Trabajo de Investigación de Prevención y Detección de Fraudes

INSTITUTO TECNOLGICO DE COSTA RICA ESCUELA DE ADMINISTRACIN DE EMPRESAS CENTRO ACADEMICO DE SAN JOS AUDITORIA PED II Prof.
SERGIO ESPINOZA GUIDO
TRABAJO DE INVESTIGACIN SOBRE LA DETECCIN Y PREVENCIN DE FRAUDES
AZOFEIFA TORRES MICHAEL BARRANTES CESPEDES CINTHYA CHINCHILLA LUIS RICARDO COTO CAMBRONERO CLAUDIO QUESADA ENRIQUEZ LUIS ANGEL RAMIREZ BRENES CAROLINA
Aporte al trabajo: todos los integrantes del grupo aportaron en el trabajo de investigacin, con sus anlisis y opiniones crticas acerca de cada tema incluido en los presentes captulos, por lo tanto todos tienen los puntos que se asignen por parte del profesor.
SAN JOS, COSTA RICA I SEMESTRE 2011
NDICE GENERAL
NDICE GENERAL......................................................................................................................................................2 BIBLIOGRAFIAS UTILIZADAS................................................................................................................................5 ANEXOS. ......................................................................................................................................................................6 PROCEMIENTOS, DISPOSICIONES Y MANUALES UTILIZADOS EN EL BANCO DE COSTA RICA Y EN LA FIRMA DE AUDITORES EXTERNOS DE KPMG.............................................................................................6 Propsito.........................................................................................................................................................................7 Alcance...........................................................................................................................................................................7 Documentos de referencia.............................................................................................................................................8 Definiciones...................................................................................................................................................................8 Administracin del sistema de prevencin de intrusos en la red.................................................................................8 Anexo 1.........................................................................................................................................................................11 Anexo 2.........................................................................................................................................................................13 Propsito.......................................................................................................................................................................15 Alcance.........................................................................................................................................................................16 Documentos de referencia...........................................................................................................................................16 Disposiciones generales...............................................................................................................................................17
Propsito...............................................................................................................22 Alcance..................................................................................................................22 Documentos de referencia....................................................................................22 Definiciones........................................................................................................... 23

Captulo I .....................................................................................................................................................................29 Disposiciones generales sobre seguridad....................................................................................................................29
Definicin.............................................................................................................. 29 Objetivo................................................................................................................. 29 Bases de la administracin integral de la seguridad.............................................29 Aspectos generales...............................................................................................30 Responsabilidades.................................................................................................30 Sanciones.............................................................................................................. 30 Excepciones.......................................................................................................... 31
Captulo II ...................................................................................................................................................................32 Organizacin interna...................................................................................................................................................32
Objetivo................................................................................................................. 32 Responsables........................................................................................................32 Organizacin de la seguridad................................................................................32 Funciones de la Gerencia de Seguridad y Riesgos en TI .......................................32 Asignacin de responsabilidades...........................................................................36 Contacto con autoridades y grupos de inters......................................................36 Recomendaciones de uso de servicios y tecnologa en general............................37 Auditora externa del esquema de seguridad........................................................37 Administracin de incidentes de seguridad...........................................................37 Investigacin y anlisis forense.............................................................................38
Propsito.......................................................................................................................................................................40 Alcance.........................................................................................................................................................................40 Documentos de referencia ..........................................................................................................................................40 Definiciones.................................................................................................................................................................41 1. Procedimiento para el seguimiento de casos a travs Bancobcr-Empresas..........................................................41 2. Procedimiento para el seguimiento de casos a travs de Bancobcr-Personas......................................................46 Propsito.......................................................................................................................................................................50 Alcance.........................................................................................................................................................................50 Documentos de referencia...........................................................................................................................................50 Definiciones.................................................................................................................................................................51
Revisin anual de perfiles .....................................................................................52 Trmite de solicitudes para la creacin o modificacin de un perfil transaccional 53 Anlisis de la propuesta preliminar.......................................................................54 Creacin o eliminacin de usuarios en el Dominio BCR........................................56 Inclusin, modificacin, eliminacin de usuarios y cambio de clave en los sistemas informticos de produccin del conglomerado BCR..............................................57 Revisin peridica de usuarios en los sistemas informticos de produccin del conglomerado BCR................................................................................................57 Anexo ................................................................................................................... 59 Gua para emitir la lista relaciones de un perfil del SICC.......................................59
NDICE GENERAL......................................................................................................................................................2 BIBLIOGRAFIAS UTILIZADAS................................................................................................................................5 ANEXOS. ......................................................................................................................................................................6 PROCEMIENTOS, DISPOSICIONES Y MANUALES UTILIZADOS EN EL BANCO DE COSTA RICA Y EN LA FIRMA DE AUDITORES EXTERNOS DE KPMG.............................................................................................6
Propsito.........................................................................................................................................................................7 Alcance...........................................................................................................................................................................8 Documentos de referencia.............................................................................................................................................8 Definiciones...................................................................................................................................................................8 Administracin del sistema de prevencin de intrusos en la red.................................................................................8 Anexo 1.........................................................................................................................................................................11 Anexo 2.........................................................................................................................................................................13 Propsito.......................................................................................................................................................................15 Alcance.........................................................................................................................................................................16 Documentos de referencia...........................................................................................................................................16 Disposiciones generales...............................................................................................................................................17
Propsito...............................................................................................................22 Alcance..................................................................................................................22 Documentos de referencia....................................................................................22 Definiciones........................................................................................................... 23

Captulo I .....................................................................................................................................................................29 Disposiciones generales sobre seguridad....................................................................................................................29
Definicin.............................................................................................................. 29 Objetivo................................................................................................................. 29 Bases de la administracin integral de la seguridad.............................................29 Aspectos generales...............................................................................................30 Responsabilidades.................................................................................................30 Sanciones.............................................................................................................. 30 Excepciones.......................................................................................................... 31
Captulo II ...................................................................................................................................................................32 Organizacin interna...................................................................................................................................................32
Objetivo................................................................................................................. 32 Responsables........................................................................................................32 Organizacin de la seguridad................................................................................32 Funciones de la Gerencia de Seguridad y Riesgos en TI .......................................32 Asignacin de responsabilidades...........................................................................36 Contacto con autoridades y grupos de inters......................................................36 Recomendaciones de uso de servicios y tecnologa en general............................37 Auditora externa del esquema de seguridad........................................................37 Administracin de incidentes de seguridad...........................................................37
Investigacin y anlisis forense.............................................................................38

Propsito.......................................................................................................................................................................40 Alcance.........................................................................................................................................................................40 Documentos de referencia ..........................................................................................................................................40 Definiciones.................................................................................................................................................................41 1. Procedimiento para el seguimiento de casos a travs Bancobcr-Empresas..........................................................41 2. Procedimiento para el seguimiento de casos a travs de Bancobcr-Personas......................................................46 Propsito.......................................................................................................................................................................50 Alcance.........................................................................................................................................................................50 Documentos de referencia...........................................................................................................................................50 Definiciones.................................................................................................................................................................51
Revisin anual de perfiles .....................................................................................52 Trmite de solicitudes para la creacin o modificacin de un perfil transaccional 53 Anlisis de la propuesta preliminar.......................................................................54 Creacin o eliminacin de usuarios en el Dominio BCR........................................56 Inclusin, modificacin, eliminacin de usuarios y cambio de clave en los sistemas informticos de produccin del conglomerado BCR..............................................57 Revisin peridica de usuarios en los sistemas informticos de produccin del conglomerado BCR................................................................................................57 Anexo ................................................................................................................... 59 Gua para emitir la lista relaciones de un perfil del SICC.......................................59
BIBLIOGRAFIAS UTILIZADAS
NIA 240: "Las Responsabilidades del Auditor en Relacin con Fraude en una Auditora de Estados Financieros"

http://www.monografias.com/trabajos11/fraer/fraer.shtml http://es.wikipedia.org/wiki/Fraudes, consultada el 27 de abril, 2011.
ANEXOS. PROCEMIENTOS, DISPOSICIONES Y MANUALES UTILIZADOS EN EL BANCO DE COSTA RICA Y EN LA FIRMA DE AUDITORES EXTERNOS DE KPMG
Anexo. 1. PROCEDIMIENTO PARA LA ADMINISTRACION DEL SISTEMA DE PREVENCION DE INTRUSOS EN LA RED
Procesos de Soporte Seguridad Fsica y Lgica
Propsito
El propsito de este documento es establecer el procedimiento para la administracin del sistema de prevencin de intrusos en la red, el cual notifica de forma inmediata los ataques de alta peligrosidad; por lo que es conveniente hacer una revisin semanal de los posibles ataques detectados, para investigar eventos de origen frecuente e insistente que alerte y prevenga al administrador.
Alcance
Este procedimiento se encuentra dirigido a los colaboradores que laboran en el rea de Seguridad y Tecnologa.
Documentos de referencia
Ley general de control interno, n 8292 Ley contra la corrupcin y el enriquecimiento ilcito en la funcin pblica, n 8422 Manual de cumplimiento corporativo del conglomerado BCR, MAC-ECC-OFC-56-04-07 Manual de normas generales de control interno para la Contralora General de la Repblica y las entidades y rganos sujetos a su fiscalizacin Manual de usuario McAfee Intrushield 4.1 (Herramienta para el anlisis de vulnerabilidades) Procedimiento de respuesta a incidentes de seguridad en TI, PRO-PSO-SFL-186-07
Definiciones
Alerta: evento reportado por la consola de prevencin de intrusos. BCR: Banco de Costa Rica. Sensor: equipo IPS de red parte del sistema de prevencin de intrusos el cual es administrado por una consola principal. Intruso: persona o proceso automtico que utiliza un software diseado, con el objetivo de atacar y comprometer la integridad o disponibilidad de un servicio. IPS: Sistema de prevencin de intrusos. Vulnerabilidad: debilidad o error en un software de sistema operativo o de aplicacin, que podra ser explotada por terceros y afectar o comprometer los servicios brindados por el BCR.
Administracin del sistema de prevencin de intrusos en la red

