CIS1010IS04.

Transcripción

1 CIS1010IS04 PROPUESTA PARA EL CUMPLIMIENTO DE LOS CONTROLES TÉCNICOS DE LA CIRCULAR 14 BASADO EN EL MODELO PLANTEADO POR LA NORMA ISO27001, BAJO PLATAFORMA ORACLE Javier Alejandro Losada Rivera Marco Antonio Olivera Arboleda PONTIFICIA UNIVERSIDAD JAVERIANA FACULTAD DE INGENIERÍA CARRERA DE INGENIERÍA DE SISTEMAS BOGOTÁ, D.C. 2010

2 CIS1010IS04 PROPUESTA PARA EL CUMPLIMIENTO DE LOS CONTROLES TÉCNICOS DE LA CIRCULAR 14 BASADO EN EL MODELO PLANTEADO POR LA NORMA ISO27001, BAJO PLATAFORMA ORACLE Autor(es): Javier Alejandro Losada Rivera Marco Antonio Olivera Arboleda MEMORIA DEL TRABAJO DE GRADO REALIZADO PARA CUMPLIR UNO DE LOS REQUISITOS PARA OPTAR AL TITULO DE INGENIERO DE SISTEMAS Director Ing. Luz Adriana Bueno Mendoza Jurados del Trabajo de Grado Ing. Gloria Patricia Arenas Mendoza Ing. Norbey Mejía Chica PONTIFICIA UNIVERSIDAD JAVERIANA FACULTAD DE INGENIERÍA CARRERA DE INGENIERÍA DE SISTEMAS BOGOTÁ, D.C. Diciembre, 2010 i

3 PONTIFICIA UNIVERSIDAD JAVERIANA FACULTAD DE INGENIERÍA CARRERA DE INGENIERÍA DE SISTEMAS Rector Magnífico Joaquín Emilio Sánchez GarcíaS.J. Decano Académico Facultad de Ingeniería Ingeniero Francisco Javier Rebolledo Muñoz Decano del Medio Universitario Facultad de Ingeniería Padre Sergio Bernal Restrepo S.J. Directora de la Carrera de Ingeniería de Sistemas Ingeniero Luis Carlos Díaz Chaparro Director Departamento de Ingeniería de Sistemas Ingeniero César Julio Bustacara Medina ii

4 Dedicatoria A nuestros padres que ayudaron a que este sueño fuera posible iii

5 AGRADECIMIENTOS Agradecemos a nuestra directora Luz Adriana Bueno que desde un principio nos apoyó en la realización del proyecto, sin su guía, soporte y compromiso no podría haberse logrado. A nuestros Padres por estar siempre presentes, apoyándonos y aconsejándonos en cada paso que dimos. A Alejandra por estar siempre de manera incondicional junto a mí. iv

6 CONTENIDO pág. 1. MARCO TEÓRICO DESCRIPCIÓN DEL CONTEXTO COMMITTEE OF SPONSORING ORGANIZATIONS OF THE TREADWAY COMMISSION (COSO) Marco de Control (Informe COSO) SOX y El Control Interno Como Funciona SOX CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY (CobiT) Áreas de Enfoque del Gobierno de las TI Marco de Trabajo ISO Tecnología de la Información Técnicas de seguridad Sistemas de gestión de seguridad de la información Requerimientos Seguridad de la Información ISO y el sistema de gestión de la seguridad de la información Establecimiento del sgsi Identificación de los Activos de la Información Clasificación de Activos de Información Análisis de la Situación Actual Análisis de Riesgos y Vulnerabilidades Opciones del Tratamiento del Riesgo Requisitos de Documentación Ciclo de Vida de la Información Alineamiento Estratégico v

7 1.5. Circular Externa 014 del 2009 de la Superintendencia Financiera de Colombia Elementos y Estructura de la Circular COSO y la Circular ISO y la Circular Circular 014 y los Controles Tecnológicos Alineación Circular 014 de 2009, ISO 27001:2005 Anexo A, Cobit y COSO Soluciones Tecnológicas NECESIDADES TÉCNICAS GENERALES A CUMPLIR EN LA CIRCULAR 14 SECCIÓN Cifrado y Enmascaramiento Control de Acceso Monitoreo y Auditoría Continuidad del negocio Gestión Documental COMPONENTES ORACLE Cifrado y Enmascaramiento Oracle Data Masking Pack Oracle Advanced Security Option Control de Acceso Oracle Database Vault Oracle Identity Management Oracle Virtual Private Database (VD) Monitoreo y Auditoría Oracle Enterprise Manager y Oracle Enterprise Manager Grid Control Oracle Audit Vault Oracle Database Firewall Oracle Diagnostic Pack Oracle Configuration Management Pack (CMP) Continuidad del Negocio Oracle Real Application Clusters (RAC)...76 vi

8 Oracle Data Guard (DG) y Oracle Active Data Guard (ADG) Oracle Golden Gate Gestión Documental Oracle Enterprise Content Management (ECM) Oracle Information Rights Management (IRM) Alineación de la Circular 014 de 2009 de la Superintendencia Financiera y las ISO27001 con los productos ORACLE seleccionados ARQUITECTURAS PROPUESTAS Arquitecturas Para Mediana Empresa ARQUITECTURA ORIENTADA A LA CONTINUIDAD DEL NEGOCIO Tabla de Apoyo al Cumplimiento Lista de productos asociados a la arquitectura Ilustración de la arquitectura ARQUITECTURA ORIENTADA A LA SEGURIDAD Tabla de Apoyo al Cumplimiento Lista de productos asociados a la arquitectura Ilustración de la arquitectura ARQUITECTURA ORIENTADA A LA ADMINISTRACIÓN Y MONITOREO Tabla de Apoyo al Cumplimiento Lista de productos asociados a la arquitectura Ilustración de la arquitectura Arquitecturas Para Grandes Empresas ARQUITECTURA AVANZADA ORIENTADA A LA CONTINUIDAD Tabla de Apoyo al Cumplimiento Lista de productos asociados a la arquitectura Ilustración de la arquitectura ARQUITECTURA AVANZADA ORIENTADA A LA SEGURIDAD Tabla de Apoyo al Cumplimiento Lista de productos asociados a la arquitectura vii

9 Ilustración de la arquitectura ARQUITECTURA AVANZADA ORIENTADA A LA ADMINISTRACIÓN Y MONITOREO 138 Tabla de Apoyo al Cumplimiento Lista de productos asociados a la arquitectura Ilustración de la arquitectura Estadísticas de Cumplimiento LA Circular 014 ENMARCADA BAJO EL MODELO PROPUESTO DE LA NORMA ISO CONCLUSIONES BIBLIOGRAFÍA TRABAJOS CITADOS ANEXOS Anexo Circular 014 de 2009 De La Superintendencia Financiera Sección Normas de Control Interno para la gestión de la Tecnología Plan Estratégico de Tecnología Administración de la Calidad Administración de Cambios Seguridad de los Sistemas Administración de los datos Administración de las instalaciones viii

10 LISTA DE TABLAS Tabla 1: confianza que la información de la organizaciones es protegida de ataques internos y externo...2 Tabla 2: violaciones externas experimentadas en los últimos 12 meses...3 Tabla 3: violaciones internas en los últimos 12 meses...3 Tabla 4: daños y perjuicios estimados totales monetarios que son resultado de violaciones durante los 12 meses pasados...4 Tabla 5: controles y productos asociados...80 Tabla 6: Reporte de cuota del mercado de RDBMS a nivel mundial Tabla 7: controles apoyados con la arquitectura básica de continuidad Tabla 8: controles apoyados con la arquitectura básica de seguridad Tabla 9: Controles apoyados con la arquitectura básica de continuidad Tabla 10: Controles apoyados con la arquitectura avanzada de continuidad Tabla 11: Controles apoyados con la arquitectura avanzada de Seguridad Tabla 12: Controles apoyados con la arquitectura avanzada de Administración y Monitoreo Pág. ix

11 LISTA DE FIGURAS Ilustración 1: Estándares y Regulaciones....5 Ilustración 2: Ciclo del SCI...8 Ilustración 3: Medios para el SCI...8 Ilustración 4: Componentes del SCI...9 Ilustración 5: Ventajas de SOX...12 Ilustración 6: Áreas de enfoque del gobierno de las TI. (IT Governance Institute, 2007)...14 Ilustración 7: Marco de Trabajo completo de CobiT...16 Ilustración 8 Protección de la Información (Deloitte, 2010)...18 Ilustración 9. Evolución de ISO Ilustración 10 Ejemplo Activos de La Información (Deloitte, 2010)...21 Ilustración 11 Clasificación Activos (Deloitte, 2010)...22 Ilustración 12 Integración del Negocio, Funcionario, Normatividad e ISO27001 (Deloitte, 2010)..23 Ilustración 13 Riesgos vs Vulnerabilidades (Deloitte, 2010)...24 Ilustración 14 Tratamiento del Riesgo (Deloitte, 2010)...25 Ilustración 15 Ciclo de Vida de la Información (Deloitte, 2010)...28 Ilustración 16 Estrategia de Seguridad (Deloitte, 2010)...29 Ilustración 17: Objetivos de Control MECI...30 Ilustración 18: Elementos del SCI en la Circular 14 (Oracle, 2009)...39 Ilustración 19 SCI y los Activos de la Información...41 Ilustración 20 Ciclo de Mejora Continua - Activos de Información...42 Ilustración 21: Circular 14 arquitectura Base Controles apoyados versus no apoyados Ilustración 22: ISO arquitectura Base Controles apoyados versus no apoyados Ilustración 23: Arquitectura Base Continuidad del negocio Ilustración 24: circular 14 arquitectura base controles apoyados versus no apoyados Ilustración 25:iso arquitectura base controles apoyados versus no apoyados Ilustración 26: Arquitectura base Seguridad Ilustración 28: Circular 14 arquitectura base: controles apoyados versus no apoyados Ilustración 29: Iso arquitectura base: controles apoyados versus no apoyados Ilustración 30: Arquitectura Base: Administración y monitoreo Ilustración 31: Circular 14 arquitectura avanzada continuidad: controles apoyados versus no apoyados Ilustración 32: Iso arquitectura avanzada Continuidad: controles apoyados versus no apoyados Pág. x

12 Ilustración 33: arquitectura avanzada. Continuidad del negocio Ilustración 34: Circular 14 arquitectura avanzada Seguridad: controles apoyados versus no apoyados Ilustración 35: Iso arquitectura avanzada Seguridad: controles apoyados versus no apoyados Ilustración 36: Arquitectura avanzada Seguridad Ilustración 37: Circular 14 arquitectura avanzada Administración y Monitoreo: controles apoyados versus no apoyados Ilustración 38: Iso arquitectura avanzada administración y Monitoreo: controles apoyados versus no apoyados Ilustración 39: Arquitectura Avanzada: Administración y monitoreo Ilustración 40: Porcentajes de apoyo en la circular 014 con la arquitectura básica Ilustración 41: Porcentajes de controles apoyados de la ISO con la arquitectura básica Ilustración 42: Porcentajes de controles apoyados de la circular 014 con la arquitectura Avanzada Ilustración 43: Porcentajes de controles apoyados de la Iso con la arquitectura avanzada..145 Ilustración 44: ciclo de implementación del Sistema de Gestión de Seguridad xi

13 LISTA DE ANEXOS Anexo Circular 014 de 2009 De La Superintendencia Financiera Sección Pág. xii

14 GLOSARIO Alter Table: comando referente a la base de datos permite modificar la estructura de los objetos de las bases de datos. Ataque Dirigido: Uso de grandes redes de computadores para realizar peticiones constantes a un punto específico, por ejemplo un servidor de correo. BotNets: Conjunto de computadores que son controlados remotamente para fines maliciosos. Ciberdelincuencia: Es un delito informático el cual ha sido realizado a través de un medio digital y ha repercutido en un sistema protegido de manera jurídica. Ciberseguridad: Seguridad relacionada con los medios tecnológicos como computadores, celulares, televisión digital. COSO: Committee of Sponsoring Organizations of the Tread- way Commission. DBA: Database Administrator. Rol que desempeña labores de administración de una base de datos. Deploy: desplegar una aplicación en un ambiente. GRC: Governance Risk and Compliance Hacker: Programador perfeccionista y obsesivo, hábil en el uso de los sistemas, que gusta de explorarlos al detalle (Prieto, 2010) 1 ISO: International Standarization Organization. Malware: Forma reducida de "malicious y software y este contiene programas espías, envío de spam, virus. Red Zombi: BotNet. SCI: Sistema de Control Interno. SGSI: Sistema de Gestión de Seguridad de la Información. SOX: Sarbanes-Oxley Act of 2002 (Ley Sarbanes Oxley). 1 Prieto, J. L. (2010). Acerca del término hacker. Obtenido de Centro Virtual Cervantes. xiii

15 SQL Injection: es aprovecharse de una vulnerabilidad de una sentencia SQL ingresando código malicioso. TI: Tecnología de la Información. xiv

16 INTRODUCCIÓN En la actualidad es imperativo para las empresas, ya sean grandes o pequeñas el mitigar los riesgos subsecuentes de su actividad económica, porque de otra manera seria imposible sobrevivir en el ambiente competitivo del mercado actual, por ello no debe ser visto como una molestia o como un gasto innecesario, la aplicación de controles para la mitigación de riesgos es una inversión a futuro que evitara más de un dolor de cabeza y por supuesto el gasto de prevenir será poco comparado con los gastos que genera la materialización de un riesgo, Además muchos de ellos pueden ser sobrellevados con software y hardware que pueden reducir el error humano, automatizando procesos y realizándolos de manera eficaz y eficiente, pero definir estos controles no es fácil y mucho menos aplicarlos por ello afortunadamente en el mundo existen modelos, estándares y regulaciones que buscan dar una guía para lograr mantener protegida a las empresas contra los riesgos. El siguiente trabajo de grado tiene como objetivo apoyar el cumplimiento de los controles tecnológicos de la circular 014 de 2009 de la Superintendencia Financiera de Colombia, para lograr esta meta, se inicia con la alineación de la circular junto con estándares y regulaciones internacionales que tienen un grado de madurez más alto debido a su trascendencia e historia, además cuentan con modelos de adopción ya probados, y debido a que la creación de estas estándares y normas fueron creados a partir de buenas prácticas es de esperar que en muchos de los controles sean comunes. Una vez encontrada la relación de los controles entre sí, se analizaran los requerimientos tecnológicos y se definirán los tipos de programas necesarios que abarquen la mayor parte de los controles de la circular 014, ya teniendo presente las necesidades de software se procederá con el estudio de los productos Oracle, una vez seleccionados se pasa a los diseños donde vemos como los productos se distribuyen teniendo en cuenta que se proponen dos grandes arquitecturas una para gran empresa y otra para mediana empresa estas a su se dividen en tres subgrupos los cuales son monitoreo, seguridad y Administración y Monitoreo, esto permitirá a las empresa pensar en una adopción por etapas de los productos ORACLE. Finalmente se propone una homologación de la circular 014 de 2009 de la Superintendencia Financiera de Colombia con el modelo propuesto por la norma ISO 27001, donde se podrá apreciar por ejemplo que el análisis y la gestión de riesgos es abordada por la ISO xv

17 OBJETIVOS OBJETIVO GENERAL Desarrollo de una propuesta para el cumplimiento de los controles tecnológicos de la circular 14 que permita mediante el uso de herramientas Oracle, agilizar la administración de la seguridad de la información acorde con los objetivos de control del Anexo A relacionados de la norma ISO OBJETIVOS ESPECÍFICOS Analizar el porcentaje de controles de la ISO que pueden ser resueltos a través de los objetivos de control tecnológicos de la circular 014 de la superintendencia financiera. Explorar, analizar y seleccionar las soluciones tecnológicas Oracle que apoyen el cumplimiento de los controles tecnológicos de la circular 14 así como los controles relacionados con la ISO Analizar, Diseñar y describir de las arquitecturas basadas soluciones tecnológicas Oracle que apoyaran el cumplimiento de los controles tecnológicos de la circular 14 así como los controles relacionados con la ISO Validar la propuesta y las soluciones por medio de un juicio de experto teniendo en cuenta el nivel de impacto y cumplimiento que tendría su adopción. xvi

18 PRESENTACIÓN DEL PROYECTO ALCANCE El presente trabajo busca proponer un manejo de los controles tecnológicos de la Circular 14 en paralelo a los objetivos de control relacionados de la norma ISO La idea principal de la propuesta, es llevar a cabo un análisis del porcentaje de objetivos de control contenidos en el Anexo A de la norma ISO que pueden ser resueltos a través de los objetivos de control de la circular 14, esto con el fin de que las organizaciones que sea vean en la obligación de cumplir con la regulación nacional (Circula 014) cuenten con un recurso que pueda facilitar el proceso de implementar un sistema de gestión de seguridad de la información con validez internacional como el que propone la ISO De manera adicional, la propuesta no solo se conformará con la identificación, clasificación y análisis de los controles en común entre la Circular 014 e ISO También se explorarán y analizarán herramientas de Oracle que apoyarán el cumplimiento de dichos controles, esto con el fin de agilizar el proceso de identificación de soluciones tecnológicas que deberían implantar aquellas organizaciones interesadas en el cumplimiento de las especificaciones de la Circular 014 e ISO Ya teniendo una serie de soluciones claramente identificadas se analizarán y diseñarán una serie arquitecturas basadas en herramientas Oracle para pequeñas, medianas y grandes empresas, que apoyarán el cumplimiento de los controles tecnológicos de la circular 14 así como los controles relacionados con la ISO xvii

19 METODOLOGÍA En este capítulo se presenta la metodología que enmarco las actividades del presente proyecto, dividida en fases con sus respectivos entregables. La metodología que será empleada para el desarrollo de este proyecto consiste en una serie de etapas interconectadas que servirán de base sólida para el resultado final de la investigación uyytysa ETAPA 1 ETAPA 2 ETAPA 3 ETAPA 4 Reconocimiento Sistema de Control Interno y Seguridad de la Información. Levantamiento Planeación Lineamientos Diseño Arquitectónico Validación Circular 14 DIAGRAMAS ISO anexo A xviii

20 xix

21 1. MARCO TEÓRICO En esta sección encontraremos los concepto y teorías necesarias que se utilizaran para sustentar y justificar el problema de la investigación propuesta DESCRIPCIÓN DEL CONTEXTO La adopción de tecnologías que apoyen los procesos empresariales es una tendencia que se está dando desde hace varios años, esto debido a las ventajas que estas ofrecen como lo son: agilizar procesos, generar conocimientos, mejorar administración del conocimiento, romper fronteras de comunicación y producción, expansión a nuevos mercados, sustentando decisiones y generando más ganancias, Pero el uso de la tecnología por sí sola no es suficiente, a esta se le debe proveer datos obtenidos de diferentes fuentes (informes, investigaciones, estadísticas entre otras), que una vez procesados se convierten en información que debe ser almacenada y según su calidad y cantidad, se convierte junto con la tecnología en los activos más valiosos de la empresa. Pero el incremento descuidado de esta información está generando grandes riesgos que amenazan con la permanencia de las empresas en el mercado, esto es debido a la complejidad de estas tecnologías y a la falta de metodología para la integración de las mismas, esto lo único que logra es que las ventajas obtenidas se vuelvan en contra de las empresas, ya que facilita por falta de controles que empleados desleales, hackers, malware, virus, fallos en hardware o desastres naturales, generen grandes pérdidas para las empresas que en algunos casos nunca logran recuperarse, por ello es importante salvaguardar la información controlando la tecnología. Hoy en día la batalla por la información es ahora una guerra cibernética que se da en todos los rincones del mundo. Y el listado de amenazas es creciente donde podemos encontrar desde redes zombis o botnets que realizan ataques dirigidos, PDFs maliciosos, hasta grupos de hacking donde entrenan nuevos atacantes, en su discurso dado el 29 de mayo de 2009 el presidente de los Estados Unidos Barack Obama dice: Se ha estimado que sólo el año pasado los ciberdelincuentes robaron la propiedad intelectual de las empresas en todo el mundo por valor de hasta 1 trillón de dólares. (WHITE HOUSE, 2009) 2, esta escandalosa cifra evidencia la falta de ciberseguridad en las empresas. 2 WHITE HOUSE. (29 de Mayo de 2009). REMARKS BY THE PRESIDENT. Recuperado el 2010 de Septiembre de 5, de whitehouse: Securing-Our-Nations-Cyber-Infrastructure/ 1

22 En una encuesta realizada por Deloitte 2010 Global Financial Services Security Survey (Deloitte, 2010) 3 en la cual participaron el 27% de las 100 principales instituciones financieras mundiales, 26% de los 100 principales bancos mundiales y el 28% de las 50 compañías aseguradoras mundiales las cuales se les realizaron preguntas relacionadas con la seguridad de la información, cuando se les pregunto el nivel de confianza de que la información está protegida contra ataques cuyos resultado apreciamos en la Tabla 1, la mayoría de los encuestados un 42% afirmo sentir Algo de Confianza con su protección contra un ataque interno y tan solo un 25% se sintió Algo de Confianza con su protección contra un ataque externo, tan solo el 34% afirmo estar Muy Confiado frente a un ataque interno y un 56% dijo estar Muy Confiado contra un ataque externo. TABLA 1: CONFIANZA QUE LA INFORMACIÓN DE LA ORGANIZACIONES ES PROTEGIDA DE ATAQUES INTERNOS Y EXTERNO Ataques originados internamente Ataques originados Mucha Muy Algo de No muy No Confían Confianza Confiado Confianza Confiado en Absoluto 5% 34% 42% 16% 2% 15% 56% 25% 3% 1% externamente Tomado y Traducido de 2010 Financial Services Global Security Study: The faceless threat (Deloitte, 2010). 4 Si bien los niveles de confianza más bajos No muy Confiado y No confían en Absoluto de la Tabla 1 no suman más de 18%, cuando hablamos de Ataques originados internamente y solo suman un 4% cuando hablamos de Ataques originados externamente, los ataques informáticos exitosos se presentan y peor aún estos se repiten debido a que las empresas no reaccionan de manera adecuada ante estas agresiones, entre los que más se presentan que apreciamos en la Tabla 2 están El software malicioso se origina fuera de la organización que se presenta por lo menos una vez en el 14% de las empresas y ocurre repetidas veces en un 20% de las empresas, esto 3 Deloitte. (2010) Financial Services Global Security Study: The faceless threat. Recuperado el Agosto de 29 de 2010, de deloitte: Global/Local%20Assets/Documents/Financial%20Services/dtt_fsi_2010%20Global%20FS%20Security%20S urvey_ pdf 4 Ibíd., p. 2. 2

