AUTORIDAD DE SUPERVISIÓN DEL SISTEMA FINANCIERO DIRECCION DE SUPERVISION DE VALORES CUESTIONARIO ÁREA TECNOLÓGICA

Transcripción

1 AUTORIDAD DE SUPERVIÓN DEL STEMA FINANCIERO DIRECCION DE SUPERVION DE VALORES CUESTIONARIO ÁREA TECLÓGICA ENTIDAD: 1. La entidad cuenta con un Plan Estratégico de Tecnologías de la Información (TI)? 2. El plan estratégico de Tecnologías de la Información ha sido aprobado por su Directorio? TIENE 3. La entidad cuenta con un documento formalizado por escrito de un Plan de Contingencias Tecnológicas? 4. El Plan de Contingencias Tecnológicas ha sido aprobado por su Directorio? TIENE Señale el número

2 5. La entidad cuenta con documentos formalizados por escrito de Políticas, Reglamentos, Manuales y/o Procedimientos de Gestión de Seguridad de la Información? Señale los números de documentos 6. Las Políticas, Reglamentos, Manuales y/o Procedimientos de Gestión de Seguridad de la Información han sido aprobados por su Directorio? TIENE 7. La entidad cuenta con un Plan de Continuidad del Negocio (Business Continuity Planning - BCP) formalizado, actualizado e implementado? 8. El Plan de Continuidad del Negocio (BCP) ha sido aprobado por su Directorio? TIENE 9. La entidad cuenta con un documento de Análisis y Evaluación de Riesgo Tecnológico?

3 10. La entidad revisó y actualizó las Políticas de Seguridad de la Información en la gestión 2014? 11. La estructura organizacional de su entidad, cuenta con una unidad que se encargue de la gestión de los recursos de tecnología y seguridad de la información, que se encuentre contemplado en el manual de organización y funciones aprobado por el Directorio? 12. La entidad cuenta con un Comité de Tecnología de la Información? 13. La entidad cuenta con un Responsable de la Seguridad de la Información? 14. El responsable de la Seguridad de la Información tiene independencia funcional y operativa de las áreas de Tecnología, Comunicaciones, Sistemas de Información, Unidades Operativas y Auditoría? TIENE RESPONSABLE 15. La entidad efectuó un análisis y evaluación de riesgo tecnológico en la gestión 2014? Señale el número de informe.

4 16. El resultado del análisis y evaluación de riesgo tecnológico efectuado junto con los planes de acción a realizarse y los responsables de su ejecución, fue aprobado por el Directorio? SE HIZO 17. Todo el software utilizado en la entidad cuenta con las licencias respectivas? 18. La entidad cuenta con procedimientos para la instalación, mantenimiento, administración y custodia de las licencias de software? 19. Todo el personal de la entidad incluidos Directores, Consejeros de Administración y Vigilancia, Ejecutivos, Personal de Planta, Consultores, Personal Eventual, Pasantes y demás empleados de la entidad) tienen firmado un Acuerdo de Confidencialidad, en el cual se establecen sus obligaciones en cuanto a la seguridad y confidencialidad de la información a la que tienen acceso, inclusive después de la finalización de la relación contractual? 20. La entidad cuenta con un inventario de los activos de información (aquellos datos, información, sistemas y elementos relacionados con la tecnología de la información que tienen valor para la entidad) y tiene asignado responsabilidades respecto a su protección?

5 21. La entidad tiene establecido un esquema de clasificación de la información, de acuerdo a su criticidad y sensibilidad, con niveles de accesos a los datos administrados en sus sistemas, así como a la documentación física? Señale en que número de documento se 22. La entidad tiene designado formalmente un responsable del control de la producción, desarrollo, mantenimiento, uso y seguridad de aquellos datos, sistemas y elementos relacionados con las tecnologías de la información que tienen valor para la entidad? 23. La entidad en el último año dentro de la gestión de vulnerabilidades técnicas, ha efectuado pruebas de intrusión controladas internas y externas? Señale el 24. La entidad cuenta con un ambiente de exclusión con acceso restringido para el Centro de Procesamiento de Datos (CPD)? 25. El CPD cumple con el estándar AN/TIA-942 (Telecommunications Infrastructure Standard for Data Centers) u otro estándar internacional?