Paso 1 Responsable: Ingeniero de seguridad en tecnologa Actividad 1 Ingresar a la consola de administracin de los IPS y verificar que todos los equipos cuenten con la ltima versin de firmas disponibles en el sitio del proveedor. Nota: Esta actividad deber realizarse en forma semanal.
Decisin 2 Si los equipos cuentan con la ltima versin de firmas, pasa a la Actividad 4; de lo contrario pasa a la Actividad 3. Actividad 3 Actualizar los equipos con la ltima versin de firmas. Nota: De tener problemas con la actualizacin, deber notificar al gerente de Seguridad en Tecnologa y proceder a contactar a la empresa proveedora a fin de resolver el problema a la brevedad. Actividad 4 Generar un reporte de versiones de firmas y software de los sensores para corroborar su actualizacin y ubicarlo en la capeta pblica Seguridad en TI/Administracin de IPS. Actividad 5 Revisar los reportes de ataques de cada segmento y verificar que todos los que correspondan a la categora media o alta, sean bloqueados. Nota: Los reportes son generados automticamente por la consola de administracin de IPS y debern almacenarse en forma semanal, en una carpeta pblica de correo del departamento de Seguridad en Tecnologa. Decisin 6 Si los reportes de categora media o alta estn bloqueados, pasa a la Actividad 12; de lo contrario para a la Decisin 7. Decisin 7 Si la alerta se trata de un falso positivo pasa a la Actividad 8, de lo contrario pasa a la Actividad 9.
Actividad 8 Realizar la excepcin de bloqueo o de alarma y llenar la boleta de excepcin justificando la accin. Ver anexo 2. Pasa a la Actividad 12. Nota: La copia de la boleta deber ser archivada en el ampo correspondiente. Actividad 9 Estudiar y verificar si la alerta no bloqueada gener un incidente. Decisin 10 Si la alerta no bloqueada gener un incidente, pasa a la Actividad 11; de lo contrario pasa a la Actividad 12. Actividad 11 Realizar las actividades predefinidas del Procedimiento de respuestas a incidentes de seguridades TI. Actividad 12 Revisar las polticas de cada sensor y programar el bloqueo automtico de los nuevos eventos de riesgo medio y alto. Actividad 13 Notificar al gerente de Seguridad en Tecnologa, al encargado de Help Desk y al encargado de Servicios Tcnicos y sala de operacin, que se realizaron nuevos bloqueos en los sensores, ya que podra afectar a algn sistema de produccin.
Actividad 14 Generar las excepciones necesarias debido a la presencia de alertas de riesgo bajo o informacin que sea repetitiva y se considere trfico normal en la red. Nota: El formato para realizar las excepciones en los IPS se detalla en el anexo 2. Actividad 15 Respaldar la base de datos de los IPS en un CD con la fecha de respaldo y guardarlo en el archivo de Seguridad y Tecnologa. Pasa a la Actividad 15.
Paso 2 Responsable: Ingeniero de Seguridad en Tecnologa Actividad 16 Generar un reporte con los ataques por categora media y alta, por origen y por accin detenido o no detenido. Nota: El reporte deber generarse en forma mensual. Actividad 17 Realizar un anlisis del reporte identificando los principales ataques y sus fuentes; as como las acciones a tomar. Nota: El formato para realizar el anlisis se detalla en anexo 1. Actividad 18 Enviar el informe por correo electrnico al gerente de Seguridad en Tecnologa y ubicarlo en la carpeta pblica Seguridad en TI/Administracin de IPS. Paso 3 Responsable: Gerente de Seguridad en tecnologa Actividad 19 Realizar los comentarios sobre el informe y ubicarlos en la carpeta Seguridad en TI/Administracin de IPS. Finaliza el proceso. Nota: Cada 4 meses el Ingeniero de Seguridad en Tecnologa, deber generar un reporte histrico de ataques recibidos en los ltimos 4 meses e igualmente ubicarlo en la carpeta publica Seguridad en TI/Administracin de IPS y enviarlo al Gerente de Seguridad, quien deber hacer sus comentarios.
10
Emitido por:
_____________________ Mario Rivera Turcios Gerente General a.i.
Aprobado por: Rige a partir de: Elaborado por: Revisado por:
Gerencia General 4 de febrero de 2008 Oficina de Procesos y oficina de Seguridad en Tecnologa Oficina de Procesos y oficina de Seguridad en Tecnologa
Comunicado por: Oficina de Normativa Administrativa
PARA TODOS LOS EFECTOS LEGALES Y ADMINISTRATIVOS, EL DOCUMENTO ORIGINAL SE ENCUENTRA BAJO LA RESPONSABILIDAD Y CUSTODIA DE LA OFICINA DE NORMATIVA ADMINISTRATIVA
Anexo 1
FORMULARIO PARA EL NALISIS DE REPORTES
Anlisis de reporte de IPS de __________ Principales 5 ataques presentados: Ataque
a ___________
Anlisis causa principal
Accin a tomar
11
Principales 5 fuentes de ataques: IP Fuente Anlisis causa principal Accin a tomar
Nota: Las acciones pueden ser bloqueos directos de tipos de ataques o atacantes identificados en otros equipos de filtrado, solicitudes de revisin de anormalidades de trafico, o revisin de equipos que presenten trafico sospechoso. Observaciones En este punto se deben mencionar los ataques de riesgo alto y medio que no hayan sido bloqueados, y sin han tenido algn impacto o xito; as como cualquier incidente fuera de lo normal.
Responsable por Seguridad en Tecnologa ___________________________________
12
Anexo 2
BOLETA DE EXCEPCIONES A FIRMAS DEL IPS
Justificacin excepciones de alertas del IPS que conciernen al trfico normal de red Alerta Fuente Destino Sensor/ Direccin Fecha de creacin:
Justificacin
Sugerido por:
Sugerido por:
Aprobado por:
13
Anexo. 2. DISPOSICIONES ADMINISTRATIVAS PARA PREVENIR LOS ACTOS DE CORRUPCIN EN EL CONGLOMERADO BCR
Procesos de Soporte Administracin de Capital Humano
14
Propsito
15
El propsito de este documento es dar a conocer los lineamientos que deben seguirse para prevenir los actos de corrupcin en el conglomerado BCR, de conformidad con el Reglamento a la Ley contra la corrupcin y el enriquecimiento ilcito en la funcin pblica.
Alcance
Estas disposiciones estn dirigidas para todas las servidoras y todos los servidores del conglomerado BCR, independientemente del puesto que ocupen y de la oficina en la que desempean sus funciones. Definiciones Banco y sus subsidiarias: el Banco de Costa Rica o cada subsidiaria de forma independiente y no de manera colegiada. Conglomerado BCR: constituido por el Banco de Costa Rica y por sus sociedades subsidiarias, que como unidad organizada y dirigida a fines comunes del mismo grupo de inters, pueden asociarse en forma directa para brindar sus servicios. El conglomerado BCR est integrado por el Banco de Costa Rica (BCR), ostentando la condicin de director del conglomerado y por sus sociedades subsidiarias: BCR Valores S.A. (BCR Valores), BCR Sociedad Administradora de Fondos de Inversin S.A. (BCR SAFI), BCR Pensiones, Operadora de Planes de Pensiones Complementarias S.A. (BCR Pensiones), BCR Corredora de Seguros S.A. (BCR Seguros), as como por cualquier otra sociedad que en el futuro integre este conglomerado.
Para efectos de estas disposiciones, se excluye del concepto conglomerado al Banco Internacional de Costa Rica S.A. (BICSA).
de
Servidora o servidor del conglomerado BCR: persona fsica que presta al Banco de Costa Rica o a cualquiera de sus sociedades subsidiarias, sus servicios materiales, intelectuales o de ambos gneros, de forma personalsima y voluntaria; de manera subordinada a cambio de una retribucin o salario, sea en forma permanente o transitoria, en virtud de una relacin laboral o de un contrato de trabajo. En su relacin de servicio o de trabajo y en cuanto a derechos, deberes y responsabilidades, cada servidora o servidor, segn pertenezca al respectivo miembro del conglomerado BCR, mantendr tal relacin en forma independiente con quien ostente la condicin de patrono, para los efectos legales que correspondan, por lo que no surgir responsabilidad solidaria entre los miembros del conglomerado respecto de tal relacin. Para efectos de la presente normativa, se entiende tambin por servidora o servidor los trminos: trabajadora o trabajador, funcionaria o funcionario, empleada o empleado, encargada o encargado de servicio y dems similares.
Ley sobre estupefacientes, sustancias psicotrpicas, drogas de uso no autorizado, legitimacin de capitales y actividades conexas, n. 8204; y sus reformas Ley contra la corrupcin y el enriquecimiento ilcito en la funcin pblica, n. 8422
16
Manual de cumplimiento corporativo del Conglomerado BCR, MAC-CIN-OFC-56-04-10 Reglamento a la Ley contra la corrupcin y el enriquecimiento ilcito en la funcin pblica, Decreto n 32333-MP-J Polticas para la regulacin de las situaciones de conflictos de inters en BCR Pensiones, POL-GNE-PLR-75-0610 Polticas sobre conflictos de inters para el personal vinculado de BCR SAFI, S.A., POL-SA-132-06 Reglamento para el trmite de investigaciones y procedimientos administrativos del Banco de Costa Rica, REGPSO-AJU-46-05-10 Procedimientos administrativos para trmites de la Contralora de Servicios, PRO-EVD-ESC-112-07
Disposiciones generales
De conformidad con el Reglamento a la Ley contra la corrupcin y el enriquecimiento ilcito en la funcin pblica, en el conglomerado BCR se entendern como actos de corrupcin, entre otros, los siguientes:
a.
El requerimiento, la aceptacin, el ofrecimiento o el otorgamiento directa o indirectamente, por una servidora o un servidor del conglomerado BCR de cualquier objeto de valor pecuniario u otros beneficios como ddivas, favores, obsequios, regalos, premios, recompensas, promesas o ventajas para si mismo o para otra persona a cambio de la realizacin u omisin de cualquier acto en el ejercicio de sus funciones. La realizacin por parte de una servidora o un servidor del conglomerado BCR de cualquier acto u omisin en el ejercicio de sus funciones, con el fin de obtener ilcitamente beneficios para si mismo o para un tercero.
En atencin de lo indicado en el Reglamento a la Ley contra la corrupcin y el enriquecimiento ilcito en la funcin pblica, se prohbe terminantemente a las servidoras y a los servidores del conglomerado BCR solicitar y recibir, directa o indirectamente cualquier objeto de valor pecuniario u otros beneficios como ddivas, favores, obsequios, regalos, premios, recompensas o cualquier otra ventaja como retribucin por actos u omisiones inherentes a sus cargos.
b.
c.
Cualquier persona tiene el derecho de denunciar los presuntos actos de corrupcin de los que tenga conocimiento, cometidos por servidoras o servidores del conglomerado BCR, para tal efecto, presentar su denuncia por escrito ante la Contralora de Servicios de la Institucin o ante la Contralora General de la Repblica. Toda servidora y todo servidor del conglomerado BCR tiene el deber de denunciar ante su superior jerrquico inmediato, o en ausencia de este, ante el superior jerrquico siguiente, o si alguno de ellos estuviera implicado, ante el superior inmediato de estos, los presuntos actos de corrupcin de los que tenga conocimiento cometidos en el Banco o sus subsidiarias. En cualquier caso, toda denuncia interpuesta contra una servidora o un servidor del conglomerado BCR por presuntos actos de corrupcin deber contener los hechos denunciados en forma clara, precisa y con el detalle necesario, de modo que permitan iniciar una investigacin. En caso de imprecisin de los hechos, se otorgar al denunciante diez das hbiles para que complete la informacin que fundamenta la denuncia. Lo anterior bajo la advertencia de que el incumplimiento de este plazo facultar al Banco y a sus subsidiarias para que procedan con el archivo inmediato de la gestin, sin perjuicio de que pueda ser presentada con mayores elementos posteriormente como una nueva denuncia.
17
La Contralora de Servicios del Conglomerado del BCR recibir las denuncias presentadas por los clientes de acuerdo con lo establecido en los Procedimientos administrativos para trmites de la Contralora de Servicios. Una vez interpuesta la denuncia, as como durante y luego del proceso de investigacin, la o el denunciante tendr derecho a que su identidad sea protegida en todo momento. No obstante, las autoridades judiciales y quienes se encuentren legitimados por la institucin, podrn tener acceso a la informacin pertinente, ante la posible existencia de un delito contra el honor de la persona denunciada. No se dar trmite a las denuncias que sean presentadas en forma annima, sin embargo, en casos excepcionales podr abrirse una investigacin preliminar, cuando con esta se reciban elementos de prueba que den mrito para ello. La Contralora de Servicios del Conglomerado BCR rechazar en cualquier momento, incluso desde su presentacin: a. b. Las denuncias que no sean de su competencia, en cuyo caso deber canalizarlas a las instancias competentes. Las denuncias que sean manifiestamente improcedentes o infundadas.
c.
Las denuncias reiterativas que contengan aspectos que ya hayan sido atendidos, en cuyo caso se comunicar al interesado.
d.
Las denuncias que se refieran nicamente a intereses particulares del denunciante, con relacin a conductas u omisiones de la Administracin del conglomerado BCR que le resulten lesivas de alguna forma, y para cuya solucin exista un procedimiento especfico contemplado en el ordenamiento jurdico vigente.
18
e.
Las gestiones que bajo el formato de denuncia sean presentadas con la nica finalidad de ejercer la defensa personal sobre situaciones cuya discusin corresponda a otras instancias, ya sean administrativas o judiciales.
La Unidad de Procedimientos Administrativos realizar una investigacin preliminar, una vez admitida la denuncia; a efecto de determinar si existe suficiente mrito para abrir un procedimiento administrativo o realizar otras acciones. En el caso de que concluida la investigacin preliminar, se considere que existe una base razonable para iniciar un procedimiento administrativo que establezca las responsabilidades disciplinarias, el rgano encargado de la investigacin en su informe final deber acreditar debidamente los hechos que generaron conductas irregulares y relacionarlos con los presuntos responsables, emitiendo una relacin de hechos tendente a originar la apertura de los procedimientos administrativos que correspondan. Si se determinaran responsabilidades de tipo penal, el informe final deber documentar la realidad de los presuntos hechos ilcitos para su posterior traslado al Ministerio Pblico. Durante el proceso de investigacin se guardar la confidencialidad sobre la identidad de la o del denunciante, as como de toda aquella informacin y evidencia que pueda llegar a sustentar la apertura de un proceso administrativo o judicial. La identidad de denunciante deber protegerse an despus de concluida la investigacin y el procedimiento administrativo si lo hubiera. nicamente para el caso del BCR ante cualquier denuncia, en todo momento se actuar de conformidad con lo que indica el Reglamento para el trmite de investigaciones y procedimientos administrativos en el Banco de Costa Rica. Aquellas situaciones particulares no previstas en estas disposiciones sern resueltas de conformidad con lo que indique la legislacin relativa a la materia que se encuentre vigente.
Emitido por:
19
_________________________ Mario Rivera Turcios Gerente General del BCR y Apoderado Generalsimo de las Subsidiarias
Modificaciones Aprobadas por: Comit Asesor de Desarrollo Humano, reunin ordinaria 01-11 del 15 de febrero de 2011.
Rige a partir del: 24 de febrero de 2011 Elaborado por: Revisado por: Divisin de Desarrollo Humano y Organizacional. Divisin Jurdica.
Comunicado por: Oficina de Normativa Administrativa. MLiGQ
20
Anexo. 3. DISPOSICIONES SOBRE SEGURIDAD Y RIESGOS EN TECNOLOGIA DEL CONGLOMERADO BCR
Procesos de Soporte Seguridad Fsica y Lgica
21
Propsito El propsito de estas disposiciones es definir un marco que regule la administracin de la plataforma tecnolgica del conglomerado BCR, esto conforme a las mejores prcticas en materia de Seguridad y Riesgo en Tecnologa. Alcance Estas disposiciones aplican para todos los servidores del conglomerado BCR y sus subsidiarias, que estn en propiedad, interino, temporal o subcontratado que participen en la organizacin interna, planeacin tecnolgica, administracin sobre activos informticos, seguridad fsica y ambiental, administracin de infraestructura y procesamiento de datos, control de acceso lgico, administracin de la capacidad, registro de bitcoras y monitoreo, control de cambios, continuidad de la operacin, proteccin ante cdigo malicioso y mvil, encriptacin, comercio electrnico, adquisicin, desarrollo y mantenimiento de sistemas y cumplimiento. Documentos de referencia Ley sobre estupefacientes, sustancias psicotrpicas, drogas de uso no autorizado, actividades conexas, legitimacin de capitales y financiamiento al terrorismo, n 8204 Ley de derechos de autor y derechos conexos n 6683 Ley general de control interno, Ley n. 8292 Ley contra la corrupcin y el enriquecimiento ilcito en la funcin pblica n 8422 Reglamento general a la Ley sobre estupefacientes, sustancias psicotrpicas, drogas de uso no autorizado, legitimacin de capitales y actividades conexas, Decreto n 31684 MP-MSP-H-COMEX-S Reglamento sobre la gestin de la tecnologa de informacin. Acuerdo SUGEF 14-09. Normas de Control Interno para las entidades pblicas emitidas por la Contralora General de la Repblica Normas tcnicas para la gestin y el control de las Tecnologas de Informacin N-2-2007-CODFOE La Gaceta #119 del 21Junio del 2007 Manual de cumplimiento corporativo del conglomerado BCR, MAC-CIN-OFC-56-04-10 Disposiciones administrativas para la adquisicin y administracin de mobiliario y equipo, vehculos y recursos informticos, DISP-PSO-CAB-24-03-09
22
Disposiciones administrativas para los oficiales de seguridad y remeseros, DISP-PSO-SFL-4405-09 Disposiciones para la administracin y desarrollo de proyectos tecnolgicos del conglomerado BCR, DIPS-PSO-AET-11-05-10 Procedimiento para la ejecucin de cambios planificados de software para el conglomerado BCR, PRO-PSO-AET-106-09-10 Procedimiento de recepcin, planificacin y seguimiento de los requerimientos de mantenimiento de sistemas, PRO-PSO-AET-30-09 Procedimiento para solicitar y realizar el mantenimiento de los cajeros automticos, PRO-PSOEST-61-04-09 Procedimiento para el anlisis, atencin y seguimiento de vulnerabilidades de equipos en la red, PRO-PSO-SFL-119-07-09 Definiciones Acceso remoto: conexin con los activos informticos de la red del BCR desde una ubicacin remota y a travs de una red pblica. Activos informticos: toda tecnologa ya sea software o hardware que posee el BCR para llevar a cabo las actividades habituales de su negocio. Actores: Persona, ya sea servidor o no del BCR que participa en el desarrollo de un proceso, procedimiento u actividad especifica. Acuerdo de no divulgacin: Documento en donde una persona, sea servidor o no del Banco se compromete a no divulgar la informacin del Banco y de sus clientes a la que tenga acceso en el desempeo de sus funciones. Administrador de base de datos: persona responsable de la definicin, actualizacin y control del diseo, mantenimiento y acceso a las bases de datos. Administrador de sistema/aplicacin: persona responsable del mantenimiento del sistema o aplicacin que tenga a su cargo. (Por ejemplo, definicin del calendario de respaldos, revisiones de acceso, etc.). Ambiente de desarrollo y mantenimiento: ambiente de cmputo donde se llevan a cabo las funciones de diseo, programacin de nuevos sistemas de informacin. Tambin se utiliza para realizar el mantenimiento de los sistemas de informacin en produccin. Ambiente de produccin: ambiente de cmputo donde se desarrollan las funciones correspondientes al procesamiento normal de los sistemas de informacin del BCR.
23
Antivirus: programa cuya finalidad es prevenir, detectar y eliminar las infecciones producidas por los virus informticos. Antimalware: programa cuya finalidad es prevenir, detectar y eliminar software considerado maligno creado para fines tales como el dao del sistema, robo de informacin, acceso remoto u otros. Este termino agrupa a virus, gusanos, troyanos, keyloggers y otros. Aplicacin: programa informtico que lleva a cabo una funcin con el objeto de ayudar a un usuario a realizar una determinada actividad. Autenticacin: proceso mediante el cual un sistema computarizado confirma la identidad de un usuario (persona o proceso). Autorizacin: validacin de los permisos asignados a un usuario. Backup: copia de respaldo de archivos o datos de forma que estn disponibles en caso de que una falla produzca la prdida de los originales. Base de datos: serie de datos organizados y relacionados entre s, los cuales son recolectados y explotados por los sistemas de informacin. Baseline: lnea base o gua utilizada para definir los requerimientos mnimos de un tema especifico, como podra ser la configuracin de un equipo o funcionalidades de una aplicacin. BCR: entindase por BCR el Banco de Costa Rica y sus subsidiarias o sea el conglomerado BCR. Certificados a nivel de servidores: certificado digital utilizado por los servidores (equipos) del Banco a fin de utilizar algn servicio de encripcin, como por ejemplo HTTPS. Cdigo fuente: conjunto de instrucciones que componen un programa informtico, el cual se escribe en un formato entendible para el ser humano pero no para un sistema de computacin. Necesita ser traducido (compilado) a cdigo de mquina para ser interpretado por un sistema de computacin. Comit Tctico de Tecnologa: equipo destinado a la toma de decisiones con carcter tctico de aspectos de tecnologa de informacin. Comercio electrnico: intercambio de bienes y servicios realizado a travs de las tecnologas de informacin y las comunicaciones, habitualmente con el soporte de plataformas y protocolos estandarizados. Confidencialidad: significa que la informacin debe ser divulgada solamente a personas, entidades y procesos autorizados, con el derecho de obtenerla en el momento indicado y con previa autorizacin.
24
Correo electrnico: aplicacin mediante la cual un equipo de cmputo puede intercambiar mensajes con otros usuarios de equipos (o grupos de usuarios) a travs de la red. CPD: Centro de Procesamiento de Datos. Referirse a la definicin de Centro de Cmputo Criticidad: caracterstica de la informacin que determina que es esencial para el normal funcionamiento del BCR (Nivel crtico) Datos: representa todo tipo de informacin que es contenida o procesada por los centros de cmputo, los sistemas de informacin, las redes o los medios de almacenamiento del Banco. Estos datos pueden encontrarse en diferentes formatos, tales como, copias impresas, medios magnticos, microfilm, almacenamiento en lnea, materiales fsicos, etc. Desencriptamiento: recuperacin del contenido real de una informacin encriptada previamente. Disponibilidad: significa que tanto la informacin como los sistemas de informacin se encuentren accesibles en tiempo y forma, cada vez que sean requeridos por los usuarios. Dominio(s): identificacin de un sitio web, por ejemplo bancobcr.com, derecho por el cual debe pagarse un monto anual. Efectividad: significa que la informacin y los procesos deben ser relevantes y pertinentes para el proceso del negocio, adems de presentarse en forma correcta, coherente, completa y que pueda utilizarse oportunamente. Equipamiento: conjunto de dispositivos e instalaciones fsicas utilizadas para el procesamiento de la informacin. Encriptamiento: proceso por el cual una informacin legible es convertida en informacin ilegible de forma permanente (no-reversin) o de forma temporal (reversible), para lo cual se requiere del conocimiento de una llave o clave de desencripcin. Extranet: interconexin entre dos o ms organizaciones a travs de redes y sistemas basados en la tecnologa del Internet. Firewall (pared de fuego, cortafuego): equipo de seguridad compuesto de hardware y software encargado en el cual se definen los tipos de comunicacin, origen, destino y en algunos casos usuarios que pueden comunicarse entre dos o ms redes. Hardware: componentes fsicos de un equipo de cmputo o de una red, en contraposicin con los programas o elementos lgicos que los hacen funcionar. Host: computadora central conectada a una red de equipos de cmputo.
25
Hotfixes: correcciones de cdigo distribuidas por los fabricantes, se diferencian de los parches en que suelen corregir una anomala especfica y no un grupo como lo hacen los parches. Informacin: todo dato, idea, concepto, mejora, descubrimiento, desarrollo, invencin, cualquiera sea su forma y medio de conservacin, tales como: documentacin propia o de terceras personas; informacin en los sistemas o equipos; reportes adicionales, medios magnticos mviles; o cualquier otro soporte fsico Integridad: caracterstica de la informacin que asegura que la misma no ha sido modificada por personas no autorizadas. Intranet: red propia de una organizacin, diseada y desarrollada siguiendo los protocolos propios de Internet, en particular el protocolo TCP/IP. Logs: conjunto de archivos que contienen registros detallando actividades realizadas por los usuarios en un sistema particular. Tercerizacin (outsorcing): Contrato de servicios a un tercero. Parches: grupo de correcciones de cdigo distribuidas por los fabricantes. Password / Contrasea: palabra clave o secreta que permite la autenticacin de los usuarios de los sistemas informticos Perfil de usuario: agrupacin de permisos requeridos para la realizacin de un rol o puesto de trabajo. Personal contratado: persona o grupo de personas que ofrecen servicios al BCR pero que no son empleados directos del Banco. Personal externo: cualquier persona o grupo de personas que no sean servidores directos del BCR. Algunos ejemplos de personal externo son: personal contratado, consultores, proveedores y visitantes. Plan de continuidad del negocio: medidas y provisiones para procurar que no se interrumpan las actividades de negocios del BCR. Procedimiento: plan de accin o una respuesta ante una situacin dada. Protocolos de comunicacin: Especificacin tcnica de la forma en como se realiza la comunicacin para un servicio de red especifico. Proveedor: persona o compaa que ofrece productos o servicios al BCR.
26
Racks: Dispositivo de hardware tipo gabinete diseado para que se instalen y fijen en l equipos de comunicacin y computo a fin de evitar desplazamientos accidentales o por sismos que ocasionen un dao al equipo. Registro: conjunto de elementos de datos relacionados que son considerados como una unidad. Responsabilidad: se refiere a una persona o grupo de personas que son los responsables de llevar a cabo los procedimientos establecidos. Riesgo: posibilidad de que un evento no deseado ocurra, afectando la actividad normal del BCR Roadmap: definicin de un plan macro de implementacin a mediano y largo plazo que se implementar parcialmente conforme a la prioridad definida en el mismo. Rollback: Procedimiento que permite luego de realizar un cambio de configuracin o de programacin, poder devolverse al estado anterior. Router: dispositivo que distribuye el trfico entre redes. La decisin sobre a dnde enviar los datos se realiza en base a informacin de nivel de red y tablas de direccionamiento. (enrutador, direccionador). Seguridad fsica: medidas de seguridad que estn relacionadas con la proteccin fsica (mediante el uso de medios materiales) de los activos informticos del BCR. Dichas medidas son, en gran parte, coincidentes con las que se adoptaran para proteger cualquier otro bien contra robo, sabotaje o desastres naturales. Sistema: conjunto de elementos interrelacionados o interdependientes que se renen con un fin comn. Sistemas de informacin: aplicaciones o programas informticos diseados para cumplir con una funcin especfica. Software: programas o elementos lgicos que hacen funcionar un equipo de cmputo, computadora porttil, una red o que se ejecutan en ellos, en contraposicin con los componentes fsicos. SSH: Acrnimo de Secure Shell que es una forma de conexin a un equipo para su administracin remota pero de forma segura, utilizando encripcin en la comunicacin. SSL: Acrnimo de Secure Socket Layer que es una forma de conexin a un servidor Web pero de forma segura, utilizando encripcin en la comunicacin. Telnet: Servicio de conexin remota a servidores y equipos de comunicacin que no utiliza encripcin y por tanto se considera inseguro.
27
UPS: sistema de energa ininterrumpida (Uninterrupted Power Suplier), regula las fluctuaciones de voltaje y mantiene la continuidad de la energa elctrica. Usuario: persona fsica que utiliza uno o varios activos informticos para el desarrollo de sus tareas especficas. Valoracin de riesgos: proceso de establecer la relacin costo/beneficio para asegurar los activos informticos de acuerdo con el grado de importancia que significan dichos activos para el BCR. Existe una cantidad de medidas que pueden ser empleadas para proteger los activos informticos; sin embargo, la efectividad de dichas medidas debe ser cuidadosamente evaluada en funcin del costo relacionado con stas. Virus: programas cuyo objetivo es causar daos en un sistema informtico y que, para tal fin, se ocultan o disfrazan para no ser detectados. Estos programas pueden ser de diferentes tipos y pueden causar problemas de diversa gravedad en los sistemas que infectan. Generalmente, se propagan por medio del correo electrnico. Vlan: red de datos que trabaja en forma virtual. Vulnerabilidad: debilidad en un sistema informtico, procedimiento de seguridad de sistema, control interno o ejecucin que puede ser aprovechado para hacer dao.
28
Captulo I Disposiciones generales sobre seguridad Definicin Seguridad y riesgo en TI es el conjunto de regulaciones, procedimientos y acciones dirigidas minimizar los riesgos y maximizar el retorno sobre la inversin y el aprovechamiento de oportunidades de negocios, a efecto de alcanzar los objetivos estratgicos del conglomerado BCR. Objetivo Definir un marco que regule la administracin de la plataforma tecnolgica del conglomerado BCR, esto conforme a estndares mundiales, tal como los definidos por ISO y las mejores prcticas en materia de Seguridad y Riesgo en Tecnologa definidas por la industria a nivel mundial. Bases de la administracin integral de la seguridad
1.1.1.
Las disposiciones de Seguridad y Riesgo en TI conforman el conjunto de normas que el personal de tecnologa y otras reas relacionadas, deben seguir para asegurar la confiabilidad de sus sistemas y la confidencialidad, integridad, disponibilidad de la informacin y los activos tecnolgicos del BCR.
1.1.2. Las disposiciones de Seguridad y Riesgo en TI establecen las directrices y compromisos compartidos en el BCR, que permiten a los servidores relacionados con la administracin de la plataforma tecnolgica, actuar proactivamente ante situaciones que comprometan su integridad. Por tanto, debern constituir un proceso continuo y retroalimentado para controlar y mejorar el conocimiento, mtodos de acceso a la informacin, supervisin de cumplimiento y renovacin, aceptacin de las directrices y estrategias de ejecucin, que lleven a una formulacin de reglas institucionales que sean de aceptacin general.
1.1.3.
Estas disposiciones por s solas no constituirn una garanta para la seguridad del BCR; debern responder a intereses y necesidades organizacionales basadas en la visin del negocio, tal y como est definida en el Plan Estratgico del Banco, que lleven a un esfuerzo conjunto de sus actores por administrar los activos informticos y a reconocer en
29
los mecanismos de Seguridad y Riesgo en TI, factores que faciliten la formalizacin y materializacin de los compromisos adquiridos con la organizacin. Aspectos generales
1.1.4.
Las disposiciones de seguridad se han separado en dos documentos, a saber: las Disposiciones para uso de recursos tecnolgicos en el conglomerado BCR documento que concentra todas las disposiciones dirigidas al usuario final y las disposiciones emitidas en este documento orientadas a la gestin de la plataforma tecnolgica del Banco. La Gerencia General del BCR ha definido y mantiene su compromiso por la seguridad tecnolgica del conglomerado BCR, cuyas disposiciones estn contenidas en los documentos mencionados.
1.1.5.
Responsabilidades 1.1.6. Los servidores del conglomerado BCR sern responsables de cumplir las disposiciones emitidas en este documento.
1.1.7.
Los jefes, gerentes y superiores sern responsables del cumplimiento de estas disposiciones. El rea o gerencia indicada en este documento ser responsable de hacer al menos una revisin anual entre los meses de octubre y noviembre de estas disposiciones. Este no es necesariamente el nico responsable de est revisin, pero ser el coordinador de la revisin del tema asignado. La Gerencia de Seguridad y Riesgos en TI enviar a cada una de las gerencias de TI el documento completo especificando los captulos que le corresponden a cada rea. Sin embargo, podrn hacer observaciones de temas de los que no se tiene responsabilidad directa. Cuando se requieran hacer ajustes luego de la revisin anual, las gerencias de TI debern enviar sus observaciones a la Gerencia de Seguridad y Riesgos en TI para que las revise, las someta a consideracin de las reas que correspondan y proceda con la actualizacin del documento oficial publicado en Docubcr.
1.1.8.
1.1.9.
1.1.10.
Sanciones
1.1.11.
Estas disposiciones sern de acatamiento obligatorio para todos los servidores del conglomerado BCR. El incumplimiento ser sancionado de acuerdo con lo estipulado en la normativa que regula la materia disciplinaria conforme a la gravedad de la falta, sin perjuicio de la responsabilidad civil o penal en que pudieran incurrir.
30
1.1.12.
En el caso de los servidores de las subsidiarias del Banco, las sanciones se aplicarn en lo que resulten compatibles con el rgimen de empleo que los regula y sin perjuicio de la aplicacin de las normas propias de ese rgimen y de la responsabilidad civil o penal en que pudieran incurrir.
1.1.13. Ser considerado como falta grave, sin perjuicio de la responsabilidad penal y civil, las siguientes causas:
1.1.14.
Actos desarrollados por los servidores tendientes a violentar cualquier elemento de la plataforma tecnolgica, enlaces de comunicacin, servidores, estaciones y cualquier otro. Cuando un servidor ilegalmente se apodere, acceda, modifique, altere, suprima, intercepte, interfiera, utilice, difunda o desve de su destino, mensajes, datos, imgenes o cualquier otra informacin contenidos en medios: electrnicos, informticos, magnticos, telemticos, impresos o cualquier otro, que sean propiedad del Banco, de sus subsidiarias, de sus clientes, servidores o terceros, cuyo acceso no le est autorizado o si estndolo su uso est restringido al desarrollo exclusivo de sus funciones. Cuando el servidor, con la intencin de procurar u obtener un beneficio patrimonial para s o para un tercero, influya en el procesamiento o el resultado de los datos de un sistema de cmputo, mediante programacin, empleo de datos falsos o incompletos, uso indebido de datos o cualquier otra accin que incida en el proceso de los datos del sistema. Cuando un servidor por cualquier medio acceda, borre, suprima, modifique o inutilice sin autorizacin los datos registrados en una computadora.
1.1.15.
1.1.16.
1.1.17.
1.1.18. Cualquier otra que sea definida como tal en nuestra legislacin o disposiciones internas. Excepciones
1.1.19.
Cualquier excepcin a estas disposiciones, debern ser justificadas por escrito por el gerente de rea o superior, conforme al perfil del puesto o a limitantes tecnolgicas de la plataforma utilizada. La justificacin deber ser clara e indicar si la excepcin es temporal. Estas excepciones debern tener el visto bueno de la Gerencia de Seguridad y Riesgos en TI o en su defecto del Comit Tctico de Tecnologa y ser documentadas. Cuando la excepcin implique un riesgo alto, esta deber ser comunicada al Comit Tctico de Tecnologa por el rea interesada, junto con el anlisis de riesgo efectuado por la Gerencia de Seguridad y Riesgos en TI, para su anlisis y eventual aprobacin. En caso de darse la aprobacin de la excepcin, sta deber documentarse indicando el nmero de acta del comit, la fecha y la descripcin sobre el acuerdo tomado.
1.1.20.
1.1.21.
31
Captulo II Organizacin interna Objetivo Administrar la seguridad de la informacin dentro de la organizacin, mediante la conformacin de una estructura organizacional y de control de la implementacin de la seguridad de la informacin. Responsables Director de Tecnologa, subgerente de Riesgos, gerente de Seguridad y Riesgos en TI. Organizacin de la seguridad
La Gerencia de Seguridad y Riesgos en TI, ser la responsable de gestionar la seguridad de la plataforma tecnolgica y el riesgo en tecnologa. Las diferentes reas o gerencias de la Divisin de Tecnologa debern responder oportunamente a las consultas y solicitudes efectuadas por la Gerencia de Seguridad y Riesgos en TI. El gerente de Seguridad y Riesgos en TI presentar anualmente al comit de riesgos la valoracin de riesgos en TI realizada y enviar mensualmente a dicho comit, un informe sobre el avance de los planes de gestin de riesgos. Adems, podr elevar directamente a este Comit cualquier situacin que afecte la seguridad de la plataforma tecnolgica del Banco.
Funciones de la Gerencia de Seguridad y Riesgos en TI 2.4.1 Gestin de la seguridad en TI
Definir la estrategia a seguir respecto al tema de seguridad en tecnologa, debidamente alineada con el plan estratgico del Banco. Revisar anualmente la estrategia con el fin de incorporar los cambios requeridos para mejorar la gestin de la seguridad. Definir un roadmap de seguridad orientado a contar con una plataforma de seguridad conforme a los estndares y mejores prcticas internacionales. Determinar los planes anuales requeridos para el cumplimiento del roadmap.
32
Definir el presupuesto requerido para el cumplimiento de los planes anuales establecidos.
Establecer, coordinar y gestionar el centro de respuesta a incidentes de seguridad en Tecnologa.
Participar como representante del Banco en grupos externos relacionados con el tema de seguridad en tecnologa. Disear y desarrollar requerimientos de seguridad en TI que sern utilizados en proyectos, servicios y productos.
Definir, seleccionar y aprobar toda adquisicin o actualizacin de tecnologa sea hardware o software relacionada directamente con la seguridad, llmese equipos de Firewall, preventores de intrusos, antivirus, antiespas, administracin de bitcoras y cualquier otro de uso interno del Banco o de los clientes.
Promover el mantenimiento actualizado de la plataforma tecnolgica sobre todo en temas relacionados con nuevas metodologas y controles de seguridad conforme a las mejores prcticas y controles ms rigurosos existentes en el mercado. 2.4.2. Gestin de riesgos en TI