23 evidentemente no debe suceder pero sucede y no solo con este tipo de ataques sino que con otros como lo son La pérdida de información procede de un ataque físico fuera de la organización. Indudablemente los ataques no solo provienen desde fuera de la organización y entre las que más se presentan al interior de las organizaciones como se ve en la Tabla 3 se encuentra la Brecha accidental de información que proviene de dentro de la organización que se presenta por lo menos una vez en el 14% de la organizaciones y se repite en más del 20% de ellas. TABLA 2: VIOLACIONES EXTERNAS EXPERIMENTADAS EN LOS ÚLTIMOS 12 MESES Un Incidente Repetidos Incidentes El software malicioso se origina fuera de la organización 14% 20% La pérdida de información procede de un ataque físico fuera de la 10% 10% organización Fraude financiero externo que implica sistemas de información 5% 9% Brecha de información que proviene de fuera de la organización 7% 4% Brecha de información que proviene de un vendedor de tercero 6% 4% Robo de información que es resultado de espionaje estatal o 2% 1% industrial Desfiguración del sitio web 4% 1% Brecha de la red móvil que proviene de fuera del a organización 1% 1% Otra forma de brecha externa 5% 4% Tomado y Traducido de 2010 Financial Services Global Security Study: The faceless threat (Deloitte, 2010) 5. TABLA 3: VIOLACIONES INTERNAS EN LOS ÚLTIMOS 12 MESES Un Incidente Repetidos Incidentes Brecha accidental de información que proviene de dentro de la 8% 11% organización Software malévolo que proviene de dentro de la organización 9% 10% Brecha de información que proviene de dentro de la organización 11% 8% conducida por un empleado Fraude interno financiero que implica sistemas de información 7% 4% Brecha de información que proviene de dentro de la organización conducida por un no empleado 3% 2% 5 Ibíd., p. 2. 3

24 Brecha de información que proviene de un vendedor de tercero 3% 2% Brecha de red móvil que proviene de dentro de la organización 1% 1% Información privilegiada y comerciante bribón 2% 0% Otra forma de brecha interna 3% 3% Tomado y Traducido de 2010 Financial Services Global Security Study: The faceless threat (Deloitte, 2010) 6. Sin lugar a dudas estos ataques no solo generan perdida de información y de imagen ante los clientes, también generan grandes pérdidas que en algunos casos ni siquiera puede ser estimada por las empresas, como se puede contemplar en la Tabla 4 que solo el 26% dice no hay perdida financiera, mientras que el restante presentan perdidas que van desde los dólares hasta 10 millones de dólares y en algunos casos 10% dice que esta no medido, debemos tener en cuenta que en más de la mitad de los casos las empresas no tiene registro de estar perdidas con lo cual se aumenta la probabilidad que los errores se presenten nuevamente. TABLA 4: DAÑOS Y PERJUICIOS ESTIMADOS TOTALES MONETARIOS QUE SON RESULTADO DE VIOLACIONES DURANTE LOS 12 MESES PASADOS Tomado y Traducido de 2010 Financial Services Global Security Study: The faceless threat (Deloitte, 2010) 7. 6 Ibíd., p Ibíd., p. 2. 4

25 Por estas razones La creciente adopción de mejores prácticas de TI ha sido impulsada por una exigencia de la industria de TI para gestionar mejor la calidad y fiabilidad de las TI en los negocios y responder a un número cada vez mayor de las disposiciones normativas y contractuales (ITGI, 2005) 8 que buscan permitirles un mayor control en la administración de la información por medio de políticas y procedimientos de control interno, desarrollando sus objetivos en el ámbito de la seguridad, transparencia y eficiencia. (Superintendencia Financiera de Colombia, 2009) 9. Con relación a la gestión del riesgo, seguridad de la información, continuidad del negocio y elementos relacionados se observan en la Ilustración 1, se dispone de estándares internacionales como lo son COSO, Cobit, Val IT, CMMI, ISO (más conocido actualmente como ISO anexo A ó ISO 27002) y ITIL; y en lo referente a las Regulaciones encontramos a SARL, SARM, SARO, SARG, SARLAFT, CIRCULAR 052 BASILEA II y CIRCULAR 014. ILUSTRACIÓN 1: ESTÁNDARES Y REGULACIONES. Tomado de ISACA.org 8 ITGI. (2005). itgovernance. Recuperado el 15 de Agosto de 2010, de 9 Superintendencia Financiera de Colombia. (19 de Mayo de 2009). Normativa. Recuperado el 16 de Agosto de 2010, de Superintendencia Financiera de Colombia: 5

26 Estándares internacionales para la Gestión de la Seguridad de la Información, como lo es la ISO27001 anteriormente ISO 17799, la cual busca proponer un modelo para establecer, implementar, operar, monitorear, revisar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (ISO, 2005) 10, junto con ITIL y Cobit son el estándar y las buenas prácticas que están en las áreas de seguridad de la información o en los departamentos de tecnologías de información (ACIS, 2010) 11. Regulaciones Colombianas como lo es la Circular 052 y la Circular 014 también conocida como Circular 038 la cual contiene modificaciones para la circular 014 son emitidas por la Superintendencia Financiera de Colombia, cabe recalcar que la Circular 052 y Circular 014 son las normativas actuales a cumplir, sin embargo la Circular038 del 2009 es las más reciente y activa (Bueno, 2010) 12. Estas circulares consideran que Corresponde a los administradores de las entidades vigiladas o sometidas al control exclusivo de esta Superintendencia cumplir con dichas circulares, entre las entidades vigiladas encontramos las del sector de servicios de banca y financieros, en la actualidad estas empresas se están definiendo los planes de adopción e implementación de las mismas debido a que las fechas paras las cuales ellos deben demostrar cumplimiento se acercan. Estas regulaciones definen que es lo que desean pero en ningún momento especifican como lograr esto, por ello las empresas sin tener un punto de arranque ejecutan de manera inadecuada o parcialmente los controles que establecen las regulaciones, otros deciden no cumplirlos con las consecuencias que esto conlleva, Existe el peligro, que la aplicación de estas mejores prácticas potencialmente útiles será costosa y fuera de foco si se les trata como una orientación puramente técnica (ITGI, 2005) 13, para que estas buenas prácticas logren de manera efectiva sus objetivos se deben aplicar en el contexto del negocio y en la medida de lo posible que estas logren el mayor beneficio para la organización. La alta dirección, administración de empresas, auditores, oficiales de cumplimiento y los administradores de TI deben trabajar juntos para asegurar que las mejores prácticas de conducir a la relación coste-efectiva y bien controlados de TI de entrega. (ITGI, 2005) 14 Es importante aclarar que la propuesta puede servir para seleccionar controles a resolver tanto en una entidad financiera robusta como una pequeña, aunque el tiempo, el esfuerzo y el presupuesto a emplear variarán sensiblemente. A continuación serán explicados de manera un poco más detalladas algunos de los marcos de referencia nombrados anterior mente así mismo se aclarara la relación entre ellos. 10 ITGI. (2005), op. cit., p ACIS. (2010). II Encuesta Latinoamericana de Seguridad de la información. Recuperado el 13 de Septiembre de 2010, de ACIS: pdf 12 Bueno, Luz Adriana (2010). 13 ITGI. (2005), op. cit., p ITGI. (2005), op. cit., p.5. 6

27 1.2. COMMITTEE OF SPONSORING ORGANIZATIONS OF THE TREADWAY COMMISSION (COSO) Antes de abordar en detalle la Circular 014 es importante conocer cuáles fueron los lineamientos que influenciaron su creación y porque la Superintendencia financiera decidió oficializar y exigir el cumplimiento de una regulación basada en estándares internacionales que enmarca los objetivos del negocio dentro del concepto del Control Interno. COSO, se constituyó en 1985 con el fin ofrecer patrocinio a la Comisión Nacional De Información Financiera Fraudulenta, cuyo propósito es estudiar aquellos factores que dan evidencia a la emisión de información financiera de carácter fraudulento. COSO es una organización sin ánimo de lucro cuya función es emitir lineamientos a la administración ejecutiva y a diversas entidades con el fin de establecer procesos de negocio basados en la ética, en la eficiencia y eficacia. Es por esto que dicho lineamiento toma la forma de frameworks y guías basados en buenas prácticas fruto de investigaciones, y análisis hechos a profundidad MARCO DE CONTROL (INFORME COSO) El informe COSO tiene por objetivos (Bae, 2003) 15 : Establecer un Marco de Referencia común de Control Interno. Dicho Marco debe ser susceptible de evaluación por parte de cualquier organización con el fin de evaluar su Sistema de Control y encontrar la manera de mejorarlo. Apoyar a las Directivas de las empresas a optimizar el proceso de control de actividades. El control interno es un proceso o ciclo (Ver Ilustración 2) efectuado por las Directivas, la Gerencia y el personal, con el fin de aportar un nivel aceptable de seguridad en el logro de los objetivos. Esto para garantizar que las operaciones hechas en la organización sean eficientes y eficaces. Para que la información financiera sea correcta y confiable y para garantizar el cumplimiento de leyes y normas pertinentes. 15 Bae, B. (2003). Internal Control Issues: The Case of Changes to Information Processes. 7

28 ILUSTRACIÓN 2: CICLO DEL SCI En la ilustración 2 se observa el ciclo que debe llevarse a cabo para el desarrollo de un Sistema de Control Interno como el que propone COSO. Este sistema surge entonces como solución o instrumento para lograr los objetivos propuestos por la organización y busca esto a través de: ILUSTRACIÓN 3: MEDIOS PARA EL SCI 8

29 Como beneficios la entidad adquiere: Incrementar la productividad y competitividad de la entidad. Generar confianza e incrementar el reconocimiento de la entidad por parte de sus grupos de interés. Fortalecer el proceso de toma de decisiones, fundamentando su gestión en la identificación, prevención y gestión de riesgos y en la mejora continua. Clarificar los roles de las diferentes áreas de dirección de los órganos de control involucrados en el Sistema de Control Interno. Dar mayor relevancia al rol que desempeña el proceso contable y tecnológico para el soporte de los procesos misionales de la entidad. Mayor compromiso por parte de todos los funcionarios de la entidad en el cumplimiento de los objetivos institucionales. Esto es que cada funcionario entienda la importancia de cumplir debidamente con su trabajo para lograr los objetivos de negocio propuestos por las directivas. COSO no es un proceso secuencial, por el contrario es interoperable, reiterativo y constante. Como se muestra en la Ilustración 8, COSO cuenta con cinco componentes principales relacionados entre sí como respuesta a la administración adecuada del negocio. Dichos componentes están interconectados con los procesos administrativos formando un sistema integrado que reacciona dinámicamente a las condiciones cambiantes. [Control Interno y Control de Gestión] del entorno que rodean a las organizaciones. Los componentes son: ILUSTRACIÓN 4: COMPONENTES DEL SCI Basado en degerencia.com 9

30 Ambiente de Control Es el primer componente del SCI y propone establecer un entorno que incite e influencie todas las actividades que tiene a cargo el personal referente al control de las actividades. El Ambiente de Control es la base de los cuatro componentes restantes que se apoyan en este elemento. (Mantilla, 2005) 16 Análisis de Riesgo: Este componente comprende una etapa de identificación y otra de análisis de los riesgos más importantes a los que se verían comprometidos los objetivos de negocio de la organización y que servirá como base para conocer la manera en la que esos riesgos serán manejados. (Mantilla, 2005) 17 Actividades de Control: Una actividad de control es realizada por todo el personal de la empresa para garantizar el cumplimiento de las actividades que le han sido asignadas. Dichas actividades tienen una relación directa con procedimientos y políticas internas. Estas actividades pueden tomar la forma de autorizaciones, aprobaciones, revisiones e indicadores y van dirigidas a los riesgos y objetivos de la organización. (Mantilla, 2005). 18 La importancia de estas actividades de control radica en que su naturaleza es la de mostrar la manera correcta y adecuada de hacer las cosas, asegurando en mayor medida el logro de los objetivos planteados. Información y Comunicación: Para que el personal pueda cumplir con las responsabilidades que les han sido asignadas, es necesario que la información ligada a estas haya pasado por un proceso de identificación y filtrado para que posteriormente sea debidamente comunicada. Es crucial que la Directiva de la entidad declare su responsabilidad sobre el control y la importancia de las actividades individuales para el trabajo de otros empleados. Es indispensable que la organización cuente con los medios adecuados para realizar procesos de comunicación internos y externos. (Mantilla, 2005) Mantilla, S. A. (2005). Auditoría del control interno. 17 Ibíd., p Ibíd., p Ibíd., p

31 Monitoreo: Como las condiciones bajo las que se diseñaron los sistemas de control cambian y evolucionan ya sea por factores externos o internos es necesario que la Gerencia lleve a cabo procedimientos de revisión y re-evaluación de los componentes que hacen parte del sistema, para que los controles que han perdido eficiencia debido al cambio sean corregidos y reforzados. Sin embargo el hecho de que hayan cambiado las condiciones no implica que la revisión y valoración deba realizarse en todos los elementos del sistema ni mucho menos al mismo tiempo. Y esto dependerá de las condiciones de la organización, los riesgos previamente identificados y el rendimiento de cada uno de los componentes de control. (Mantilla, 2005) 20 Si bien COSO identifica una serie de componentes de control interno con el fin de ser implementados para lograr los objetivos de reportes financieros y divulgación este no está solo, también existe una regulación a nivel mundial para el control en el proceso de emisión de información financiera y está basada en procesos de control interno para tal fin, dicha regulación es llamada SOX o Ley Sarbanes-Oxley. A continuación se explicará sus objetivos fundamentales y su relación con COSO SOX Y EL CONTROL INTERNO SOX es una ley de los Estados Unidos que surgió debido a una serie de sucesos en el 2001 relacionados con quiebras, fraudes y anomalías en la administración corporativa que puso en duda la veracidad de la información financiera emitida por las empresas. En el 2002 la ley Sarbanes- Oxley fue aprobada con el fin de fortalecer los mecanismos de control de las empresas y retomar la confianza en el proceso de emisión de información financiera. Para lo anterior busca crear Transparencia en las operaciones, generar controles que aseguren el manejo legal y minimizar riesgos para la alta gerencia. Adicionalmente, busca que las entidades produzcan requerimientos relacionados con la confiabilidad y veracidad de la información financiera así como la calidad de los procesos de emisión de la información y sus controles internos. 20 Ibíd., p

32 Como Funciona SOX. De SOX se abstraen una serie de interrogantes interrelacionados que buscan generar procedimientos de valoración y mejora del sistema de control, dichos pasos son los siguientes: Luego de estos pasos se debe llevar a cabo la Implementación de nuevos controles y la actualización y mejora de los existentes para así garantizar un nivel aceptable de confiabilidad, exactitud y disponibilidad en el proceso de emisión de la información financiera. ILUSTRACIÓN 5: VENTAJAS DE SOX 12

33 Y es de esa forma que SOX se convierte en un sistema de Implementación del control interno para verificar y analizar los procedimientos de funcionamiento, garantizar la confiabilidad de la información y la gestión pertinente obteniendo como resultado los aspectos que se muestran en la Ilustración 5. Si bien COSO identifica cinco componentes de control interno, que deberán estar integrados para alcanzar los objetivos de reporte financiero y divulgación, CobiT (CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY) proporciona una guía detallada similar pero para TI (BDO, 2010) CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY (COBIT) Para el proceso de apoyo al cumplimiento de los controles de la Circular 014 se hará uso de herramientas tecnológicas por lo tanto es necesario abordar el estándar COBIT, el cual apunta hacia el control sobre la inversión en TI, velando por el uso responsable de los recursos tecnológicos, entendiendo, planeando y gestionando los riesgos asociados a esta, y realizando mediciones sobre el despeño con el fin de asegurar que la inversión en TI genere beneficios para la organización. El gobierno de las TI busca la integración e institucionalización de las buenas prácticas, para lograr sacar el máximo provecho a la información que tienen las empresas, para así maximizar los beneficios obtenidos. Para lograr esto es necesario un marco de referencia y los Objetivos de Control para la Información y la Tecnología relacionada (CobiT) brindan buenas prácticas a través de un marco de trabajo de dominios y procesos, y presenta las actividades en una estructura manejable y lógica. Las buenas prácticas de CobiT representan el consenso de los expertos. Están enfocadas fuertemente en el control y menos en la ejecución. Estas prácticas ayudarán a optimizar las inversiones habilitadas por TI, asegurarán la entrega del servicio y brindarán una medida contra la cual juzgar cuando las cosas no vayan bien (IT Governance Institute, 2007) 22. CobiT no expide un certificado que avale el uso de las prácticas indicadas, pero ISACA si brinda un título personal como lo es Certified Information Systems Auditor (CISA), Certified Information Security Manager (CISM) y "Certified in the Governance of Enterprise IT" CGEIT. 21 BDO. (2010). Adoptando los Modelos de Control Interno COSO y COBIT. 22 IT Governance Institute. (2007). cobit4.1. Recuperado el 12 de Septiembre de 2010, de isaca: 13

34 ÁREAS DE ENFOQUE DEL GOBIERNO DE LAS TI. COBIT ofrece un modelo de procesos genéricos que representan los procesos que se encuentran en las funciones de TI, esto ofrece un modelo de referencia común para los gerentes operativos de TI y del negocio, de esta manera se establece un puente entre lo que los gerentes operativos deben realizar y lo que los ejecutivos desean gobernar. El marco de referencia Cobit tiene como objetivos que: TI está alineada con el negocio. TI habilita al negocio y maximiza los beneficios. Los recursos de TI se usan de manera responsable. Los riesgos de TI se administran apropiadamente. La medición del desempeño. Estos objetivos definen las áreas de enfoque que vemos en la ilustración 9. ILUSTRACIÓN 6: ÁREAS DE ENFOQUE DEL GOBIERNO DE LAS TI. (IT GOVERNANCE INSTITUTE, 2007) Alineación Estratégica: se enfoca en garantizar la alineación entre los planes de negocio y de TI; en definir, mantener y validar la propuesta de valor de TI y en alinear las operaciones de TI con las operaciones de la empresa. 14

35 Entrega de Valor: se refiere a ejecutar la propuesta de valor a todo lo largo del ciclo de entrega, asegurando que TI genere los beneficios prometidos en la estrategia, concentrándose en optimizar los costos y en brindar el valor intrínseco de la TI. Administración de Recursos: se trata de la inversión óptima, así como la administración adecuada de los recursos críticos de TI, aplicaciones, información, infraestructura y personas. Los demás temas claves se refieren a la optimización de conocimiento y de infraestructura. Administración de Riesgos: requiere conciencia de los riesgos por parte de los altos ejecutivos de la empresa, un claro entendimiento de apetito de riesgo que tiene la empresa, comprender de cumplimiento, transparencia, de los riesgos significativos para la empresa, y la inclusión de las responsabilidades de administración de riesgos dentro de la organización. Medición del Desempeño: rastrea y monitorea la estrategia de implementación, la terminación del proyecto, el uso de los recursos, el desempeño de los procesos y la entrega del servicio, con el uso, por ejemplo, de balanced scoredcards que traducen la estrategia en acción para lograr las metas medibles más allá del registro convencional. (IT Governance Institute, 2007) Ibíd., p

36 MARCO DE TRABAJO. ILUSTRACIÓN 7: MARCO DE TRABAJO COMPLETO DE COBIT Tomado de CobiT 4.1 spanish. (IT Governance Institute, 2007) CobiT es un marco relacionado con ISO anexo A y Coso, ya que incorpora aspectos elementales de otros estándares relacionados, debido a esto las empresas que se hayan desarrollado según las prácticas de CobiT están más cerca de adaptarse y lograr la certificación de ISO (López Neira, Otros Estandares) López Neira, A. (s.f.). Otros Estandares. Recuperado el 14 de Septiembre de 2010, de iso27000.es: 16

37 1.4. ISO TECNOLOGÍA DE LA INFORMACIÓN TÉCNICAS DE SEGURIDAD SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN REQUERIMIENTOS Cuando se habla del Sistema de Control Interno, este no solo incluye aspectos de gestión de riesgos, integración de sistemas y cultura de calidad, sino que además sugiere la idea de implantar un sistema de gestión de seguridad de la información es por esto que a continuación se aborda la norma ISO la cual se remite directamente a la implantación de un SGSI SEGURIDAD DE LA INFORMACIÓN. La información es uno de los activos más importantes de una empresa, y es posible que a veces no se lleven a cabo medidas para protegerla y alguna contingencia puede llevar a perderla para siempre. La tecnología hoy en día juega un papel importante en la operación y vida de una organización, casi todos los procesos en el ámbito de las comunicaciones, producción y gestión de la información dependen en gran medida de ella. Los riesgos a los que la información se enfrenta van desde los daños físicos como desastres naturales o daños humanos hasta los causados por virus, ataques informáticos y daños en infraestructura tecnológica. Y es por esto que las amenazas a las que actualmente están expuestas las organizaciones son cada vez mayores. Contar con un sistema 100% seguro es prácticamente imposible, siempre hay cabida a una pequeña posibilidad de que alguien logre hacer más de lo que los administradores de sistemas de cómputo le permitan hacer. (Colombiahosting.com, 2010) 25 He aquí unas estadísticas relacionadas con la seguridad de la información hoy en día: 45% de los empleados se llevan consigo información de la empresa cuando cambia de empleo. (Machines, 2002) 26 97% de los entrevistados se muestra preocupado sobre brechas en la protección de la información. (Institute, 2009) 27 80% de los entrevistados considera que la mayor amenaza humana para la seguridad de la información son personas internas. (Institute, 2009) Colombiahosting.com. (2010). La Seguridad de la Información. 26 Machines, L. (2002). Information Security Survey on Internal Threats. 27 Institute, M. T. (2009). CISO Information Security Survey. 28 Ibíd., p

