Cumplimiento con EnCase: Acuerdo No. 006-2011 de la Supereintendencia de Bancos de Panamá


Mediante el Acuerdo No. 006-2011, “por medio del cual se establecen lineamientos sobre banca electrónica y la gestión de riesgos relacionados”, la Superintendencia de Bancos de la República de Panamá visa a mantener la eficiencia y solidez del sistema bancario panameño.

En este artículo de nuestro blog desglosaremos en un formato "estándar por estándar" todos los lineamientos del acuerdo en los cuales las soluciones EnCase pueden satisfacer las necesidades para su cumplimiento.


Estándar
Cómo EnCase Puede Ayudar
ARTÍCULO 6: PLANIFICACIÓN DE CONTINUIDAD DEL NEGOCIO Y RECUPERACIÓN ANTE DESASTRES.

Se entiende como plan de continuidad del negocio aquella metodología operativa interdisciplinaria, compuesta por diversos planes de respuesta ante contingencias o incidentes de seguridad, que le permita al banco restaurar inmediatamente las funciones críticas del negocio que hayan sido, parcial o totalmente, afectadas como resultado de un ataque, sabotaje o desastre natural.

Se entiende como el plan de recuperación ante desastres el proceso de recuperación respecto de los datos, enlaces de comunicación, el hardware y el software críticos, que eventualmente hayan sufrido un incidente de seguridad o disponibilidad, para reanudar el normal funcionamiento del banco y la prestación de sus servicios.
EnCase puede formalizar una serie de procesos que pueden hacer parte de cualquier plan de continuidad del negocio. EnCase puede ayudar a las organizaciones al formalizar procesos que alcancen cualquiera de los objetivos listados a continuación:

-          Proveer un método para responder a incidentes de seguridad a través de todos los sistemas o a través d un subconjunto de sistemas que permitirá que una organización encuentre y responda rápidamente ataques o amenazas de sabotaje tanto automáticamente o manualmente para restaurar a los sistemas críticos tan rápido como sea posible.

-          Ejecutar rápidamente auditorias de software, hardware, información y conexiones para asegurar la integridad de los recursos de red, sistemas de dispositivos terminales, archivos y documentos.

-          Reducir riesgos al identificar todos los sistemas que contengan información sensible o confidencial.
ARTÍCULO 8: AUDITORIA INTERNA.

En materia de auditoría interna, serán responsabilidades del banco:

1. Velar porque se realicen auditorias periódicas de acuerdo al volumen y complejidad de las operaciones que realicen, asegurándose de incorporar dichas auditorías en su plan anual de auditoría, y

2. Contar con los programas necesarios y personal especializado en el área respectiva.
EnCase puede hacer que los funcionarios de auditoría y seguridad consigan mejores resultados sin importar el nivel de entrenamiento que tengan. EnCase automatiza una variedad de auditorías internas de TI para temas de cumplimiento, encontrar el mal uso de las computadoras y malware de acuerdo a la complejidad de las operaciones de un banco, a los requisitos regulatorios de cumplimiento y a necesidades particulares de auditoría/investigación.
ARTÍCULO 10. PRUEBAS DE INTRUSIÓN Y VULNERABILIDAD.

1. Prueba de Intrusión Externa (En inglés conocidas como “External Security Penetration Test”): Esta prueba deberá realizarse como mínimo una vez al año y deberá tener el siguiente alcance:

a. Dispositivos de seguridad y su funcionamiento ante ataques.
b. Vulnerabilidades en las aplicaciones web y banca por internet.
c. Evaluación de los sistemas de detección de intrusos.
d. Servicios expuestos hacia las redes públicas.
e. Estructura de red.
f. Fallas en los sistemas de autenticación y políticas de contraseñas.
g. Ingeniería social interna.


2. Prueba de Intrusión Interna (En inglés conocido como “Internal Security Penetration Test”): Esta prueba deberá realizarse por lo menos cada dos (2) años y deberá tener los siguientes alcances:

a. Análisis de la arquitectura de red y su topología.
b. Identificación de los componentes críticos de tecnología de la información.
c. Identificación de vulnerabilidades y áreas a proteger.
d. Gestión de riesgos, incidentes, redes y sistemas.
e. Seguridad física y lógica.
f. Gestión ante incidencias.

PARÁGRAFO. Sin perjuicio de lo dispuesto en el presente artículo, el banco deberá realizar, con personal propio e idóneo, pruebas regulares de intrusión y vulnerabilidad.

EnCase provee soluciones para auditoría internas que pueden complementar y validar las pruebas rutinarias de intrusión. EnCase puede rápidamente proveer a las organizaciones visibilidad hacia cualquiera de los puntos listados a continuación:

-          Puertos abiertos en cada máquina, así como identificar puertos que deberían estar abiertos.

-          Procesos en ejecución en cada máquina, así como procesos que no debería estar siendo ejecutados.

