WHITE PAPER. Aranda 360 ENDPOINT SECURITY CORRESPONDENCIA CON LA CIRCULAR EXTERNA 052 DE 2007 SUPERINTENDENCIA FINANCIERA DE COLOMBIA



Documentos relacionados
WHITE PAPER. Cumplimiento de Aranda 360 ENDPOINT SECURITY con la Norma ISO/IEC (Tecnología de la Información Técnicas de Seguridad)

Anexo I. Politicas Generales de Seguridad del proyecto CAT

Javier Bastarrica Lacalle Auditoria Informática.

RECETA ELECTRÓNICA Informe de Seguridad

CONDICIONES TÉCNICAS PARA SERVICIO ILUMINACIÓN ZONAS WIFI PARA CLIENTES CORPORATIVOS. Vicepresidencia de Infraestructura

Directiva PCM/SG Directiva de seguridad ante la presencia de virus informático en la Presidencia del Consejo de Ministros

Q-expeditive Publicación vía Internet

Manual Uso de Infraestructura Informática

PROYECTO ESPECIAL CHAVIMOCHIC INFORME TECNICO PREVIO DE EVALUACION DE SOFTWARE N GR-LL/PECH-05-INF

Sophos Computer Security Scan Guía de inicio

Gestión de la Seguridad Informática

SUPERINTENDENCIA FINANCIERA DE COLOMBIA

TÉRMINOS DE USO DEL CORREO ELECTRÓNICO

ESPECIFICACIONES TECNICAS PROTAP VIA VPN Última Revisión 17/06/2010

TEMA 3. SEGURIDAD INFORMÁTICA

TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO

CAPÍTULO DÉCIMO SEGUNDO: REQUERIMIENTOS MÍNIMOS DE SEGURIDAD Y CALIDAD PARA LA REALIZACIÓN DE OPERACIONES Superfinanciera.

Antivirus PC (motor BitDefender) Manual de Usuario

Seguridad en la red. Fuga o robo de información a causa de las siguientes razones:

Requerimientos de seguridad y calidad en el manejo de. de distribución n de productos y Servicios Financieros. Conferencista: Pablo A. Malagón n T.

Seguridad. Estos son algunos de los elementos de alta tecnología que BANCOLOMBIA utiliza para garantizar la seguridad en sus transacciones:

LOS VIRUS IMFORMÁTICOS

TRANSFERENCIA ELECTRONICA DE INFORMACION Y FONDOS. 1.- Aplicación de las presentes normas.

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL

Aranda 360 ENDPOINT SECURITY

INFORME TÉCNICO PREVIO DE EVALUACIÓN DE SOFTWARE

ESPECIFICACIONES TECNICAS PROTAP Última Revisión 17/06/2010

We Care For Your Business Security

INFORME TÉCNICO ADQUISICIÓN DE SOFTWARE ANTIVIRUS APLICACIÓN DE REGLAMENTO DE LA LEY N SOBRE USO Y ADQUISICIÓN DE SOFTWARE EN EL ESTADO

SUPERINTENDENCIA FINANCIERA DE COLOMBIA

Technical Software México, S.A. GRUPO BOGO Asesores y Servicios TI, S.C.

Infraestructura Tecnológica. Sesión 10: Sistemas cortafuego

Familia de Windows Server 2003

SEMANA 12 SEGURIDAD EN UNA RED

SISTEMA UNIFICADO DE CONTROL EN TIEMPO REAL (SUCTR)

Políticas para Asistencia Remota a Usuarios

Políticas para la seguridad de los sistemas de datos personales en el Instituto Nacional de Medicina Genómica

escan Corporate 360 PyMes, Corporativos y Gobierno Rv.1

Capítulo 1: Empezando...3

Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral

UNIVERSIDAD AUTÓNOMA DEL CARIBE PROCEDIMIENTO DE ATENCIÓN DE INCIDENTES Y REQUERIMIENTOS PARA EQUIPOS DE CÓMUPUTO Y/O PERIFÉRICOS GESTIÓN INFORMÁTICA

ANEXO II PLIEGO DE ESPECIFICACIONES TÉCNICAS I.- OBJETO DEL SUMINISTRO:

POLÍTICAS DE SEGURIDAD PARA EL DESARROLLO DE SISTEMAS DE CAPUFE

Manual de Procedimientos

IPEC SANTA BÁRBARA DE HEREDIA MANTENIMIENTO PREVENTIVO DE COMPUTADORAS. Seguridad de los datos - Virus / Malware / Antivirus

REGLAMENTACIÓN POLÍTICA DE SEGURIDAD DE INFORMACIÓN GEOGRÁFICA VERSIÓN: 1.1

HOSPITAL NAZARETH I NIVEL EMPRESA SOCIAL DEL ESTADO NIT:

Cisco ProtectLink Endpoint

F-Secure Anti-Virus for Mac 2015

INFORMÁTICA UD. REDES Y SEGURIDAD INFORMÁTICA

TEMA 3. REDES Y SEGURIDAD INFORMÁTICA

Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A

We Care For Your Business Security

VICEPRESIDENCIA DE OPERACIONES DEPARTAMENTO DE SISTEMAS

Bloquean el tráfico basándose en un esquema de aplicaciones fiables - no fiables.

