Normativa que regula la implantación y uso de TI en la Banca - SUDEBAN -Titulo VIII Redes
En las revisiones que se realizan sobre los sistemas de información en los Bancos e Instituciones Financieras en Venezuela y de acuerdo al Superintendente de Bancos y Otras Instituciones Financieras, en uso de las facultades que le confiere los artículos 223, numeral 2 en concordancia con el 235 numeral 9 del Decreto con Fuerza de Ley de Reforma de la Ley General de Bancos y Otras Instituciones Financieras, dicta la presente normativa:
"NORMATIVA de Tecnología de la Información, Servicios Financieros Desmaterializados, Banca Electrónica, Virtual y en Línea para los Entes Sometidos al Control, Regulación y Supervisión de la Superintendencia de Bancos y Otras Instituciones Financieras", donde en los siguientes apartados establecen condiciones que se deben cumplir a nivel de Redes:
Titulo VIII
REDES
CAPITULO I
Infraestructura de las Redes
Artículo 97: La Alta Gerencia de Tecnología de la Información debe asegurarse que los planes de adquisición de hardware y software reflejen las necesidades identificadas en el plan estratégico de Tecnología de la Información.
Artículo 98: Antes de la implantación de un nuevo hardware o software, el Ente supervisado debe evaluar el impacto de la implantación en los sistemas existentes para así minimizar cualquier interrupción de los sistemas de información como resultado del proceso realizado.
Artículo 99: Deben establecer procedimientos para la realización de pruebas al hardware o software instalado. Estos procedimientos deben incluir como mínimo las siguientes pruebas:
a. Unitarias e integrales.
b. De interfaz.
c. De capacidad.
d. De aceptación del usuario.
Artículo 100: Se deben realizar en forma semestral estudios de capacidad y desempeño del hardware y las líneas de comunicaciones que permitan determinar las necesidades de expansión de capacidades o actualizaciones de equipos en forma oportuna.
Artículo 101: Se deben establecer políticas y procedimientos para la instalación y mantenimiento del hardware y su configuración base, a fin de asegurar que proporcionen la plataforma tecnológica apropiada para soportar las aplicaciones relacionadas con las redes y comunicaciones y minimicen la frecuencia e impacto de las fallas de desempeño de las mismas.
CAPITULO II
ADMINISTRACIÓN Y CONTROLES DE LAS REDES
Artículo 102: Los administradores de redes en conjunto con el área de unidad de seguridad de los activos de información deben implementar controles para garantizar la protección de los servicios conectados contra el acceso no autorizado, en este sentido se debe considerar lo siguiente:
a. La responsabilidad operativa de las redes debe estar separada de aquellas asociadas a las operaciones del computador central.
b. Se deben establecer los procedimientos y responsabilidades para la administración de equipos remotos, incluyendo aquellos ubicados en las áreas usuarias y bajo custodia y/o administración de terceros o proveedores.
c. Definir y documentar los controles tendentes a salvaguardar la confidencialidad e integridad del procesamiento de los datos que pasan a través de redes públicas, así como, mantener la disponibilidad de los servicios de red y computadoras conectadas.
Artículo 103: Establecer procedimientos de protección de los datos que se transmiten por la red de telecomunicaciones, mediante técnicas adecuadas de encriptación a través de equipos o aplicaciones definidas para tal fin.
Artículo 104: Se debe contar con un sistema o aplicación que permita establecer una adecuada seguridad para los accesos a las redes, los cambios a su sistema operativo y el monitoreo de las actividades que se desarrollan en ellas.
Artículo 105: Administrar adecuadamente las redes y las líneas de comunicaciones. En este sentido, se deben establecer los procedimientos que aseguren que las redes instaladas de voz y/o datos cumplan con los requerimientos mínimos vigentes del cableado estructurado.
