Beruflich Dokumente
Kultur Dokumente
Gua No. 18
HISTORIA
PG.
HISTORIA ................................................................................................................ 2
TABLA DE CONTENIDO ......................................................................................... 3
1. DERECHOS DE AUTOR ............................................................................... 4
2. AUDIENCIA ................................................................................................... 5
3. INTRODUCCIN ........................................................................................... 6
4. GLOSARIO .................................................................................................... 7
5. LINEAMIENTOS ............................................................................................ 9
5.1. LINEAMIENTOS DE SEGURIDAD LGICA .................................................. 9
5.2. LINEAMIENTOS DE SEGURIDAD FSICA .................................................. 11
5.3. LINEAMIENTOS DE SEGURIDAD DE LA RED .......................................... 11
5.4. LINEAMIENTOS DE SEGURIDAD FRENTE A LA ENTIDAD FINANCIERA
12
5.5. LINEAMIENTOS DE SEGUIMIENTO Y MONITOREO DE CONTROLES ... 12
6. RECOMENDACIONES DE SEGURIDAD EN LA REALIZACIN DE LAS
TRANSACCIONES ................................................................................................ 13
7. ANEXO CHECKLIST MONITOREO Y CUMPLIMIENTO .......................... 14
1. DERECHOS DE AUTOR
Las entidades deben asegurar que el acceso fsico a las reas donde estn los
equipos o terminales mviles, sea lo ms restringido posible y de manera exclusiva
al responsable directo de la realizacin de las transacciones. A continuacin se
listan los controles a ser implementados:
a) Asignar una direccin IP fija pblica al equipo o terminal mvil, la cual debe
ser informada a la(s) entidad(es) financiera(s), de forma que solo esta
direccin IP fija sea la utilizada para realizar transacciones en los portales
empresariales.
b) Garantizar la proteccin de las claves y dispositivos de acceso al equipo o
terminal mvil y al portal empresarial de la entidad financiera. En desarrollo
de esta obligacin, las entidades debern evitar el uso de claves
compartidas, genricas o para grupos. La identificacin y autenticacin en el
equipo y/o terminal mvil de la entidad deber ser nica y personalizada.
c) Utilizar las medidas de autenticacin y control que le ofrecen la(s) entidad(es)
financieras a travs de la(s) cuales realizan transacciones. Particularmente,
definir perfiles de autorizacin de transacciones, utilizar la preinscripcin de
beneficiarios, parametrizar montos y horarios para la realizacin de
operaciones y realizar la inscripcin para recibir notificaciones en lnea.
a) Requerir
credenciales de
autenticacin para
el ingreso y/o uso,
Implementar polticas en el directorio
las cuales debern
activo de la entidad o mecanismo y/o
estar obligadas a
solucin equivalente, que exija la
cambiarse
autenticacin y controle el tiempo de
peridicamente y
inactividad del usuario.
tener
Para el caso de plataformas
especificaciones
Microsoft, consultar las guas con las
mayores de
lneas base de seguridad publicadas
seguridad (longitud
Seguridad por Microsoft para sus plataformas de
mnima de ocho
lgica servidores (2003, 2008 y 2012)
caracteres
http://www.microsoft.com/en-
alfanmeros y
us/download/details.aspx?id=8222
caracteres
(este link es especfico para Windows
especiales) de
server 2003, para las otras versiones,
conformidad con la
consultarlos en la librera de Microsoft
tecnologa y
online
mecanismos
http://technet.microsoft.com/en-
tcnicos que
us/library)
dispongan las
instituciones
financieras para
este fin.
Checklist para realizar el seguimiento y evaluacin del cumplimiento de lineamientos estipulados en
el presente documento
Implementar polticas en el
directorio activo de la entidad o
mecanismo y/o solucin
equivalente, que exija la
autenticacin y controle el tiempo
de inactividad del usuario.