PCI Day Today PCI DSS. WebSphere DataPower IBM Corporation

Seguridad en el manejo de la información asociada a las muestras (Ficheros automatizados) Granada 06/11/2012

Bogotá D.C., 2 de agosto de 2013 TABLA DE CONTENIDO. No. Circular Páginas

I. E. S. Cristóbal de Monroy. DEPARTAMENTO: Informática. MATERIA: Aplicaciones Web. NIVEL: 2º Sistemas Microinformáticos y Redes

Normas de Uso y Seguridad de la Red de Telecomunicaciones de la Universidad de Extremadura

Especificaciones de la oferta Administración de dispositivos distribuidos Administración de activos

PROGRAMA DEL CURSO. SEGURIDAD EN EQUIPOS INFORMATICOS MF0486_3 90 horas MEDIO-AVANZADO DURACION:

INFOGUARD MONITOREO Y AUDITORIA DEL USO DE LA INFORMACIÓN

INSTRUCTIVO USO INTERNET, CORREO INSTITUCIONAL Y ACCESO A LA RED

Javier Rubio Villacé Asesor TIC del Área de Programas Educativos de la Dirección Provincial de Educación de Valladolid

POLITICAS DE BUEN USO DE REDES INALÁMBRICAS DE FINDETER

Políticas de Seguridad de la información

Aranda 360 ENDPOINT SECURITY

Introducción: Seguridad Activa: Medidas de Prevención. Objetivo: Evitar daños en sistemas informáticos antes que ocurran. Mecanismos de protección

INFORME TECNICO PREVIO DE EVALUACIÓN DE SOFTWARE N /UIE-PATPAL - FBB

1. Instala servicios de configuración dinámica, describiendo sus características y aplicaciones.

APLICACIÓN DE LOS PRINCIPIOS DE BUENAS PRÁCTICAS DE LABORATORIO A LOS SISTEMAS INFORMATIZADOS

Guía de Seguridad en Redes Inalámbricas

Seguridad e Integridad de Base de Datos

Firewalls, IPtables y Netfilter

REGLAMENTO PARA USO DEL LABORATORIO DE INFORMATICA (CENTRO DE COMPUTO PARA ALUMNOS)

Monitoreo de red. Inventario de hardware y software. Monitoreo actividad del usuario. Soporte a usuarios. Protección contra fuga de datos.

MINISTERIO DE COMERCIO EXTERIOR Y TURISMO LEY LEY QUE NORMA LA ADQUISION Y ADECUACION DEL SOFTWARE EN LA ADMINISTRACION PUBLICA

INFORME DISPOSICION TRANSITORIA CUARTA DEL REAL DECRETO 1671/2009, DE 6 DE NOVIEMBRE, POR EL QUE SE DESARROLLA PARCIALMENTE LA LEY 11/2007, DE 22 DE

ISO Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA WENDY CARRASCAL VILLAMIZAR

Políticas: Servicio de Computo de Alto Rendimiento

Manual de Acceso Remoto al Portal Timbó. Montevideo 2011

REQUERIMIENTOS NO FUNCIONALES

Banco de la República Bogotá D. C., Colombia

Introducción a las redes de computadores

NTP - ISO/IEC 27001:2008

Conoce nuestros Servicios Cloud. - Por familia - Por fabricante

MANUAL VENTANILLAS MOVILES

INFORME PREVIO DE EVALUACION DE SOFTWARE

SEGURIDAD INFORMÁTICA 2º SISTEMAS MICROINFORMÁTICOS Y REDES 1. CONTENIDOS MÍNIMOS PARA LA EVALUACIÓN POSITIVA

Acerca de Symantec Encryption Desktop

EMPRESA DE TELECOMUNICACIONES DE BOGOTÁ S A E.S.P. SOLICITUD DE INFORMACIÓN

GIDT. Instructivo Filtro de Contenido Web

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA

Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL

Recomendaciones para operadores de Servicio de Correo Electrónico. Principios básicos para operadores de Correo Electrónico (ESPs)