6 26. La entidad cuenta con manuales de procedimientos de protección física para el CPD? 27. El CPD cuenta con cámaras de circuito cerrado de TV (CCTV) y mecanismos para el control de ingreso y salida? 28. El CPD cuenta con una red eléctrica regulada y equipos de alimentación de energía ininterrumpida (UPS) que garantice el funcionamiento continuo de los equipos críticos y la prestación de servicios al público? 29. El CPD cuenta con extintores de incendios manuales y/o automáticos y detectores de temperatura y humedad? 30. Señale el tipo de cable y categoría que utilizan en el cableado de red de datos y voz en la entidad 31. Los puntos de red de datos y voz se encuentran certificados? Señale el nombre de la empresa certificadora y el documento de

7 32. La entidad cuenta con un procedimiento de destrucción controlada de medios de respaldo (Backups)? 33. La documentación relacionada con sus operaciones, microfilmados o registros almacenados en medios magnéticos y electrónicos, es custodiada antes de ser destruida por un periodo no menor a: 5 años 10 años No se destruye 34. La entidad cuenta con un procedimiento formal disciplinario para empleados que han cometido faltas y/o violaciones a las Políticas de Seguridad de la Información? 35. La entidad cuenta con procedimientos formalizados respecto a la administración de usuarios de los sistemas de información?

8 36. La administración y control de usuarios internos habilitados en los sistemas permite las altas, bajas y modificaciones, gestión de perfiles de acceso, de acuerdo al principio de menor privilegio? 37. El acceso a la Intranet de la entidad y al Internet por los usuarios internos se encuentra administrada y controlada? 38. La entidad cuenta con políticas de administración de contraseñas? Señale el nombre del 39. La entidad cuenta con un procedimiento formalizado de monitoreo de actividades de los usuarios? 40. La entidad cuenta con un registro de logs o pistas de auditoría, que contenga datos de los accesos y actividades de los usuarios, excepciones y registros de los incidentes de seguridad de la información?

9 41. Los registros de logs se mantienen en custodia por un periodo no menor a: 5 años 10 años No se destruye 42. La entidad cuenta con políticas y procedimientos para el desarrollo, mantenimiento e implementación de sistemas de información, enmarcadas en la legislación y normativa vigente según corresponda? 43. La entidad en el desarrollo de los sistemas de información, establece controles de seguridad, identificados y consensuados con las áreas involucradas? 44. La entidad para el proceso de adquisición, desarrollo y mantenimiento de software cuenta con metodologías estándar? 45. La entidad para el desarrollo y mantenimiento de los sistemas de información, considera como mínimo, la implementación de controles según los requerimientos regulatorios y la normativa vigente establecida por ASFI?

10 46. La entidad en el desarrollo y mantenimiento de los sistemas de información, implementa controles automatizados que minimizan errores en la entrada de datos, procesamiento, consolidación y salida de información? 47. La entidad en el desarrollo y mantenimiento de los sistemas de información, implementa controles automatizados que limitan la modificación, eliminación de datos en cuanto a movimientos, saldos, operaciones concretadas por los clientes y verifican periódicamente que la información procesada sea íntegra, válida y confiable? 48. La entidad en el desarrollo y mantenimiento de los sistemas de información, implementa métodos de cifrado estándar que garantizan la confidencialidad e integridad de la información? Señale los 49. La entidad cuenta con un procedimiento de control de acceso al código fuente de los programas y a la información relacionada con diseños, especificaciones, planes de validación, para prevenir la introducción de funcionalidades y/o cambios no autorizados? Señale el nombre del documento. 50. La entidad cuenta con procedimientos formales para el control de cambios en los sistemas de información?

11 51. La entidad cuenta con controles que garanticen la separación de los ambientes de desarrollo, prueba y producción en el desarrollo de los sistemas de información? 52. La entidad para utilizar información de prueba en los ambientes de desarrollo de software, aplica procedimientos de enmascaramiento de datos, a efectos de preservar la confidencialidad de la información? Señale el nombre del 53. En los procesos de migración de sistemas de información, la entidad cuenta con planes de acción y procedimientos específicos que garanticen el control de calidad, la disponibilidad, integridad y confidencialidad de la información? 54. Para la actualización de parches de seguridad previamente se realizan pruebas en ambientes controlados con autorización correspondiente y en función a un procedimiento formalmente establecido? Señale el nombre del 55. Las actividades y procesos que se desarrollan en el CPD son debidamente documentadas en una bitácora?