"NORMATIVA de Tecnología de la Información, Servicios Financieros Desmaterializados, Banca Electrónica, Virtual y en Línea para los Entes Sometidos al Control, Regulación y Supervisión de la Superintendencia de Bancos y Otras Instituciones Financieras", donde en los siguientes apartados establecen condiciones que se deben cumplir a nivel de Redes:
Titulo VIII
REDES
CAPITULO I
Infraestructura de las Redes
Artículo 97: La Alta Gerencia de Tecnología de la Información debe asegurarse que los planes de adquisición de hardware y software reflejen las necesidades identificadas en el plan estratégico de Tecnología de la Información.
Artículo 98: Antes de la implantación de un nuevo hardware o software, el Ente supervisado debe evaluar el impacto de la implantación en los sistemas existentes para así minimizar cualquier interrupción de los sistemas de información como resultado del proceso realizado.
Artículo 99: Deben establecer procedimientos para la realización de pruebas al hardware o software instalado. Estos procedimientos deben incluir como mínimo las siguientes pruebas:
a. Unitarias e integrales.
b. De interfaz.
c. De capacidad.
d. De aceptación del usuario.
Artículo 100: Se deben realizar en forma semestral estudios de capacidad y desempeño del hardware y las líneas de comunicaciones que permitan determinar las necesidades de expansión de capacidades o actualizaciones de equipos en forma oportuna.
Artículo 101: Se deben establecer políticas y procedimientos para la instalación y mantenimiento del hardware y su configuración base, a fin de asegurar que proporcionen la plataforma tecnológica apropiada para soportar las aplicaciones relacionadas con las redes y comunicaciones y minimicen la frecuencia e impacto de las fallas de desempeño de las mismas.
CAPITULO II
ADMINISTRACIÓN Y CONTROLES DE LAS REDES
Artículo 102: Los administradores de redes en conjunto con el área de unidad de seguridad de los activos de información deben implementar controles para garantizar la protección de los servicios conectados contra el acceso no autorizado, en este sentido se debe considerar lo siguiente:
a. La responsabilidad operativa de las redes debe estar separada de aquellas asociadas a las operaciones del computador central.
b. Se deben establecer los procedimientos y responsabilidades para la administración de equipos remotos, incluyendo aquellos ubicados en las áreas usuarias y bajo custodia y/o administración de terceros o proveedores.
c. Definir y documentar los controles tendentes a salvaguardar la confidencialidad e integridad del procesamiento de los datos que pasan a través de redes públicas, así como, mantener la disponibilidad de los servicios de red y computadoras conectadas.
Artículo 103: Establecer procedimientos de protección de los datos que se transmiten por la red de telecomunicaciones, mediante técnicas adecuadas de encriptación a través de equipos o aplicaciones definidas para tal fin.
Artículo 104: Se debe contar con un sistema o aplicación que permita establecer una adecuada seguridad para los accesos a las redes, los cambios a su sistema operativo y el monitoreo de las actividades que se desarrollan en ellas.
Artículo 105: Administrar adecuadamente las redes y las líneas de comunicaciones. En este sentido, se deben establecer los procedimientos que aseguren que las redes instaladas de voz y/o datos cumplan con los requerimientos mínimos vigentes del cableado estructurado.
CAPITULO III
REGISTRO DE USUARIOS Y POLÍTICA DE UTILIZACIÓN DE LOS SERVICIOS DE RED.
Artículo 106: Asegurar la existencia de un procedimiento formal de registro y eliminación de usuarios para otorgar accesos a todos los sistemas y servicios de información multi-usuario existentes, el cual debe incluir los siguientes aspectos:
a. Utilizar identificaciones de usuario únicos de forma tal que se sea posible vincularlos y hacer responsables a estos por sus acciones.
b. Verificar que el usuario tenga la autorización del propietario del sistema para su uso.
c. Asegurar que el nivel de acceso otorgado es adecuado para el propósito del negocio, es coherente con la política de seguridad de la organización y consistente con las funciones asociadas al cargo que desempeña.
