Vicepresidencia de Seguridad Integral Vicepresidencia de Seguridad de la Informacin

NORMATIVA DE SEGURIDAD PARA LA GESTIN DE PISTAS DE AUDITORA Y SU MONITOREO

Categora: Clasificacin: Propietario: Versin: Fecha de Efectividad: Realizado por: Actualizado: Normativa de Seguridad Informtica Uso pblico interno V.P. Seguridad de la Informacin 1.2 Julio 2007 Arelis Pato Especialista de Gestin de Riesgo e Investigacin. Diciembre de 2011 Modificacin del ttulo, incorporacin de lineamientos y reas responsables (Arelis Pato Especialista de Gestin de Riesgo e Investigacin) Noviembre de 2010 Modificacin del formato, nombre de las reas responsables y lineamientos (Carlos Garca Gerente de Control y Seguimiento de Seguridad) Aprobado por: Federico Moleiro Gerente de Gestin de Riesgos e Investigacin Jonathan Snchez V.P de Seguridad de la Informacin

Objetivos
La deteccin de actividades no autorizadas en el procesamiento y administracin de la informacin en los sistemas informticos de BANCARIBE. Garantizar la administracin segura de las pistas de auditora en el proceso de generacin, transmisin, almacenamiento, acceso lgico, anlisis y disposicin; que permitan la preservacin de stas y su uso como evidencia segn lo dicta la Poltica de Seguridad de la Informacin del Grupo BANCARIBE, las normas y regulaciones del Gobierno Bolivariano de Venezuela y las mejores prcticas internacionales en materia de seguridad de la informacin.

Entorno de Aplicacin
A todos los recursos informticos de BANCARIBE.

Lineamientos
1. Todos los accesos a componentes del sistema (especialmente el acceso con privilegios administrativos, tales como de raz) deben estar vinculados a cada usuario en particular. Las pistas de auditora deben estar habilitadas y activas para los componentes del sistema. Categora de Eventos a ser Auditados: 2. Deben monitorearse y registrarse los eventos de seguridad de la informacin de los sistemas. 3. Implementar pistas de auditora automatizadas para todos los componentes del sistema a fin de reconstruir los siguientes eventos (segn aplique al caso): a. Todo acceso de personas a datos de titulares de tarjetas siempre y cuando se cumpla con el estndar PCI. b. Todo acceso de personas a datos de titulares de cuentas siempre y cuando se cumpla con las normas que regulan el uso de los canales electrnicos. c. Todas las acciones realizadas por personas con privilegios de raz o administrativos. d. Todas las acciones realizadas por personas con privilegios de operador del sistema. e. Todas las acciones realizadas por personas con privilegios de administrador del sistema.
Fecha de Revisin Fecha de Publicacin Clasificacin Estatus Pg.

Dic-2011

Jul-2007

Uso Interno

Aprobado

1/4

Vicepresidencia de Seguridad Integral Vicepresidencia de Seguridad de la Informacin

f. g. h. i. j.

Acceso a todas las pistas de auditora. Intentos de accesos lgicos exitosos y fallidos a datos, sistemas y otros recursos. Uso de mecanismos de identificacin y autenticacin. Inicializacin de las pistas de auditora. Fallas para registrar o sobrescribir eventos pasados debido a la saturacin del medio de almacenamiento. k. Creacin y eliminacin de objetos en el nivel del sistema. l. Inclusin, eliminacin o cambios en los parmetros del sistema. m. Uso de utilidades de sistema y aplicaciones. n. Archivos accedidos y el tipo de acceso. o. Fallas de aplicacin, sistema o equipo de red. El nivel de detalle de estas pistas de auditora debe determinarse mediante una evaluacin de riesgo que tome en cuenta el impacto en el desempeo del recurso monitoreado. 4. Todo evento detectado y catalogado como un evento de seguridad en el proceso de monitoreo debe ser registrado y se debe realizar su seguimiento hasta su correccin y/o cierre. 5. Se debe cumplir con todos los requerimientos aplicables legalmente que sean relevantes a las actividades de monitoreo y registro de eventos indicadas en la normativa vigente de la SUDEBAN. Estructura de las Pistas de Auditora: 6. Se deben registrar al menos las siguientes entradas de pistas de auditora de los componentes del sistema para cada evento: a. b. c. d. e. Identificacin de usuarios. Fecha y hora. Tipo de evento (Por ejemplo: log-on, log-off). Indicacin de xito u omisin. Origen del evento: Canal de datos. Direcciones de red y protocolos (Por ejemplo: direccin IP de origen). Nombre de Mquina o Terminal origen. f. Identidad o nombre de los datos, componentes del sistema o recurso afectados. g. Nombre del programa, mdulo, procedimiento y/o comando que gener el evento. 7. Las pistas de auditora no deben almacenar datos sensibles. Sincronizacin de Relojes y Horarios: 8. El reloj de todos los sistemas de procesamiento de informacin, ya sea dentro de la organizacin o dentro de un dominio de seguridad especfico, debe estar sincronizado con una fuente de tiempo precisa. 9. Los servidores internos no deben recibir seales de hora de orgenes externos (a excepcin de los servidores centrales de hora de BANCARIBE). 10. Se deben designar hosts externos especficos desde los cuales los servidores de hora aceptarn las actualizaciones de horario. Resguardo de las Pistas de Auditora:

Fecha de Revisin

Fecha de Publicacin

Clasificacin

Estatus

Pg.