Transport Layer Security (TLS) Acerca de TLS

Transcripción:

CORRESPONDENCIA CON LA CIRCULAR EXTERNA 052 DE 2007 SUPERINTENDENCIA FINANCIERA DE COLOMBIA Mayo 2008

CAPITULO DECIMO SEGUNDO: REQUERIMIENTOS MÍNIMOS DE SEGURIDAD Y CALIDAD EN EL MANEJO DE INFORMACIÓN A TRAVÉS DE MEDIOS Y CANALES DE DISTRIBUCIÓN DE PRODUCTOS Y SERVICIOS Ámbito de aplicación de acuerdo a la Circular Las instrucciones de que trata este capitulo deberán ser adoptadas por todas las entidades sometidas a la inspección y vigilancia de la Superintendencia Financiera de Colombia (SFC), con excepción de las siguientes: el Fondo de Garantías de Instituciones Financieras Fogafín, el Fondo de Garantías de Entidades Cooperativas Fogacoop, el Fondo Nacional de Garantías S.A. F.N.G. S.A., el Fondo Financiero de Proyectos de Desarrollo Fonade, los Almacenes Generales de Depósito, los Fondos de Garantía que se constituyan en el mercado público de valores, los Fondos Mutuos de Inversión, los Fondos Ganaderos, las Sociedades Calificadoras de Valores y/o Riesgo, las Oficinas de Representación de Instituciones Financieras y de Reaseguros del Exterior, los Corredores de Seguros y de Reaseguros, los Comisionistas Independientes de Valores, las Sociedades Comisionistas de Bolsas Agropecuarias y los Organismos de Autorregulación. cumple como solución de implementación de los objetivos de control y requerimientos establecidos en los numerales 3.1.1, 3.1.4, 3.1.5, 3.1.7, 3.1.11, 3.1.14 y 3.1.17 (Seguridad y Calidad) y en los numerales 4.7.2, 4.7.3, 4.7.4, 4.7.5 (Centro de Atención Telefónica Call Center), como se describen a continuación: 3.1 SEGURIDAD Y CALIDAD En desarrollo de los criterios de seguridad y calidad, y considerando los canales de distribución utilizados, las entidades deberán cumplir, como mínimo, con los siguientes requerimientos: Lo que dice la Circular Lo que hacemos 3.1.1 Disponer de hardware, software y equipos de telecomunicaciones, así como de los procedimientos y controles necesarios, que permitan prestar los servicios y manejar la información en condiciones de seguridad y calidad. pone a disposición de las entidades reguladas por la Superintendencia Financiera de Colombia una solución de software que protege las organizaciones de los ataques informáticos externos e integra la definición de políticas adecuadas para el uso de los puntos finales (estaciones de trabajo y laptops). Con Aranda 360 es posible asegurar los datos y archivos importantes y críticos de la entidad, además de la información confidencial mediante el bloqueo de las amenazas de red, uso de dispositivos removibles y detección de software malicioso. www.arandasoft.com 2

3.1.4 Dotar de seguridad la información confidencial de los clientes que se maneja en los equipos y redes de la entidad. Encriptar los datos almacenados en dispositivos removibles. Definir zonas de encripción en discos duros (archivos y directorios) y controlar el acceso mediante uso de contraseñas Establecer permisos de acceso a registros y archivos. 3.1.5 Velar por que la información enviada a los clientes esté libre de software malicioso. Proteger el sistema contra software dañino (gusanos y virus). Defender al sistema de programas espía (troyanos, spyware, keyloggers, rootkits). 3.1.7 Dotar a sus terminales o equipos de cómputo de los elementos necesarios que eviten la instalación de programas o dispositivos que capturen la información de sus clientes y de sus operaciones. Restringir la instalación de software no autorizado y la desinstalación de aplicaciones existentes. Proteger el sistema contra la ejecución de keyloggers y software espía. Restringir el uso de dispositivos removibles (USB, Firewire, COM, IrDA, PCMCIA) mediante la identificación del fabricante, número serial o modelo del dispositivo. 3.1.11 Establecer los mecanismos necesarios para que el mantenimiento y la instalación o desinstalación de programas o dispositivos en las terminales o equipos de cómputo solo lo pueda realizar personal debidamente autorizado. Permitir la instalación y/o desinstalación de software, acceso a las herramientas del panel de control de Windows y el acceso a las utilidades de administración del sistema operativo (Administrador de tareas, Editor del registro, etc.), únicamente a usuarios autorizados identificados. www.arandasoft.com 3