Definir y mantener actualizada la metodologa para la valoracin de riesgos de TI. Coordinar con las diferentes reas de la Divisin de Tecnologa, la realizacin de una valoracin anual de riesgo.
Definir y actualizar el catlogo de riesgos en TI. Evaluar junto con las reas tomadoras del riesgo, los riesgos existentes y sus controles. Coordinar con las reas tomadoras de riesgo la definicin de los planes de accin de los riesgos identificados. Dar seguimiento a los planes de accin definidos. Presentar al Comit de Riesgo la matriz de riesgo resultante de la valoracin y sus planes de accin. Realizar anlisis de riesgos especficos para servicios, productos u otros.
33
Coordinar y desarrollar cualquier iniciativa interna o externa que implique valoracin de riesgos, controles, autoevaluaciones o aspectos de cumplimiento relacionados con tecnologa de informacin.
Analizar, recomendar e implementar herramientas de gestin de riesgo en TI. 2.4.3. Normativa
Definir y mantener actualizada la poltica, disposiciones, normas, procedimientos, guas y estndares de seguridad y riesgo en tecnologa conforme a normativas internacionales, nacionales y mejores prcticas definidas por el mercado. Definir controles automatizados y manuales con el fin de promover, y de ser posible tecnolgicamente, forzar el cumplimiento de las normas de seguridad en TI definidas y la minimizacin del riesgo identificado.
2.4.4. Administracin de la identidad, permisos y controles
Definir el esquema de autenticacin de usuarios y los controles requeridos para realizar la identificacin y autorizacin de los usuarios en los diferentes sistemas del Banco, evitando la concentracin de funciones y garantizando que el servidor tendr acceso exclusivamente a las labores que le corresponden. Definir, aprobar y monitorear todo cambio a la estructura del directorio, esto incluye unidades organizacionales, grupos, listas, polticas, inclusin de usuarios a grupos o permisos especiales, etc, as como la estructura de controladores de dominio utilizada.
Revisar semestralmente en los sistemas, los usuarios tanto inactivos como vlidos.
Monitorear el uso de los recursos tecnolgicos del Banco. Incluye: computadoras personales, uso del correo, chat, internet y otros y reportar al Jefe inmediato cualquier incumplimiento o abuso a las normas y procedimientos establecidos.
2.4.5. Administracin de amenazas y vulnerabilidades
Disear la plataforma de seguridad considerando la red de comunicaciones, telefona, aplicaciones, bases de datos, servidores, estaciones y todo elemento que afecte la seguridad de la plataforma tecnolgica. Analizar y aprobar los diseos nuevos de comunicacin y de aplicaciones, antes de ser implementados o cualquier cambio en los diseos existentes que afecten el nivel de seguridad definido en ellos. Definir las guas de configuracin (baseline) considerando los aspectos requeridos de seguridad para equipos de comunicacin (switches, routers, APs (Access Point), enlaces,
34
VPNs, etc), equipos de seguridad (FW, IPSs, Domain controler, etc), servidores, estaciones y aplicaciones. Revisar y aprobar nuevas imgenes de servidores y estaciones antes de ser utilizadas. Consultar y analizar las bitcoras de seguridad utilizadas para anlisis forense. Definir y gestionar alarmas automticas y manuales sobre incidentes de seguridad. Aplicar anlisis de vulnerabilidad a nivel de red, equipos y aplicaciones.
Analizar los informes de vulnerabilidades de la plataforma tecnolgica y gestionar las medidas correctivas que correspondan.
2.4.6. Monitoreo de seguridad
Cambios de configuracin en equipos, instalaciones de software, creacin de usuarios, carpetas compartidas y otros temas que puedan afectar la seguridad de la plataforma tecnolgica. Las alarmas y notificaciones de vulnerabilidad generados por los sistemas del Banco. El trfico de la red del Banco en busca de patrones anormales que impliquen un eventual ataque o incumplimiento de las polticas de seguridad definidas. Revisin y anlisis del reporte de la actividad de los usuarios, incluyendo uso de servicios tal como correo, internet, chat u otros, que tengan implicaciones a nivel de seguridad. Supervisin del acceso a las bases de datos e identificacin de situaciones anormales que puedan implicar un riesgo para la integridad y confidencialidad de la informacin en ellas contenida. Anlisis y recomendaciones de medidas a tomar ante ataques realizados contra la red y activos de informacin del Banco. Monitoreo, anlisis y recomendacin acciones a tomar en el sistema central de control de antivirus y software maligno, se excluye de esta tarea la instalacin y soporte a nivel de estaciones y servidores, no as su debido monitoreo y control. Administracin de la consola central de controles de seguridad, generacin y anlisis de reportes.
35
Supervisin, anlisis y recomendacin de acciones a tomar en el sistema de administracin de estaciones y servidores, as como la definicin y seguimiento de alarmas en esta herramienta.
2.4.7. Seguimiento sobre recomendaciones y situaciones detectadas
Dar seguimiento al cumplimiento de toda recomendacin dada sobre temas de seguridad y riesgo en TI, ya sea estas dadas por normativa, baseline o un informe especfico. En caso de incumplimiento de las recomendaciones de seguridad y riesgo en TI, la Gerencia de Seguridad y Riesgo en TI deber presentar el asunto al director de la Divisin de Tecnologa y de mantenerse la situacin deber comunicarlo al Comit de Riesgo.
2.4.8. Educacin y comunicacin
Los servidores de la Gerencia de Seguridad y Riesgos en TI debern estar permanentemente actualizados en temas de su competencia, para lo cual mantendrn un plan de capacitacin que incluya cursos formales, participacin en seminarios y convenciones de seguridad, libros y suscripcin a revistas. Disear planes de capacitacin y concientizacin tanto para servidores como para clientes. Coordinar junto con la Gerencia Gestin de Capital Humano la aplicacin de evaluaciones al conocimiento de los usuarios internos, referente a las normas de seguridad y riesgo establecidas. Coordinar con la Gerencia de Medios Electrnicos la definicin, contenido y mejores formas de capacitar y concienciar a los clientes en temas de seguridad en tecnologa.
Promover la cultura de seguridad y riesgos dentro del Banco de Costa Rica y sus subsidiarias. Mantener a los servidores de Seguridad y Riesgos en TI actualizados respecto a metodologas, tecnologa y tendencias en la gestin de la seguridad y riesgos en TI. Asignacin de responsabilidades 2.5.1. En caso de ausencia del gerente de Seguridad y Riesgos en TI, ya sea por enfermedad, vacaciones, retiro o cualquier otra circunstancia, la responsabilidad respecto a la seguridad de la plataforma tecnolgica ser asumida por el coordinador de Seguridad y Riesgos en TI o por quien el gerente de Seguridad y Riesgos en TI designe. Contacto con autoridades y grupos de inters
36
2.6.1. La Gerencia de Seguridad y Riesgos en TI deber tener identificados los principales contactos de empresas e instituciones requeridas para facilitar su gestin.
Recomendaciones de uso de servicios y tecnologa en general 2.7.1. La Gerencia de Seguridad y Riesgos en TI deber definir las recomendaciones de uso orientados a garantizar la seguridad de los servicios electrnicos y otros. Auditora externa del esquema de seguridad 2.8.1. Se deber contratar al menos una auditoria externa al ao, con el fin de que verifique la correcta administracin de la plataforma de seguridad del BCR, esto implica la correcta definicin de controles, su aplicabilidad y su correcta ejecucin de acuerdo con la normativa existente, a la norma BS7799, ISO27001 y mejores prcticas dictadas por la industria. 2.8.2. Esta auditora debe ser realizada por profesionales que cuenten con las habilidades, capacidad y experiencia comprobadas para realizarla. Por lo que se deber solicitar alguna certificacin de seguridad tal como: CISSP, SSCP, GIAC, TICSA, CISM o cualquier otra certificacin reconocida de seguridad, as como ser un auditor certificado BSI. 2.8.3. El BCR deber contratar revisiones diarias de vulnerabilidades de seguridad, las cuales debern evaluar al menos la plataforma pblica del BCR, adems el proveedor contratado deber entregar un informe mensual de las situaciones detectadas. 2.8.4. Un tercer especialista del tema deber realizar al menos tres pruebas de penetracin al ao, este ser diferente al proveedor que realiza los anlisis diarios de vulnerabilidad. 2.8.5. La Gerencia de Seguridad y Riesgos en TI ser responsable de coordinar la ejecucin de las recomendaciones u observaciones resultantes de la auditora de seguridad efectuada. Administracin de incidentes de seguridad 2.9.1. Debe existir un grupo de incidentes de seguridad para la administracin de incidentes de seguridad. 2.9.2. El grupo de incidentes de seguridad deber estar conformado por la Gerencia de Seguridad y Riesgos en TI, la Gerencia de Medios Electrnicos y una o varias de las gerencias de la Divisin de Tecnologa. 2.9.3. El grupo deber reunirse de forma peridica, al menos una vez al mes y de toda reunin deber llevarse minuta de los temas tratados.
37
2.9.4. El grupo de atencin de incidentes de seguridad ser el responsable de atender todas aquellas consultas y reportes de irregularidades; para las que deber generar los procedimientos requeridos para su atencin. 2.9.5. Todo incumplimiento a disposiciones de seguridad, intento o fraude electrnico, ser considerado un incidente de seguridad. 2.9.6. El grupo de incidentes de seguridad deber atender todo reporte conforme a los procedimientos establecidos, en caso de no existir un procedimiento para una situacin particular, ste deber definirse. Investigacin y anlisis forense 2.10.1Toda investigacin de fraude electrnico, deber ser dirigida por la Unidad de Investigaciones del BCR. 2.10.2 La Unidad de Investigaciones podr solicitar colaboracin a cualquier rea de la Divisin de Tecnologa y stas debern atender sus solicitudes con la mayor prioridad del caso. 2.10.3 Los responsables de la investigacin deben conocer y aplicar las medidas requeridas para el debido levantamiento de evidencias con el fin de que ests sean aceptadas en un eventual proceso judicial. 2.10.4 La Unidad de Investigaciones deber definir un documento y un procedimiento base para toda investigacin. 2.10.5 La Unidad de Investigaciones deber llevar un registro y control de todo caso investigado y deber presentar al grupo de incidentes de seguridad un consolidado mensual de todos los casos atendidos.
38
Anexo. 4.
PROCEDIMIENTO PARA EL SEGUMIENTO DE CASOS DE INVESTIGACIN A TRAVS DE LOS CANALES (Bancobcr-Empresas y Bancobcr-Personas)
Procesos de Soporte Administracin de Banca Electrnica
39
Propsito
El propsito de este documento es establecer el procedimiento para el seguimiento de casos de investigacin a travs de los canales Bancobcr- Empresas y Bancobcr-Personas, mediante la enumeracin secuencial de cada una de las actividades que deben ejecutarse, la asignacin de los responsables, la eficientizacin del uso de los recursos internos del Banco y la minimizacin de exposicin al riesgo. Lo anterior para cumplir oportunamente con la resolucin de los casos reportados por los usuarios de los canales.
Alcance
Este procedimiento est dirigido a los servidores de las oficinas de Internet, Control de canales electrnicos, Diseo de productos electrnicos y Ejecutivos comerciales.
Ley general de control interno, n 8292 Ley contra la corrupcin y el enriquecimiento ilcito en la funcin pblica, n 8422 Normas de control interno para el Sector Pblico emitida por la Contralora General de la Repblica Manual de cumplimiento corporativo del conglomerado BCR, MAC-ECC-OFC-56-04-10
40
Definiciones
Banca Electrnica: conjunto de canales compuestos por hardware y software, mediante los cuales, las personas fsicas y jurdicas a travs de sus representantes y autorizados pueden acceder va remota a un ordenador central de una entidad financiera y obtener una serie de informacin, o realizar operaciones bancarias en lnea. Bancobcr.com: canal informativo y transaccional oficial del Banco de Costa Rica, a travs del cual, pone a disposicin de sus clientes y/o autorizados los productos y servicios que ofrece, para que puedan realizar en forma directa y automtica diferentes transacciones bancarias en cuentas corrientes y cuentas de ahorro, tarjetas de crdito de las franquicias autorizadas, operaciones crediticias, pago de servicios, entre otros. Este canal incluye los mdulos de Personas, Empresas y Banca Electrnica Regional. BCR Empresas: es el canal electrnico, por medio del cual el Banco de Costa Rica permite a sus clientes empresariales realizar sus transacciones en Internet, a travs de la pgina: https://www.empresas.bancobcr.com. BCR Personas: es el canal electrnico, por medio del cual el Banco de Costa Rica permite a sus clientes fsicos realizar sus transacciones en Internet, a travs de la pgina: https://www.personas.bancobcr.com. Caso de investigacin: cuando se presenta alguna inconsistencia en cualquiera de los sistemas que se encuentren bajo la administracin de la oficina de Internet y que no puedan ser atendidos en forma inmediata por la Oficina de Control de Canales Electrnicos, que afecten el servicio al cliente, es responsabilidad de la Oficina de Internet levantar un caso de investigacin y coordinar con las diferentes reas para buscar la solucin al inconveniente.
Internet: red de redes de computadoras conectadas a nivel mundial que se emplea para el intercambio de informacin y acceso a las bases de datos. Oficina virtual: sitio transaccional oficial del Banco de Costa Rica en Internet. Reglas de negocio: describen las polticas, normas, operaciones, definiciones y restricciones presentes en una organizacin y que son de vital importancia para alcanzar los objetivos relacionados con la misin del Banco.
1. Procedimiento para el seguimiento de casos a travs Bancobcr-Empresas