38 Los siguientes porcentajes fueron obtenidos del documento Seguridad de la Información en Latinoamérica, Tendencias Jeimy Cano Virus 71% Software No Autorizado 61% Troyanos 33% Acceso No Autorizados 31% Manipulación de Aplicaciones 22% (Cano, 2009) 29 Las anteriores estadísticas nos muestran que la Seguridad de la información no es un mito, tampoco moda, es una realidad. (Deloitte, 2010) 30. Y es que actualmente el mismo mercado lleva a las organizaciones a contemplar constantemente la protección de la información para sus negocios, la globalización, la tecnología como producto de consumo masivo, etc. ILUSTRACIÓN 8 PROTECCIÓN DE LA INFORMACIÓN (DELOITTE, 2010) 29 Cano, Jeimy. (2009). Seguridad de la Información en Latinoamerica Tendencias. 30 Deloitte, op. cit., p.2. 18

39 Adicional a las condiciones de mercado, uno de los problemas más significativos es que la mayoría de los especialistas en seguridad basan sus conocimientos y experticia solamente en el aspecto técnico tradicional de la seguridad, es decir del área IT. (Meyer, 2010) 31 Pero obteniéndose un enfoque puramente técnico, lo único que se manejaría serían vulnerabilidades bajo ciertos tipos de plataformas siendo insuficiente para el gran número de riesgos asociados a ellas. El mejor proceso es llevar a cabo un análisis de riesgos, donde se realiza una valoración de los activos en la organización, una identificación de amenazas relacionadas con las vulnerabilidades de cada uno de los activos. A partir de este proceso es posible iniciar con la identificación de los riesgos. Posteriormente es necesario conocer la manera en la que los riesgos se asumirán, generalmente se busca mitigarlos para lograr un nivel aceptable de funcionamiento, pero que para lo cual se deberán generar e implantar un serie de disposiciones de seguridad. El proceso sigue realizando un análisis de los riesgos identificados contra un estándar técnico como lo es la ISO27001 (como se verá más adelante), para así poder establecer una serie de controles a implantar de acuerdo a un nivel de implementación definido para reducir dichos riesgos a estados aceptables. Para esto se propone un Sistema de Gestión de la Seguridad de la Información ISO Y EL SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN. El propósito de un sistema de gestión de la seguridad de la información es, por tanto, garantizar que los riesgos de la seguridad de la información sean conocidos, asumidos, gestionados y minimizados por la organización de una forma documentada, sistemática, estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologías. (López Neira, iso27000.es el Portal de ISO en español, 2005) 32 Siguiendo la meta del SGSI podremos garantizar que habrá protección de la confidencialidad, integridad y disponibilidad de la información. Este estándar fue aprobado y publicado en el año 2005 por ISO, esto con el fin de crear una certificación que se enfocara exclusivamente en la seguridad informática, en el anexo A se encuentran los objetivos de control y controles necesarios para lograr el SGSI (Sistema de gestión de seguridad de la información) el cual es la base sobre la cual se construye la certificación, para llegar finalmente a la ISO se vivió un proceso de muchos años de evolución y crecimiento de 31 Meyer, C. O. (2010). Seguridad Informatica vs Seguridad de la Información. 32 López Neira, A. (2005). iso27000.es el Portal de ISO en español. Recuperado el 16 de Agosto de 2010, de 19

40 la importancia que llega a tener la seguridad informática en las empresas, en el siguiente grafico podemos observas los elementos que dejaron huella en la creación de la certificación. ILUSTRACIÓN 9. EVOLUCIÓN DE ISO Con el apropiado uso de la certificación se logra: reducir o prevenir los riegos relacionados con la información, esto mediante la implantación de controles adecuados, consiguiendo que la empresa esté preparada ante la materialización de una amenaza con lo cual se garantice la continuidad del negocio. Crear un instrumento para la creación del SGSI que considere la estructura organizativa, los recursos, los procedimientos y la política de la empresa. Gestión de la integridad, disponibilidad y confidencialidad. Concientización del personal de la empresa en lo relacionado con la seguridad de la informática más específicamente en la seguridad de la información. En general con un SGSI, la organización conoce los riesgos a los que está sometida su información y los asume, minimiza, transfiere o controla mediante una sistemática definida, documentada y conocida por todos, que se revisa y mejora constantemente (López Neira, iso27000.es el Portal de 20

41 ISO en español, 2005) 33. Es importante que la seguridad haga parte del diario vivir de la empresa y que se tenga en cuenta desde el cargo más bajo como el más alto de la organización. Adicionalmente si una empresa logra la certificación le será de gran utilidad ya que con ella puede demostrar no solo a nivel nacional sino a nivel internacional, que cuenta con un sistema de gestión en el campo de seguridad informática, lo cual nos facilitara el hacer negocios con multinacionales ya que algunas de ellas exigen esta certificación para lograr tener una relación comercial ESTABLECIMIENTO DEL SGSI. El establecimiento del SGSI consta de las siguientes fases: Identificación de los Activos de la Información. Como se vio anteriormente, la estrategia de seguridad busca identificar un nivel aceptable de seguridad acorde con los objetivos de negocio de la organización, sin embargo para establecer dicho nivel es necesario identificar qué activos de la empresa serán objeto de control y verificación, es decir, establecer qué activos se van a asegurar. Para esto se debe identificar los flujos de información y los datos que pasan a través de ellos, esto se hace en cada uno de los procesos críticos que se hayan seleccionado y a partir de este mecanismo se identifican los activos de información de dichos procesos que serán tratados por el análisis de riesgos. ILUSTRACIÓN 10 EJEMPLO ACTIVOS DE LA INFORMACIÓN (DELOITTE, 2010) Ibíd., p DELOITTE, op. cit., p.2. 21

42 Como se muestra en la imagen de arriba, es un ejemplo de algunos procesos de negocio en una organización, allí deben analizarse los flujos de información que atraviesan el proceso en cuestión, validar con el dueño del proceso e identificar los activos asociados a dichos procesos, para su posterior clasificación. Clasificación de Activos de Información. Para realizar una clasificación de los activos de información se requiere haber identificado como se explicó anteriormente unos procesos, para cada proceso una serie de activos. Posteriormente se establecen atributos agrupados en categorías que ayudarán a establecer el impacto del activo frente a una característica de la información. En estas categorías se encuentras ejemplos como Confidencialidad, Integridad y Disponibilidad. Cada atributo tendrá un puntaje de acuerdo al impacto en la característica. Totalizando de acuerdo a cada categoría como lo indica la gráfica, quedan agrupados los puntajes de los atributos de acuerdo a Confidencialidad, Integridad y Disponibilidad, para luego establecer un promedio obteniendo como resultado la columna llamada Valor del Activo, que contendrá un puntaje que indicará el impacto del activo en el negocio, siendo los puntajes más altos los que obtendrán mayor prioridad. ILUSTRACIÓN 11 CLASIFICACIÓN ACTIVOS (DELOITTE, 2010) 22

43 Análisis de la Situación Actual. Actualmente las empresas deben lidiar con diversos aspectos coyunturales, por un lado disponen ellas mismas de una Estrategia de negocio que establece planes y programas de acción, definiendo prioridades y recursos para lograr los objetivos de negocio. Por otro lado se encuentra con la estructura organizacional que define una división del trabajo en la organización alineado con los objetivos de negocio pero limitado por mecanismos de coordinación para ajustar, estandarizar, supervisar y valorar las actividades pertenecientes a las labores operacionales. Y por último se encuentran con un entorno que establece una serie de procesos bajo un marco normativo. Estos tres elementos deben integrarse y alinearse con el fin de trabajar juntos en contexto con la norma ISO ILUSTRACIÓN 12 INTEGRACIÓN DEL NEGOCIO, FUNCIONARIO, NORMATIVIDAD E ISO27001 (DELOITTE, 2010) DELOITTE, op. cit., p.2. 23

44 Análisis de Riesgos y Vulnerabilidades. Establecer un inventario de activos críticos por proceso no es suficiente para realizar un mecanismo de protección y aseguramiento, también es necesario e indispensable identificar los riesgos asociados a dichos activos, sus vulnerabilidades y las probabilidades de que estos se presenten. Como se muestra en la siguiente gráfica, con anterioridad ya se cuentan con los procesos y los activos asociados a ellos, lo siguiente a identificar son la vulnerabilidades para cada uno de los activos agrupadas según categorías, pare el caso Confidencialidad, Integridad y Disponibilidad, luego de identificar las amenazas asociadas a los activos y se determina la probabilidad de que una amenaza suceda y explote la vulnerabilidad tratada. ILUSTRACIÓN 13 RIESGOS VS VULNERABILIDADES (DELOITTE, 2010) DELOITTE, op. cit., p.2. 24

45 Opciones del Tratamiento del Riesgo. Las siguientes son las cuatro opciones que propone Deloitte para tratar los posibles riesgos que se presenten (Deloitte, 2010) 37 : ILUSTRACIÓN 14 TRATAMIENTO DEL RIESGO (DELOITTE, 2010) Asumir el Riesgo Asumir el riesgo es la opción más arriesgada, es aceptar el riesgo y continuar operando tal como se ha estado haciendo (Deloitte, 2010) 38 Evitar el Riesgo Una de las más complicadas, Eliminar la causa de éste (ej. Sacar de producción un activo) (Deloitte, 2010) 39 Transferir el Riesgo Va desde transferir la operación y responsabilidad a un tercero o Usar opciones que compensen la pérdida (ej. Adquirir seguros o pólizas) (Deloitte, 2010) 40 con los costos que esto acarrea. Limitar el Riesgo La más adecuada de todas y la base del modelo ISO27001 que es Implementar controles que reduzcan la probabilidad de la amenaza (Deloitte, 2010) REQUISITOS DE DOCUMENTACIÓN. 37 DELOITTE, op. cit., p DELOITTE, op. cit., p.2 39 DELOITTE, op. cit., p.2 40 DELOITTE, op. cit., p.2 41 DELOITTE, op. cit., p.2 25

46 El ISO especifica que debe contar como mínimo los siguientes documentos en cualquier formato (Digital o impreso): Alcance: Acota las áreas de la empresa que son sometidas al SGSI. Políticas y Objetivos de Seguridad: declara el objetivo, el enfoque y el compromiso de la empresa en la gestión de la seguridad de la información. Procedimientos y mecanismos de control que soportan el SGSI: contiene los procedimientos que regulan el funcionamiento del SGSI, de manera clara y concisa. Enfoque de la evaluación de riesgos: detalla la metodología para el manejo de los riesgos, esto incluye identificación, análisis, define límites de tolerancia del riesgo y cálculo del impacto. Informe de la evaluación de riesgos: este es un documento que contiene los resultados de aplicar el enfoque de la evaluación de riesgos. Plan de tratamiento de riesgos: documenta los recursos, las responsabilidades y las prioridades de los riesgos, esto orientado por las conclusiones de la evaluación de riesgos y recursos disponibles. Procedimientos documentados: contiene los pasos para el manejo de los riesgos. Registros: Aquí podremos encontrar las evidencias que muestran el funcionamiento del SGSI. Declaración de aplicabilidad: esta sección contiene los objetivos de control y los controles. Los anteriores documentos deben contar con un proceso de verificación y validación para asegurar la calidad de los mismos ya que estos deben ser conocidos por todos los involucrados en el SGSI, que son los miembros de las áreas sometidas al SGSI. Para lograr la implementación este estándar internacional adopta el modelo PDCA por sus siglas en ingles Plan-Do-Check-Act, en español seria Planificar-Hacer-Verificar-Actuar. Esta norma está dividida en once dominios de control, 39 objetivos y 133 controles. Los dominios presentados abarcan: política de seguridad, organización de la seguridad de la información, gestión de activos, control de acceso, seguridad de los recursos humanos, cumplimiento, seguridad física y del entorno, adquisición, desarrollo y mantenimiento de sistemas de información, gestión de las comunicaciones y operaciones, gestión de la continuidad del negocio y gestión de incidentes de seguridad de la información. (ICONTEC, 2010) 42 Adicionalmente las organizaciones deben implementar los objetivos de control y los controles descritos en los numerales 5 al 15 de la ISO/IEC 27002, que cumplan los requisitos identificados en el proceso de valoración y tratamiento de riesgos. 42 ICONTEC. (2010). Certificación ISO Recuperado el 1 de Septiembre de 2010, de icontec.com: ma=esp 26

47 Obtener un buen sistema de gestión de la información no depende de la tecnología que utilicemos en nuestra empresa, sino en mayor medida de los procesos y las personas involucradas, con el objetivo de preservar el valor actual y futuro de nuestras organizaciones. (Dutra, 2006) 43 Ciclo de Vida de la Información. Con el aumento dramático de la información y la consecuente complejidad en su administración da una idea del porqué los sistemas y las soluciones de almacenamiento se desplazan hacia el centro de la infraestructura tecnológica. (Solla, 2009) 44. La TI busca ahora generar conciencia del valor actual de la información, su organización y clasificación según importancia y prioridad. De esta forma así como otros procesos de negocio cuentan con un ciclo de vida, la información también lo tiene, donde su valor constantemente cambia desde su creación hasta su fin. El valor de la información no es constante, este varía de acuerdo a los estados en las operaciones de la organización como por ejemplo: Horas o días en las transacciones que generan las ventas. (Solla, 2009) 45 Mensuales en el tratamiento de nóminas. (Solla, 2009) 46 Anuales en los cierres de ejercicio. (Solla, 2009) 47 Esto significa que las organizaciones cada vez producen y usan en mayor nivel grande s volúmenes de información, que constantemente modifican, actualizan y mantienen como acción natural al crecimiento del negocio. Adicionalmente se vinculan normativas que obligan a establecer un el plazo que hay que mantener salvaguardados los correos y otras informaciones en formato electrónico, así como el tiempo máximo para su recuperación y puesta a disposición del organismo solicitante (Solla, 2009) Dutra, E. G. (24 de febreo de 2006). Seguridadit Blogspot. Recuperado el 16 de Agosto de 2010, de 44 Solla, J. L. (2009). Gestión del Ciclo de Vida de la Información. 45 Ibíd., p Ibíd., p Ibíd., p Ibíd., p

48 Entonces a medida que la información crece es necesario establecer un ciclo apropiado que apoyará los cambios de estado y de valor que en ella se presentan y para esto se establece un ciclo de 6 fases como lo muestra la siguiente imagen: ILUSTRACIÓN 15 CICLO DE VIDA DE LA INFORMACIÓN (DELOITTE, 2010) 49 Este ciclo permitirá asociar un estado en el que se encuentra la información con unos procedimientos para tratarla en dicho estado. Estos procedimientos son libremente establecidos por la organización y dependen en gran medida del volumen, tipo y tiempos de vida de la información a tratar. El punto de partida radica que dentro de la organización se comprenda que la gestión del ciclo de vida la información puede implementarse por etapas, cada una ofreciendo un valor específico, la construcción de esta implementación es secuencial y dependerá del alcance fijado por la organización así como de las arquitecturas tecnológicas existentes. De esta forma como bien la norma ISO27001 requiere que todo proceso se encuentre debidamente documentado, es necesario establecer un ciclo de vida válido y acorde con los requerimientos para toda documentación generada fruto del establecimiento de nuevos procedimientos en la organización. 49 Deloitte. (2010). Alineando Procesos de Negocio con la ISO

49 ALINEAMIENTO ESTRATÉGICO. Ya conociendo la estructura formal de la norma ISO 27001, es evidente que se necesita identificar una estrategia de seguridad en las organizaciones para esto es necesario contemplar los diferentes aspectos que la alimentan. Por un lado es necesario establecer los Objetivos de Negocio, que estén debidamente formulados y clarificados, posteriormente se formularán los objetivos de seguridad que estarán alineados con los de negocio, para consecuentemente emitir Políticas corporativas que deberán ser divulgadas en todas la organización. Estas políticas establecerán procedimientos de acción frente a los aspectos claves en ciertas operaciones de la compañía. Estos tres elementos permitirán generar una Política de Seguridad que propondrá más adelante procesos, pasos, controles y verificaciones en las actividades relacionadas con los aspectos claves de seguridad que buscan implantarse. Con los componentes anteriores ya definidos, se procede a realizar un Plan de Acción el cual permitirá programar y controlar las actividades que deberán llevarse a cabo para dar cumplimiento a las estrategias y proyectos de la organización, allí se establecerá un tiempo, espacio y metas de las tareas específicas que contribuirán con los objetivos de negocio y de seguridad. En este sentido, el plan de acción contemplará a su vez con una serie de procesos de seguridad que tendrá como base una Arquitectura de Seguridad escalable. ILUSTRACIÓN 16 ESTRATEGIA DE SEGURIDAD (DELOITTE, 2010) 50 Ya entendiendo el concepto del Sistema de Control interno y su relación con el Sistema de Gestión de Seguridad de la información, a continuación se abordará en detalle la Circular 014, sus objetivos, estructura y controles. 50 Ibíd., p

50 1.5. CIRCULAR EXTERNA 014 DEL 2009 DE LA SUPERINTENDENCIA FINANCIERA DE COLOMBIA La superintendencia Financiera controla y supervisa la gestión de las entidades detalladas en los artículos 72 y 73 del Decreto 4327 de 2006 y bajo este contexto emitió la Circular Externa 14 el 19 de Mayo de 2009, titulándola Instrucciones relativas a la revisión y adecuación del Sistema de Control Interno realizando un recalcando la importancia del papel que tiene el Sistema de Control Interno (SCI) como instrumento fundamental del gobierno corporativo de las entidades. La exigencia de su adopción inició el 30 de septiembre de La emisión de la circular busca presentar un conjunto de requerimientos y recomendaciones técnicas y metodológicas con el fin de hacer cumplir un modelo de gestión relacionado con las actividades a desarrollar propias del control interno de las entidades. La circular 14 hereda aspectos fundamentales del Modelo Estándar de Control Interno (MECI) establecido en el Decreto 1599 de 2005 y aplicabilidad en el sector público. Su alcance es bastante grande incluyendo: - Tareas - Funciones - Responsabilidades Todas ellas propias de los Directivos, Auditores Internos, Departamento de Tecnología, Administración del Riesgo. De esta forma MECI propone una estructura para realizar control en la gestión, en la estrategia y valoración de las entidades esto con el fin de orientarse hacia el cumplimiento de los objetivos de la institución. El Modelo MECI se formuló con el propósito de que las entidades pudieran mejorar su desempeño día a día fortaleciendo los procesos control y evaluación. Para esto (similar a la Circular 014) las entidades deben llevar a cabo una valoración que arrojará un nivel de efectividad de los elementos de control con los que cuenta, con el fin de realizar una etapa de diseño, desarrollo o incluso de ajuste para su implementación o mejora según sea el caso. Sin embargo, es importante aclarar los objetivos fundamentales del Modelo Estándar de Control Interno (MECI), estos se agrupan en 5 Grandes Áreas u Objetivos de Control: ILUSTRACIÓN 17: OBJETIVOS DE CONTROL MECI 30

51 Objetivos de Control de Cumplimiento (Colombia, 2005) 51 : Estos controles son los que afectan directamente a la Administración, es decir que allí se encuentran actividades que le permitirán a la organización cumplir con las funciones establecidas, generar instrucciones o pasos de verificación y evaluación dentro del marco que establezca la ley. Objetivos de Control Estratégico (Colombia, 2005) 52 : Estos objetivos re encalcan la importancia que tiene el control sobre los procesos, además construye una serie de procedimientos que rediseñan a la entidad permitiendo gestionar los posibles riesgos que puedan presentarse. Objetivos de Control de Ejecución (Colombia, 2005) 53 : Estos objetivos buscan crear una serie de instructivos para las actividades y funciones de la organización que garanticen aspectos de prevención y corrección en ellas. Esto con el fin de poder tomar decisiones con información pertinente, correcta y fiable. También hace referencia a un nivel mínimo de comunicación que permita un ejercicio adecuado de la actividad empresarial. Objetivos de Control de Evaluación (Colombia, 2005) 54 : 51 Colombia, R. d. (2005). MODELO ESTANDAR DE CONTROL INTERNO PARA EL ESTADO COLOMBIANO. Bogotá. 52 Ibíd., p Ibíd., p Ibíd., p

52 Busca que existan herramientas, medios e instructivos que permitan generar actividades de corrección y mejoramiento. Hace referencia también, a actividades de verificación y evaluación constante del control y la gestión acorde con las recomendaciones de los entes de control. Objetivos de Control de Información (Colombia, 2005) 55 : Son procedimientos que explican el cómo generar información clara, correcta y exacta para ser entregada a los entes de control interno para su posterior evaluación y resultado. Bajo este marco de control que aporta MECI es en el cual en parte se basa la Superintendencia Financiera para emitir circular 14 donde evaluará el cumplimiento de las exigencias que en ella se nombran pero de acuerdo a su propio modelo de supervisión. En dicha Circular se establece de manera obligatoria la realización de informes periódicos en cada etapa de cierre e informes de avance sobre cada temática. De esta manera la Superintendencia Financiera busca constatar la existencia de documentación formal como Políticas, procedimientos y normas. Así como la implementación real en los sectores relacionados. Para tal fin la Superintendencia Financiera cuenta con un documento mayor que evaluará a manera de CheckList los aspectos a revisar durante su visita. La circular externa 014 busca no solo los administradores de las entidades vigiladas o sometidas al control exclusivo de la Superintendencia Financiera de Colombia cumplan con un sistema de control interno, sino que las entidades Financieras también lo hagan llevando a cabo una serie de procedimientos, normas, políticas y mecanismos que entregarán un nivel de seguridad adecuado para la organización y para aquellas entidades que interactúen con ella. Dentro de la circular 14 se establece: - Ámbito de Aplicación - Objetivos - Elementos del Sistema de Control. - Procedimientos para la gestión de riesgos. - Órganos responsables de verificar la implementación y cumplimiento del SCI. - Mecanismos y procesos de seguimiento. Adicionalmente afirma que son los representantes legales de la organización tienen a cargo establecer y mantener los sistemas de revelación, los de control y además el proceso de diseño y operación de los controles internos. 55 Ibíd., p

