En este artículo de nuestro blog desglosaremos en un formato "estándar por estándar" todos los lineamientos del acuerdo en los cuales las soluciones EnCase pueden satisfacer las necesidades para su cumplimiento.
Estándar
|
Cómo EnCase Puede Ayudar
|
ARTÍCULO
6: PLANIFICACIÓN DE CONTINUIDAD DEL NEGOCIO Y RECUPERACIÓN ANTE DESASTRES.
Se
entiende como plan de continuidad del negocio aquella metodología operativa interdisciplinaria,
compuesta por diversos planes de respuesta ante contingencias o incidentes de
seguridad, que le permita al banco restaurar inmediatamente las funciones
críticas del negocio que hayan sido, parcial o totalmente, afectadas como
resultado de un ataque, sabotaje o desastre natural.
Se
entiende como el plan de recuperación ante desastres el proceso de
recuperación respecto de los datos, enlaces de comunicación, el hardware y el
software críticos, que eventualmente hayan sufrido un incidente de seguridad
o disponibilidad, para reanudar el normal funcionamiento del banco y la
prestación de sus servicios.
|
EnCase
puede formalizar una serie de procesos que pueden hacer parte de cualquier
plan de continuidad del negocio. EnCase puede ayudar a las organizaciones al
formalizar procesos que alcancen cualquiera de los objetivos listados a
continuación:
- Ejecutar rápidamente auditorias de software, hardware, información y conexiones para asegurar la integridad de los recursos de red, sistemas de dispositivos terminales, archivos y documentos. - Reducir riesgos al identificar todos los sistemas que contengan información sensible o confidencial. |
ARTÍCULO
8: AUDITORIA INTERNA.
En
materia de auditoría interna, serán responsabilidades del banco:
1. Velar
porque se realicen auditorias periódicas de acuerdo al volumen y complejidad
de las operaciones que realicen, asegurándose de incorporar dichas auditorías
en su plan anual de auditoría, y
2.
Contar con los programas necesarios y personal especializado en el área
respectiva.
|
EnCase
puede hacer que los funcionarios de auditoría y seguridad consigan mejores
resultados sin importar el nivel de entrenamiento que tengan. EnCase
automatiza una variedad de auditorías internas de TI para temas de
cumplimiento, encontrar el mal uso de las computadoras y malware de acuerdo a
la complejidad de las operaciones de un banco, a los requisitos regulatorios
de cumplimiento y a necesidades particulares de auditoría/investigación.
|
ARTÍCULO
10. PRUEBAS DE INTRUSIÓN Y VULNERABILIDAD.
1. Prueba
de Intrusión Externa (En inglés conocidas como “External Security Penetration
Test”): Esta prueba deberá realizarse como mínimo una vez al año y deberá
tener el siguiente alcance:
a.
Dispositivos de seguridad y su funcionamiento ante ataques.
b.
Vulnerabilidades en las aplicaciones web y banca por internet.
c.
Evaluación de los sistemas de detección de intrusos.
d.
Servicios expuestos hacia las redes públicas.
e.
Estructura de red.
f.
Fallas en los sistemas de autenticación y políticas de contraseñas.
g.
Ingeniería social interna.
2.
Prueba de Intrusión Interna (En inglés conocido como “Internal Security Penetration
Test”): Esta prueba deberá realizarse por lo menos cada dos (2) años y deberá
tener los siguientes alcances:
a.
Análisis de la arquitectura de red y su topología.
b.
Identificación de los componentes críticos de tecnología de la información.
c.
Identificación de vulnerabilidades y áreas a proteger.
d.
Gestión de riesgos, incidentes, redes y sistemas.
e.
Seguridad física y lógica.
f.
Gestión ante incidencias.
PARÁGRAFO.
Sin perjuicio de lo dispuesto en el presente artículo, el banco deberá
realizar, con personal propio e idóneo, pruebas regulares de intrusión y
vulnerabilidad.
|
EnCase
provee soluciones para auditoría internas que pueden complementar y validar
las pruebas rutinarias de intrusión. EnCase puede rápidamente proveer a las
organizaciones visibilidad hacia cualquiera de los puntos listados a
continuación:
- Procesos en ejecución en cada máquina, así como procesos que no debería estar siendo ejecutados. - Llaves de registro que han sido adicionadas, modificadas o eliminadas (según el nombre de una llave o una fecha) - Conexiones remotas (sin tener que analizar todos los paquetes generados en la organización) - Documentos confidenciales o malware según su valor de hash - Documentos confidenciales o malware según su similitud con archivos conocidos, tanto buenos como malos - Localización de archivos autorizados o no autorizados según los permisos a nivel de archivo. - Evaluación de la efectividad de los sistemas de detección - Cambios locales no autorizados a las políticas de contraseñas - Respuestas automatizadas a los incidentes |
ARTÍCULO
15: CONTROLES DE SEGURIDAD.