12 56. La administración de las bases de datos se realizan en función a procedimientos formalmente establecidos para este propósito, donde se consideran mínimamente la instalación, administración, migración, mantenimiento, control de acceso, afinación, arquitectura y necesidades de expansión de capacidades? 57. La entidad cuenta con un centro de procesamiento de datos alterno que le permita dar continuidad a los servicios que ofrece? TIENE 58. El centro de procesamiento de datos alterno de la entidad, se encuentra en un lugar geográficamente distinto al CPD? TIENE Señale aproximadamente a que distancia en Km se 59. La entidad cuenta con políticas y procedimientos de respaldo, copias de seguridad, backups, sitio externo de respaldo, de la información necesaria para garantizar su funcionamiento continuo? Señale el nombre del 60. El sitio externo de respaldo donde se almacenan las copias de seguridad de la información crítica de la entidad, mantiene las condiciones necesarias que garanticen la conservación, integridad, disponibilidad y protección de los datos contenidos en los dispositivos de respaldo? TIENE

13 61. El sitio externo de respaldo se encuentra en una zona geográficamente distinta al CPD? TIENE Señale aproximadamente a que distancia en Km. 62. Las copias de respaldo de la información crítica de la entidad, almacenada en el sitio externo se mantienen en custodia por un periodo no menor a: 5 años 10 años No se destruye No tiene 63. La entidad cuenta con un cronograma de mantenimiento preventivo de los recursos tecnológicos que soportan los sistemas de información y los recursos relacionados? Señale el nombre del 64. La entidad cuenta con políticas y procedimientos para la administración de la infraestructura de redes y telecomunicaciones?

14 65. La entidad cuenta con procedimientos para la instalación y mantenimiento de hardware y su configuración base, a fin de asegurar que proporcionen la plataforma tecnológica que permita soportar las aplicaciones relacionadas con las redes y comunicaciones? 66. La entidad cuenta con procedimientos que garanticen la protección de los datos que se transmiten a través de la red de datos y telecomunicaciones mediante técnicas de cifrado estándar a través de equipos o aplicaciones definidas para tal fin? Señale el nombre del 67. La entidad cuenta con procedimientos de control de acceso a los usuarios a redes compartidas, en función de las autorizaciones predefinidas? 68. Los equipos de redes y telecomunicaciones cuentan con un espacio físico exclusivo para el fin señalado, con excepción del destinado a los equipos de seguridad o procesamiento de información? 69. La entidad cuenta con un repositorio de configuraciones para el hardware y software implementado?

15 70. La entidad cuenta con documentación técnica asociada a la infraestructura de redes y telecomunicaciones actualizada, resguardada, que mínimamente contenga la topología y diagrama de red, planos y trayectoria del cableado, distribución de regletas y certificación del cableado? 71. La entidad cuenta con mecanismos de control de acceso y/o contraseñas adicionales para aquellas transacciones que son realizadas a través de Internet por los clientes o participantes? 72. La entidad cuenta con canales de comunicación 24/7 que permitan a los clientes realizar consultas y solicitar bloqueo en línea de cualquier operación que intente efectuarse utilizando sus medios de acceso a la información o claves de autenticación en línea y en tiempo real? 73. La información relacionada a transferencias y/o transacciones electrónicas contempla al menos en los canales de comunicación mecanismos de cifrado estándar durante todo el flujo operativo de los sistemas de información, tanto al interior como al exterior de la entidad?

16 74. El sitio web de la entidad, desde el cual se realizan las transferencias y/o transacciones electrónicas se encuentra avalada por una certificadora nacional y/o internacional? 75. La entidad cuenta con procesos alternativos que aseguran la continuidad de todos los procesos definidos como críticos relacionados con los servicios de transferencias y/o transacciones electrónicas, ante eventos fortuitos o deliberados? 76. Las terminales ATM (Automated Teller Machine) desde las cuales se realizan transferencias y/o transacciones electrónicas de recursos, generan archivos y reportes que permiten respaldar los antecedentes de cada operación electrónica, para efectuar cualquier seguimiento, examen o certificación posterior, tales como fechas, horas y dispositivos desde los cuales se realizaron las operaciones? Señale el nombre del 77. La entidad fija límites monetarios en las transferencias y/o transacciones electrónicas de recursos?