Para el caso de plataformas
b) Controlar el tiempo de Microsoft, consultar las guas con
inactividad del usuario a las lneas base de seguridad
travs de bloqueo publicadas por Microsoft para sus
automtico del equipo o plataformas de servidores (2003,
terminal mvil (se sugiere 2008 y 2012)
mximo cinco minutos). http://www.microsoft.com/en-
us/download/details.aspx?id=8222
(este link es especfico para
Windows server 2003, para las
otras versiones, consultarlos en la
Seguridad
librera de Microsoft online
lgica
http://technet.microsoft.com/en-
us/library)
Actividad/Control
Lineamientos Especificacin Resultado Cumplimiento
recomendado
e) Establecer procedimientos
automatizados o por medio
del soporte tcnico que Implementar un procedimiento
disponga la entidad, para peridico en el cul se definan
efectuar el borrado regular de: las actividades necesarias por
archivos temporales del medio del soporte tcnico que
sistema operativo, archivos disponga la entidad, para que
temporales de Internet, el equipo o terminal mvil se
cookies, historial de mantenga depurado de
navegacin y descargas (se archivos innecesarios.
sugiere mnimo una vez a la
semana).
Checklist para realizar el seguimiento y evaluacin del cumplimiento de lineamientos estipulados en
el presente documento
Actividad/Control
Lineamientos Especificacin Resultado Cumplimiento
recomendado
h) Asegurar que el
equipo y/o terminal
mvil cuente mnimo
Establecer una lista de software base
con: antivirus (con
con el que debe contar el equipo o
mdulos de anti -
terminal mvil (p.e., programa antivirus,
keylogger, firewall
listado de parches de seguridad del
personal,
sistema operativo y de los programas
antispyware),
instalados, un nico navegador, entre
software licenciado y
otros)
actualizado de forma
automtica o
supervisada.
Implementar polticas en el
directorio activo de la entidad o
mecanismo y/o solucin
equivalente que restrinja el uso de
este tipo de dispositivos y
programas. Para el caso de
plataformas Microsoft, consultar las
guas con las lneas base de
seguridad liberadas por Microsoft
para sus plataformas de servidores
j) Restringir el software de (2003, 2008 y 2012)
acceso remoto al equipo http://www.microsoft.com/en-
que pueda ofrecer o tener us/download/details.aspx?id=8222
preinstalado el Sistema (este link es especfico para
Operativo del respectivo Windows server 2003, para las
equipo o terminal. otras versiones, consultarlos en la
librera de Microsoft online
http://technet.microsoft.com/en-
us/library)
Implementar una poltica a travs
Seguridad de herramientas o soluciones
lgica como: antivirus o mecanismo de
control de equipos y/o terminales
mviles, para restringir el uso de
este tipo de dispositivos y
programas.
Implementar polticas en el
directorio activo y/o el servidor
WSUS de la entidad o mecanismo
y/o solucin equivalente que
restrinja el uso de este tipo de
dispositivos y programas. Para el
caso de plataformas Microsoft,
consultar las guas con las lneas
l) Activar mecanismos para base de seguridad liberadas por
que el equipo o terminal Microsoft para sus plataformas de
pueda recibir las servidores (2003, 2008 y 2012)
actualizaciones de http://www.microsoft.com/en-
seguridad de forma us/download/details.aspx?id=8222
automtica, cada vez que (este link es especfico para
sean emitidas por el Windows server 2003, para las
fabricante para el sistema otras versiones, consultarlos en la
operativo respectivo y librera de Microsoft online
Seguridad
aplicaciones. http://technet.microsoft.com/en-
lgica
us/library)
Implementar una poltica a travs
de herramientas o soluciones
como: antivirus o mecanismo de
control de equipos y/o terminales
mviles, para restringir el uso de
este tipo de dispositivos y
programas.
Actividad/Control
Lineamientos Especificacin Resultado Cumplimiento
recomendado
n) En lo posible, el equipo o
Verificar que la utilizacin del
terminal deber ser
equipo o terminal mvil sea
destinado de manera
realizada solo por el personal
exclusiva para la realizacin
autorizado y para las
de las transacciones
actividades definidas.
financieras.