-          Llaves de registro que han sido adicionadas, modificadas o eliminadas (según el nombre de una llave o una fecha)

-          Conexiones remotas (sin tener que analizar todos los paquetes generados en la organización)

-          Documentos confidenciales o malware según su valor de hash

-          Documentos confidenciales o malware según su similitud con archivos conocidos, tanto buenos como malos

-          Localización de archivos autorizados o no autorizados según los permisos a nivel de archivo.

-          Evaluación de la efectividad de los sistemas de detección

-          Cambios locales no autorizados a las políticas de contraseñas

-          Respuestas automatizadas a los incidentes 
ARTÍCULO 15: CONTROLES DE SEGURIDAD.

1. Infraestructura Tecnológica

Servidor de Logs: Deberá existir un servidor que se ocupe de almacenar los LOGS que genere el firewall (dirección IP, timestamp, evento).

Se requiere la implementación de un sistema de detección de intrusos con capacidad de trabajar en forma activa (IPS) o pasiva (IDS): Debe existir un Sistema de Detección de Intrusos que se encuentre analizando el tráfico de las redes públicas de la entidad, delante de la Zona Desmilitarizada (DMZ) sobre los servicios publicados hacia Internet.

Los logs generados por el sistema deberán ser almacenados por un (1) año.

La solución deberá ser capaz de generar, estadísticas y resúmenes que podrán ser solicitados por la Superintendencia de Bancos de Panamá.

2. Banca por Internet y Banca Móvil
A nivel de banca por internet y banca móvil, todo banco deberá asegurarse de

4. Cajeros automáticos y tarjetas de circuito integrado:

e. Transmisión cifrada de las contraseñas, números de identificación personal u otra información sensible del cliente.


5. Terminal de punto de venta (POS):

d. Transmisión cifrada de las contraseñas, números de identificación personal u otra información sensible del cliente.

e. El dispositivo electrónico utilizado como terminal de punto de venta deberá cumplir con las medidas de seguridad establecidas para los medios de pago electrónico.


9. Mensajería instantánea, redes sociales y correos electrónicos:
A nivel de mensajería instantánea, redes sociales y correos electrónicos, todo banco deberá asegurarse de suministrar información en general y cualquier otra que ha sido autorizada por un cliente del banco a través de contrato y cualquier otro medio.
EnCase puede ayudar a que las organizaciones administren los logs y respondan a información relacionada a incidentes dentro de los logs. EnCase puede ayudar con cualesquiera de las cosas listadas a continuación (y aún más):

-          Efectuar búsquedas de palabras clave rápidamente en cualquier máquina remota en la que el agente EnCase esté instalado.

-          Recolectar regularmente copias de logs remotos con una tecnología que puede validar las copias judicialmente y que contiene todos los metadatos originales (puede ser muy útil caso surja un ataque que elimine o modifique la información de un log)

-          Puede ser usado para auditar máquinas remotas que no estén en un dominio y estén en una DMZ, además de auditar máquinas dentro de un dominio interno.

-          Puede validar las entradas de un log usando información y artefactos dentro de las máquinas cuando integrado con un SIEM, con un sistema de detección o con una consola que consolide alertas generadas a partir de logs.

-          Provee estadísticas y resúmenes que pueden ser usados internamente o externamente por agencias regulatorias como la Superintendencia de Bancos de Panamá


ARTÍCULO 16: OTROS CONTROLES PARA BANCA ELECTRÓNICA.

b. Medidas establecidas para preservar la confidencialidad e integridad de la información relevante del banco, las cuales deben estar acorde con la sensibilidad de la información transmitida y/o guardada en bases de datos.

e. Medidas de segregación de responsabilidades en función del control interno, de manera que se pueda reducir el riesgo de fraude en procesos y sistemas operacionales y asegurar que las transacciones estén apropiadamente autorizadas, registradas y salvaguardadas.

f. Debe existir una estructura física adecuada y con los respectivos controles, de manera que todos los sistemas, servidores, bases de datos o información física relacionada al servicio de banca electrónica este protegida y se pueda detectar cualquier acceso sin autorización.

h. Asegurar la implementación de controles internos adecuados, particularmente en casos y operaciones relevantes de banca electrónica, tales como:
---h.4. Aprobación, modificación o revocación de derechos o privilegios para acceder al sistema.

i. Planes apropiados de respuesta a incidentes de seguridad o disponibilidad de la información que incluyan estrategias de comunicación que aseguren la continuidad del servicio y responsabilidad limitada asociada con interrupciones del servicio de banca electrónica incluyendo aquellos originados desde sistemas externos, las cuales permitan una retroalimentación sobre el sistema de gestión de riesgos a fin de trabajar sobre la mejora continua respecto a la efectividad de los controles aplicados, y la consiguiente minimización del riesgo asumido.
EnCase puede proveer una variedad de métodos para auditar los controles internos de un banco relacionados a la confidencialidad e integridad de la información sensitiva transmitida dentro de la organización. EnCase puede proveer cualquiera de las siguientes:

-          Una herramienta única con un proceso defendible que puede reducir el riesgo y el costo de las auditorías TI en la organización.