1.
Infraestructura Tecnológica
Servidor
de Logs: Deberá existir un servidor que se ocupe de almacenar los LOGS que
genere el firewall (dirección IP, timestamp, evento).
Se
requiere la implementación de un sistema de detección de intrusos con
capacidad de trabajar en forma activa (IPS) o pasiva (IDS): Debe existir un
Sistema de Detección de Intrusos que se encuentre analizando el tráfico de
las redes públicas de la entidad, delante de la Zona Desmilitarizada (DMZ)
sobre los servicios publicados hacia Internet.
Los logs
generados por el sistema deberán ser almacenados por un (1) año.
La
solución deberá ser capaz de generar, estadísticas y resúmenes que podrán ser
solicitados por la Superintendencia de Bancos de Panamá.
2. Banca
por Internet y Banca Móvil
A nivel
de banca por internet y banca móvil, todo banco deberá asegurarse de
4. Cajeros
automáticos y tarjetas de circuito integrado:
e.
Transmisión cifrada de las contraseñas, números de identificación personal u
otra información sensible del cliente.
5.
Terminal de punto de venta (POS):
d.
Transmisión cifrada de las contraseñas, números de identificación personal u
otra información sensible del cliente.
e. El
dispositivo electrónico utilizado como terminal de punto de venta deberá
cumplir con las medidas de seguridad establecidas para los medios de pago electrónico.
9.
Mensajería instantánea, redes sociales y correos electrónicos:
A nivel
de mensajería instantánea, redes sociales y correos electrónicos, todo banco
deberá asegurarse de suministrar información en general y cualquier otra que
ha sido autorizada por un cliente del banco a través de contrato y cualquier otro
medio.
|
EnCase
puede ayudar a que las organizaciones administren los logs y respondan a
información relacionada a incidentes dentro de los logs. EnCase puede ayudar
con cualesquiera de las cosas listadas a continuación (y aún más):
- Recolectar regularmente copias de logs remotos con una tecnología que puede validar las copias judicialmente y que contiene todos los metadatos originales (puede ser muy útil caso surja un ataque que elimine o modifique la información de un log) - Puede ser usado para auditar máquinas remotas que no estén en un dominio y estén en una DMZ, además de auditar máquinas dentro de un dominio interno. - Puede validar las entradas de un log usando información y artefactos dentro de las máquinas cuando integrado con un SIEM, con un sistema de detección o con una consola que consolide alertas generadas a partir de logs. - Provee estadísticas y resúmenes que pueden ser usados internamente o externamente por agencias regulatorias como la Superintendencia de Bancos de Panamá |
ARTÍCULO
16: OTROS CONTROLES PARA BANCA ELECTRÓNICA.
b.
Medidas establecidas para preservar la confidencialidad e integridad de la
información relevante del banco, las cuales deben estar acorde con la
sensibilidad de la información transmitida y/o guardada en bases de datos.
e.
Medidas de segregación de responsabilidades en función del control interno,
de manera que se pueda reducir el riesgo de fraude en procesos y sistemas operacionales
y asegurar que las transacciones estén apropiadamente autorizadas, registradas
y salvaguardadas.
f. Debe
existir una estructura física adecuada y con los respectivos controles, de
manera que todos los sistemas, servidores, bases de datos o información
física relacionada al servicio de banca electrónica este protegida y se pueda
detectar cualquier acceso sin autorización.
h.
Asegurar la implementación de controles internos adecuados, particularmente
en casos y operaciones relevantes de banca electrónica, tales como:
---h.4.
Aprobación, modificación o revocación de derechos o privilegios para acceder
al sistema.
i.
Planes apropiados de respuesta a incidentes de seguridad o disponibilidad de
la información que incluyan estrategias de comunicación que aseguren la continuidad
del servicio y responsabilidad limitada asociada con interrupciones del
servicio de banca electrónica incluyendo aquellos originados desde sistemas externos,
las cuales permitan una retroalimentación sobre el sistema de gestión de riesgos
a fin de trabajar sobre la mejora continua respecto a la efectividad de los
controles aplicados, y la consiguiente minimización del riesgo asumido.
|
EnCase
puede proveer una variedad de métodos para auditar los controles internos de
un banco relacionados a la confidencialidad e integridad de la información
sensitiva transmitida dentro de la organización. EnCase puede proveer
cualquiera de las siguientes:
- Poderosos criterios de búsqueda que pueden ser aplicados en los distintos sistemas operativos de la organización (Windows, Linux, Mac, AIX, etc.), en sus recursos de red (Exchange, Sharepoint, Lotus Notes, Symantec EV, etc.) y en sus recursos en la nube (Office 365, Google Apps/Drive, Dropbox, Amazon S3, Box, etc.) - Visibilidad a través de toda la organización de procesos, aplicaciones, cambios en el registro, etc. que no estén autorizados a nivel de máquina, así como el acceso a nivel de archivo de los usuarios y las actividades dentro de servidores, estaciones de trabajo, laptops y sistemas de usuarios remotos conectados mediante internet o VPN. |
ARTÍCULO
17: REPORTE DE INCIDENTES DE SEGURIDAD.