53 El cumplimiento de la circular 14 es posible solo con la implantación de un SCIF (Sistema de Control Interno Efectivo) el cual permitiría la detección y remedio de los vacíos que existen entre los riesgos que la compañía afronta y los controles establecidos para prevenir o mitigar esos riesgos. Este sistema busca contribuir al logro de los objetivos empresariales y fortalecer la administración de los riesgos a los que las empresas están expuestas a diario en sus actividades ofreciendo entornos de seguridad y eficiencia. Los registros de fracasos y crisis en el sector empresarial han mostrado que la gerencia toma riesgos sin los controles correspondientes. Es por esto que con un nuevo enfoque del control interno se puede corregir esta falla llevando a cabo controles en cada uno de los procesos administrativos y estableciendo un Ambiente de Control que incentive los principios y buenas conductas orientadas al control. En este caso las directivas juegan un papel crucial para transferir liderazgo y compromiso haciendo hincapié en la gran importancia de los controles internos y las responsabilidades que deben ser asumidas por cada uno de los funcionarios de acuerdo al sistema de control interno. Por lo tanto se habla de un control preventivo donde se reúnen aspectos fundamentales de la organización como la estrategia, reglamentos, información para tomar decisiones, etc. De esta manera las directivas, jefes y empleados tendrán la capacidad para administrar los riesgos de la empresa, estableciendo con antelación un Sistema de Control Interno. Claro está que el Sistema de Control Interno se basa en que cada uno de los funcionarios de la empresa control su trabajo con el fin de detectar fallas para después ejecutar acciones correctivas en sus funciones y proporcionar mejoras a las operaciones. Bajo este contexto los auditores juegan dos papeles importantes para el mantenimiento del Sistema de Control interno. Por una parte, la auditoría interna es un aspecto fundamental para el mejoramiento del sistema, detectando irregularidades, gestionando riesgos, amenazas y proporcionando un monitoreo constante de los procesos internos. La auditoría externa ofrece un nivel adecuado de seguridad a terceros referente a la confiabilidad de la certificación que tiene la empresa para comprobar la efectividad de su Sistema de control Interno ELEMENTOS Y ESTRUCTURA DE LA CIRCULAR 14. Como ya se ha explicado con anterioridad, todas las entidades supervisadas, deberán implementar un Sistema de Control Interno de nivel aceptable que la circular establece en sus capítulos. Y se espera que dicho sistema sea acorde con el tamaño de la empresa es decir que se deberá tener en 33

54 cuenta el número de empleados, activos e ingresos, número de sucursales, etc. (Superintendencia Financiera de Colombia, 2009) 56. La Circula Externa 014 en su sección 7.4 explica lo que para la Superintendencia Financiera son los principios del Sistema de Control Interno, siendo tres como se muestra a continuación: 1) Autocontrol El autocontrol va directamente relacionado a que cada empleado en la organización pueda evaluar y controlar su trabajo (Superintendencia Financiera de Colombia, 2009) 57, y si detectará un error pueda efectuar una actividad de corrección en sus funciones, a esto se le agrega también, la capacidad de optimizar tareas y responsabilidades asignadas. Además atribuye las Directivas la responsabilidad de recalcar el deber de cada uno de los empleados en la organización para que sean conscientes de sus funciones y los procesos de control ligados a ellas, lo cual permitirá cumplir con los objetivos propuestos de la Dirección. 2) Autorregulación Hace referencia a que la organización debe estar en capacidad de generar lineamientos, normas e instructivos que permitan que el Sistema de Control Interno pueda ser desarrollado, implementado o mejorado según sea el caso. 3) Autogestión La autogestión hace referencia a que la organización este en capacidad de interpretar, coordinar, ejecutar y evaluar de manera efectiva, eficiente y eficaz su funcionamiento. (Superintendencia Financiera de Colombia, 2009) 58. Basada en los principios mencionados, la Circular 014 establece una serie de aspectos que garantizarán una seguridad aceptable dentro de las organizaciones acorde con sus objetivos y cumpliendo con la regulaciones correspondientes. 56 Superintendencia Financiera de Colombia. (19 de Mayo de 2009). Normativa. Recuperado el 16 de Agosto de 2010, de Superintendencia Financiera de Colombia: 57 Ibíd., p Ibíd., p

55 Para que haya un cumplimiento efectivo de los principios mencionados anteriormente así como los objetivos del SCI tratados en la sección 1.1, las organizaciones tendrán que crear una estructura de control interno (Superintendencia Financiera de Colombia, 2009) 59 que esté basado en los elementos del SCI propuesto por el Modelo COSO, ya explicados en la sección , sin embargo señálemelos desde la perspectiva de la Circula 014: Ambiente de Control La Circular 14 se refiere a este como políticas y procedimientos que deben seguirse para lograr que las instrucciones de la administración con relación a sus riesgos y controles se cumplan. Las actividades de control se distribuyen a lo largo y a lo ancho de la organización, en todos los niveles y funciones. (Superintendencia Financiera de Colombia, 2009) 60 Y propone unos elementos básicos para la creación de un ambiente de control, dicho elementos son: 1) Establecimiento formal de los principios de la organización, es decir debidamente documentado, y que sea divulgado a toda la empresa. 2) Generación de un Código de Conducta 3) Seguimiento de procedimientos que permitan que los empleados cuenten con suficiente información para el cumplimiento de sus responsabilidades. 4) Estructura Organizacional en función del SCI, con establecimiento de responsabilidades y niveles de autoridad correspondientes. 5) Generación de objetivos organizacionales orientados a la Misión y Visión de la empresa. Análisis de Riesgo: Este componente comprende una etapa de identificación y otra de análisis de los riesgos más importantes a los que se verían comprometidos los objetivos de negocio de la organización y que servirá como base para conocer la manera en la que esos riesgos serán manejados. Es decir que es necesario establecer unos objetivos a nivel interno y externo que permitirán identificar los riesgos que amenazan su cumplimiento, así como la determinación de métodos para el tratamiento y monitoreo de los riesgos, con el propósito de prevenir o evitar la materialización 59 Superintendencia Financiera de Colombia, op. cit., p Superintendencia Financiera de Colombia, op. cit., p

56 de eventos que puedan afectar el normal desarrollo de los procesos (Superintendencia Financiera de Colombia, 2009) 61 y de no ser posible por lo menos mitigar su impacto. Para el caso de las entidades sometidas a control como las financieras, el proceso de administración del riesgo deberá contar con los siguientes procedimientos: 1) Identificación de Amenazas. 2) Identificar y Priorizar Riesgos. 3) Calcular Probabilidad de Ocurrencia de los riesgos e impacto sobre los recursos. 4) Evaluar los controles identificados y determinar su efectividad. 5) Construcción de Mapas de Riesgos pertinentes. 6) Implementar un plan de continuidad del negocio y probarlo. 7) Divulgar mapas de riesgos y políticas definidas por la Administración. 8) Administración del Riesgo con el uso de diversas estrategias para mitigar su efecto. 9) Registro y Reporte de pérdidas materiales cuanto el riesgo de materializa. 10) Seguimiento con el apoyo de las entidades encargadas. 11) Establecimiento de acciones preventivas y correctivas. Actividades de Control: La Circular 014 afirma que las actividades de control son las políticas y los procedimientos que deben seguirse para lograr que las instrucciones de la administración con relación a sus riesgos y controles se cumplan. (Superintendencia Financiera de Colombia, 2009) 62. Y para esto, es necesario establecer actividades de carácter obligatorio para todo tipo de proceso en la organización dentro de las cuales, la Circular 014 espera: 1) Análisis de informes por parte de la Administración para observar los progresos en el logro de sus objetivos. 2) Gestión de Funciones y Actividades. 3) Análisis y Procesamiento de la Información. 4) Controles de Aplicación. (Superintendencia Financiera de Colombia, 2009) 63 5) Establecimiento de alcances en cada área de la organización dependiendo del tipo de riesgo. 6) Inspección de los lugares en los que se encuentran los visitantes con el fin de evitar una contingencia. 7) Controles Físicos. 8) Indicadores. 61 Superintendencia Financiera de Colombia, op. cit., p Superintendencia Financiera de Colombia, op. cit., p Superintendencia Financiera de Colombia, op. cit., p

57 9) Segregación de Funciones. (Superintendencia Financiera de Colombia, 2009) 64 10) Acuerdo de Confidencialidad. (Superintendencia Financiera de Colombia, 2009) 65 11) Procedimientos de Control. (Superintendencia Financiera de Colombia, 2009) 66 12) Difusión de las actividades de control. (Superintendencia Financiera de Colombia, 2009) 67 Las actividades de control que sean consideradas cumplirán una relación costo/beneficio y estarán apoyadas en políticas que enseñaran qué hay que hacer y cómo hacerlo. Información y Comunicación: La Circular 014 expresa que es indispensable identificar, capturar e intercambiar información en una forma y período de tiempo que permita al personal cumplir con sus responsabilidades. (Superintendencia Financiera de Colombia, 2009) 68 Información El sistema de información debe suministrar información suficiente para poder controlar los objetivos de negocio establecidos, la Circular 014 propone las siguientes: 1) Identificación de la información entrante y saliente. 2) Asignación de propietarios de la información y quienes tienen acceso a ella. 3) Generación de Formulario que minimicen el ingreso erróneo de información 4) Generar instructivos que pueda proponer un proceso de identificación, reporte y corrección de errores. 5) Procedimientos que permitan almacenar los documentos originales emitidos por la entidad. 6) Establecer restricciones y controles para que los informes sean hechos por personal autorizado. 7) Establecer restricciones y controles que protejan el acceso no autorizado a la información. 8) Establecimiento de procesos de backup. 9) Parámetros para la entrega de la información sin importar el medio. 10) Clasificación de información en privada, publica, confidencial. 11) Custodia de la información. 12) Uso de mecanismos o herramientas que eviten el uso de información privilegiada. 64 Superintendencia Financiera de Colombia, op. cit., p Superintendencia Financiera de Colombia, op. cit., p Superintendencia Financiera de Colombia, op. cit., p Superintendencia Financiera de Colombia, op. cit., p Superintendencia Financiera de Colombia, op. cit., p

58 13) Detectar fallas y aplicar correcciones. 14) Cumplir Requerimientos Legales (Superintendencia Financiera de Colombia, 2009) 69 Comunicación: La organización debe garantizar un nivel de comunicación bastante alto para que esta se propague en todas las áreas de la organización. De esta forma, cada empleado deber saber exactamente qué rol desempeña dentro del Sistema de Control Interno y ser consciente que las actividades que realiza dependen de las de otros y viceversa. Para tal fin, la Circular 14 Propone los siguientes elementos tomados literalmente de sus capítulos: 1) Canales de comunicación 2) Responsables de su manejo 3) Requisitos de la información que se divulga 4) Frecuencia de la comunicación 5) Responsables 6) Destinatarios 7) Controles al proceso de comunicación (Superintendencia Financiera de Colombia, 2009) 70 Monitoreo: La Circula 014 define a este componente como el proceso que se lleva a cabo para verificar la calidad de desempeño del control interno a través del tiempo (Superintendencia Financiera de Colombia, 2009) 71. Lo anterior se logra con unos procesos de valoración continua en cada una de las áreas o procesos liderados por cada uno de los jefes responsables. La circular externa hace hincapié en que el SCI debe ser dinámico para que siempre pueda adaptarse a las condiciones de la empresa y al entorno en el que opera. Lo cual implica una evaluación de calidad y desempeño del sistema con sus correcciones pertinentes. 69 Superintendencia Financiera de Colombia, op. cit., p Superintendencia Financiera de Colombia, op. cit., p Superintendencia Financiera de Colombia, op. cit., p

59 La siguiente Ilustración muestra un resumen los elementos del SCI propuesto por la Circular 014. ILUSTRACIÓN 18: ELEMENTOS DEL SCI EN LA CIRCULAR 14 (ORACLE, 2009) COSO Y LA CIRCULAR 014. Con el paso de los años se ha presentado un interés sobre la importancia del control interno como elemento fundamental de las grandes organizaciones y así mismo se han generado una serie de herramientas que ayudan a las directivas de las entidades a ejercer dicha función de una manera más fácil y efectiva. Es por esto que existe una estructura bien conceptualizada sobre el control interno junto con varios enfoques teóricos disponibles. 39

60 Desde septiembre de 1992 el control interno ha constituido un fenómeno mundial y su aceptación ha ido creciendo en todos los sectores vinculados con los negocios. (Grupo Inversión, financiación y control Universidad Icesi, 2010) 72 Con la emisión de la ley SravaneOxley de 2001, las grandes organizaciones y entidades auditoras adoptaron el enfoque propuesto por el modelo COSO para así cumplir con esta regulación y es a partir de esta donde se generan herramientas orientadas para su implantación. Gracias a esto, los empresarios se vieron en la necesidad de establecer ciertos elementos que garantizarán un mínimo de control dentro de la organización. De esta forma, debieron transcurrir casi 20 años para que la Superintendencia Financiera de Colombia tuviera en consideración aquellos estándares de carácter internacional referentes al control interno como un requisito indispensable de cumplimiento de las organizaciones que están bajo su supervisión y control. Y para mayo de 2009, se promulga la Circular Externa 014 de 2009, circular que hace alusión al compromiso en el que se encuentran las organizaciones que están supeditadas al control y vigilancia de la Superintendencia Financiera. Dicho compromiso se entiende como la especificación de políticas y diseño de una serie de procedimientos de control interno que deberán ser implementados dentro de la entidad, esto con el fin de permitir, mejorar y garantizar el cumplimiento de sus objetivos de negocio. En esta circular se compila toda la normatividad dispersa sobre control interno y estructura un documento formal y completo sobre el tema de aplicación forzosa en Colombia para empresas emisoras de títulos valores. (Grupo Inversión, financiación y control Universidad Icesi, 2010) 73 El hecho de haberse emitido la Circular Externa, indica que se ha iniciado un proceso de verificación, estandarización y encuentro de los modelos de control interno, y es la Superintendencia Financiera quien sugiere la utilización de la guía de COSO(Committe Sponsoring Organization of thetreadway) como apoyo a dicho proceso de implantación. A continuación se explicará el porqué de la Circular Externa 014, sus antecedentes y la importancia de esta más allá del entorno regulatorio que la rodea. 72 Grupo Inversión, financiación y control Universidad Icesi. (Enero de 2010). Universidad ICESI. Recuperado el 15 de Agosto de 2010, de 73 Ibíd., p

61 ISO Y LA CIRCULAR 014. Tanto en la Circular 014 como en la norma ISO27001, la palabra control se refiere a una serie de acciones, a documentación, adopción de medidas, procedimientos y técnicas de medición. Tanto para Circular 014 como para la ISO27001 un control es lo que permite garantizar que cada aspecto que se valoró con un cierto riesgo, queda cubierto y auditable (Estrada, 2006) 74 En este sentido la Circular 014 y la ISO buscan establecer una definición común del control interno (Mantilla, 2005) 75, es decir que ambas proponen un marco de referencia con el fin de proporcionar un cierto grado de seguridad para la consecución de objetivos. Así que sobre un Activo de Información previamente identificado fruto de los lineamientos de la ISO27001 se llevará a cabo la aplicación de los cinco componentes básicos del sistema de control interno en el que se basa la Circular 014 (Explicados con anterioridad): ILUSTRACIÓN 19 SCI Y LOS ACTIVOS DE LA INFORMACIÓN 74 Estrada, A. (2006). ISO27001: Los Controles. 75 Mantilla, S. A. (2005). Auditoría del control interno. 41

62 De manera análoga Se trata de ejercer el control interno sobre nuestros principales activos mediante un ciclo de mejora continua (Security, 2010) 76 como se muestra a continuación: ILUSTRACIÓN 20 CICLO DE MEJORA CONTINUA - ACTIVOS DE INFORMACIÓN Plan: Definir la política de seguridad basada en los activos identificados, definir el alcance del Sistema de Gestión de la Seguridad, realizar el análisis de riesgos correspondiente para los activos identificados, selección de controles para la mitigación de los riesgos identificados. Do: Implantación del Plan de Gestión de Riesgos.Implantación de controles. Check: Revisión interna del Sistema de Gestión de Seguridad por medio de auditorías. Act: Aplicación de las Acciones Correctivas y Preventivas. 76 Security, E. (2010). ISO Certificación de la Gestión de la Seguridad de la Información Implantación SGSI. 42

63 De esta forma se observa la relación que tiene el SCI propuesto en la Circular 14 junto con el proceso de mejora continua que se llevaría cabo por la ISO contra los activos de la información identificados en la organización CIRCULAR 014 Y LOS CONTROLES TECNOLÓGICOS. A continuación se presentan los controles tecnológicos de la Circular 014 con los cuales se trabajarán más adelante para realizar una matriz de alineación entre los diferentes frameworks explicados en este Trabajo de Grado y su relación con esta normativa colombiana. Plan estratégico de tecnología. Infraestructura de tecnología. Relaciones con proveedores. Cumplimiento de requerimientos legales para derechos de autor, privacidad y comercio electrónico. Administración de proyectos de sistemas. Administración de la calidad. Adquisición de tecnología. Adquisición y mantenimiento de software de aplicación. Instalación y acreditación de sistemas. Administración de cambios. Administración de servicios con terceros. Administración, desempeño, capacidad y disponibilidad de la infraestructura tecnológica. Continuidad del negocio. Seguridad de los sistemas. Educación y entrenamiento de usuarios. Administración de los datos. Administración de instalaciones. Administración de operaciones de tecnología. Documentación. 43

64 1.6. ALINEACIÓN CIRCULAR 014 DE 2009, ISO 27001:2005 ANEXO A, COBIT Y COSO Circular de la Superintendencia Financiera ISO/IEC 27001:2005 Anexo A CobiT COSO Normas de Control Interno para la gestión de la Tecnología I Plan estratégico de tecnología. i. Análisis de cómo soporta la tecnología los objetivos del negocio. A Inventario de Activos A Back-up o respaldo de la información A Controles de red A Seguridad de servicios de red A Gestión de Medio removibles. A Seguridad de Documentación del Sistema A Medio Físicos en Tránsito A Mensajes electrónicos. A Comercio Electrónico. A Transacciones en línea. A Información Disponible Públicamente A Autenticación de usuario para conexiones externas A Control conexión de redes. A Control de Routing de redes. PO1 Definir un Plan Estratégico de TI. PO2 Definir la Arquitectura de la Información. PO3 Determinar la Dirección Tecnológica. PO4 Definir los Procesos, Organización y Relaciones de TI. PO5 Administrar la Inversión TI. PO6 Comunicar las Aspiraciones y la Dirección de la Gerencia. A Inventario de Activos 44

65 Circular de la Superintendencia Financiera ISO/IEC 27001:2005 Anexo A CobiT COSO ii. Evaluación de la tecnología actual. iii. Estudios de mercado y factibilidad de alternativas tecnológicas que respondan a las necesidades de la entidad. A Inventario de Activos. A Contacto con autoridades A Contacto con grupos de interés especial A Incluir seguridad de la información en el proceso de gestión de continuidad comercial. A Desarrollar e implementar planes de continuidad incluyendo seguridad de la información PO1 Definir un Plan Estratégico de TI. PO3 Determinar la Dirección Tecnológica. PO2 Definir la Arquitectura de la Información. PO5 Administrar la Inversión TI. PO6 Comunicar las Aspiraciones y la Dirección de la Gerencia. PO1 Definir un Plan Estratégico de TI. PO2 Definir la Arquitectura de la Información. PO3 Determinar la Dirección Tecnológica. PO6 Comunicar las Aspiraciones y la Dirección de la Gerencia. 45

66 Circular de la Superintendencia Financiera ISO/IEC 27001:2005 Anexo A CobiT COSO iv. Planes operacionales estableciendo metas claras y concretas. A Documentar Política de seguridad de la información. A Revisión de la política de seguridad de la información. A Coordinación de la seguridad de la información. A Asignación de responsabilidades de la seguridad de la información. A Revisión independiente de la seguridad de la información. A Etiquetado y manejo de la información. A8.1.1 Roles y Responsabilidades. A Gestión de Capacidad. A Responsabilidades y procedimientos. A Desarrollar e implementar planes de continuidad incluyendo seguridad de la información. PO6 Comunicar las Aspiraciones y la Dirección de la Gerencia. PO8 Administrar la Calidad. PO9 Evaluar y Administrar los Riesgos de TI. PO10 Administrar Proyectos. 46

67 Circular de la Superintendencia Financiera ISO/IEC 27001:2005 Anexo A CobiT COSO II III Infraestructura de tecnología. Cumplimiento de requerimientos legales para derechos de autor, privacidad y comercio electrónico. A Inventarios de Activos. A Perímetro de Seguridad Física. A Controles de entrada físicos. A Seguridad de oficinas, habitaciones y medios. A Protección contra amenazas externas y ambientales. A Trabajo en áreas seguras. A Ubicación y protección del equipo. A Servicios Públicos. A Seguridad en el cableado. A Identificación de legislación aplicable. A Derechos de propiedad intelectual. A Protección de los registros organizacionales. A Protección de data y privacidad de información personal. A Regulación de controles criptográficos. PO1 Definir un Plan Estratégico de TI. PO2 Definir la Arquitectura de la Información. PO3 Determinar la Dirección Tecnológica. PO4 Definir los Procesos, Organización y Relaciones de TI. PO5 Administrar la Inversión TI. PO1 Definir un Plan Estratégico de TI. PO3 Determinar la Dirección de Tecnología. PO9 Evaluar y Administrar los riesgos de TI Mecanismos de control Control sobre los sistemas de procesamiento electrónico de datos Controles sobre las aplicaciones Supervisión Continua. 47

68 Circular de la Superintendencia Financiera ISO/IEC 27001:2005 Anexo A CobiT COSO IV Administración de proyectos de sistemas. A.10.3 Planeación y Aceptación del Sistema. A.10.6 Gestión de seguridad de redes. A.10.7 Gestión de medios. A.11.2 Gestión del acceso del usuario. A.12.6 Gestión de vulnerabilidad técnica. A.13 Gestión de incidentes en la seguridad de la información. A.14 Gestión de la continuidad comercial. PO10 Administrar Proyectos V Administración de la calidad, PO8 Administrar la calidad. 5.3 ACTIVIDADES DE CONTROL Información Comunicación Supervisión Continua 48

69 Circular de la Superintendencia Financiera ISO/IEC 27001:2005 Anexo A CobiT COSO i. Programas para establecer una cultura de calidad de la tecnología en toda la entidad. ii. Planes concretos de calidad de la tecnología. A Documentar Política de seguridad de la información. A Revisión de la política de seguridad de la información. A Compromiso de la Gerencia con la seguridad de la información. A Coordinación de la seguridad de la información. A Asignación de responsabilidades de la seguridad de la información. A Capacitación y educación en seguridad de la información. A Procedimientos de operación documentados. A Cumplimiento con las políticas y estándares de seguridad. A Incluir seguridad de la información en el proceso de gestión de continuidad comercial. A Continuidad comercial y evaluación del riesgo. A Desarrollar e implementar planes de continuidad incluyendo seguridad de la información. A Marco referencial para la planeación de la continuidad comercial. A Prueba, mantenimiento y 49 PO3 Determinar la Dirección Tecnológica. PO4 Definir los Procesos, Organización y Relaciones de TI. PO8 Administrar la calidad. PO3 Determinar la Dirección Tecnológica. PO8 Administrar la calidad. PO9 Evaluar y Administrar los Riesgos de TI Información Comunicación.

