cuando falle el procesamiento previo.
3. Procedimientos que realicen la validación de los datos generados por
el sistema.
4. Procedimientos que verifiquen la integridad de los datos.
5. Procedimientos que controlen la integridad de registros y archivos.
Verificación de la seguridad de sistemas de aplicaciones. En varias
ocasiones las aplicaciones tienen que interactuar con otras, y en esta
situación el nivel de seguridad de las mismas puede verse
desprotegido.

Deberán evaluarse los distintos requisitos de seguridad de la interacción entre

las aplicaciones y diseñar las debidas pruebas que verifiquen el cumplimiento
de estos requisitos.
Deberán definirse procedimientos que aseguren el orden correcto de
ejecución de los aplicativos, la finalización programada en caso de falla, y la
detención de las actividades de procesamiento hasta que el problema sea
resuelto.
 DISEÑO DE UN SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN Fecha de
(SGSI) EN OPERACIONES FINANCIERAS (CAJA) elaboración:23/09/2021
Página 25

Verificación del estado de salud de la aplicación en producción.

Se deberá proveer mecanismos de control de la integridad y la disponibilidad de la

aplicación/componente. Para este fin se deberá realizarán como mínimo lo
siguiente:

● La validación de datos de entrada.

● El procesamiento interno.
● La autenticación de mensajes (interfaces entre sistemas)
● La validación de datos de salida.
● Validación de Datos de Entrada

Se definirá un procedimiento que durante la etapa de diseño, especifique controles

que aseguren la validez de los datos ingresados, tanto en la capa de presentación,
como en la capa de negocio.

Este control deberá realizarse no solo tan cerca del punto de origen como sea
posible (como por ejemplo en la capa de presentación), sino también en el punto de
entrada al sistema (lógica de negocio), y en cada punto donde se tenga contacto con
el mundo externo a la aplicación (ejemplo, interfaces definidas que puedan ser
utilizadas no solamente por la GUI de la aplicación) controlando también datos
permanentes y tablas de parámetros.

Este procedimiento considerará los siguientes controles:

● Control de secuencia.
● Control de monto límite por operación y tipo de usuario.
● Control del rango de valores posibles y de su validez, de acuerdo a criterios
predeterminados.
● Control de paridad.
● Control contra valores cargados en las tablas de datos.
● Controles por oposición, de forma tal que quien ingrese un dato no pueda
autorizarlo y viceversa. Por otra parte, se llevarán a cabo las siguientes
acciones:
1. Se definirá un procedimiento para realizar revisiones periódicas de
contenidos de campos claves o archivos de datos, definiendo quién lo
 DISEÑO DE UN SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN Fecha de
(SGSI) EN OPERACIONES FINANCIERAS (CAJA) elaboración:23/09/2021
Página 26

realizará, en qué forma, con qué método, quiénes deberán ser

informados del resultado, etc.
2. Se definirá un procedimiento que explicite las alternativas a seguir para
responder a errores de validación en un aplicativo.
3. Se definirá un procedimiento que permita determinar las
responsabilidades de todo el personal involucrado en el proceso de
entrada de datos.

Utilización de Estándares.

La utilización de estándares de la industria favorece que se desarrollen soluciones

que con herramientas (cómo metodologías, paradigmas, IDE,s, bibliotecas, patrones)
que sean conocidas. Esto permite conocer tanto sus fortalezas como sus
debilidades y vulnerabilidades. La organización deberá definir estándares para los
siguientes aspectos: Lenguajes de Programación que se utilizarán. Entornos de
desarrollo (IDE’s).

Requisitos que deben cumplir las librerías para ser utilizadas.

Fallar Seguro
● Se definirá un procedimiento para que durante la etapa de diseño, se
incorporen controles de validación a fin de eliminar o minimizar los riesgos de
fallas de procesamiento y/o vicios por procesos de errores.
● Los datos que la aplicación utilice no pueden resultar inconsistentes.
● Las aplicaciones no deberán entrar en estado inconsistente. Para ello deberán
implementar controles que capturen las situaciones de error posibles y que
reaccionen frente a eventos tanto esperados como inesperados.
● Los mensajes de error mostrados por las aplicaciones en su interfaz gráfica
deben contener información destinada al usuario final.
● En ningún momento deberá contener información propia del desarrollo ni del
debug del sistema.
● Los mensajes de error de las bases de datos, sistemas externos, y/o errores
inesperados de librerías o lenguajes de programación, deberán ser
debidamente detectados y filtrados al momento de retornar la información al
usuario. Estos mensajes deberán ser logueados, para una posterior revisión
de auditoría, y para la corrección de errores.
 DISEÑO DE UN SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN Fecha de
(SGSI) EN OPERACIONES FINANCIERAS (CAJA) elaboración:23/09/2021
Página 27

● El mensaje de error no debe mostrar más información que la estrictamente

necesaria y lo más genérico posible a efectos de no brindar información útil
para posibles atacantes.
● En aquellos sistemas que no posean interfaz gráfico, como pueden ser
Servicios Web, en caso de fallar tampoco deberá retornar información no
orientada al usuario. Se evitará en todo momento sobre todo en aplicaciones
y/o servicios que se utilicen desde el exterior del organismo, el mostrar/enviar
mensajes de error conteniendo información de productos y/o versiones así
como.
● Todos los errores del sistema deben ser captados previamente a retornar
información y notificar del error al usuario en un lenguaje amigable y
entendible relacionado a la lógica de negocio.

Autenticación y cifrado de Mensajes

Cuando una aplicación tenga previsto el envío de mensajes que contengan

información clasificada, se implementarán los controles criptográficos
determinados en el punto Controles Criptográficos.

Validación de Datos de Salida

Se establecerán procedimientos para validar la salida de los datos de las

aplicaciones, incluyendo:
● Comprobaciones de la razonabilidad para probar si los datos de salida son
admisibles.
● Control de conciliación de cuentas para asegurar el procesamiento de todos
los datos.
● No proveer información que no es necesaria.
● De ser posible proveer sin perjuicio del punto anterior información suficiente,
para que el lector o sistema de procesamiento subsiguiente determine la
exactitud, totalidad, precisión y clasificación de la información.
Procedimientos para responder a las pruebas de validación de salidas.
 DISEÑO DE UN SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN Fecha de
(SGSI) EN OPERACIONES FINANCIERAS (CAJA) elaboración:23/09/2021
Página 28

Gestión de vulnerabilidades

● Realizar por lo menos una revisión del código antes de liberarlo en

producción, o para cambios entre ambientes para así poder llevar a cabo las
actividades de remediación y seguimiento a estas vulnerabilidades antes que
salga a producción.
● En este proceso se deben tener en cuenta las vulnerabilidades más
importantes en la industria (OWASP Top 10, CWE Top 25, etc.).
● Realizar una prueba de intrusión, antes de realizar la puesta en producción o
puesta a disposición del usuario final de un sistema aplicación, en ambiente
productivo definitivo, pero con acceso controlado con el fin de conocer y
evaluar las condiciones de seguridad que rodean el ambiente final con el fin
de hacer ajustes finales.
● El responsable de esta revisión debe ser una persona diferente al
desarrollador (Por ejemplo: revisión por pares).