3.1.14 Realizar una adecuada segregación de funciones del personal que administre, opere, mantenga y, en general, tenga la posibilidad de acceder a los dispositivos y sistemas usados en los distintos canales y medios de servicio al cliente y al usuario. En desarrollo de lo anterior, las entidades deberán establecer los procedimientos y controles para el alistamiento, transporte, instalación y mantenimiento de los dispositivos usados en los canales de distribución de servicios. Encriptar los datos almacenados en dispositivos removibles. Controlar las operaciones de acceso y modificación de archivos almacenados en dispositivos de almacenamiento removibles. 3.1.17 Tener en operación solo los protocolos, servicios, aplicaciones, usuarios, equipos, entre otros, necesarios para el desarrollo de su actividad. Controlar las aplicaciones de los usuarios mediante el acceso a listas blancas y listas negras. Establecer permisos de acceso detallados para cada aplicación. Establecer permisos de acceso a registros y archivos. Detectar accesos no autorizados a un computador o a una red mediante el IDS (sistema de detección de intrusos). Filtro avanzado de tráfico (protocolos múltiples sobre IP, TCP/UDP/ICMP y Ethernet, y filtro de direcciones MAC/IP). Revisar la integridad del protocolo. Proteger la red del escaneo de puertos. Controlar el tráfico de red en los puntos finales de acuerdo a los niveles de servicio mediante un firewall integrado al kernel. www.arandasoft.com 4

Lo que dice la Circular Lo que hacemos 4.7.2 Impedir el ingreso de dispositivos que permitan almacenar o copiar cualquier tipo de información, o medios de comunicación, que no sean suministrados por la entidad. Restringir la copia de archivos a unidades de almacenamiento externo, quemadoras de CD/DVD, memorias USB, discos duros externos. Permitir el acceso a dispositivos autorizados por la entidad identificados por su fabricante, número serial o modelo. 4.7.3 Dotar a los equipos que operan en el centro de atención telefónica de los elementos necesarios que impidan el uso de dispositivos de almacenamiento no autorizados por la entidad. Igualmente, se deberá bloquear cualquier tipo de conexión a red distinta a la usada para la prestación del servicio. Restringir el uso de dispositivos removibles de almacenamiento no autorizados o identificados previamente por la entidad. Controlar las conexiones a redes inalámbricas (Infraestructura y Ad- Hoc). Controlar las conexiones inalámbricas de acuerdo a la identificación (SSID, MAC), y a los métodos de encripción y autenticación de los puntos de acceso (WEP, WPA, WPA2, etc.). Proteger las configuraciones de red de los puntos finales de cualquier modificación hecha por el usuario. Restringir conexiones Bluetooth. Controlar perfiles de conectividad inalámbrica (Conexión LAN, hotspots, VPN, etc.). Permitir el acceso remoto a los recursos de la red mediante el uso de herramientas de conexión VPN autorizadas. www.arandasoft.com 5

4.7.4 Garantizar que los equipos destinados a los centros de atención telefónica solo serán utilizados en la prestación de servicios por ese canal. Ejecutar scripts de verificación de procesos de las soluciones de seguridad y de otro software de seguridad. Monitorear actividades y generar reportes permanentemente. Generar alertas sobre actividades irregulares o incidentes de seguridad en tiempo real. Controlar el acceso a las aplicaciones mediante el uso de listas de control de acceso (ACL). Establecer permisos de acceso detallados para cada aplicación. Configurar permisos de acceso a la red. Agrupar y administrar redes de puntos finales identificados mediante membrecía en Active Directory, dirección IP, segmento de red y dirección MAC. Restringir el acceso al sistema de administración de usuarios y evitar la modificación de los niveles de acceso. 4.7.5 En los equipos usados en los centros de atención telefónica no se permitirá la navegación por Internet, el envío o recepción de correo electrónico, la mensajería instantánea, ni ningún otro servicio que permita el intercambio de información, a menos que se cuente con un sistema de registro de la información enviada y recibida. Estos registros deberán ser conservados por lo menos un (1) año o en el caso en que la información respectiva sea objeto o soporte de una reclamación, queja, o cualquier proceso de tipo judicial, hasta el momento en que sea resuelto. Impedir la navegación mediante la restricción de acceso a los puertos HTTP, HTTPS para cualquier navegador web, así mismo como la descarga de cualquier tipo de archivo. Restringir la ejecución de clientes de correo, la conexión a puertos utilizados por protocolos de correo (SMTP,IMAP, POP3, etc). Restringir la ejecución de clientes de mensajería instantánea e impedir la transferencia de archivos a través de estos. www.arandasoft.com 6

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback