1 / 10

REQUISITOS MÍNIMOS DE SEGURIDAD INFORMÁTICA PARA LA ADMINISTRACIÓN DE SISTEMAS DE INFORMACIÓN EN EL SISTEMA FINANCIERO

REQUISITOS MÍNIMOS DE SEGURIDAD INFORMÁTICA PARA LA ADMINISTRACIÓN DE SISTEMAS DE INFORMACIÓN EN EL SISTEMA FINANCIERO BOLIVIANO. Daniela Ovando Santander Auditoria de Sistemas. Antecedentes. El crecimiento de Tecnologías de la Información, está cambiando la forma de hacer negocios.

aradia
Download Presentation

REQUISITOS MÍNIMOS DE SEGURIDAD INFORMÁTICA PARA LA ADMINISTRACIÓN DE SISTEMAS DE INFORMACIÓN EN EL SISTEMA FINANCIERO

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. REQUISITOS MÍNIMOS DE SEGURIDAD INFORMÁTICA PARA LA ADMINISTRACIÓN DE SISTEMAS DE INFORMACIÓN EN EL SISTEMA FINANCIERO BOLIVIANO Daniela Ovando Santander Auditoria de Sistemas

  2. Antecedentes • El crecimiento de Tecnologías de la Información, está cambiando la forma de hacer negocios. • Las entidades financieras deben controlar los riesgos tecnológicos y contar con políticas y normas de seguridad informática para brindar un ambiente seguro y adecuado. • La Autoridad de Supervisión del Sistema Financiero (ASFI)/(SBEF), mediante Resolución SB Nº79/2003 de 12.08.2003, ha aprobado y puesto en vigencia los “Requisitos Mínimos de Seguridad Informática para la Administración de Sistemas de Información y Tecnologías relacionadas” • Deben ser cumplidos por las entidades financieras, con el propósito de minimizar el riesgo tecnológico existente en las transferencias electrónicas de datos, las transacciones electrónicas de fondos y cajeros automáticos.

  3. REQUISITOS MÍNIMOS DE SEGURIDAD INFORMÁTICA PARA EL SISTEMA FINANCIERO • Responsable de la Seguridad Informática: El Directorio es responsable de aprobar y tener actualizadas las políticas y normas de seguridad informática para la administración y control de los sistemas de información. • Características y criterios de la información: Los datos deben contener un alto grado de seguridad y cumplir con los siguientes criterios básicos: • Confiabilidad • Confidencialidad • Integridad • Disponibilidad • Efectividad • Eficiencia • Cumplimiento

  4. Políticas, normas y procedimientos.- El área de TI ,deberá tener implementadas y actualizadas, políticas, normas y procedimientos de seguridad informática para las siguientes áreas informáticas: a) Gestión i. Plan informático. ii. Comité de informática. iii. Comité operativo del área. iv. Desarrollo y mantenimiento de sistemas. v. Administración de contratos externos. b) Operaciones i. Seguridad física de sala de servidores y el entorno que la rodea. ii. Respaldos y recuperación de información. iii. Registro de caídas de los sistemas o no disponibilidad de servicios que afecten la atención normal al público. iv. Administración de cintoteca interna y externa. v. Control y políticas de administración de antivirus. vi. Administración de licencias de software y programas. vii. Traspaso de aplicaciones al ambiente de explotación. viii. Inventario de hardware y software. ix. Seguridad de redes. − Características, topología y diagrama de la red − Seguridad física de sitios de comunicacion − Seguridad y respaldo de enlaces. − Equipos de seguridad y telecomunicaciones. − Seguridad de acceso Internet/Intranet.

  5. c) Administración de Usuarios i. Administración de privilegios de acceso a sistemas. ii. Administración y rotación de password. iii. Asignación y responsabilidad de hardware y software. iv. Administración de estación de trabajo ó PC. v. Uso de comunicaciones electrónicas. vi. Administración y control de usuarios Intranet/Internet. • Plan de Contingencias Tecnológicas: • Objetivo y metodología del plan de contingencias tecnológicas. • Procedimientos de recuperación de operaciones críticas. • Descripción de responsabilidades e identificación de personal clave. • Medidas de prevención y recursos mínimos necesarios para la recuperación. • Pruebas del Plan de Contingencias Tecnológicas: • Efectuar al menos una prueba al año del Plan de Contingencias Tecnológicas.

  6. CONTRATO CON PROVEEDORES DE TECNOLOGÍAS DE LA INFORMACIÓN Procesamiento de datos o ejecución de sistemas en lugar externo • Asegurarse que la empresa proveedora cuente con la necesaria experiencia y capacidad en el procesamiento de datos y servicios bancarios. • Infraestructura tecnológica y los sistemas que se utilizarán para la comunicación, almacenamiento y procesamiento de datos, ofrecen suficiente seguridad para resguardar la continuidad operacional y la confidencialidad, integridad, exactitud y calidad de la información y los datos. • Suscripción del contrato con la empresa proveedora, señalando la naturaleza y especificaciones del servicio, la responsabilidad para mantener políticas, normas y procedimientos que garanticen la seguridad informática, el secreto bancario y la confidencialidad de la información, la facultad de la entidad financiera para practicar evaluaciones periódicas.

  7. Desarrollo y mantenimiento de programas, sistemas o aplicaciones • Contar con la necesaria solidez financiera, organización y personal adecuado, con conocimiento y experiencia en el desarrollo de sistemas y/o en servicios de intermediación financiera. • Estructura tecnológica, sistemas operativos y las herramientas de desarrollo, referidos a licencias de software, que se utilizarán estén debidamente licenciados por el fabricante o representante de software. Relación Contractual con el Proveedor Externo de Tecnologías • Programas Fuente • Propiedad intelectual • Plataforma de Desarrollo • Formalización de Recursos Humanos • Cronograma y plan de trabajo • Atrasos y Riesgos • Acceso remoto Seguridad Informática del Proveedor

  8. TRANSFERENCIAS Y TRANSACCIONES ELECTRÓNICAS Requisitos de los sistemas de transferencia y transacción electrónica Adquirir e implementar elementos de hardware y software necesarios para la protección y control de su plataforma tecnológica, cumplir con los siguientes requisitos mínimos: • Seguridad del Sistema • Canal de Comunicación • Difusión de Políticas de Seguridad • Certificación • Continuidad Operativa • Disponibilidad de la Información (Informes) • Registro de pistas de control • Acuerdos privados

  9. Contrato formal Establecer derechos y responsabilidades de cada una de las partes que intervienen en este tipo de operaciones electrónicas. • El cliente, será responsable del uso y confidencialidad de PIN. Bloqueo automático de su clave después de tres intentos fallidos y el procedimiento para desbloqueo. • Debe detallarse el tipo de operaciones que puede efectuar el cliente. • Debe quedar establecido el horario de cierre diario y el procedimiento alternativo en caso de no disponibilidad del servicio. • Hacer conocer al cliente las medidas de seguridad para la transferencia electrónica de información y transacción electrónica de fondos. • Los sistemas que permitan ejecutar transacciones de fondos, además de reconocer la validez de la operación que el usuario realice, deben controlar que los importes girados no superen el saldo disponible o el límite que se haya fijado. Encriptación de mensajes y archivos

  10. preguntas ¿USTEDES CREEN QUE ES ADECUADA LA CONTRATACION DE PROVEEDORES DE TI? ¿NO ES UN PELIGRO PARA LA SEGURIDAD DE LA INFORMACION?

More Related