Paso 1 Responsable: ejecutivo comercial. Debe Actividad 1 Recibir del cliente por medio de un correo electrnico la consulta o el error relacionado con Bancobcr-Empresas. Actividad 2 Verificar si el cliente requiere soporte relacionado con el Mdulo Empresas de Bancobcr-Empresas, o reportar un error relacionado con Bancobcr-Empresas.
41
Nota: Los usuarios con el perfil requerido en el Mdulo Banco de Bancobcr-Empresas son: Ejecutivos comerciales, Oficiales de Plataforma, Encargados de oficina, Oficiales de la oficina de Servicios Empresariales e Institucionales. En el Mdulo Banco de Bancobcr-Empresas es posible realizar las siguientes transacciones: Crear nuevos sper usuarios y generar la clave de acceso a la aplicacin Activar usuarios bloqueados en el sistema Matricular clientes nuevos Decisin 3 Si el reporte est relacionado con el Mdulo Empresas de Bancobcr-Empresas, pasa a la actividad 4; en caso contrario, pasa a la actividad 5. Actividad 4 Asesorar al cliente en el uso del Mdulo Empresas de Bancobcr-Empresas. Finaliza el proceso Nota: Las acciones que se pueden realizar son: activar usuarios bloqueados, imprimir contraseas de los usuarios bloqueados, activar empresas, crear un nuevo sper usuario y generar la clave de acceso. Las preguntas frecuentes que deben de formularse al cliente son: o Cul es el esquema de firmas o Verificar las fechas de aplicacin de las transferencias o Verificar el estado de las cuentas en el SICC o Revisar los perfiles de los usuarios o Verificar el estado del operador en la aplicacin o Revisar el conjunto de permisos Cuando el cliente requiere una clave nueva, esta se entrega y el proceso finaliza.
Actividad 5 Solicitar va correo electrnico al cliente la informacin requerida para documentar el error que presenta la aplicacin. Nota: Para documentar una falla en el sistema se requiere solicitar al cliente: que indique el proceso que estaba realizando y en la aplicacin junto con las pantallas con los datos del error, Nombre del cliente Nmero de cdula (usuario) con el cual ingresa a Bancobcr-Empresas, Fecha y la hora en que se le presento el error, Tipo de transferencias (o transaccin) Cuentas relacionadas a la transferencia Identificacin de la transferencia (nmero de referencia) Para realizar desbloqueos especificar el usuario que presenta el problema. Actividad 6 Enviar va correo electrnico a los ejecutivos de banca electrnica el caso debidamente documentado, de acuerdo a lo indicado en la nota de la actividad 5. Paso 2 Responsable: ejecutivo banca electrnica. Debe
42
Actividad 7 Recibir va correo electrnico el caso debidamente documentado. Actividad 8 Verificar si el error se debe por falta de asesoramiento al usuario, mal uso de la herramienta, desconocimiento del cliente o si es una falla funcional de la aplicacin. Decisin 9 Si es necesario dar asesoramiento al cliente, pasa a la actividad 10; en caso contrario, pasa a la actividad 11. Actividad 10 Contactar al cliente va telefnica y dar asesoramiento en el uso de la herramienta. Finaliza el proceso. Actividad 11 Enviar va correo electrnico a los oficiales de internet el caso debidamente documentado, segn lo indicado en la nota de la actividad 5.
Paso3 Responsable: oficial de internet. Debe Actividad 12 Recibir va correo electrnico el reporte del error y verificar que toda la informacin requerida para dar tramite al caso este completa. Decisin 13 Si se requiere ampliar la documentacin, pasa a la actividad 14; en caso contrario, pasa a la actividad 15. Actividad 14 Solicitar al ejecutivo de banca electrnica complementar la informacin necesaria para documentar correctamente el caso. Pasa a la actividad 5. Actividad 15 Verificar las bitcoras de: reportes de Bancobcr-Empresas y la bitcora interna de BCR Empresas. Nota: Los reportes disponibles en la bitcora de reportes de Bancobcr-Empresas son: Consulta empresas inscritas Consulta esquema firmas Consulta operadores Consulta operadores banco Consulta operadores empresa Consulta operadores perfil Consulta operadores roles Consulta perfiles empresa Consulta total transferencias Consulta transferencias Consulta transferencias detalle Consulta transferencias por lote Actividad 16 Verificar la informacin del cliente en el SICC. Nota:
43
En el caso de que la inconsistencia se relacione con transferencias entre cuentas propias, terceros o SINPE T+1 se deben capturar las pantallas. Actividad 17 Analizar el caso para determinar la causa del problema presentado.
Actividad 18 Reproducir el error en los ambientes de prueba y produccin de Bancobcr-Empresas. Nota: Se reproduce el error para validar si es consistente en la aplicacin. Actividad 19 Elaborar el documento de Requerimientos de usuario para el mantenimiento de sistemas, con los datos del error reportado y generar el reporte en el Siebel. Nota: El documento de Requerimientos para el mantenimiento de sistemas debe llevar las firmas de los siguientes servidores: oficial del canal de Internet, jefe de oficina de internet y las jefaturas de las oficinas involucradas. En el documento de Requerimientos de usuario para el mantenimiento de sistemas, deben incluirse todas las reglas de negocio que aplican para solventar el error que se presenta en el sistema. Actividad 20 Enviar a travs del servicio de mensajera el original y la copia del documento de Requerimientos de usuario para el mantenimiento de sistemas firmado al encargado en la gerencia divisin desarrollo de sistemas para que custodien el original y se remita la copia con el acuse de recibo. Actividad 21 Recibir a travs del servicio de mensajera, la copia con el acuse de recibo del documento que enva el encargado en la Gerencia de Divisin Desarrollo de Sistemas e incluir en la hoja de control, asignar nmero de consecutivo y archivar la copia con el acuse de recibo del documento Requerimientos de usuario para el mantenimiento de sistemas en el portafolio para casos Bancobcr-Empresas destinado a tal efecto en la oficina de internet. Actividad 22 Recibir va correo electrnico del encargado en la oficina de Ingeniera de Sistemas el comunicado de la disponibilidad del ambiente de pruebas con la solucin para ejecutar el escenario de pruebas diseado. Actividad 23 Realizar las pruebas respectivas para certificar la funcionalidad en el ambiente de pruebas.
Decisin 24 Si las pruebas tienen resultado satisfactorio pasa a la actividad 26; en caso contrario, pasa a la actividad 25. Actividad 25 Enviar va correo electrnico el documento con las pruebas no satisfactorias al encargado en la Oficina de Ingeniera de Sistemas. Pasa a la actividad 19. Actividad 26 Solicitar al jefe de la Oficina de Internet va correo electrnico el visto bueno para realizar el pase a produccin.
44
Actividad 27 Coordinar con el encargado en la Oficina de Ingeniera de Sistemas la calendarizacin del pase a produccin. Actividad 28 Revisar los cambios implementados en Bancobcr- Empresas para dar el visto bueno post implementacin del requerimiento solicitado al encargado en la Oficina de Ingeniera de Sistemas. Decisin 29 Si todos los cambios implementados estn correctos pasa a la actividad 30; en caso contrario, pasa a la actividad 22. Actividad 30 Informar va correo electrnico a los ejecutivos de banca electrnica que el error fue corregido y que las pruebas resultaron satisfactorias en la oficina de internet. Paso 4 Responsable: ejecutivo banca electrnica. Debe Actividad 31 Recibir del oficial de internet va correo electrnico la notificacin de que el error fue corregido. Actividad 32 Informar a los ejecutivos comerciales va correo electrnico que el error fue corregido y que el cliente puede utilizar la aplicacin con normalidad.
Paso 5 Responsable: ejecutivo comercial. Debe Actividad 33 Recibir del ejecutivo de banca electrnica va correo electrnico la notificacin de que e error fue corregido y el cliente puede utilizar la aplicacin con normalidad. Actividad 34 Contactar al cliente va telefnica o a travs del correo electrnico, para informarle que el error fue corregido y que el puede utilizar la aplicacin con normalidad. Finaliza el proceso.
45
2. Procedimiento para el seguimiento de casos a travs de Bancobcr-Personas

Paso 1 Responsable: tcnico bancario de control de Canales Electrnicos. Debe Actividad 1 Enviar al oficial de internet, va correo electrnico, el reporte de la falla que se le present al cliente debidamente documentado. Nota: Las preguntas frecuentes que deben formularse al cliente son: Tipo de navegador que posee Tipo de conexin a internet que posee Nmero de cdula de identificacin Nmero de telfono Correo electrnico Paso 2 Responsable: oficial de internet. Debe Actividad 2 Recibir va correo electrnico, de los tcnicos bancarios de la oficina de Control de Canales Electrnicos el reporte de la falla que se le present al cliente. Actividad 3 Documentar el caso recibido. Nota: Para documentar los casos es necesario verificar la informacin del cliente en: Sistema integrado de cuentas corrientes SICC BCR clientes Consultar la bitcora de Bancobcr-Personas, utilizando el nmero de cdula del cliente y el rango de fechas en que realiz el movimiento SISTAR, UNICARD, BCR HISTORICOS, CDP Se debern capturar las pantallas que sean necesarias para documentar el caso. Actividad 4 Analizar el caso para determinar la causa del problema reportado. Decisin 5 Si se determina que es un problema en el equipo del cliente, pasa a la actividad 6; en caso contrario, pasa a la actividad 7.
Actividad 6
46
Referir el caso va correo electrnico, a los tcnicos bancarios de la oficina de Control de Canales Electrnicos, para que asesoren el cliente. Finaliza el proceso. Actividad 7 Reproducir el error en los ambientes de pruebas y produccin a fin de identificar cual es el problema. Actividad 8 Elaborar el documento de Requerimientos de usuario para el mantenimiento de sistemas, con los datos del error reportado y generar el reporte en el Siebel. Nota: El documento de Requerimientos para el mantenimiento de sistemas debe llevar las firmas del oficial del canal de Internet, del jefe de oficina de internet y las jefaturas de las oficinas involucradas. En el documento de Requerimientos de usuario para el mantenimiento de sistemas, deben incluirse todas las reglas de negocio que aplican para solventar el error que se presenta en el sistema. Actividad 9 Enviar a travs del servicio de mensajera el original y la copia del documento de Requerimientos de usuario para el mantenimiento de sistemas firmado al encargado en la Gerencia Divisin Desarrollo de Sistemas para que custodien el original y se nos remita la copia con el acuse de recibo. Actividad 10 Recibir a travs del servicio de mensajera la copia con el acuse de recibo del documento e incluir en la hoja de control, asignar nmero de consecutivo y archivar la copia con el acuse de recibo del documento Requerimientos de usuario para el mantenimiento de sistemas en el portafolio de casos Bancobcr-Personas destinado a tal efecto en la Oficina de Internet. Actividad 11 Recibir va correo electrnico de la Oficina de Ingeniera en Sistemas el comunicado de la disponibilidad del ambiente de pruebas con la solucin para ejecutar el escenario de pruebas diseado. Actividad 12 Realizar las pruebas respectivas para certificar la funcionalidad en el ambiente de pruebas.
Decisin 13 Si las pruebas tienen resultado satisfactorio, pasa a la actividad 15; en caso contrario, pasa a la actividad 14. Actividad 14 Enviar va correo electrnico al encargado en la Oficina de Ingeniera de Sistemas el documento con las pruebas no satisfactorias. Pasa a la actividad 8. Actividad 15 Solicitar va correo electrnico al jefe de la Oficina de Internet el visto bueno para realizar el pase a produccin. Actividad 16 Coordinar va correo electrnico con el encargado en la Oficina de Ingeniera de Sistemas la calendarizacin del pase a produccin. Actividad 17 Revisar los cambios implementados en Bancobcr- Personas para dar el visto bueno post implementacin del requerimiento solicitado al encargado en la Oficina de Ingeniera de Sistemas.
47
Decisin 18 Si todos los cambios implementados estn correctos, pasa a la actividad 19; en caso contrario, pasa a la actividad 11. Actividad 19 Contactar al cliente va telefnica o a travs del correo electrnico, para informarle que el error fue corregido y que el puede utilizar la aplicacin con normalidad. Actividad 20 Informar va correo electrnico a los tcnicos bancarios de la oficina Control de Canales Electrnicos que el caso est resuelto para que procedan a cerrar el pendiente. Finaliza el proceso.
Emitido por:
_________________ Mario Rivera Turcios Gerente General
Aprobado por: Rige a partir de: Elaborado por: Revisado por: Comunicado por:
La Gerencia General 2 de julio de 2010 Oficina de Internet y Oficina de Procesos y Control de Calidad Oficina de Procesos y Control de Calidad, Oficina de Internet, Oficina Diseo de Productos Electrnicos y Oficina de Control de Canales Electrnicos. Oficina de Normativa Administrativa
PARA TODOS LOS EFECTOS LEGALES Y ADMINISTRATIVOS, EL DOCUMENTO ORIGINAL SE ENCUENTRA BAJO LA RESPONSABILIDAD Y CUSTODIA DE LA OFICINA DE NORMATIVA ADMINISTRATIVA Anexo. 5.
48
ANEXO NO. 5 PROCEDIMIENTO PARA LA ADMINISTRACIN DE LA SEGURIDAD DE USUARIOS Y PERFILES (APLICACIONES EN TI) DEL CONGLOMERADO BCR
Procesos de Soporte Entrega y Soporte de TI
49
Propsito
El propsito de este procedimiento es establecer el proceso a seguir para la administracin de la seguridad de usuarios y perfiles (aplicaciones) en TI.
Alcance
Este procedimiento se encuentra dirigido a todos los servidores del conglomerado del BCR que participan en la revisin anual de perfiles, en la solicitud de perfiles, en la creacin y eliminacin de usuarios en el Dominio BCR, en la creacin, modificacin, eliminacin y revisin peridica de usuarios en los sistemas informticos de produccin del conglomerado BCR y aplica para el apartado DS5 Aseguramiento Seguridad Sistemas, segn COBIT.
Ley sobre estupefacientes, sustancias psicotrpicas, drogas de uso no autorizado, actividades conexas, legitimacin de capitales y financiamiento al terrorismo, n 8204 Ley general de control interno, n 8292 Ley contra la corrupcin y el enriquecimiento ilcito en la funcin pblica, n 8422 Reglamento sobre la gestin de la tecnologa de informacin. Acuerdo SUGEF 14-09. Normas tcnicas para la gestin y el control de las Tecnologas de Informacin N-2-2007-CO-DFOE La Gaceta #119 del 21Junio del 2007 Normas de control interno para el sector pblico emitidas por la Contralora General de la Repblica Disposiciones para la administracin y desarrollo de proyectos informticos del conglomerado BCR, DISP-PSOPRT-11-05-07 Disposiciones administrativas para el uso de los recursos tecnolgicos en el conglomerado BCR, DISP-PSO-SFL-0204-09 Manual de cumplimiento corporativo del conglomerado BCR, MAC-ECC-OFC-56-04-08
50
Definiciones
Perfil: restricciones que se establecen para una persona o conjunto de personas en el momento de utilizar los sistemas de la organizacin. Usuario: persona que utiliza los sistemas de la organizacin.
51
Revisin anual de perfiles