d. Entregar a los usuarios un detalle escrito de sus derechos de acceso.
e. Requerir que los usuarios firmen declaraciones señalando que comprenden las condiciones para el acceso.
f. Garantizar que a los proveedores de servicios no se otorgan accesos a aplicaciones, sistemas o equipos críticos hasta que se hayan completado los procedimientos de autorización definidos para tal fin.
g. Mantener un registro formal de todas las personas autorizadas para utilizar el servicio.
h. Cancelar inmediatamente los derechos de acceso de los usuarios que cambiaron sus tareas o se desvincularon de la organización.
i. Verificar periódicamente y cancelar las cuentas de usuarios redundantes o egresados de la Institución.
Artículo 107: Limitar y controlar la asignación y uso de privilegios especiales o cualquier servicio de un sistema de información multi-usuario que permita que el usuario pase por alto los controles de sistemas o aplicaciones. Para ello, se estima necesario considerar los siguientes aspectos:
a. Deben identificarse los privilegios asociados a cada producto del sistema y las categorías o nivel de cargo del personal a los cuales deben asignarse los productos.
b. Los privilegios deben asignarse a individuos sobre las bases de la necesidad de uso.
c. Mantener un proceso de autorización y un registro de todos los privilegios asignados. Los privilegios no deben ser otorgados hasta que se haya completado el proceso de autorización definido para tal fin.
d. Promover el desarrollo y uso de rutinas del sistema para evitar la necesidad de otorgar privilegios a los usuarios.
e. Los privilegios deben asignarse a una identidad de usuario diferente de aquellas utilizadas en las actividades comerciales normales.
Artículo 108: Los usuarios sólo deben contar con acceso directo a los servicios para los cuales han sido expresamente autorizados, para ello deberá formularse una política concerniente al uso de redes y servicios de red. Esta debe comprender como mínimo:
a. Las redes y servicios de red a los cuales se permite el acceso.
b. Procedimientos de autorización para determinar las personas, las redes y los servicios de red a los cuales tienen permitido el acceso.
c. Controles y procedimientos de gestión para proteger el acceso a las conexiones y servicios de red.
REGISTRO DE USUARIOS Y POLÍTICA DE UTILIZACIÓN DE LOS SERVICIOS DE RED.
Artículo 106: Asegurar la existencia de un procedimiento formal de registro y eliminación de usuarios para otorgar accesos a todos los sistemas y servicios de información multi-usuario existentes, el cual debe incluir los siguientes aspectos:
a. Utilizar identificaciones de usuario únicos de forma tal que se sea posible vincularlos y hacer responsables a estos por sus acciones.
b. Verificar que el usuario tenga la autorización del propietario del sistema para su uso.
c. Asegurar que el nivel de acceso otorgado es adecuado para el propósito del negocio, es coherente con la política de seguridad de la organización y consistente con las funciones asociadas al cargo que desempeña.
d. Entregar a los usuarios un detalle escrito de sus derechos de acceso.
e. Requerir que los usuarios firmen declaraciones señalando que comprenden las condiciones para el acceso.
f. Garantizar que a los proveedores de servicios no se otorgan accesos a aplicaciones, sistemas o equipos críticos hasta que se hayan completado los procedimientos de autorización definidos para tal fin.
g. Mantener un registro formal de todas las personas autorizadas para utilizar el servicio.
h. Cancelar inmediatamente los derechos de acceso de los usuarios que cambiaron sus tareas o se desvincularon de la organización.
i. Verificar periódicamente y cancelar las cuentas de usuarios redundantes o egresados de la Institución.