70 Circular de la Superintendencia Financiera ISO/IEC 27001:2005 Anexo A CobiT COSO re-evaluación de planes de continuidad comerciales. iii. Responsables por el aseguramiento de la calidad. A Roles y Responsabilidades. A Responsabilidades y Procedimientos. PO4 Definir los Procesos, Organización y Relaciones de TI. PO6 Comunicar las Aspiraciones y la Dirección de la Gerencia. PO7 Administrar los recursos humanos de TI. PO8 Administrar la calidad Quiénes deben llevar a cabo las actividades de control 50

71 Circular de la Superintendencia Financiera ISO/IEC 27001:2005 Anexo A CobiT COSO iv. Prácticas de control de calidad. v. Metodología para el ciclo de vida de desarrollo de sistemas. A Incluir seguridad de la información en el proceso de gestión de continuidad comercial. A Continuidad comercial y evaluación del riesgo. A Desarrollar e implementar planes de continuidad incluyendo seguridad de la información. A Marco referencial para la planeación de la continuidad comercial. A Prueba, mantenimiento y re-evaluación de planes de continuidad comerciales. A Procedimientos de operación documentados. A Controles de auditoría de sistemas de información. A Chequeo de cumplimiento técnico. PO3 Determinar la Dirección Tecnológica. PO4 Definir los Procesos, Organización y Relaciones de TI. PO6 Comunicar las Aspiraciones y la Dirección de la Gerencia. PO8 Administrar la calidad. PO9 Evaluar y Administrar los Riesgos de TI. PO8 Administrar la calidad Supervisión Continua 51

72 Circular de la Superintendencia Financiera ISO/IEC 27001:2005 Anexo A CobiT COSO vi. Metodología de prueba y documentación de programas y sistemas. vii. Diseño de informes de aseguramiento de la calidad. viii. Capacitación de usuarios finales y del personal de aseguramiento de la calidad. A Aceptación del Sistema. A Protección de la data de prueba del sistema. A Continuidad comercial y evaluación del riesgo. A Desarrollar e implementar planes de continuidad incluyendo seguridad de la información. A Marco referencial para la planeación de la continuidad comercial. A Prueba, mantenimiento y re-evaluación de planes de continuidad comerciales. A Documentar Política de seguridad de la información. A Procedimientos de operación documentados. A Registro de auditoría. A Aprendizaje de los incidentes de la seguridad de la información. A Recolección de Evidencia. A Gestión de Responsabilidades. A Capacitación y educación en la seguridad de la información. 52 PO8 Administrar la calidad. PO10 Administrar Proyectos. PO8 Administrar la calidad. PO10 Administrar Proyectos. PO4 Definir los Procesos, Organización y Relaciones de TI. PO8 Administrar la calidad. ix. Desarrollo de una base de PO8 Administrar la calidad Mecanismos de control Mecanismos de control Información Comunicación.

73 Circular de la Superintendencia Financiera ISO/IEC 27001:2005 Anexo A CobiT COSO VI conocimiento de aseguramiento de la calidad. Adquisición de tecnología. A Inventario de Activos. A Perímetro de Seguridad Física. A Controles de entrada físicos. A Seguridad de oficinas, habitaciones y medios. A Protección contra amenazas externas y ambientales. A Trabajo en áreas seguras. A Ubicación y protección del equipo. A Servicios Públicos. A Seguridad en el cableado. A Seguridad del equipo fuera del local. A Eliminación seguro o reuso del equipo. A Back-up o respaldo de la información. A Controles de red. A Seguridad de servicios de red. A Gestión de Medio removibles. A Seguridad de Documentación del Sistema. A Medio Físicos en Tránsito. 53 PO1 Definir un Plan Estratégico de TI. PO2 Definir la Arquitectura de la Información. PO3 Determinar la Dirección Tecnológica. PO4 Definir los Procesos, Organización y Relaciones de TI. PO5 Administrar la Inversión TI Información Comunicación Integridad y valores éticos Competencia profesional Filosofía y estilo de la Dirección Estructura y plan organizacional Políticas y prácticas de los RRHH Comité de Administración o Comité de Auditoría.

74 Circular de la Superintendencia Financiera ISO/IEC 27001:2005 Anexo A CobiT COSO VII VIII Adquisición y mantenimiento de software de aplicación. Instalación y acreditación de sistemas. A Mensajes electrónicos. A Comercio Electrónico. A Transacciones en línea. A Información Disponible Públicamente. A Autenticación de usuario para conexiones externas. A Control conexión de redes. A Control de Routing de redes. A.12 Adquisición, desarrollo y mantenimiento de los sistemas de información. A Aceptación del sistema. A Control Software Operacional. 54 PO1 Definir un Plan Estratégico de TI. PO2 Definir la Arquitectura de la Información. PO3 Determinar la Dirección Tecnológica. PO4 Definir los Procesos, Organización y Relaciones de TI. PO5 Administrar la Inversión TI. PO10 Administrar Proyectos Mecanismos de control Control sobre los sistemas de procesamiento electrónico de datos Controles sobre las aplicaciones Mecanismos de control Control sobre los sistemas de procesamiento electrónico de datos Controles sobre

75 Circular de la Superintendencia Financiera ISO/IEC 27001:2005 Anexo A CobiT COSO las aplicaciones IX Administración de cambios. i. Identificación clara del cambio a realizar en la infraestructura. ii. Categorización, priorización y procedimientos de emergencia a llevar a cabo durante el cambio. iii. Evaluación del impacto que ocasiona el cambio en la infraestructura. A Gestión de Cambio. A Manejar los cambios en los servicios de terceros. A Procedimientos de control de cambio. A Procedimientos de Control de Cambio. A Políticas sobre el uso de controles criptográficos. A Gestión Clave. A Revisión independiente de la seguridad de la información. A Revisión Técnica de las Aplicaciones después de cambios en el sistema operativo. PO3 Determinar la Dirección Tecnológica. PO5 Administrar la inversión TI. PO4 Definir los Procesos, Organización y Relaciones de TI PO3 Determinar la Dirección Tecnológica Identificación de riesgos Objetivos de control de riesgos Identificación de riesgos Condiciones previas para la evaluación del riesgo Medición y evaluación de riesgos. 55

76 Circular de la Superintendencia Financiera ISO/IEC 27001:2005 Anexo A CobiT COSO iv. Procedimiento de autorización de los cambios. v. Procedimiento de administración de versiones. vi. Políticas de distribución del software. vii. Obtención de herramientas automatizadas para realizar los cambios. A Gestión del Cambio A Restricciones sobre los cambios en los paquetes software. A Control de Software Operacional. A Protección de la data de prueba del sistema. A Control de acceso al código fuente del programa. A Segregación de deberes A Aceptación del Sistema A Control de Procesamiento Interno. A Integridad del Mensaje. A Validación de data de output. A Procedimientos de control de cambio. A Restricciones sobre los cambios en los paquetes de software. PO2 Definir la Arquitectura de la Información. PO4 Definir los Procesos, Organización y Relaciones de TI. PO1 Definir un Plan Estratégico de TI. PO2 Definir la Arquitectura de la Información. PO3 Determinar la Dirección Tecnológica. PO4 Definir los Procesos, Organización y Relaciones de TI. PO5 Administrar la Inversión TI Control sobre los sistemas de procesamiento electrónico de datos Mecanismos de control Mecanismos de control Controles sobre las aplicaciones Controles sobre las aplicaciones 56

77 Circular de la Superintendencia Financiera ISO/IEC 27001:2005 Anexo A CobiT COSO X viii. Procedimientos para la administración de la configuración. ix. Rediseño de los procesos del negocio que se vean impactados por el cambio en la infraestructura. Administración de servicios con terceros. A Roles y Responsabilidades. A Términos y condiciones de empleo. A Gestión de responsabilidades. A Capacitación y educación en seguridad de la información. A Devolución de Activos. A Eliminación de derechos de acceso. A Entrega del servicio. A Monitoreo y Revisión de los servicios de terceros. A Manejar los cambios en los servicios de terceros PO4 Definir los Procesos, Organización y Relaciones de TI. PO4 Definir los Procesos, Organización y Relaciones de TI. PO8 Administración de la calidad Mecanismos de control Control sobre los sistemas de procesamiento electrónico de datos Mecanismos de control Control sobre los sistemas de procesamiento electrónico de datos Controles sobre las aplicaciones 57

78 Circular de la Superintendencia Financiera ISO/IEC 27001:2005 Anexo A CobiT COSO XI XII Administración, desempeño, capacidad y disponibilidad de la infraestructura tecnológica. Continuidad del negocio Gestión de la capacidad Aceptación del sistema Incluir la seguridad de la información en el proceso de gestión de continuidad del negocio Continuidad del negocio y evaluación del riesgo Desarrollar e implementar los planes de continuidad incluyendo la seguridad de la información A.5.1 Política de seguridad de la información Respaldo o Back-Up 58 PO1.3 Evaluación del desempeño y la capacidad actual. DS3.1 Planeación del Desempeño y la Capacidad DS3.2 Capacidad y Desempeño Actual DS3.3 Capacidad y Desempeño Futuros DS3.4 Disponibilidad de Recursos de TI DS3.5 Monitoreo y Reporte PO3.1 Planeación de la dirección tecnológica. DS4.1 Marco de Trabajo de Continuidad de TI DS4.2 Planes de Continuidad de TI DS4.3 Recursos Críticos de TI DS4.4 Mantenimiento del Plan de Continuidad de TI DS4.5 Pruebas del Plan de Continuidad de TI DS4.6 Entrenamiento del Plan de Continuidad de TI DS4.7 Distribución del Plan de Continuidad de TI DS4.8 Recuperación y Reanudación de los Servicios de TI Indicadores de desempeño Normas sobre continuidad del procesamiento

79 Circular de la Superintendencia Financiera ISO/IEC 27001:2005 Anexo A CobiT COSO XIII Seguridad de los sistemas. i. Autorización, autenticación y control de acceso. A Política de control del acceso Retiro de los derechos de acceso Procedimientos para un registro seguro Identificación y autenticación del usuario Sistema de gestión de claves secretas Uso de las utilidades del sistema Cierre de una sesión por inactividad Limitación del tiempo de conexión Restricción del acceso a la información Aislar el sistema confidencial Computación y comunicaciones móviles Tele-trabajo DS4.9 Almacenamiento de Respaldos Fuera de las Instalaciones DS4.10 Revisión Post Reanudación DS5.3 Administración de Identidad Definición de niveles de autorización 59

80 Circular de la Superintendencia Financiera ISO/IEC 27001:2005 Anexo A CobiT COSO ii. Identificación de usuarios y perfiles de autorización los cuales deberán ser otorgados de acuerdo con la necesidad de tener y necesidad de conocer. iii. Manejo de incidentes, información y seguimiento. iv. Prevención y detección de código malicioso, virus, entre otros Registro del usuario Gestión de privilegios Gestión de las claves secretas de los usuarios Revisión de los derechos de acceso del usuario Política de control del acceso Reporte de eventos en la seguridad de la información Reporte de las debilidades en la seguridad Responsabilidades y procedimientos Aprender de los incidentes en la seguridad de la información Recolección de evidencia Controles contra códigos maliciosos Controles contra códigos móviles PO7.3 Asignación de Roles PO7.2 Competencias del Personal DS5.4 Administración de Cuentas del Usuario DS5.6 Definición de Incidente de Seguridad DS8.3 Escalamiento de Incidentes DS8.4 Cierre de Incidentes DS5.9 Prevención, Detección y Corrección de Software Malicioso Acceso restringido a los recursos, activos y registros Supervisión continua Mecanismos de control Control sobre los sistemas de procesamiento electrónico de datos Controles sobre las aplicaciones 60

81 Circular de la Superintendencia Financiera ISO/IEC 27001:2005 Anexo A CobiT COSO v. Entrenamiento de usuarios. vi. Administración centralizada de la seguridad. A8.2.2 Conocimiento, educación y capacitación en seguridad de la información Uso de claves secretas Equipo del usuario desatendido Política de escritorio y pantalla limpios Gestión de la entrega del servicio de terceros A Protección contra el código malicioso y móvil. A.10.5 Respaldo o Back-up. DS7.1 Identificación de Necesidades de Entrenamiento y Educación DS7.2 Impartición de Entrenamiento y Educación DS7.3 Evaluación del Entrenamiento Recibido DS5.1 Administración de la Seguridad de TI DS5.5 Pruebas, Vigilancia y Monitoreo de la Seguridad Normas sobre continuidad del procesamiento (sub-ítem educación) Controles sobre la seguridad lógica XIV XV Educación y entrenamiento de usuarios. Administración de los datos. A8.2.2 Conocimiento, educación y capacitación en seguridad de la información PO7.4 Entrenamiento del Personal de TI DS7.1 Identificación de Necesidades de Entrenamiento y Educación DS7.2 Impartición de Entrenamiento y Educación DS7.3 Evaluación del Entrenamiento Recibido AI7.1 Entrenamiento DS4.6 Entrenamiento del Plan de Continuidad de TI Normas sobre continuidad del procesamiento (sub ítem educación) 61

82 Circular de la Superintendencia Financiera ISO/IEC 27001:2005 Anexo A CobiT COSO i. Establecer controles de entrada, procesamiento y salida para garantizar la autenticidad e integridad de los datos. ii. Verificar la exactitud, suficiencia y validez de los datos de transacciones que sean capturados para su procesamiento (generados por personas, por sistemas o entradas de interface). iii. Preservar la segregación de funciones en el procesamiento de datos y la verificación rutinaria del trabajo realizado. Los procedimientos deberán incluir controles de actualización adecuados, como totales de control "corrida a corrida" y controles de actualización de archivos maestros. iv. Establecer procedimientos para que la validación, autenticación y edición de los datos sean llevadas a cabo tan cerca del punto de origen como sea posible Validación de la input data Validación de la output data Integridad del mensaje Control del procesamiento interno. A Asignación de las responsabilidades de la seguridad de la información A Seguridad de la documentación del sistema Segregación de los deberes A11.6 Control de acceso a la aplicación y la información PO2.4 Administración de integridad. PO10.7 Plan Integrado del Proyecto DS11.1 Requerimientos del Negocio para Administración de Datos AC6 Autenticación e Integridad de Transacciones PO10.11 Control de Cambios del Proyecto AI6 Administrar cambios. PO4.11 Segregación de Funciones Controles sobre las operaciones del centro de procesamiento de datos 62

83 Circular de la Superintendencia Financiera ISO/IEC 27001:2005 Anexo A CobiT COSO v. Definir e implementar procedimientos para prevenir el acceso a la información y software sensitivos de computadores, discos y otros equipos o medios, cuando hayan sido sustituidos o se les haya dado otro uso. Tales procedimientos deberán garantizar que los datos marcados como eliminados no puedan ser recuperados por cualquier individuo interno o tercero ajeno a la entidad. vi. Establecer los mecanismos necesarios para garantizar la integridad continua de los datos almacenados. vii. Definir e implementar procedimientos apropiados y prácticas para transacciones electrónicas que sean sensitivas y críticas para la organización, velando por su integridad y autenticidad. viii. Establecer controles para garantizar la integración y Seguridad de la eliminación o re-uso del equipo Retiro de propiedad A Procedimientos para el manejo de información Protección de la data del sistema Comercio electrónico Transacciones en-línea Información públicamente disponible DS11.4 Eliminación PO2.4 Administración de integridad. DS11.6 Requerimientos de Seguridad para la Administración de Datos DS13.1 Procedimientos e Instrucciones de Operación PO6.2 Riesgo Corporativo y Marco de Referencia de Control Interno de TI. DS5.11 Intercambio de Datos Sensitivos. DS9.3 Revisión de Integridad de la Configuración Controles sobre las operaciones del centro de procesamiento de datos 63

84 Circular de la Superintendencia Financiera ISO/IEC 27001:2005 Anexo A CobiT COSO consistencia entre plataformas. XVI DS12 Administrar el Administración de instalaciones. ambiente físico i. Acceso a las instalaciones Controles de ingreso físico DS12.3 Acceso Físico ii. sitio. Identificación clara del iii. Controles de seguridad física. iv. Definición de políticas de inspección y escalamiento de problemas. v. Planeamiento de continuidad del negocio y administración de crisis. vi. Salud y seguridad del personal. vii. Políticas de mantenimiento preventivo Perímetro de seguridad física Ubicación y protección del equipo Asegurar las oficinas, habitaciones y medios Áreas de acceso público, entrega y carga Incluir la seguridad de la información en el proceso de gestión de continuidad del negocio Continuidad del negocio y evaluación del riesgo Desarrollar e implementar los planes de continuidad incluyendo la seguridad de la información Mantenimiento de equipo. DS12.1 Selección y Diseño del Centro de Datos DS12.2 Medidas de Seguridad Física DS13.2 Programación de Tareas DS13.5 Mantenimiento Preventivo del Hardware 64

85 Circular de la Superintendencia Financiera ISO/IEC 27001:2005 Anexo A CobiT COSO viii. Protección contra amenazas ambientales. ix. Monitoreo automatizado Protección contra amenazas externas e internas Registro de auditoría Uso del sistema de monitoreo Protección del registro de información Registros del administrador y operador Registro de fallas Sincronización de relojes DS12.4 Protección Contra Factores Ambientales DS13.3 Monitoreo de la Infraestructura de TI XVII Administración de operaciones de tecnología. A.10 Administración de las comunicaciones y operaciones Gestión del cambio Separación de los medios de desarrollo, prueba y operación DS12.5 Administración de Instalaciones Físicas XVIII Documentación Análisis y especificación de los requerimientos de seguridad Procedimientos de operación documentados Documentación 65

86 2. SOLUCIONES TECNOLÓGICAS En la presente sección se expondrá los requerimientos que deberían cumplir aquellas herramientas tecnológicas que puedan apoyar el proceso de cumplimiento de los objetivos de control analizados con anterioridad, pertenecientes a la Circular 014 y al Anexo A de la norma ISO Para este capítulo se busca ser lo más genérico posible, para evaluar de manera imparcial las necesidades que deberán suplir las soluciones tecnológicas a elegir NECESIDADES TÉCNICAS GENERALES A CUMPLIR EN LA CIRCULAR 14 SECCIÓN CIFRADO Y ENMASCARAMIENTO. A nivel mundial existen una serie de requerimientos de seguridad que se aplican en diferentes países como lo son PCI-DSS, HIPAA y la ley 201 CMR orientados a la protección de la información sensible. Y debido a esto es necesario contar con soluciones que permitan realizar cifrado en los datos de las Bases de Datos con las que cuentan las organizaciones, para que de esta forma se controle y proteja el acceso a ellos a través del sistema operativo o a través de los backups. Dichas soluciones deben permitir cifrar datos y campos específicos y no interferir con otras aplicaciones, así como que estas no necesiten cambios para su interoperabilidad. El proceso de cifrado y des-cifrado debe ser transparente después de que un usuario se ha autenticado con éxito. De esta forma se garantiza la protección de las comunicaciones desde y hacia la Base de Datos. De manera similar, los backups generados de la base de datos, deben ser protegidos a través de medios de cifrado al vuelo en caso de ser extraviados o robados. Para esto es necesario contar con una infraestructura tecnológica que permita la administración de una manera centralizada de los respaldos realizados, ya sean de la base de datos, del sistema operativo y de los NAS con los que se cuenten. Esta infraestructura debe ser rápida y de consumo razonable de recursos de procesamiento. Con el fin de cumplir a cabalidad con las normas de protección y privacidad de los datos, aquella información sensible con la cual se requiera trabajar en un ambiente de pruebas, desarrollo o que sea necesario compartirla, esta debe ser remplazada con un valores ficticios pero funcionales que permitan trabajar de una manera simulada, como si de datos reales se tratara. 66