Paso 1 Responsable: analista de control interno. Debe
Actividad 1 Generar en el SICC, Job 9915 Lista relaciones de un perfil del Sicc el listado de perfiles transaccionales y accesos por rea en coordinacin con la Gerencia de Seguridad y Riesgo de TI. Ver anexo. Nota: El listado ser generado entre marzo y abril de cada ao. Actividad 2 Seleccionar la muestra. Actividad 3 Enviar por correo electrnico los perfiles transaccionales seleccionados de la muestra con sus accesos y las instrucciones generales al gerente de cada rea o superior para su respectiva revisin. Nota: En el correo electrnico se deber indicar al gerente o superior de cada rea que cuenta con un plazo de dos meses a partir de la fecha de la solicitud de revisin de acuerdo a lo establecido en las Disposiciones administrativas para el uso de los recursos tecnolgicos en el conglomerado BCR. Paso 2 Responsable: gerente de rea o superior. Debe Actividad 4 Recibir por correo electrnico del analista de control interno, el listado de accesos por perfil transaccional. Actividad 5 Realizar un anlisis del listado de accesos del perfil transaccional. Nota:
El anlisis integral del listado de accesos del perfil transaccional consiste en verificar que los permisos que tiene cada servidor sean requisito para el cumplimiento del puesto de trabajo, y que no exista o propicie una concentracin de funciones o atribuciones, que faciliten algn hecho irregular por medio del uso de eventos transaccionales.
Decisin 6 Si se requiere modificar o eliminar un perfil transaccional, pasar a la actividad 7; en caso contrario, pasar a la actividad 8. Actividad 7 Enviar por correo electrnico al analista de control interno la propuesta preliminar para la modificacin o eliminacin de un perfil transaccional en los sistemas informticos de produccin del conglomerado BCR. Pasar a la actividad 8. Nota:
52
La propuesta preliminar debe contener la justificacin por cada acceso que se deba modificar o eliminar y adjuntar la evidencia que corresponda. Actividad 8 Enviar por correo electrnico al analista de control interno la justificacin y la evidencia que corresponda para mantener los accesos del perfil transaccional. Paso 3 Responsable: analista de control interno. Debe
Actividad 9 Recibir por correo electrnico del gerente de rea o superior la propuesta preliminar para la modificacin, eliminacin de un perfil transaccional en los sistemas informticos de produccin del conglomerado BCR. Actividad 10 Realizar el proceso predefinido Anlisis de la propuesta preliminar de este procedimiento. Finaliza proceso.
Trmite de solicitudes para la creacin o modificacin de un perfil transaccional