El banco
deberá reportar a la Superintendencia de Bancos cualquier evento o intento de
fraude de los servicios de banca electrónica, mediante formulario provisto
para tal fin. Este reporte debe ser enviado dentro del plazo que establezca
la Superintendencia, inclusive si aún no ha sido determinado su origen,
informando entre otros: fecha y hora del mismo, tipología, medio o canal electrónico
afectado, cantidad de clientes afectados, monto estimado y demás aspectos que
se señalen en el respectivo formulario.
|
EnCase
provee una variedad de reportes, visualizaciones y archivos de evidencia
aceptados en juzgados que pueden ser usados para incluirse rápidamente en
comunicaciones con la Superintendencia. Esta información tomada de las
auditorías puede mostrar lo siguiente:
- Fecha/hora - Máquinas afectadas - Quiénes sufrieron un impacto - El estado actual de la red |
ARTÍCULO
19: RELACIÓN CON TERCEROS Y PROVEEDORES DE SEGURIDAD DEL SERVICIO DE BANCA ELECTRÓNICA.
Cuando
el banco contrate los servicios de proveedores o terceros para que ejecuten procesos
de los servicios de banca electrónica, se requerirá obtener la autorización
previa de esta Superintendencia de Bancos, de conformidad con lo establecido
en el Acuerdo sobre Tercerización emitido por esta Superintendencia. En caso
tal de que se trate de un proveedor de seguridad, el mismo debe contar con
personal idóneo para el manejo de los servicios contratados. Adicionalmente, los
proveedores de seguridad de la información, deben dividirse según las siguientes
categorías:
a.
Análisis, planificación e implementaciones de sistemas de gestión de
seguridad de la información y/o soluciones de monitoreo lógico y gestión de
la seguridad de la información.
b.
Auditoría y certificadoras.
Para los
servicios señalados en el literal “a”, el proveedor que preste dicho servicio
no podrá ser el mismo que ejecute lo establecido en el literal “b” del
presente artículo.
|
La división
de Servicios Profesionales de Guidance Software puede ayudar a las
organizaciones con cualquiera de las siguientes:
a.
Análisis, planificación e implementaciones de sistemas de gestión de
seguridad de la información y/o soluciones de monitoreo lógico y gestión de
la seguridad de la información.
b.
Auditoría y certificadoras.
|
ARTÍCULO
20: REMISIÓN DE INFORMACIÓN.
Los
bancos sujetos a este Acuerdo deberán remitir a la Superintendencia toda la
información y reportes relacionados con los servicios de banca electrónica
que sean requeridos por la Superintendencia en la forma, periodicidad y contenido
que ésta establezca.
|
EnCase
provee un poderoso sistema de reporte en múltiples formatos que puede ser
usado para requisitos estándar o personalizados de reporte para la
Superintendencia.
|
En estos puntos tratamos de demostrar cómo las soluciones EnCase através de sus capacidades únicas para derivar perspectivas a partir de la información que yace dentro de los dispositivos, sean servidores, estaciones de trabajo o recursos en la nube, pueden ayudar no sólo a cumplir diversos lineamientos del acuerdo, sino también a verificar que procedimientos externos realizados para el cumplimiento realmente estén siendo aplicados y a producir reportes completos y automatizados que pueden presentar a la Superintendencia o a otras entidades auditoras.
Si tiene alguna pregunta al respecto de cómo EnCase puede ayudarle a cumplir con el acuerdo No. 006-2011 o si tiene algún otro comentario que desea compartir con nosotros, no dude en contactarnos mediante el correo electrónico sales-latam@encase.com. Estamos listos para atenderlo.
TEMAS RELACIONADOS
Webinar: Identificando indicadores de mal uso informático y de fraude
Dé un "Me Gusta" a Nuestra Página en Facebook
Entendiendo el Cumplimiento de Estándar PCI DSS V3 con EnCase® – Parte I
Haga Parte de Nuestro Grupo en LinkedIn de Usuarios de EnCase en Español
Las Sesiones en Español del CEIC 2015 Han Sido Anunciadas
No hay comentarios :
Publicar un comentario