-          Poderosos criterios de búsqueda que pueden ser aplicados en los distintos sistemas operativos de la organización (Windows, Linux, Mac, AIX, etc.), en sus recursos de red (Exchange, Sharepoint, Lotus Notes, Symantec EV, etc.) y en sus recursos en la nube (Office 365, Google Apps/Drive, Dropbox, Amazon S3, Box, etc.)

-          Visibilidad a través de toda la organización de procesos, aplicaciones, cambios en el registro, etc. que no estén autorizados a nivel de máquina, así como el acceso a nivel de archivo de los usuarios y las actividades dentro de servidores, estaciones de trabajo, laptops y sistemas de usuarios remotos conectados mediante internet o VPN.
ARTÍCULO 17: REPORTE DE INCIDENTES DE SEGURIDAD.

El banco deberá reportar a la Superintendencia de Bancos cualquier evento o intento de fraude de los servicios de banca electrónica, mediante formulario provisto para tal fin. Este reporte debe ser enviado dentro del plazo que establezca la Superintendencia, inclusive si aún no ha sido determinado su origen, informando entre otros: fecha y hora del mismo, tipología, medio o canal electrónico afectado, cantidad de clientes afectados, monto estimado y demás aspectos que se señalen en el respectivo formulario.
EnCase provee una variedad de reportes, visualizaciones y archivos de evidencia aceptados en juzgados que pueden ser usados para incluirse rápidamente en comunicaciones con la Superintendencia. Esta información tomada de las auditorías puede mostrar lo siguiente:

-          Origen
-          Fecha/hora
-          Máquinas afectadas
-          Quiénes sufrieron un impacto
-          El estado actual de la red
ARTÍCULO 19: RELACIÓN CON TERCEROS Y PROVEEDORES DE SEGURIDAD DEL SERVICIO DE BANCA ELECTRÓNICA.

Cuando el banco contrate los servicios de proveedores o terceros para que ejecuten procesos de los servicios de banca electrónica, se requerirá obtener la autorización previa de esta Superintendencia de Bancos, de conformidad con lo establecido en el Acuerdo sobre Tercerización emitido por esta Superintendencia. En caso tal de que se trate de un proveedor de seguridad, el mismo debe contar con personal idóneo para el manejo de los servicios contratados. Adicionalmente, los proveedores de seguridad de la información, deben dividirse según las siguientes categorías:

a. Análisis, planificación e implementaciones de sistemas de gestión de seguridad de la información y/o soluciones de monitoreo lógico y gestión de la seguridad de la información.

b. Auditoría y certificadoras.
Para los servicios señalados en el literal “a”, el proveedor que preste dicho servicio no podrá ser el mismo que ejecute lo establecido en el literal “b” del presente artículo.
La división de Servicios Profesionales de Guidance Software puede ayudar a las organizaciones con cualquiera de las siguientes:

a. Análisis, planificación e implementaciones de sistemas de gestión de seguridad de la información y/o soluciones de monitoreo lógico y gestión de la seguridad de la información.

b. Auditoría y certificadoras.

ARTÍCULO 20: REMISIÓN DE INFORMACIÓN.

Los bancos sujetos a este Acuerdo deberán remitir a la Superintendencia toda la información y reportes relacionados con los servicios de banca electrónica que sean requeridos por la Superintendencia en la forma, periodicidad y contenido que ésta establezca.
EnCase provee un poderoso sistema de reporte en múltiples formatos que puede ser usado para requisitos estándar o personalizados de reporte para la Superintendencia.

En estos puntos tratamos de demostrar cómo las soluciones EnCase através de sus capacidades únicas para derivar perspectivas a partir de la información que yace dentro de los dispositivos, sean servidores, estaciones de trabajo o recursos en la nube, pueden ayudar no sólo a cumplir diversos lineamientos del acuerdo, sino también a verificar que procedimientos externos realizados para el cumplimiento realmente estén siendo aplicados y a producir reportes completos y automatizados que pueden presentar a la Superintendencia o a otras entidades auditoras.

Si tiene alguna pregunta al respecto de cómo EnCase puede ayudarle a cumplir con el acuerdo No. 006-2011 o si tiene algún otro comentario que desea compartir con nosotros, no dude en contactarnos mediante el correo electrónico sales-latam@encase.com. Estamos listos para atenderlo.


TEMAS RELACIONADOS

Webinar: Identificando indicadores de mal uso informático y de fraude

Dé un "Me Gusta" a Nuestra Página en Facebook

Entendiendo el Cumplimiento de Estándar PCI DSS V3 con EnCase® – Parte I

Haga Parte de Nuestro Grupo en LinkedIn de Usuarios de EnCase en Español

Las Sesiones en Español del CEIC 2015 Han Sido Anunciadas

No hay comentarios :

Publicar un comentario