87 CONTROL DE ACCESO. El control de acceso además de ser implementado a nivel de aplicación debe serlo a nivel de capa de datos, esto debido a que las organizaciones se mueven hacia la consolidación de datos, la tercerización y la computación en la nube (ORACLE, 2010) 77 y porque las regulaciones y leyes de privacidad así lo requieren. Siguiendo esta visión, con una protección a nivel de datos provee una seguridad adicional cuando existe un uso inadecuado de los privilegios o cuando estos han sido obtenidos por individuos ajenos a la organización. Para esto, se requiere contar con herramientas que detengan el acceso a los datos de las aplicaciones sensibles por parte de aquellos usuarios con privilegios, es decir que incluso un DBA no pudiera acceder a ciertos datos confidenciales. Estos bloqueos deben ser transparentes para todas las aplicaciones que pertenezcan al dominio de ese control de acceso, ofreciendo un control de seguridad fuerte sin realizar cambios en el código fuente de las aplicaciones. La idea del control de acceso es presentar un limitante que permitirá establecer quién, cuando, donde y como serán accedidos los datos y también las aplicaciones. De ser posible se desearía contar con controles dependientes de la dirección IP, hora, fecha, etc MONITOREO Y AUDITORÍA. La dinámica y movimiento en el que las empresas se encuentran inmersas hoy en día, como resultado de la competencia que se hace cada vez mayor, debido a los procesos de globalización derivan en una mayor exigencia de control y calidad de las tecnologías que intervienen en los sistemas productivos de la empresa, en consecuencia es necesario la captación, almacenamiento y comunicación de los cambios en el entorno, que permitirán aplicar las estrategias correctivas para cada caso. La solución debe brindar la capacidad de analizar, seguir y administrar de manera centralizada y en tiempo real toda la información relevante de los recursos de software y hardware de la empresa, para así facilitar el diagnóstico y solución de problemas, la generación de reportes de auditoría y la configuración de estos recursos, adicionalmente debe proveer alertas automáticas de fallo y preventivas frente a eventos del sistema. Es necesario que permita consolidar la información de auditoría de todos los activos involucrados en los sistemas productivos de la empresa de manera que genere una visión global y unificada de las acciones realizadas por el usuario, para lograr la emisión de un juicio objetivo, también debe identificar debilidades y fortalezas de los diferentes entorno, realizar correlación de eventos y análisis. 77 ORACLE. (2010). Conceptos de Seguridad. 67

88 CONTINUIDAD DEL NEGOCIO. Los sistemas de información en las empresas día a día se convierten en un elemento críticos, debido a la necesidad de acceso a sus datos desde cualquier lugar y en cualquier momento, lo que hace que sea indispensable que exista un servicio ininterrumpido de los mismos para el mantenimiento de las actividades del negocio sin ningún tipo de perdida. Esta herramienta debe proporcionar una disponibilidad interrumpida y la seguridad apropiada para el acceso a las bases de datos, se debe tener en cuenta que incluso las soluciones más confiables fallan ya sea por un error humano, desastre natural o una falla ocasional, por ello las herramienta debe contar con un robusto sistema de respaldo que de manera automática este sincronizado con el ambiente de producción y que remplace en el momento que sea necesario el ambiente principal para que los clientes de los sistemas de información no se percaten del fallo. Para garantizar la continuidad del negocia la herramientas debe permitir realizar pruebas parciales y totales de las unidades tecnológicas del negocio, así como la entrada en contingencia real, lo cual permitirá medir el grado de madures de la empresa para afrontar los diferentes siniestros que se puedan presentar a lo largo de la vida de la misma GESTIÓN DOCUMENTAL. Contar con un buen sistema de gestión documental que permita la recepción, distribución, consulta, organización, y recuperación de los documentos es de vital importancia para las empresas, ya que dinamizan los procesos informativos, la toma de decisiones basadas en antecedentes, por otra parte la regulación Colombiana exige la gestión documental como lo dicta La Ley 594 de Ley General de Archivos, reguló en su Título V: Gestión de documentos, la obligación que tienen las entidades públicas y privadas que cumplen funciones públicas, en elaborar programas de gestión de documentos, independientemente del soporte en que produzcan la información para el cumplimiento de su cometido estatal, o del objeto social para el que fueron creadas (Archivo General de la Nacion, 2010) 78 La herramienta de gestión documenta debe ser capaz de soportar la estructura documental de la empresa, un rápido acceso a la información contenida en los documentos, almacenaje, seguridad, indexación, relación y eliminación de los mismos, adicionalmente esta debe contar con mecanismos que faciliten su divulgación, así como la privacidad para los documentos sensibles, que deben ser protegidos de amenazas internas y externas. 78 Archivo General de la Nacion. (29 de 10 de 2010). Programa de Gestión Documental (PGD). Recuperado el 30 de Octubre de 2010, de Archivo General de la Nacion: 68

89 Es indispensable que los documentos puedan ser actualizados directamente y remotamente por los responsables para que la documentación vigente de la empresa esté disponible en los puntos de uso, y debe brindar las herramientas necesarias para contingencia y continuidad del negocio COMPONENTES ORACLE Ya entendiendo las necesidades tecnológicas que apoyarán el cumplimiento de controles, se muestra en este capítulo el mapeo de dichas necesidades a soluciones bajo plataforma ORACLE. Como base de todos los componentes Oracle se debe contar con la base de datos Oracle Database Enterprise Edition u Oracle Database Standard Edition CIFRADO Y ENMASCARAMIENTO. Oracle Data Masking Pack. Las Organizaciones precisan compartir datos de producción con usuarios internos y externos con diferentes propósitos, como el de realizar pruebas a las aplicaciones, en muchos casos estos datos contienen información sensible que queda expuesta y pude ser usado con fines maliciosos. Con Oracle Data Masking es posible suplir esta necesidad de compartir estos datos con entidades internas y externas pero garantizando que los datos no sean revelados, pero que de igual manera sean válidos para las pruebas y otros usos que se le den. Proteger los datos sensibles que son usados del ambiente de producción en otras áreas es una necesidad para las empresas, esto gracias a las regulaciones que existen a nivel mundial, para el caso de Colombia existe la LEY 1266 de 2008 llamada Ley Habeas Data. Es una solución que sustituye los datos de producción con valores anónimos, protegiendo datos sensibles de una exposición innecesaria en ambientes de prueba y desarrollo. Data Masking provee una variedad de técnicas sofisticadas de enmascaramiento para cumplir con los requerimientos de aplicación mientras asegura la privacidad de los datos. Estas técnicas aseguran que las aplicaciones continúen operando sin errores después del enmascaramiento. Data Masking provee adicionalmente una librería centralizada de formatos de máscaras para tipos comunes de datos sensibles, como números de tarjetas de crédito, números telefónicos. Reglas de privacidad de datos pueden ser aplicadas a datos sensibles en todas las bases de datos de la organización desde un solo origen. 69

90 Los datos a usar pueden ser sensibles por varias razones, por ejemplo la confidencialidad (salario de los empleados), el ambiente regulatorio (Sarbanes-Oxley) o prácticas de negocio establecidas. Usando las capacidades de búsqueda que integra el producto Oracle Data Masking Pack los administradores de la seguridad de la información pueden rápidamente identificar datos sensibles en la base de datos. En algunas aplicaciones, los mismos datos sensibles son almacenados en múltiples tablas relacionadas como por ejemplo el ID del empleado en una aplicación de Recursos Humanos, el Data Masking Pack descubre esas relaciones y marca automáticamente todos los elementos relacionados. Con este producto se obtienen diversas técnicas de enmascaramiento para cumplir con los requerimientos de la aplicación al tiempo que se asegura la privacidad de los datos. Dichas técnicas son: Enmascaramiento Basado en condiciones: esta técnica hace posible aplicar diferentes formatos de enmascaramiento al mismo conjunto de datos. Enmascaramiento Compuesto: esta técnica asegura que un conjunto de columnas relacionadas están enmascaradas como un grupo para asegurar que estos datos retienen la misma relación, como por ejemplo: ciudad, estado y el código postal son valores que deber se consistentes después de realizar el enmascaramiento. Enmascaramiento Determinístico: esta técnica asegura que existan valores enmascarados repetidos después de aplicar el enmascaramiento. Las empresas pueden usar esta opción para garantizar que varios valores como un ID de cliente sea enmascarado al mismo valor en todas las bases de datos. Oracle Advanced Security Option. Oracle Advanced Security ofrece una solución completa y fácil de implementar para la protección de las comunicaciones hacia y desde la base de datos. Advanced Security ofrece cifrado para resguardar datos sensibles y cumplir con las regulaciones existentes. Este cifrado se incorpora directamente en la base de datos. Los datos se cifran de manera automática para todos los usuarios de la base de datos. A nivel de backups, Advanced Security Option los protege usando cifrado Transparente de Datos. Es posible proteger los datos sensibles ante un acceso no autorizado al sistema operativo o al eventual robo del componente hardware. Con un alter table el administrador puede cifrar datos sensibles de una tabla, como números de tarjeta de crédito, números de seguro social, etc. Este cifrado es transparente para todas las aplicaciones y no requiere de ningún cambio en ellas. El cifrado de datos se realiza directamente en el disco, y se descifran para un usuario que se haya 70

91 identificado exitosamente. Adicionalmente se cuenta con el cifrado por red como SSL, y se ofrece soporte para el protocolo TLS. De esta forma la base de datos puede configurarse para que no acepte conexiones cuyos clientes tengan el cifrado inactivo o permitir conexiones no cifradas. También se encuentra soporte para servicio de autenticación como Kerberos, PKI, RADIUS CONTROL DE ACCESO. Oracle Database Vault. Con Database Vault se protege la información sensible para que no sea vista por el administrador de la base de datos. Información sensible como datos relacionados con los ciudadanos, socios, empleados y clientes. La intención de Database Vault es impedir que los DBA accedan a aplicaciones y tareas que están fuera de sus responsabilidades. Se incluyen restricciones a las base de datos según roles, estas restricciones son totalmente flexibles y adaptables según se requiera. De esta forma se puede restringir el acceso del DBA y de otros usuarios privilegiados a los datos de las aplicaciones, evitar que el DBA manipule otras aplicaciones y mejores controles sobre quién, dónde y cuándo puede acceder a una aplicación. Oracle Identity Management. Identity Management permite a las empresas administrar el ciclo de vida de la identidad de los usuarios a través de todos los recursos de la empresa dentro y más allá de los firewall. De esta forma puede hacerse un deploy de aplicaciones rápido y posteriormente aplicar una protección granular a los recursos. Identity Management provee seguridad integrada y unificada además de servicios de identidad para administrar a los usuarios, proveerles accesos seguros a los recursos. Está diseñado para administrar usuarios de intranet y extranet. Para estos últimos permite el soporte de millones de clientes que acceden a los recursos de la compañía usando clientes tradiciones como los navegadores o smart phones. Con Oracle Identity Management se cuenta con una serie de servicios categorizados de la siguiente forma: Administración de la identidad: Gestión del Ciclo de Vida de la identidad Gestión de contraseñas Gestión de roles en el sistema 71

92 Administración del Acceso: Inicio de sesión único Autenticación fuerte Autorización basada en Riesgos Servicio de Directorio: Almacenamiento de identidad Virtualización de identidad Integración de Directorio Oracle Virtual Private Database (VD). Oracle Virtual Private Database es una característica de seguridad de Oracle Database Enterprise Edition que permite aplicar políticas de seguridad y enmascaramiento sobre tablas y vistas de las bases de datos. Estas políticas son invocadas cuando una sentencia SQL se ejecuta sobre el objeto asociado a la política, esto permite que sin importar como acceda el usuario a los datos la política sea ejecutada. Los acceso directo o indirectos s los objetos asociados con las políticas hacer que se ejecute una función que agrega a la sentencia SQL enviada por el usuario una clausula WHERE que condiciona dinámicamente el acceso a los datos. Entre los usos que se les puede dar están: Mostrar filas o columnas de un tabal según el rol del usuario o restringir el acceso a los datos durante determinadas horas MONITOREO Y AUDITORÍA. Oracle Enterprise Manager y Oracle Enterprise Manager Grid Control. Oracle Enterprise Manager permite la administración de las plataformas de despliegue de Oracle, Microsoft NET, Microsoft SQL Server, archivadores NetApp, BEA Weblogic y otros. Los administradores pueden personalizar los análisis realizados con los módulos de administración y agrupar los datos específicos de rendimiento de los sistemas Oracle Enterprise Manager provee herramientas que permiten administrar todas las piezas que hacer parte del sistema y del ambiente hardware. Es posible administrar comerciales, servicios para el 72

93 usuario final y la infraestructura grid de manera sencilla desde una sola máquina y con las aplicaciones que están creadas de manera tal que parece una sola. Es posible administrar los siguientes componentes: Base de Datos o Analizar el rendimiento de sentencias SQL o Verificar la salud de la base de datos. o Verificar si existen parches que son necesarios aplicar a la base de datos. o Monitorizar bases de datos en Cluster. Servidor de Aplicaciones Oracle o Identificar los componentes de un servidor de aplicaciones y su estado. o Monitorear en tiempo real el rendimiento del servidor de aplicaciones. o Verificar si existen parches necesarios para aplicarle al servidor de aplicaciones. Oracle Collaboration Suite Host (Solaris, Linux, Windows) o Analizas los procesos más importantes que más consumen CPU y memoria RAM en el host elegido. o Mantener un rastreo del inventario software y hardware. o Estudiar los problemas más importantes de rendimiento del host elegido. * Oracle Enterprise Manager Grid Control tiene la misma funcionalidad del Oracle Enterprise Manager, la diferencia radica que en la capacidad de manejo de grillas. Oracle Audit Vault. Audit Vault es un motor de auditoría que busca detectar, monitorear, consolidar y generar alertas y reportes de los datos de auditoría de todos los sistemas con los que se cuente incluso si no son productos Oracle. Con Audit Vault se puede consolidar los registros de auditoría y llevarlos a un formato único, asegurar todos los datos de auditoría del sistema, centralizar el manejo de políticas de auditoría, facilita el análisis de la información de auditoría proveyendo la detección de violaciones, facilita el cumplimiento de la normatividad y estándares internacionales. Con Audit Vault es posible generar notificaciones de actividad sospechosa en la compañía. Constantemente monitorea los datos de auditoría contra las condiciones de alerta. Las alertas pueden ser asociadas con cualquier evento auditable incluyen eventos del sistema como cambios a las tabla de una aplicación, autorización de roles y creación de usuarios con privilegios. Audit Vaul protege datos de auditoria de SQL Server, IMB DB2 y Sybase usando seguridad fuerte. Es posible a su vez, generar reportes que incluyen usuarios con privilegios, gestión de cuentas, roles 73

94 y privilegios. También los reportes pueden incluir la actividad de inicio de sesión a través de múltiples sistemas en periodos específicos, como fines de semana. Oracle Database Firewall. Con Database Firewall es la primeria línea de defensa, el cual provee un monitoreo en tiempo real de la actividad de la base de datos en la red. Con este firewall es posible bloquear transacciones no autorizadas ayudando a prevenir ataques internos y externos, antes de que alcancen la base de datos. Con Database Firewall es posible: Monitorear y bloquear trafico SQL en la red, incluyendo listas blancas y negras con políticas de excepción. Protege amenazas de SQL Injection. Reporta actividad en la base de saros para SOX y otras regulaciones. Protege base de datos Oracle, Sybase, SQL Server. Oracle Database Firewall crea un perímetro defensivo que monitorea y hace cumplir el comportamiento normal de una aplicación, ayudando a prevenir casos de SQL injection y otras actividades malignas que buscarían llegar a la base de datos. Analiza todas las sentencias SQL que están siendo enviadas a la base de datos, analizando su significado y determinando la política de seguridad adecuada para ser aplicada. Las políticas pueden llegar a configurarse basado en atributos que incluyen categorías de SQL, hora del día, aplicación, usuario y dirección IP. Constantemente realiza logs y alertas, bloquea y sustituye las sentencias SQL que llegan con unas inofensivas según sea el caso. Contiene reportes listos para ser usados, alrededor de 100 para que fácilmente sean configurados para las regulaciones como SOX, Payment Card Industry Oracle Diagnostic Pack. Oracle Diagnostic Pack es un motor de diagnóstico automático dentro de la base de datos. Este producto permite analizar problemas de desempeño en la base de datos liberando de trabajo adicional a los administradores. Entre sus características principales encontramos: Reportes automáticos sobre rendimiento. Almacenamiento del historial de carga presentado en el sistema para un posterior análisis del rendimiento. 74

95 Uso de métricas Notificación de eventos. El motor de diagnóstico examina automáticamente el estado de la base de datos identificando cuellos de botella y recomendando acciones correctivas, que serán guías paso a paso para ser ejecutadas por los administradores. Dicho motor inicia analizando las actividades en la que la base de datos gasta la mayor cantidad de tiempo, identificando problemas relacionados uso de procesador, pobre gestión de la conexión, sentencias SQL intensivas y bloqueos de conexión. Oracle Configuration Management Pack (CMP). Oracle Configuration Management Pack permite el manejo centralizado de la configuración. Capturando la información del Hardware y software de la empresa, lo cual facilita el diagnostico de problemas y la automatización de procesos basados en regulaciones y estándares aplicables a la empresa. El análisis y monitoreo permite la evaluación de las practicas establecidas y facilitar su mejoramiento continuo. Sus principales beneficios son: La rápida resolución de problemas, porque detecta, documenta, alerta y mantiene la configuración de los sistemas. Minimiza los riesgos en los cambios de configuración al medir el impacto de sobre los sistemas y permite el rastreo de las causas de la falla. Administración de configuraciones de software complejas, ya que el análisis en tiempo real de los elementos asociados posibilita la generación de informes de procesos de cambios con el análisis y reporte de las configuraciones que son usadas. Inventario centralizado, al ofrecer una visión completa y centralizada de los componentes. Búsqueda de configuraciones, permite la busque da de parámetros de valores de configuración. Comparación de configuraciones, al brindar herramientas que permiten la realización de esta tarea con todos los sistemas de la empresa lo cual facilita la tarea del administrador para detectar cualquier diferencia que pueda genera una falla. Manejo de historiales de configuración. Administración de políticas basadas en estándares y regulaciones, ya que cuanta con más de 200 políticas relacionadas con la seguridad, configuración y almacenamiento que permiten el análisis de las vulnerabilidades de seguridad críticas. Aplicación de actualizaciones, alertando al administrador sobre la aparición de actualizaciones críticas del sistema y dando la facilidad del modo fuera de línea para los sistemas sin conexión a internet. 75

96 CONTINUIDAD DEL NEGOCIO. Oracle Real Application Clusters (RAC). Oracle Real Application Clusters permite que varias terminales puedan ejecutar software de una base de datos Oracle mientras se accede a una base de datos individual, esto es conocido como una base de datos en clúster. Permitiendo que dos o más computadores accedan de forma concurrente a una base de datos individual, permitiendo que un usuario e incluso una aplicación se conecte a alguno de esos computadores y obtenga acceso a los mismos datos. Con RAC, puede ejecutarse una única base de datos en varios servidores proporcionando tolerancia a fallos y mejorando el rendimiento y la capacidad de escalabilidad. Los administradores de la base de datos cuentan con un solo sitio de instalación y administración del RAC ya sea a través de una interfaz gráfica o por línea de comandos. También incluye herramientas procesos de recuperación, fallas, y bloqueos, permitiendo identificar las aplicaciones instaladas y monitorearlas, reasignarlas o reiniciarlas. Al distribuir la ejecución de la base de datos a través de RAC se garantiza una alta disponibilidad de la misma, si un nodo del clúster falla, los demás nodos continuaran ofreciendo la disponibilidad de la base de datos. De esta forma si un nodo está en mantenimiento, los usuarios pueden continuar haciendo unos de la base de datos a través de los demás nodos del clúster. Dentro de las ventajas de contar con RAC se encuentra la posibilidad de que cada una de las cargas de trabajo que generan las aplicaciones se definirán como servicios, permitiendo así su administración y control de manera individual, generando un balance de carga. Oracle Data Guard (DG) y Oracle Active Data Guard (ADG). Con Oracle Data Guard se asegura alta disponibilidad, protección de datos y recuperación del desastre para los datos de las empresas. Data Guard provee un conjunto de servicios para crear, mantener, administrar y monitorear una o más bases de datos para soportar desastres y corrupción de datos. Con Data Guard las bases de datos que están en standby se mantienen como copias transaccionales consistentes de la base de datos de producción. De esta forma si la base de datos de producción llega a no estar disponible ya sea planeado o no, Data Guard puede cambiar la base de datos de standby a rol de producción, minimizando el tiempo de baja del servicio. Dichas bases de datos standby pueden ubicarse a miles de kilómetros de las de producción. De esta forma Data Guard consiste de una base de datos de producción llamada Primaria y una o más bases de datos de StandBy. Como las transacciones ocurren en la base de datos primaria, estas son almacenadas y transferidas a cada una de las base de datos replicas manteniendo la sincronía con la base de datos 76

97 principal. Esto permite realizar un cambio de la primaria a las secundarias relativamente rápido minimizando el tiempo de caída. Haciendo uso de Data Guard se obtienen los siguientes beneficios: Alta Disponibilidad y Recuperación del Desastre: o Provee una administración sencilla del cambio entre de bases de datos primaria a secundarias minimizando el tiempo de caída, bajo condiciones previamente planeadas o improvistas. Protección Completa de Datos: o Se asegura una ausencia de pérdida de datos, las bases de datos secundarias proveen un seguro contra la corrupción de datos o errores de usuario. Corrupciones físicas de los datos de la base de datos primaria no son propagado a las base de datos secundarias. Esto permite que si un usuario realiza una corrupción total de la base de datos primaria esto pueda resolverse fácilmente. Utilización eficiente de los recursos del sistema: o Los sitios alternos pueden ser usados para otras tareas como backups, generación de reportes, y queries, reduciendo la carga de trabajo en la base de datos primaria. Oracle Golden Gate. Oracle Golden Gate fue diseñada para proveer soluciones de integración de datos en tiempo real con una sobrecarga mínima de la infraestructura de TI, una de sus características más notables es su capacidad de configuración, la cual le permite realizar integraciones heterogéneas entre diferentes bases de datos, sistemas operativos y servidores de manera bidireccional. Adicionalmente cuenta con la habilidad de mantener la integridad de las transacciones, además, utiliza un módulo de check-pointing, para subsanar interrupciones y cortes de servicio, para mantener la continuidad de la operación, reduciendo de esta manera las interrupciones del servicio. Los beneficios que Golden Gate ofrece son: Alto Desempeño: Envío de datos en segundos, ya que solo se transmiten los datos cambiados a través del log de transacciones. 77