Artículo 107: Limitar y controlar la asignación y uso de privilegios especiales o cualquier servicio de un sistema de información multi-usuario que permita que el usuario pase por alto los controles de sistemas o aplicaciones. Para ello, se estima necesario considerar los siguientes aspectos:
a. Deben identificarse los privilegios asociados a cada producto del sistema y las categorías o nivel de cargo del personal a los cuales deben asignarse los productos.
b. Los privilegios deben asignarse a individuos sobre las bases de la necesidad de uso.
c. Mantener un proceso de autorización y un registro de todos los privilegios asignados. Los privilegios no deben ser otorgados hasta que se haya completado el proceso de autorización definido para tal fin.
d. Promover el desarrollo y uso de rutinas del sistema para evitar la necesidad de otorgar privilegios a los usuarios.
e. Los privilegios deben asignarse a una identidad de usuario diferente de aquellas utilizadas en las actividades comerciales normales.
Artículo 108: Los usuarios sólo deben contar con acceso directo a los servicios para los cuales han sido expresamente autorizados, para ello deberá formularse una política concerniente al uso de redes y servicios de red. Esta debe comprender como mínimo:
a. Las redes y servicios de red a los cuales se permite el acceso.
b. Procedimientos de autorización para determinar las personas, las redes y los servicios de red a los cuales tienen permitido el acceso.
c. Controles y procedimientos de gestión para proteger el acceso a las conexiones y servicios de red.
CAPITULO IV
PROTECCIÓN DE LOS PUERTOS DE DIAGNOSTICO REMOTO
Artículo 109: El acceso a los puertos de diagnóstico debe ser controlado de manera segura por un mecanismo de seguridad apropiado y un procedimiento que garantice que sólo son accesibles mediante un acuerdo formal y documentado que justifique el ingreso por parte del personal de soporte de hardware y software.
Artículo 110: Los especialistas de redes en conjunto con el área de unidad de seguridad de los activos de información, deben establecer las políticas de control de acceso para redes compartidas, especialmente aquellas que se extiendan más allá de los límites de la Institución. Dichos controles deben implementarse mediante equipos o software de red que filtren el tráfico por medio de reglas o tablas previamente definidas. Las restricciones aplicadas deben basarse en la política y los requerimientos de acceso de las aplicaciones del Ente supervisado y deben mantenerse y actualizarse de conformidad a lo expresamente establecido en la norma definida para tal fin. En este sentido, deben considerarse restricciones para:
a. Correo electrónico.
b. Transferencia unidireccional de archivos.
c. Transferencia de archivos en ambas direcciones.
d. Acceso interactivo.
e. Acceso de red vinculado a hora o fecha.
Autor: SUPERINTENDENCIA DE BANCOS Y OTRAS INSTITUCIONES FINANCIERAS - Gerencia de Gestión Organizacional - Caracas, marzo 2007
PROTECCIÓN DE LOS PUERTOS DE DIAGNOSTICO REMOTO
Artículo 109: El acceso a los puertos de diagnóstico debe ser controlado de manera segura por un mecanismo de seguridad apropiado y un procedimiento que garantice que sólo son accesibles mediante un acuerdo formal y documentado que justifique el ingreso por parte del personal de soporte de hardware y software.
Artículo 110: Los especialistas de redes en conjunto con el área de unidad de seguridad de los activos de información, deben establecer las políticas de control de acceso para redes compartidas, especialmente aquellas que se extiendan más allá de los límites de la Institución. Dichos controles deben implementarse mediante equipos o software de red que filtren el tráfico por medio de reglas o tablas previamente definidas. Las restricciones aplicadas deben basarse en la política y los requerimientos de acceso de las aplicaciones del Ente supervisado y deben mantenerse y actualizarse de conformidad a lo expresamente establecido en la norma definida para tal fin. En este sentido, deben considerarse restricciones para:
a. Correo electrónico.
b. Transferencia unidireccional de archivos.
c. Transferencia de archivos en ambas direcciones.
d. Acceso interactivo.
e. Acceso de red vinculado a hora o fecha.
Autor: SUPERINTENDENCIA DE BANCOS Y OTRAS INSTITUCIONES FINANCIERAS - Gerencia de Gestión Organizacional - Caracas, marzo 2007
Comentarios
Publicar un comentario