17 78. La entidad para la realización de transacciones y/o transferencias electrónicas de información entre entidades, cuenta con acuerdos privados debidamente firmados y protocolizados? 79. La entidad para la aprobación de transacciones y/o transferencias electrónicas de operaciones de los clientes, cuenta con contratos formales donde se especifica mínimamente la responsabilidad por el uso y confidencialidad de las claves de acceso, tipo de operaciones que puede realizar y medidas de seguridad para la transferencia electrónica de recursos? Señale la cantidad de contratos suscritos La entidad cuenta con un procedimiento formalizado para la gestión de incidentes de seguridad de la información en la que se establezcan las responsabilidades y acciones inmediatas a seguir para asegurar una rápida, efectiva y ordenada respuesta a incidentes de seguridad de la información? 81. La entidad realiza el registro, cuantificación y monitoreo de los incidentes de seguridad de la información? Señale la cantidad de categorías registradas.

18 82. El registro de los incidentes de seguridad de la información, es almacenada en una base de datos, para su control, seguimiento y solución? 83. La entidad ha capacitado a su personal en cuanto a la aplicación de los planes de contingencias tecnológicas y de continuidad del negocio (BCP)? TIENE 84. La entidad ha realizado pruebas de los planes de contingencias tecnológicas y de continuidad del negocio (BCP)? TIENE Señale el número de pruebas realizadas al año. 85. La entidad cuenta con políticas y procedimientos para la administración de servicios y contratos con terceros relacionados a TI, a fin de asegurar un adecuado nivel de servicio, que minimicen el riesgo relacionado? 86. La entidad cuenta con procedimientos documentados y formalizados para realizar la evaluación y selección de proveedores de TI?

19 87. La entidad tiene contratos con empresas encargadas del procesamiento de datos o ejecución de sistemas en sitios externos? Señale los nombres de las empresas 88. El procesamiento de datos en sitios externos, realizado por las empresas proveedoras se realizan fuera del territorio nacional? TIENE 89. Las empresas contratadas por la entidad para los servicios de TI, cuentan con la infraestructura tecnológica, almacenamiento y procesamiento de datos, que garantizan la continuidad operacional, confidencialidad, integridad, exactitud y calidad de la información y los datos? TIENE 90. La entidad ha tomado las medidas necesarias que garanticen la continuidad operacional del procesamiento de datos, en el caso de cambio de proveedor externo? TIENE Señale en que

20 91. La entidad para la adquisición de sistemas de información de proveedores externos, se asegura de contar con el código fuente de los sistemas y tener un nivel de dependencia aceptable? TIENE Señale el nombre de las 92. La entidad para la adquisición de sistemas de información de proveedores externos, realiza un análisis de riesgo tecnológico y de costo beneficio, considerando varias alternativas para la compra, que sea factible tecnológica y económicamente? TIENE 93. La entidad para el desarrollo y mantenimiento de programas, sistemas o aplicaciones a través de proveedores externos de TI, se asegura de exigir al proveedor que las herramientas de desarrollo estén debidamente licenciadas por el fabricante o representante de software? TIENE 94. La entidad se asegura que el personal que participa en los proyectos de desarrollo de software de las empresas proveedoras, tengan firmado cláusulas de confidencialidad para el manejo de la información? TIENE Señale con

21 95. La entidad en los contratos de desarrollo de software con proveedores de TI, se asegura que existan cláusulas de pago de multas por atrasos en la entrega de los productos e indemnización por daños y perjuicios en casos de fraudes o ataques informáticos que vulneren los sistemas entregados? TIENE Señale con 96. La entidad cuando el proveedor de TI no está en posibilidad de continuar operando en el mercado, se asegura de acceder a los programas fuentes actualizados de las aplicaciones adquiridas? TIENE 97. En caso que el proveedor de TI ingrese remotamente la los servidores de la entidad, debe cumplir con políticas y procedimientos establecidos en el reglamento de gestión de seguridad de la información? TIENE Señale 98. A la entrega de un sistema de información por un proveedor de TI, la entidad se asegura que mínimamente se entregue un diccionario de datos, diagrama entidad relación (ER), diagramas de flujo de datos entre módulos, manual técnico y manual de usuario? TIENE

22 99. La entidad previamente a la contratación de un proveedor de TI, establece un Acuerdo de Nivel de Servicio (Service Level Agreement SLA) en base a su análisis de riesgo tecnológico y criticidad de sus operaciones? TIENE Señale 100. La unidad de Auditoría Interna es la encargada de emitir un informe sobre los resultados de las pruebas realizadas a los planes de contingencias tecnológicas y continuidad del negocio y de verificar el cumplimiento de los reglamentos referidos a Seguridad de la Información? Señale con qué frecuencia...