Seguridad
lgica
o) En lo posible, apagar el
equipo o terminal cuando no
Habilitar opciones de
se est utilizando, sobre
hibernacin y/o suspensin
todo si dispone de una
automtica.
conexin permanente a
Internet.
Mantener el seguro de la
cerraduras y/o puertas
activos y disponibles para
a) Restringir el acceso al acceso solo al personal
rea fsica desde donde se autorizado para utilizar el
realizan transacciones equipo o terminal mvil
financieras slo para Contar con guardas de
personal autorizado. seguridad, que registren y
evalen los ingresos al rea
fsica donde se encuentra el
equipo o terminal mvil
a) Restringir el acceso a
correos personales , redes
Implementar una poltica a
sociales , y en general a otros
travs de la solucin con la que
sitios no asociados con las
disponga la entidad para filtrado
funciones del operador, desde
de contenido o servidor proxy
el equipo y/o terminal. Esto
(si es posible) con el fin de
con el objeto de evitar que de
restringir la el acceso a este tipo
forma intencional o accidental,
contenidos y portales de
se descargue, instale o
internet.
Seguridad de ejecute software
la red malintencionado.
Actividad/Control
Lineamientos Especificacin Resultado Cumplimiento
recomendado
Definir un listado de
equipos o terminales
mviles las cules sern
las nicas autorizadas
para la realizacin de
este tipo de
transacciones.
Implementar
c) Deber evitarse realizar
mecanismos de conexin
transacciones financieras desde
segura o cifrada, para los
dispositivos mviles o conexiones a
escenarios en los que los
redes inalmbricas de terceros no
equipos o terminales
confiables.
mviles deban
conectarse a los portales
Seguridad de empresariales
la red dispuestos por las
entidades financieras,
desde conexiones
externas a la entidad y no
confiables.
En lo posible utilizar
d) Asegurar las redes inalmbricas sistemas de proteccin
(WIFI) desde las cuales se realicen WPA2 - con cifrado AES.
transacciones financieras, cuenten Consultar las buenas
con las mejores condiciones y prcticas de seguridad
estndares tcnicos disponibles. publicadas por la WiFi
Definir un usuario con contrasea Alliance http://www.wi-
robusta y cambiarla peridicamente. fi.org/discover-and-
learn/security.
Checklist para realizar el seguimiento y evaluacin del cumplimiento de lineamientos estipulados en
el presente documento
Actividad/Control
Lineamientos Especificacin Resultado Cumplimiento
recomendado
El segmento de red
utilizado para la red
inalmbrica (WIFI)
ofrecida a invitados,
debe pertenecer a un
segmento o VLAN
aislada de la red
e) Si la entidad cuenta con una red
corporativa de la entidad,
inalmbrica (WIFI) para invitados,
Seguridad de restringiendo as el
esta deber estar totalmente aislada
la red acceso desde esta a
y segmentada de las redes LAN de
servicios como el
la entidad.
servidor de: correo, DNS,
proxy, impresin,
archivos, bases de datos,
y en general todos los
servidores del ambiente
de produccin de la
entidad.
Consultar con el
proveedor de servicios
de internet (ISP), el
a) Asignar una direccin IP fija
procedimiento para
pblica al equipo o terminal mvil, la
Seguridad solicitar la direccin ip fija
cual debe ser informada a la(s)
frente a la pblica, posteriormente
entidad(es) financiera(s), de forma
entidad asignar esta direccin ip
que solo esta direccin IP fija sea la
financiera fija nicamente para el
utilizada para realizar transacciones
equipo o terminal mvil
en los portales empresariales.
donde se realizaran las
transacciones
financieras de la entidad
Checklist para realizar el seguimiento y evaluacin del cumplimiento de lineamientos estipulados en
el presente documento
Actividad/Control
Lineamientos Especificacin Resultado Cumplimiento
recomendado