Dic-2011

Jul-2007

Uso Interno

Aprobado

2/4

Vicepresidencia de Seguridad Integral Vicepresidencia de Seguridad de la Informacin

11. Las facilidades de registro y las pistas de auditora deben protegerse contra la manipulacin y el acceso no autorizado: a. Limitar la visualizacin de pistas de auditora a quienes lo necesiten por motivos de trabajo. b. Proteger los archivos de las pistas de auditora contra las modificaciones no autorizadas a travs de los mecanismos de control de acceso, segregacin fsica y/o segregacin de redes. c. Utilizar el software de monitorizacin de integridad de archivos o de deteccin de cambios en registros para garantizar que los datos de los registros existentes no se puedan cambiar sin que se generen alertas aunque el hecho de agregar nuevos datos no deba generar una alerta. 12. Se debe contar con procesos de rotacin de las pistas de auditoras. La periodicidad de rotacin debe ser parametrizable y estar basada en tiempo y tamao de los archivos. 13. Se deben garantizar mecanismos (Por ejemplo: servidor de registros central o medios que resulten difciles de modificar) que permitan ejecutar procesos de mantenimiento, respaldo (copias de seguridad) y restauracin de las pistas de auditora. Revisin de las Pistas de Auditora: 14. El monitoreo de los sistemas debe usarse para verificar la efectividad de los controles adoptados y para verificar su conformidad con la Poltica de Seguridad de la Informacin del Grupo BANCARIBE. 15. Deben establecerse procedimientos para el monitoreo de las pistas de auditora de los sistemas de procesamiento de informacin. 16. La VP de Seguridad de la Informacin y la Direccin de Auditora (Auditora de Sistemas) deben entregar a la SUDEBAN, cuando sta as lo requiera, los informes que reflejen posibles brechas o vulnerabilidades identificadas. Perodo de Retencin: 17. Las pistas de auditora de aplicaciones y sistemas, que contengan actividades del usuario y eventos de seguridad de la informacin, deben conservarse por el perodo de un (1) ao y mantenerse en lnea por un perodo de tres (3) meses de acuerdo a lo estipulado por los entes reguladores, para servir de soporte en futuras investigaciones y durante monitoreo de control de acceso.

Responsables
Vicepresidencia Seguridad de la Informacin Es responsable de identificar, valorar y distribuir los diferentes alertas de seguridad o informacin relevante sobre los eventos registrados en las pistas de auditora, a cada una de las reas operativas que puedan ser impactadas. Cumplir los lineamientos de la normativa referidos al anlisis de las pistas de auditora y generacin de informes requeridos por BANCARIBE y los entes reguladores. Vicepresidencia de Tecnologa
Fecha de Revisin Fecha de Publicacin Clasificacin Estatus Pg.

Dic-2011

Jul-2007

Uso Interno

Aprobado

3/4

Vicepresidencia de Seguridad Integral Vicepresidencia de Seguridad de la Informacin

Es responsable de validar el alerta de seguridad, determinar los procedimientos de mitigacin y aplicar los correctivos necesarios. Es responsable de suministrar la informacin de seguimiento a las unidades que as lo requieran. Direccin de Auditora: Cumplir los lineamientos de la normativa referidos al anlisis de las pistas de auditora y generacin de informes requeridos por BANCARIBE y los entes reguladores. Responsabilidades Comunes 1. La Vicepresidencia de Seguridad de la Informacin, la Vicepresidencia de Tecnologa y la Direccin de Auditora, deben cumplir con todos los requerimientos aplicables legalmente que sean relevantes a las actividades de monitoreo y registro de eventos indicadas en la normativa vigente de la SUDEBAN.

Glosario de Trminos
Incidente de Seguridad: Un incidente de seguridad podra definirse como cualquier hecho o evento que podra afectar la confidencialidad, integridad y disponibilidad de la Informacin registrada en los recursos informticos de BANCARIBE. Registros o Pistas de Auditoria: Archivo protegido contra escritura que almacena informacin en forma secuencial de las transacciones u operaciones que son ejecutadas por los usuarios de los sistemas de informacin. Datos Sensibles: Datos con carcter confidencial de clientes usuarios tales como: claves o datos de seguridad, nmeros de cuentas, nmeros de tarjetas, cdigos de seguridad de tarjetas, fechas de vencimiento de tarjetas, nmero de identificacin personal (PIN).

Beneficios del Cumplimiento

El anlisis rutinario de las pistas de auditoria es beneficioso para la identificacin de los incidentes de seguridad, el incumplimiento de polticas, actividades fraudulentas y problemas operativos. Las pistas de auditoria tambin son tiles cuando se realizan revisiones de auditoria y anlisis forenses, ya que apoyan a las investigaciones internas, estableciendo referencias e identificando tendencias operativas y problemas a largo plazo. Se asegura la confidencialidad, integridad y disponibilidad de la informacin registrada en los recursos informticos de BANCARIBE.

Fecha de Revisin

Fecha de Publicacin

Clasificacin

Estatus

Pg.

Dic-2011

Jul-2007

Uso Interno

Aprobado

4/4