Paso 1 Responsable: ingeniero de seguridad y riesgo en TI. Debe Actividad 1 Recibir por correo electrnico del gerente de rea o superior la solicitud para la creacin o modificacin de un perfil transaccional. Nota: La solicitud deber contener la justificacin del cambio solicitado. Actividad 2 Evaluar la solicitud para modificar o crear un perfil en un sistema informtico de produccin del conglomerado BCR. Decisin 3 Si procede modificar o crear un perfil transaccional, pasar a la actividad 4; en caso contrario, pasar a la actividad 6. Actividad 4 Modificar o crear el perfil en el sistema que corresponda segn lo solicitado, previo visto bueno de la Oficina de Control Interno. Nota: Los perfiles creados o las modificaciones a eventos no sern activados hasta que la Oficina de Control Interno en coordinacin con la Gerencia de Seguridad y Riesgo de TI y la oficina solicitante aprueben la oficializacin respectiva. Actividad 5 Enviar por correo electrnico al analista de control interno la propuesta de la modificacin en el perfil existente o el perfil creado con sus respectivos accesos e instrucciones generales del gerente o supervisor del rea solicitante. Pasar a la actividad 7.
53
Nota: La Oficina de Control Interno contar con un periodo de un mes para validar un perfil nuevo o cambio, y con un plazo de tres meses a partir de la recepcin de la propuesta preliminar para validar cualquier cambio solicitado como resultado de la revisin anual de perfiles transaccionales, segn lo establecido en las Disposiciones administrativas para el uso de los recursos tecnolgicos en el conglomerado BCR. Este plazo podr ampliarse de comn acuerdo con la oficina solicitante. Actividad 6 Enviar un correo electrnico al gerente de rea o superior la no aceptacin de la solicitud, de acuerdo a los resultados obtenidos de la evaluacin preliminar realizada. Actividad 7 Mantener registro electrnico de las solicitudes recibidas. Finaliza proceso. Nota: Se debern archivar por cinco aos. Paso 2 Responsable: analista de control interno. Debe Actividad 8 Recibir por correo electrnico la solicitud para la modificacin o creacin de un perfil transaccional. Actividad 9 Realizar proceso predefinido Anlisis de la propuesta preliminar. Finaliza proceso.
Anlisis de la propuesta preliminar