98 Confiabilidad: Integridad de transacciones con un envío y recepción de datos contante y garantizada, reduciendo la pérdida de datos. Heterogeneidad: Soporta gran variedad de sistemas de bases de datos permitiendo la integridad de diferentes plataformas GESTIÓN DOCUMENTAL. Oracle Enterprise Content Management (ECM). Oracle Content Management provee una solución para todos los tipos de contenido que la administración necesita. Desde un servidor de archivos hasta la administración de contenido web Esta tecnología ayuda a las empresas a administrar el contenido no estructurado a través de todas las etapas del ciclo de vida del contenido aplicando funcionalidad y control (ORACLE, 2010) 79 de acuerdo a las necesidades. Con esta suite se incluyen administración de documentos e imágenes y procesos, administración de contenido web, administración de activos digitales y administración de registros todo en una sola plataforma fácil de usar (ORACLE, 2010) 80. Con ECM de Oracle es posible realizar: Captura de Documentos Creación de un repositorio Indexación Versionamiento Flujos de Trabajo Role de usuario y seguridad Oracle Information Rights Management (IRM). Oracle IRM permite implantar Políticas Corporativas de Seguridad Documental, con IRM es posible: 79 ORACLE. (2010). Conceptos de Seguridad. 80 ORACLE. (2010). Conceptos de Seguridad. 78

99 Especificar los usuarios (destinatarios) o (empleados) o externos (terceros). grupos de usuarios de un documento, sean internos Permitir o no la impresión de un documento Permitir o no una captura de la imagen de un documento en pantalla Establecer la vida de un documento (desde cuando sea vigente hasta su retirada de circulación) Establecer el tiempo de uso de un documento por el usuario desde la primera vez que se abra Establecer franjas de horario para la utilización de un documento Permitir o no la utilización offline de un documento Especificar lo que puede hacer cada destinatario con un documento (leerlo, editarlo, copiarlo sin cifrar, re-cifrar otro grupo de usuarios, etc.) 2.3. ALINEACIÓN DE LA CIRCULAR 014 DE 2009 DE LA SUPERINTENDENCIA FINANCIERA Y LAS ISO27001 CON LOS PRODUCTOS ORACLE SELECCIONADOS. El propósito de esta sección es presentar de manera lógica y ordenada los controles tecnológicos de la Circular 014 de la Superintendencia Financiera y los objetivos de control relacionado del Anexo A de la norma ISO 27001, sumándole a esto se sugiere un producto Oracle que apoyará el cumplimiento de los controles respectivos. La tabla está organizada de la siguiente manera: La primera columna contiene los controles tecnológicos de la Circular 014, la segunda columna contiene los objetivos de control del Anexo A de la norma ISO que están relacionado con la Circular 014, y la tercer y última columna presenta el producto que apoyara el cumplimiento de los controles analizados en la fila de consulta. 79

100 TABLA 5: CONTROLES Y PRODUCTOS ASOCIADOS Circular de la Superintendencia Financiera ISO/IEC 27001:2005 Anexo A Soluciones Oracle I Normas de Control Interno para la gestión de la Tecnología Plan estratégico de tecnología. i. Análisis de cómo soporta la tecnología los objetivos del negocio. A Inventario de Activos A Back-up o respaldo de la información A Controles de red A Seguridad de servicios de red A Gestión de Medio removibles. A Seguridad de Documentación del Sistema A Medio Físicos en Tránsito A Mensajes electrónicos. A Comercio Electrónico. A Transacciones en línea. A Información Disponible Públicamente A Autenticación de usuario para conexiones externas A Control conexión de redes. A Control de Routing de redes. ii. Evaluación de la tecnología actual. A Inventario de Activos. Oracle Enterprise Manager (EM). Oracle Diagnostic Pack (DP). 80

101 Circular de la Superintendencia Financiera ISO/IEC 27001:2005 Anexo A Soluciones Oracle iii. Estudios de mercado y factibilidad de alternativas tecnológicas que respondan a las necesidades de la entidad. iv. Planes operacionales estableciendo metas claras y concretas. A Contacto con autoridades A Contacto con grupos de interés especial A Incluir seguridad de la información en el proceso de gestión de continuidad comercial. A Desarrollar e implementar planes de continuidad incluyendo seguridad de la información A Documentar Política de seguridad de la información. A Revisión de la política de seguridad de la información. A Coordinación de la seguridad de la información. A Asignación de responsabilidades de la seguridad de la información. A Revisión independiente de la seguridad de la información. A Etiquetado y manejo de la información. A8.1.1 Roles y Responsabilidades. A Gestión de Capacidad. A Responsabilidades y procedimientos. A Desarrollar e implementar planes de continuidad incluyendo seguridad de la información. 81

102 Circular de la Superintendencia Financiera ISO/IEC 27001:2005 Anexo A Soluciones Oracle II III Infraestructura de tecnología. Cumplimiento de requerimientos legales para derechos de autor, privacidad y comercio electrónico. A Inventarios de Activos. A Perímetro de Seguridad Física. A Controles de entrada físicos. A Seguridad de oficinas, habitaciones y medios. A Protección contra amenazas externas y ambientales. A Trabajo en áreas seguras. A Ubicación y protección del equipo. A Servicios Públicos. A Seguridad en el cableado. A Identificación de legislación aplicable. A Derechos de propiedad intelectual. A Protección de los registros organizacionales. A Protección de data y privacidad de información personal. A Regulación de controles criptográficos. Oracle Enterprise Manager (EM). Oracle Audit Vault (AV). Oracle Enterprise Content Management (ECM). Oracle Information Rights Management (IRM). 82

103 Circular de la Superintendencia Financiera ISO/IEC 27001:2005 Anexo A Soluciones Oracle IV V Administración de proyectos de sistemas. Administración de la calidad, i. Programas para establecer una cultura de calidad de la tecnología en toda la entidad. A.10.3 Planeación y Aceptación del Sistema. A.10.6 Gestión de seguridad de redes. A.10.7 Gestión de medios. A.11.2 Gestión del acceso del usuario. A.12.6 Gestión de vulnerabilidad técnica. A.13 Gestión de incidentes en la seguridad de la información. A.14 Gestión de la continuidad comercial. A Documentar Política de seguridad de la información. A Revisión de la política de seguridad de la información. A Compromiso de la Gerencia con la seguridad de la información. A Coordinación de la seguridad de la información. A Asignación de responsabilidades de la seguridad de la información. A Capacitación y educación en seguridad de la información. A Procedimientos de operación documentados. A Cumplimiento con las políticas y estándares de seguridad. Oracle Enterprise Content Management (ECM) Oracle Information Rights Management (IRM) 83

104 Circular de la Superintendencia Financiera ISO/IEC 27001:2005 Anexo A Soluciones Oracle ii. Planes concretos de calidad de la tecnología. iii. Responsables por el aseguramiento de la calidad. iv. Prácticas de control de calidad. A Incluir seguridad de la información en el proceso de gestión de continuidad comercial. A Continuidad comercial y evaluación del riesgo. A Desarrollar e implementar planes de continuidad incluyendo seguridad de la información. A Marco referencial para la planeación de la continuidad comercial. A Prueba, mantenimiento y reevaluación de planes de continuidad comerciales. A Roles y Responsabilidades. A Responsabilidades y Procedimientos. A Incluir seguridad de la información en el proceso de gestión de continuidad comercial. A Continuidad comercial y evaluación del riesgo. A Desarrollar e implementar planes de continuidad incluyendo seguridad de la información. A Marco referencial para la planeación de la continuidad comercial. A Prueba, mantenimiento y reevaluación de planes de continuidad comerciales. 84 Oracle Real Application Clusters (RAC) Oracle Data Guard (DG) Oracle Golden Gate (GG) Oracle Database Vault (DV). Oracle Identity Management (IDM). Oracle Enterprise Content Management (ECM) Oracle Enterprise Manager (EM).

105 Circular de la Superintendencia Financiera ISO/IEC 27001:2005 Anexo A Soluciones Oracle A Procedimientos de operación documentados. A Controles de auditoría de sistemas de información. A Chequeo de cumplimiento técnico. v. Metodología para el ciclo de vida de desarrollo de sistemas. vi. Metodología de prueba y documentación de programas y sistemas. A Aceptación del Sistema. A Protección de la data de prueba del sistema. A Continuidad comercial y evaluación del riesgo. A Desarrollar e implementar planes de continuidad incluyendo seguridad de la información. A Marco referencial para la planeación de la continuidad comercial. A Prueba, mantenimiento y reevaluación de planes de continuidad comerciales. Oracle Data Masking Pack (DMP). Oracle Advanced Security (AS). Oracle Enterprise Content Management (ECM), 85

106 Circular de la Superintendencia Financiera ISO/IEC 27001:2005 Anexo A Soluciones Oracle vii. Diseño de informes de aseguramiento de la calidad. A Documentar Política de seguridad de la información. A Procedimientos de operación documentados. A Registro de auditoría. A Aprendizaje de los incidentes de la seguridad de la información. A Recolección de Evidencia. Oracle Enterprise Content Management (ECM) Oracle Enterprise Manager Grid Control (EMGC) viii. Capacitación de usuarios finales y del personal de aseguramiento de la calidad. A Gestión de Responsabilidades. A Capacitación y educación en la seguridad de la información. VI ix. Desarrollo de una base de conocimiento de aseguramiento de la calidad. Adquisición de tecnología. A Inventario de Activos. A Perímetro de Seguridad Física. A Controles de entrada físicos. A Seguridad de oficinas, habitaciones y medios. A Protección contra amenazas externas y ambientales. A Trabajo en áreas seguras. A Ubicación y protección del equipo. A Servicios Públicos. A Seguridad en el cableado. A Seguridad del equipo fuera del local. Oracle Enterprise Content Management (ECM) 86

107 Circular de la Superintendencia Financiera ISO/IEC 27001:2005 Anexo A Soluciones Oracle VII Adquisición y mantenimiento de software de aplicación. A Eliminación seguro o re-uso del equipo. A Back-up o respaldo de la información. A Controles de red. A Seguridad de servicios de red. A Gestión de Medio removibles. A Seguridad de Documentación del Sistema. A Medio Físicos en Tránsito. A Mensajes electrónicos. A Comercio Electrónico. A Transacciones en línea. A Información Disponible Públicamente. A Autenticación de usuario para conexiones externas. A Control conexión de redes. A Control de Routing de redes. A.12 Adquisición, desarrollo y mantenimiento de los sistemas de información. VIII Instalación y acreditación de sistemas. A Aceptación del sistema. A Control Software Operacional. Oracle Enterprise Manager Grid Control (EMGC) Oracle Diagnostic Pack (DP). IX Administración de cambios. 87

108 Circular de la Superintendencia Financiera ISO/IEC 27001:2005 Anexo A Soluciones Oracle i. Identificación clara del cambio a realizar en la infraestructura. ii. Categorización, priorización y procedimientos de emergencia a llevar a cabo durante el cambio. iii. Evaluación del impacto que ocasiona el cambio en la infraestructura. iv. Procedimiento de autorización de los cambios. v. Procedimiento de administración de versiones. vi. Políticas de distribución del software. A Gestión de Cambio. A Manejar los cambios en los servicios de terceros. A Procedimientos de control de cambio. A Procedimientos de Control de Cambio. A Políticas sobre el uso de controles criptográficos. A Gestión Clave. A Revisión independiente de la seguridad de la información. A Revisión Técnica de las Aplicaciones después de cambios en el sistema operativo. A Gestión del Cambio A Restricciones sobre los cambios en los paquetes software. A Control de Software Operacional. A Protección de la data de prueba del sistema. A Control de acceso al código fuente del programa. A Segregación de deberes A Aceptación del Sistema 88 Oracle Enterprise Manager Grid Control (EMGC) Oracle Diagnostic Pack (DP). Oracle Configuration Management Pack (CMP). Oracle Enterprise Manager Grid Control (EMGC) Oracle Diagnostic Pack (DP). Oracle Configuration Management Pack (CMP). Oracle Configuration Management Pack (CMP). Oracle Data Masking Pack (DMP). Oracle Advanced Security (AS). Oracle Identity Management (IDM). Oracle Enterprise Content Management (ECM)

109 Circular de la Superintendencia Financiera ISO/IEC 27001:2005 Anexo A Soluciones Oracle X vii. Obtención de herramientas automatizadas para realizar los cambios. viii. Procedimientos para la administración de la configuración. ix. Rediseño de los procesos del negocio que se vean impactados por el cambio en la infraestructura. Administración de servicios con terceros. A Control de Procesamiento Interno. A Integridad del Mensaje. A Validación de data de output. A Procedimientos de control de cambio. A Restricciones sobre los cambios en los paquetes de software. A Roles y Responsabilidades. A Términos y condiciones de empleo. A Gestión de responsabilidades. A Capacitación y educación en seguridad de la información. A Devolución de Activos. A Eliminación de derechos de acceso. A Entrega del servicio. A Monitoreo y Revisión de los servicios de terceros. A Manejar los cambios en los Oracle Enterprise Content Management (ECM) Oracle Advanced Security (AS). Oracle Configuration Management Pack (CMP). Oracle Audit Vault (AV). Oracle Enterprise Manager Grid Control (EMGC) Oracle Identity Management (IDM). 89

110 Circular de la Superintendencia Financiera ISO/IEC 27001:2005 Anexo A Soluciones Oracle servicios de terceros XI XII XIII Administración, desempeño, capacidad y disponibilidad de la infraestructura tecnológica. Continuidad del negocio. Seguridad de los sistemas Gestión de la capacidad Aceptación del sistema Incluir la seguridad de la información en el proceso de gestión de continuidad del negocio Continuidad del negocio y evaluación del riesgo Desarrollar e implementar los planes de continuidad incluyendo la seguridad de la información A.5.1 Política de seguridad de la información Respaldo o Back-Up Oracle Enterprise Manager (EM). Oracle Audit Vault (AV). Oracle Real Application Clusters (RAC). Oracle Data Guard (DG) Oracle Active Data Guard (ADG) Oracle Golden Gate (GG) 90

111 Circular de la Superintendencia Financiera ISO/IEC 27001:2005 Anexo A Soluciones Oracle i. Autorización, autenticación y control de acceso. ii. Identificación de usuarios y perfiles de autorización los cuales deberán ser otorgados de acuerdo con la necesidad de tener y necesidad de conocer. A Política de control del acceso Retiro de los derechos de acceso Procedimientos para un registro seguro Identificación y autenticación del usuario Sistema de gestión de claves secretas Uso de las utilidades del sistema Cierre de una sesión por inactividad Limitación del tiempo de conexión Restricción del acceso a la información Aislar el sistema confidencial Computación y comunicaciones móviles Tele-trabajo Registro del usuario Gestión de privilegios Gestión de las claves secretas de los usuarios Revisión de los derechos de acceso del usuario Política de control del acceso Oracle Identity Management (IDM). Oracle Identity Management (IDM). 91

112 Circular de la Superintendencia Financiera ISO/IEC 27001:2005 Anexo A Soluciones Oracle iii. Manejo de incidentes, información y seguimiento. iv. Prevención y detección de código malicioso, virus, entre otros. v. Entrenamiento de usuarios. vi. Administración centralizada de la seguridad Reporte de eventos en la seguridad de la información Reporte de las debilidades en la seguridad Responsabilidades y procedimientos Aprender de los incidentes en la seguridad de la información Recolección de evidencia Controles contra códigos maliciosos Controles contra códigos móviles A8.2.2 Conocimiento, educación y capacitación en seguridad de la información Uso de claves secretas Equipo del usuario desatendido Política de escritorio y pantalla limpios Gestión de la entrega del servicio de terceros A Protección contra el código malicioso y móvil. A.10.5 Respaldo o Back-up. Oracle Audit Vault (AV). Oracle Enterprise Manager (EM). Oracle Database Firewall (DF) Oracle Audit Vault (AV). XIV Educación y entrenamiento de usuarios. A8.2.2 Conocimiento, educación y capacitación en seguridad de la información 92

113 Circular de la Superintendencia Financiera ISO/IEC 27001:2005 Anexo A Soluciones Oracle XV Administración de los datos. i. Establecer controles de entrada, procesamiento y salida para garantizar la autenticidad e integridad de los datos. ii. Verificar la exactitud, suficiencia y validez de los datos de transacciones que sean capturados para su procesamiento (generados por personas, por sistemas o entradas de interface). iii. Preservar la segregación de funciones en el procesamiento de datos y la verificación rutinaria del trabajo realizado. Los procedimientos deberán incluir controles de actualización adecuados, como totales de control "corrida a corrida" y controles de actualización de archivos maestros. iv. Establecer procedimientos para que la validación, autenticación y edición de los datos sean llevadas a cabo tan cerca del punto de origen como sea posible Validación de la input data Validación de la output data Integridad del mensaje Control del procesamiento interno. A Asignación de las responsabilidades de la seguridad de la información A Seguridad de la documentación del sistema Segregación de los deberes A11.6 Control de acceso a la aplicación y la información Oracle Database Firewall (DF). Oracle Advanced Security (AS). Oracle Database Firewall (DF). Oracle Advanced Security (AS). Oracle Audit Vault (AV). Oracle Database Vault (DV). Oracle Database Vault (DV). Oracle Identity Management (IDM). 93

114 Circular de la Superintendencia Financiera ISO/IEC 27001:2005 Anexo A Soluciones Oracle v. Definir e implementar procedimientos para prevenir el acceso a la información y software sensitivos de computadores, discos y otros equipos o medios, cuando hayan sido sustituidos o se les haya dado otro uso. Tales procedimientos deberán garantizar que los datos marcados como eliminados no puedan ser recuperados por cualquier individuo interno o tercero ajeno a la entidad. vi. Establecer los mecanismos necesarios para garantizar la integridad continua de los datos almacenados. vii. Definir e implementar procedimientos apropiados y prácticas para transacciones electrónicas que sean sensitivas y críticas para la organización, velando por su integridad y autenticidad Seguridad de la eliminación o reuso del equipo Retiro de propiedad A Procedimientos para el manejo de información Protección de la data del sistema Comercio electrónico Transacciones en-línea Información públicamente disponible Oracle Virtual Private Database (VD). Oracle Information Rights Management (IRM) Oracle Real Application Clusters (RAC). Oracle Data Guard (DG) Oracle Active Data Guard (ADG) Oracle Golden Gate (GG) Oracle Database Firewall (DF). Oracle Data Masking Pack (DMP). Oracle Database Vault (DV). Oracle Audit Vault (AV). Oracle Identity Management (IDM). Oracle Advanced Security (AS). Oracle Virtual Private Database (VD). 94

115 Circular de la Superintendencia Financiera ISO/IEC 27001:2005 Anexo A Soluciones Oracle XVI viii. Establecer controles para garantizar la integración y consistencia entre plataformas. Administración de instalaciones. i. Acceso a las instalaciones Controles de ingreso físico ii. iii. Identificación clara del sitio. Controles de seguridad física. iv. Definición de políticas de inspección y escalamiento de problemas. v. Planeamiento de continuidad del negocio y administración de crisis. vi. Salud y seguridad del personal Perímetro de seguridad física Ubicación y protección del equipo Asegurar las oficinas, habitaciones y medios Áreas de acceso público, entrega y carga Incluir la seguridad de la información en el proceso de gestión de continuidad del negocio Continuidad del negocio y evaluación del riesgo Desarrollar e implementar los planes de continuidad incluyendo la seguridad de la información Oracle Golden Gate (GG) Oracle Identity Management (IDM). Oracle Identity Management (IDM). Oracle Enterprise Manager Grid Control (EMGC) Oracle Audit Vault (AV). Oracle Configuration Management Pack (CMP). Oracle Diagnostic Pack (DP). Oracle Real Application Clusters (RAC) Oracle Data Guard (DG) Oracle Active Data Guard (ADG) Oracle Golden Gate (GG) 95

116 Circular de la Superintendencia Financiera ISO/IEC 27001:2005 Anexo A Soluciones Oracle vii. Políticas de mantenimiento preventivo Mantenimiento de equipo. viii. ix. Protección contra amenazas ambientales. Monitoreo automatizado Protección contra amenazas externas e internas Registro de auditoría Uso del sistema de monitoreo Protección del registro de información Registros del administrador y operador Registro de fallas Sincronización de relojes Oracle Database Firewall (DF). Oracle Database Vault (DV). Oracle Golden Gate (GG) Oracle Diagnostic Pack (DP). Oracle Real Application Clusters (RAC) Oracle Golden Gate (GG) Oracle Data Guard (DG) y Oracle Active Data Guard (ADG) Oracle Enterprise Manager (EM). Oracle Audit Vault (AV). Oracle Identity Management (IDM). 96

117 Circular de la Superintendencia Financiera ISO/IEC 27001:2005 Anexo A Soluciones Oracle XVII Administración de operaciones de tecnología. A.10 Administración de las comunicaciones y operaciones Gestión del cambio Separación de los medios de desarrollo, prueba y operación Oracle Enterprise Manager (EM). Oracle Enterprise Content Management (ECM) Oracle Data Masking Pack (DMP). Oracle Database Vault (DV). Oracle Identity Management (IDM). Oracle Enterprise Manager (EM). Oracle Audit Vault (AV). Oracle Database Firewall (DF). Oracle Diagnostic Pack (DP). Oracle Real Application Clusters (RAC) Oracle Data Guard (DG) y Oracle Active Data Guard (ADG) Oracle Golden Gate (GG) Oracle Information Rights Management (IRM) Oracle Enterprise Manager Grid Control (EMGC) Oracle Configuration Management Pack (CMP). Oracle Advanced Security (AS). 97

118 Circular de la Superintendencia Financiera ISO/IEC 27001:2005 Anexo A Soluciones Oracle Oracle Virtual Private Database (VD). XVIII Documentación Análisis y especificación de los requerimientos de seguridad Procedimientos de operación documentados Oracle Enterprise Content Management (ECM) Oracle Information Rights Management (IRM). 98