Paso 1 Responsable: analista de control interno. Debe Actividad 1 Analizar la solicitud. Nota: En el anlisis consiste en identificar aspectos contenidos en los eventos transaccionales del perfil y relacionados con concentracin de funciones, atribuciones, conflictos de procesos, eventos no autorizados, entre otros que puedan facilitar un hecho irregular. La Oficina de Control Interno contar con un periodo de un mes para validar un perfil nuevo o cambio, y con un plazo de tres meses a partir de la recepcin de la propuesta preliminar para validar cualquier cambio solicitado como resultado de la revisin anual de perfiles transaccionales, segn lo establecido en las Disposiciones administrativas para el uso de los recursos tecnolgicos en el conglomerado BCR. Este plazo podr ampliarse de comn acuerdo con la oficina solicitante. Decisin 2 Si la solicitud est correcta, pasar a la actividad 3; en caso contrario, pasar a la actividad 4. Actividad 3 Entregar por escrito el anlisis al jefe de la Oficina Control Interno para su validacin.
54
Actividad 4 Solicitar correo electrnico al gerente de rea o superior la modificacin de la propuesta preliminar, de acuerdo a los resultados obtenidos del anlisis realizado. Nota: La modificacin podr comprender ampliacin de detalles de carcter operativo o medidas de control interno. Paso 2 Responsable: jefe de la Oficina de Control Interno. Debe Actividad 5 Recibir la propuesta preliminar por parte del analista para su validacin. Decisin 6 Si la propuesta est correcta, pasar a la actividad 7; en caso contrario, pasar a la actividad 8. Actividad 7 Enviar por correo electrnico al ingeniero de seguridad en tecnologa la propuesta final para que se ejecuten los cambios a nivel del sistema automatizado. Pasar a la actividad 12. Actividad 8 Solicitar por escrito al analista de control interno la modificacin de la propuesta preliminar, de acuerdo con las observaciones identificadas. Nota: La modificacin podr comprender ampliacin de detalles de carcter operativo o medidas de control interno. Paso 3 Responsable: analista de control interno. Debe Actividad 9 Recibir por escrito del jefe de control interno las observaciones a la propuesta preliminar. Actividad 10 Realizar las modificaciones que correspondan. Actividad 11 Entregar por escrito el anlisis al jefe de la Oficina Control Interno para su validacin. Pasar a la actividad 5. Paso 4 Responsable: ingeniero de seguridad y riesgo en TI. Debe Actividad 12 Recibir por correo electrnico la solicitud para realizar los ajustes a los perfiles transaccionales. Actividad 13 Modificar, crear o eliminar el perfil segn lo solicitado en el sistema que corresponda. Nota: La Gerencia de Seguridad y Riesgo en TI contar con un periodo de un mes para modificar un perfil nuevo o cambio como resultado de una revisin de perfiles transaccionales, segn lo establecido en las Disposiciones administrativas para el uso de los recursos tecnolgicos en el conglomerado BCR. Este plazo podr ampliarse de comn acuerdo con la oficina solicitante.
55
Actividad 14 Comunicar al solicitante sobre la resolucin de la solicitud. Actividad 15 Mantener registro electrnico de las solicitudes recibidas. Finaliza proceso. Nota: Se debern archivar por cinco aos.
Creacin o eliminacin de usuarios en el Dominio BCR

Paso 1 Responsable: tcnico de la Unidad de Soporte Cliente Interno. Debe Actividad 1 Recibir por correo electrnico del especialista en recursos humanos la solicitud para la creacin o eliminacin de usuarios en el Dominio BCR. Nota: La solicitud deber contener la siguiente informacin: nombre completo del usuario, nmero de cdula, oficina a la que va a pertenecer, fecha de ingreso, tipo de contrato, fecha finalizacin del contrato y el puesto. Decisin 2 Si la solicitud requiere la creacin de un usuario, pasar a la actividad 3; en caso contrario, pasar a la actividad 4. Actividad 3 Crear el usuario en el dominio BCR Active Directory. Pasar a la actividad 6. Actividad 4 Bloquear el usuario del Dominio BCR por un periodo de dos semanas. Actividad 5 Eliminar al usuario de aquellos sistemas informticos en produccin donde se encuentre matriculado. Nota: El usuario ser bloqueado del Dominio BCR; y posteriormente eliminado de acuerdo a lo establecido en las Disposiciones administrativas para el uso de los recursos tecnolgicos en el conglomerado BCR. Actividad 6 Modificar en el evento ACM23 Mantenimiento Tipo Cliente Especial del Sistema Integrado de Cuentas Corrientes (SICC), el tipo de cliente de 22 empleado a 24 exempleado y viceversa. Actividad 7 Comunicar por correo electrnico al especialista en recursos humanos la resolucin de la solicitud. Finaliza proceso. Actividad 8 Mantener registro electrnico de las solicitudes recibidas. Finaliza proceso. Nota: Se debern archivar por cinco aos.
56
Inclusin, modificacin, eliminacin de usuarios y cambio de clave en los sistemas informticos de produccin del conglomerado BCR
Paso 1 Responsable: tcnico de la Unidad de Soporte Cliente Interno. Debe Actividad 1 Recibir por correo electrnico del gerente o superior la solicitud para la inclusin, modificacin o eliminacin de un usuario y cambio de clave en los sistemas informticos de produccin del conglomerado BCR. Nota: La solicitud deber contener la siguiente informacin: nombre completo del usuario, nmero de cdula, nmero de telfono o extensin, unidad ejecutora a la que pertenece, nombre de la oficina, el puesto y nombre del sistema. Actividad 2 Analizar las solicitudes recibidas relacionadas con usuarios y claves de usuario, para aplicaciones nuevas y las existentes. Nota: El anlisis consiste en verificar el origen de la solicitud, que el nombre corresponda al nmero de cdula del servidor, comprobar que el sistema solicitado corresponda a las funciones que realiza. Actividad 3 Incluir, modificar o eliminar los usuarios y las claves de usuario en los diferentes sistemas informticos de produccin del conglomerado BCR, segn corresponda. Actividad 4 Comunicar por correo electrnico al usuario la contrasea asignada o la resolucin de la solicitud. Finaliza el proceso. Nota: En los casos de solicitudes de asignacin o cambio de clave de acceso en el Dominio BCR, en donde el usuario no podr ver la respuesta por correo electrnico, el tcnico de la Unidad de Soporte Cliente Interno deber llamar una nica vez a la extensin del usuario definida en el Active Directory, si el usuario no contesta, ser responsabilidad de ste llamar a la Gerencia de Seguridad en Tecnologa y Riesgo TI. Actividad 5 Mantener registro electrnico de las solicitudes recibidas. Finaliza proceso. Nota: Se debern archivar por cinco aos.
Revisin peridica de usuarios en los sistemas informticos de produccin del conglomerado BCR
Paso 1 Responsable: ingeniero de seguridad y riesgo en TI. Debe Actividad 1
57
Solicitar por correo electrnico al especialista de capital humano la lista de servidores actualizados del conglomerado BCR aproximadamente cada 120 das calendario. Actividad 2 Revisar en los diferentes sistemas del conglomerado los usuarios activos, los usuarios sin actividad que tengan ms de 90 das de no utilizar un sistema informtico de produccin. Actividad 3 Eliminar a los usuarios del sistema informtico de produccin. Actividad 4 Mantener registro electrnico de las solicitudes recibidas. Finaliza proceso. Nota: Se debern archivar por cinco aos.
Emitido por:
_____________________ Mario Rivera Turcios Gerente general y Apoderado Generalsimo de las Subsidiarias
Aprobado por: Rige a partir de: Elaborado por: Revisado por: Comunicado por: Gerencia General 17 de junio de 2010 Gerencia de Seguridad y Riesgo en TI Gerencia de Seguridad y Riesgo en TI Oficina Normativa Administrativa
58
Anexo Gua para emitir la lista relaciones de un perfil del SICC
1- Crear una carpeta Reportes en el disco D:\ 2- Ingresar Inicio Programas Infoconnect 32 bit Intercom Print Services 32 bit, con el propsito de direccionar el archivo a la carpeta Reportes.
3- Relacionar el nombre de la carpeta Reportes ingresando en el men horizontal de la ventana InterCom Print Services STDCFG.ATM de la siguiente manera: Configure Connections. Inmediatamente se despliega la pantalla InterCom Print Services Env 1 Connection Marcar y llenar los siguientes campos: Disk File Disck file name Marcar el botn Digitar D:\Reportes
Presionar el botn OK. 4- Ingresar al SICC al evento AACRE para generar o listar el perfil, ejecutando el Job 9915 de la siguiente manera:
59
Completar los siguientes campos: Cdigo de Job Parmetro 1 Parmetro 2 9915 0 perfil a listar LISTAR
Presionar la tecla Intro o Enter. 5- El archivo automticamente se genera y almacena en la carpeta creada Reportes del disco D:\.
60

Trabajo de Investigación de Prevención y Detección de Fraudes

Hochgeladen von

Dokumentinformationen

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Trabajo de Investigación de Prevención y Detección de Fraudes

Hochgeladen von

Copyright:

Verfügbare Formate

INSTITUTO TECNOLGICO DE COSTA RICA ESCUELA DE ADMINISTRACIN DE EMPRESAS CENTRO ACADEMICO DE SAN JOS AUDITORIA PED II Prof.

SERGIO ESPINOZA GUIDO

TRABAJO DE INVESTIGACIN SOBRE LA DETECCIN Y PREVENCIN DE FRAUDES

Investigacin y anlisis forense.............................................................................38

http://www.monografias.com/trabajos11/fraer/fraer.shtml http://es.wikipedia.org/wiki/Fraudes, consultada el 27 de abril, 2011.

Anexo. 1. PROCEDIMIENTO PARA LA ADMINISTRACION DEL SISTEMA DE PREVENCION DE INTRUSOS EN LA RED

Procesos de Soporte Seguridad Fsica y Lgica

Administracin del sistema de prevencin de intrusos en la red

_____________________ Mario Rivera Turcios Gerente General a.i.

Aprobado por: Rige a partir de: Elaborado por: Revisado por:

Comunicado por: Oficina de Normativa Administrativa

Anlisis de reporte de IPS de __________ Principales 5 ataques presentados: Ataque

Anlisis causa principal

Principales 5 fuentes de ataques: IP Fuente Anlisis causa principal Accin a tomar

Responsable por Seguridad en Tecnologa ___________________________________

Procesos de Soporte Administracin de Capital Humano

Comunicado por: Oficina de Normativa Administrativa. MLiGQ

Anexo. 3. DISPOSICIONES SOBRE SEGURIDAD Y RIESGOS EN TECNOLOGIA DEL CONGLOMERADO BCR

Procesos de Soporte Seguridad Fsica y Lgica

Funciones de la Gerencia de Seguridad y Riesgos en TI 2.4.1 Gestin de la seguridad en TI

Definir el presupuesto requerido para el cumplimiento de los planes anuales establecidos.

Establecer, coordinar y gestionar el centro de respuesta a incidentes de seguridad en Tecnologa.

Analizar, recomendar e implementar herramientas de gestin de riesgo en TI. 2.4.3. Normativa

2.4.4. Administracin de la identidad, permisos y controles

2.4.5. Administracin de amenazas y vulnerabilidades

2.4.6. Monitoreo de seguridad

2.4.7. Seguimiento sobre recomendaciones y situaciones detectadas

2.4.8. Educacin y comunicacin

Procesos de Soporte Administracin de Banca Electrnica

1. Procedimiento para el seguimiento de casos a travs Bancobcr-Empresas

2. Procedimiento para el seguimiento de casos a travs de Bancobcr-Personas

_________________ Mario Rivera Turcios Gerente General

Procesos de Soporte Entrega y Soporte de TI

Revisin anual de perfiles

Trmite de solicitudes para la creacin o modificacin de un perfil transaccional

Anlisis de la propuesta preliminar

Creacin o eliminacin de usuarios en el Dominio BCR

Anexo Gua para emitir la lista relaciones de un perfil del SICC

Das könnte Ihnen auch gefallen