119 3. ARQUITECTURAS PROPUESTAS Esta sección presenta una descripción de varias arquitecturas genéricas para medianas y grandes empresas con el objetivo de transmitir una visión global de un conjunto de ambientes y soluciones de software de la manera más estructurada posible que buscan acercar a las empresas al cumplimiento de los requerimientos tecnológicos de la Circular 014 de 2009 de la Superintendencia Financiera de Colombia y los objetivos de control del Anexo A de la norma ISO Con las arquitecturas propuestas las empresas lograrán automatizar muchos de los procesos que en el mejor de los casos se hace manualmente, como copias de seguridad y conservación de la información, procesos que son vitales para la continuidad del negocio. Al establecer diferentes niveles de seguridad como la protección de acceso, cifrado de datos, gestión de identidad y gestión documental, se mitigarán los riesgos de un fallo total del sistema. Para ampliar el alcance de las arquitecturas se decidió diseñarlas y agruparlas de acuerdo al tamaño de las empresas objetivo, es decir para medias y grandes empresas. Partiendo de que las medianas empresas tienen la misma necesidad de proteger sus datos tanto como las grandes; la única diferencia es que cuentan con menos recursos para hacerlo, afirma Mike Karp, analista jefe de Ptak, Noel & Associates. En cualquier empresa, si los datos están comprometidos o son inaccesibles por alguna razón, su actividad se detendrá en poco tiempo. El interrogante es cuánto tiempo puede funcionar sin tener acceso a los datos y de esto dependerá el tipo de arquitectura a elegir. (Alan, 2010) 81 De manera adicional, se cuentan con algunos consolidados orientados a ofrecer una mayor información respecto al alcance de cada una de las arquitecturas. Es por esto que se incluye: Tabla de apoyo al cumplimiento: Muestra cada uno de los controles de la Circular 014 y del Anexo A de la ISO27001 que la arquitectura propuesta apoyará para el proceso de su cumplimiento (los controles). Cifras de apoyo al cumplimiento: Por cada arquitectura se presentan dos tipos de gráficos que muestran en términos porcentuales la capacidad con la que cuenta la arquitectura en el proceso de apoyo del cumplimento de los controles tecnológicos de la Circular 014 y del Anexo A de la norma ISO Alan, R. (2010). Guía paso a paso: protección de datos. Recuperado el 20 de 11 de 2010, de 99

120 ARQUITECTURAS PARA MEDIANA EMPRESA La adopción de tecnologías por parte de la pequeñas y medianas empresas para lograr el cumplimiento de la leyes Colombianas esta dictaminada por muchos factores, entre ellos está la viabilidad económica, que en algunos casos por buscar un ahorro puede llevar a la adopción de tecnologías riesgosas (no probadas o con muy poco tiempo en el mercado) o poco efectiva o eficiente que implican una mayor probabilidad de fallo. Teniendo en cuenta esto las arquitecturas propuestas para la mediana empresa cuenta con soluciones inteligentes y asequibles de Oracle, que poseen la misma funcionalidad, rendimiento y seguridad de sistemas de mayor magnitud, cuenta con tecnologías innovadoras, las mejores prácticas de la industria y la suficiente madurez y confiabilidad en el mercado, adicionalmente estudios realizados mundialmente como vemos en la siguiente tabla indican que Oracle es el líder mundial desde el 2006 en RDBMS con una cuota del mercado en el 2009 de 48%, lo cual nos indica que un enorme porcentaje del as empresa que aplicaran la circular 014 contaran con las Bases de datos ORACLE, las cuales son la base de las arquitecturas propuestas. TABLA 6: REPORTE DE CUOTA DEL MERCADO DE RDBMS A NIVEL MUNDIAL Año Cuota del Mercado % % % 2009* 48.0% Tomado de Busika.com (ThanosTP, 2009) *Tomado de (Oracle, 2010) Oracle. (2010). Oracle is #1 in the RDBMS market for Recuperado el 20 de 11 de 2010, de Oracle: 100

121 ARQUITECTURA ORIENTADA A LA CONTINUIDAD DEL NEGOCIO La arquitectura de continuidad de negocio está dirigida a pequeñas y medianas empresas que cuentas o planean adquirir las versiones más básicas de aplicaciones Oracle, partiendo de las base de datos Standard Edition. Con esta arquitectura se busca mantener la funcionalidad de la organización en un nivel mínimo considerable, contando con medidas preventivas y de recuperación ante los posibles riesgos a los que la compañía este expuesta. De esta forma se incluye Real Application Cluster (RAC) para ejecutarse una única base de datos en varios servidores proporcionando tolerancia a fallos y mejorando el rendimiento y la capacidad de escalabilidad. Se incluye Golden Gate para realizar integraciones heterogéneas entre diferentes bases de datos, ya sean SQL Server, Informix, FileSystem y sistemas operativos y servidores. Y adicionalmente se propone el uso de herramientas de gestión documental como Oracle Enterprise Content Management (ECM) y Oracle Information Rights Management (IRM) para la administración de documentos e imágenes y procesos y también para el establecimiento de permisos de acceso, lectura, impresión, etc., respectivamente. Obteniéndose alta disponibilidad, replicación con sitio alterno. Tabla de Apoyo al Cumplimiento La aplicación de la arquitectura base para la continuidad de negocio apoya al cumplimiento del siguiente listado de controles de la circular 014 de 2009 y de la ISO 27001:2005. TABLA 7: CONTROLES APOYADOS CON LA ARQUITECTURA BÁSICA DE CONTINUIDAD Circular de la Superintendencia Financiera ISO/IEC 27001:2005 Anexo A Normas de Control Interno para la gestión de la Tecnología 101

122 Circular de la Superintendencia Financiera ISO/IEC 27001:2005 Anexo A III V Cumplimiento de requerimientos legales para derechos de autor, privacidad y comercio electrónico. Administración de la calidad, i. Programas para establecer una cultura de calidad de la tecnología en toda la entidad. ii. Planes concretos de calidad de la tecnología. A Identificación de legislación aplicable. A Derechos de propiedad intelectual. A Protección de los registros organizacionales. A Protección de data y privacidad de información personal. A Regulación de controles criptográficos. A Documentar Política de seguridad de la información. A Revisión de la política de seguridad de la información. A Compromiso de la Gerencia con la seguridad de la información. A Coordinación de la seguridad de la información. A Asignación de responsabilidades de la seguridad de la información. A Capacitación y educación en seguridad de la información. A Procedimientos de operación documentados. A Cumplimiento con las políticas y estándares de seguridad. A Incluir seguridad de la información en el proceso de gestión de continuidad comercial. A Continuidad comercial y evaluación del riesgo. A Desarrollar e implementar planes de continuidad incluyendo seguridad de la información. A Marco referencial para la planeación de la continuidad comercial. A Prueba, mantenimiento y reevaluación de planes de continuidad comerciales. 102

123 Circular de la Superintendencia Financiera ISO/IEC 27001:2005 Anexo A iv. Prácticas de control de calidad. A Incluir seguridad de la información en el proceso de gestión de continuidad comercial. A Continuidad comercial y evaluación del riesgo. A Desarrollar e implementar planes de continuidad incluyendo seguridad de la información. A Marco referencial para la planeación de la continuidad comercial. A Prueba, mantenimiento y reevaluación de planes de continuidad comerciales. A Procedimientos de operación documentados. A Controles de auditoría de sistemas de información. A Chequeo de cumplimiento técnico. IX vii. Diseño de informes de aseguramiento de la calidad. ix. Desarrollo de una base de conocimiento de aseguramiento de la calidad. Administración de cambios. v. Procedimiento de administración de versiones. A Documentar Política de seguridad de la información. A Procedimientos de operación documentados. A Registro de auditoría. A Aprendizaje de los incidentes de la seguridad de la información. A Recolección de Evidencia. A Aceptación del Sistema 103

124 Circular de la Superintendencia Financiera ISO/IEC 27001:2005 Anexo A XII XV XVI vii. Obtención de herramientas automatizadas para realizar los cambios. Continuidad del negocio. Administración de los datos. vi. Establecer los mecanismos necesarios para garantizar la integridad continua de los datos almacenados. viii. Establecer controles para garantizar la integración y consistencia entre plataformas. Administración de instalaciones. v. Planeamiento de continuidad del negocio y administración de crisis. viii. Protección contra amenazas ambientales. A Control de Procesamiento Interno. A Integridad del Mensaje. A Validación de data de output. A Procedimientos de control de cambio. A Restricciones sobre los cambios en los paquetes de software Incluir la seguridad de la información en el proceso de gestión de continuidad del negocio Continuidad del negocio y evaluación del riesgo Desarrollar e implementar los planes de continuidad incluyendo la seguridad de la información A.5.1 Política de seguridad de la información Respaldo o Back-Up A Procedimientos para el manejo de información Protección de la data del sistema Incluir la seguridad de la información en el proceso de gestión de continuidad del negocio Continuidad del negocio y evaluación del riesgo Desarrollar e implementar los planes de continuidad incluyendo la seguridad de la información Protección contra amenazas externas e internas 104

125 Circular de la Superintendencia Financiera ISO/IEC 27001:2005 Anexo A XVIII Documentación Análisis y especificación de los requerimientos de seguridad Procedimientos de operación documentados Teniendo en cuenta la anterior tabla podemos extrapolar las siguientes cifras, de las cuales obtenemos a nivel porcentual los controles que la arquitectura básica orientada a la continuidad del negocio apoyará a cumplir (los controles). Divididas en el porcentaje de apoyo al cumplimiento de los controles tecnológicos de la Circular 014 y los objetivos de control de la norma ISO Junto con el porcentaje de aquellos controles que la arquitectura actual por su diseño no apoyará su cumplimiento. ILUSTRACIÓN 21: CIRCULAR 14 ARQUITECTURA BASE CONTROLES APOYADOS VERSUS NO APOYADOS 105

126 ILUSTRACIÓN 22: ISO ARQUITECTURA BASE CONTROLES APOYADOS VERSUS NO APOYADOS Lista de productos asociados a la arquitectura Oracle Database Enterprise Edition Oracle Enterprise Content Management (ECM) Oracle Golden Gate (GG) Oracle Information Rights Management (IRM). Oracle Real Application Clusters (RAC) 106

127 Ilustración de la arquitectura ILUSTRACIÓN 23: ARQUITECTURA BASE CONTINUIDAD DEL NEGOCIO 107

128 ARQUITECTURA ORIENTADA A LA SEGURIDAD Con la arquitectura orientada a seguridad se busca enfrentar y reducir riesgos provenientes de agentes internos y externos, ya sean fallos en el paso de información a través de la red, pérdida o robo de datos, robo o pérdida de infraestructura tecnológica. Pero con la arquitectura orientada a seguridad no solo se busca apoyar este procedo sino también agilizar su ejecución y manejo. En esta arquitectura se continúa partiendo de la base de datos Oracle Standard Edition, la cual incluye internamente opciones de seguridad que pueden habilitarse, entre ellos un paquete de cifrado de datos y de auditoría. Aquí se incluye protección perimetral a través de DataBase Firewall y Audit Vault para monitorear la información que cruza por la red y monitorear bases de datos Oracle y de otros fabricantes y logs de bases de datos respectivamente, bloqueando sentencias SQL e incluso reemplazándolas. El monitoreo llegar incluso a ser directamente sobre los servidores. Agregándole Oracle Identity Management para la gestión adecuada de identidad. Tabla de Apoyo al Cumplimiento La aplicación de la arquitectura base para la continuidad de negocio apoya el cumplimiento del siguiente listado de controles de la circular 014 de 2009 y de la ISO 27001:2005. TABLA 8: CONTROLES APOYADOS CON LA ARQUITECTURA BÁSICA DE SEGURIDAD Circular de la Superintendencia Financiera ISO/IEC 27001:2005 Anexo A Normas de Control Interno para la gestión de la Tecnología 108

129 Circular de la Superintendencia Financiera ISO/IEC 27001:2005 Anexo A II V VIII IX Infraestructura de tecnología. Administración de la calidad, iii. Responsables por el aseguramiento de la calidad. vi. Metodología de prueba y documentación de programas y sistemas. Instalación y acreditación de sistemas. Administración de cambios. A Inventarios de Activos. A Perímetro de Seguridad Física. A Controles de entrada físicos. A Seguridad de oficinas, habitaciones y medios. A Protección contra amenazas externas y ambientales. A Trabajo en áreas seguras. A Ubicación y protección del equipo. A Servicios Públicos. A Seguridad en el cableado. A Roles y Responsabilidades. A Responsabilidades y Procedimientos. A Aceptación del Sistema. A Protección de la data de prueba del sistema. A Continuidad comercial y evaluación del riesgo. A Desarrollar e implementar planes de continuidad incluyendo seguridad de la información. A Marco referencial para la planeación de la continuidad comercial. A Prueba, mantenimiento y reevaluación de planes de continuidad comerciales. A Aceptación del sistema. A Control Software Operacional. 109

130 Circular de la Superintendencia Financiera ISO/IEC 27001:2005 Anexo A iv. Procedimiento de autorización de los cambios. A Gestión del Cambio A Restricciones sobre los cambios en los paquetes software. A Control de Software Operacional. A Protección de la data de prueba del sistema. A Control de acceso al código fuente del programa. A Segregación de deberes X XI XIII Administración de servicios con terceros. Administración, desempeño, capacidad y disponibilidad de la infraestructura tecnológica. Seguridad de los sistemas. A Roles y Responsabilidades. A Términos y condiciones de empleo. A Gestión de responsabilidades. A Capacitación y educación en seguridad de la información. A Devolución de Activos. A Eliminación de derechos de acceso. A Entrega del servicio. A Monitoreo y Revisión de los servicios de terceros. A Manejar los cambios en los servicios de terceros Gestión de la capacidad Aceptación del sistema. 110

131 Circular de la Superintendencia Financiera ISO/IEC 27001:2005 Anexo A i. Autorización, autenticación y control de acceso. ii. Identificación de usuarios y perfiles de autorización los cuales deberán ser otorgados de acuerdo con la necesidad de tener y necesidad de conocer. iii. Manejo de incidentes, información y seguimiento. iv. Prevención y detección de código malicioso, virus, entre otros. A Política de control del acceso Retiro de los derechos de acceso Procedimientos para un registro seguro Identificación y autenticación del usuario Sistema de gestión de claves secretas Uso de las utilidades del sistema Cierre de una sesión por inactividad Limitación del tiempo de conexión Restricción del acceso a la información Aislar el sistema confidencial Computación y comunicaciones móviles Tele-trabajo Registro del usuario Gestión de privilegios Gestión de las claves secretas de los usuarios Revisión de los derechos de acceso del usuario Política de control del acceso Reporte de eventos en la seguridad de la información Reporte de las debilidades en la seguridad Responsabilidades y procedimientos Aprender de los incidentes en la seguridad de la información Recolección de evidencia Controles contra códigos maliciosos Controles contra códigos móviles 111

132 Circular de la Superintendencia Financiera ISO/IEC 27001:2005 Anexo A vi. Administración centralizada de la seguridad Gestión de la entrega del servicio de terceros A Protección contra el código malicioso y móvil. A.10.5 Respaldo o Back-up. XV Administración de los datos. i. Establecer controles de entrada, procesamiento y salida para garantizar la autenticidad e integridad de los datos. iii. Preservar la segregación de funciones en el procesamiento de datos y la verificación rutinaria del trabajo realizado. Los procedimientos deberán incluir controles de actualización adecuados, como totales de control "corrida a corrida" y controles de actualización de archivos maestros. iv. Establecer procedimientos para que la validación, autenticación y edición de los datos sean llevadas a cabo tan cerca del punto de origen como sea posible. v. Definir e implementar procedimientos para prevenir el acceso a la información y software sensitivos de computadores, discos y otros equipos o medios, cuando hayan sido sustituidos o se les haya dado otro uso. Tales procedimientos deberán garantizar que los datos marcados como eliminados no puedan ser recuperados por cualquier individuo interno o tercero ajeno a la entidad. vii. Definir e implementar procedimientos apropiados y prácticas para transacciones electrónicas que sean sensitivas y críticas para la organización, Validación de la input data Validación de la output data Integridad del mensaje. A Asignación de las responsabilidades de la seguridad de la información A Seguridad de la documentación del sistema Segregación de los deberes A11.6 Control de acceso a la aplicación y la información Seguridad de la eliminación o re-uso del equipo Retiro de propiedad Comercio electrónico Transacciones en-línea Información públicamente disponible 112

133 Circular de la Superintendencia Financiera ISO/IEC 27001:2005 Anexo A velando por su integridad y autenticidad. XVI Administración de instalaciones. i. Acceso a las instalaciones Controles de ingreso físico iii. Controles de seguridad física Asegurar las oficinas, habitaciones y medios Áreas de acceso público, entrega y carga. vii. Políticas de mantenimiento preventivo Mantenimiento de equipo. ix. Monitoreo automatizado Registro de auditoría Uso del sistema de monitoreo Protección del registro de información Registros del administrador y operador Registro de fallas Sincronización de relojes Teniendo en cuenta la anterior tabla podemos extrapolar las siguientes cifras, de las cuales obtenemos a nivel porcentual los controles que la arquitectura básica orientada a la seguridad apoyará a cumplir (los controles). Divididas en el porcentaje de apoyo al cumplimiento de los controles tecnológicos de la Circular 014 y los objetivos de control de la norma ISO Junto con el porcentaje de aquellos controles que la arquitectura actual por su diseño no apoyará su cumplimiento. 113

134 ILUSTRACIÓN 24: CIRCULAR 14 ARQUITECTURA BASE CONTROLES APOYADOS VERSUS NO APOYADOS ILUSTRACIÓN 25:ISO ARQUITECTURA BASE CONTROLES APOYADOS VERSUS NO APOYADOS 114

135 Lista de productos asociados a la arquitectura Los productos de la siguiente lista son los asociados a la arquitectura, los que se encuentran subrayados son adicionales a la arquitectura anterior. Oracle Database Enterprise Edition Oracle Audit Vault (AV). Oracle Database Firewall (DF). Oracle Enterprise Content Management (ECM) Oracle Golden Gate (GG) Oracle Identity Management (IDM). Oracle Information Rights Management (IRM) Oracle Real Application Clusters (RAC) 115

136 Ilustración de la arquitectura ILUSTRACIÓN 26: ARQUITECTURA BASE SEGURIDAD Acceso Arquitectura Base: Seguridad Oracle Identity Management Clientes Ambiente de Producción Ambiente de Desarrollo Clientes Estación de trabajo de la empresa Actualizaciones sin tiempo fuera de linea Oracle RAC Servidor Servidor Servidor Servidor Oracle Audit Vault Mayor acceso simultaneo a una Base de Datos Oracle Database Firewall Desarrollador File System BD de IBM, Microsoft, Teradata, SyBase y otras Oracle Database Standard Edition Oracle Database Standard Edition Servidor Clientes de la empresa Ambiente de contingencia Activación automática del ambiente de contingencia Oracle Golden Gate Sincronización Ambiente de Pruebas Tester Servidor externo Servidor Oracle Database Firewall Oracle Database Standard Edition Oracle Database Standard Edition Servidor Documentación Gestión Documental Oracle Enterprise Content Management Oracle Information Rights Management 116

137 ARQUITECTURA ORIENTADA A LA ADMINISTRACIÓN Y MONITOREO Esta arquitectura completa incluye la integración de continuidad de negocio y seguridad, sin embargo se busca darle un mayor alcance, permitiendo realizar tareas de administración y monitoreo de los recursos TI con los que cuenta las compañías, de esta forma se incluye el complemento de Oracle Enterprise Manager Grid Control el cual permitirá monitorear y administrar el ciclo de vida de la infraestructura TI de Oracle como por ejemplo las bases de datos y servidores de aplicaciones con que se cuenten. Tabla de Apoyo al Cumplimiento La aplicación de la arquitectura base para la continuidad de negocio apoya el cumplimiento del siguiente listado de controles de la circular 014 de 2009 y de la ISO 27001:2005. TABLA 9: CONTROLES APOYADOS CON LA ARQUITECTURA BÁSICA DE CONTINUIDAD Circular de la Superintendencia Financiera ISO/IEC 27001:2005 Anexo A Normas de Control Interno para la gestión de la Tecnología IX Administración de cambios. i. Identificación clara del cambio a realizar en la infraestructura. ii. Categorización, priorización y procedimientos de emergencia a llevar a cabo durante el cambio. A Gestión de Cambio. A Manejar los cambios en los servicios de terceros. A Procedimientos de control de cambio. A Procedimientos de Control de Cambio. A Políticas sobre el uso de controles criptográficos. A Gestión Clave. 117

138 Circular de la Superintendencia Financiera ISO/IEC 27001:2005 Anexo A iii. Evaluación del impacto que ocasiona el cambio en la infraestructura. A Revisión independiente de la seguridad de la información. A Revisión Técnica de las Aplicaciones después de cambios en el sistema operativo. XVII viii. Procedimientos para la administración de la configuración. Administración de operaciones de tecnología. A.10 Administración de las comunicaciones y operaciones Gestión del cambio Separación de los medios de desarrollo, prueba y operación Teniendo en cuenta la anterior tabla podemos extrapolar las siguientes cifras, de las cuales obtenemos a nivel porcentual los controles que la arquitectura básica orientada a la administración y monitoreo apoyará a cumplir (los controles). Divididas en el porcentaje de apoyo al cumplimiento de los controles tecnológicos de la Circular 014 y los objetivos de control de la norma ISO Junto con el porcentaje de aquellos controles que la arquitectura actual por su diseño no apoyará su cumplimiento. 118

139 ILUSTRACIÓN 27: CIRCULAR 14 ARQUITECTURA BASE: CONTROLES APOYADOS VERSUS NO APOYADOS ILUSTRACIÓN 28: ISO ARQUITECTURA BASE: CONTROLES APOYADOS VERSUS NO APOYADOS 119