tutorial Del Área de Sistemas CyAhhhdC

MANUALES DEL ÁREA DE SISTEMAS

PARA CASAS Y AGENCIAS DE CAMBIOS



Comunicación “A” 4192 BCRA Junio 2012



MANUALES:

¿QUÉ SON LOS MANUALES DE UNA ORGANIZACIÓN Y PARA QUÉSIRVEN?

Son las herramientas formales en las cuales se agrupan todas lasacciones y funciones que debe desarrollar una Organización o un Sector en particular.

Los Manuales sirven como instrumento de comunicación y tienen como objetivo el ordenamiento de las tareas para facilitar el desarrollo de las funciones de una Empresa, considerando los riesgos involucrados y los controles claves mitigantes.

Cada manual debe satisfacer distintos tipos de necesidades en una Organización y debe contener la descripción de las actividades que serán desarrolladas por los miembros de una Organización.



MANUALES:

¿CUÁL ES EL CONTENIDO QUE DEBEN TENER LOS MANUALES DEL ÁREA DE SISTEMAS/TI?



DEFINICIONES:

¿QUÉ SON LAS POLÍTICAS?

Las Políticas son el marco general que sirven como guía. Son las acciones generales que es probable que se presenten en determinadas circunstancias dentro de una Organización. Son muy explícitas y básicas.

¿QUÉ SON LAS NORMAS?

Son reglas que deben ser respetadas y que permiten ajustar ciertas conductas o actividades. Las normas establecen pautas generales, sin entrar en detalles.



DEFINICIONES:

¿QUÉ ES UN PROCEDIMIENTO?

Es la forma específica de cómo se va a llevar a cabo una actividad. Los procedimientos existen, son estáticos y se implementan. Es la descripción de las actividades que se realizan dentro de un proceso e incluye el qué, el cómo y a quién corresponde el desarrollo de la tarea, involucrando el alcance, las normas y los elementos técnicos.



DEFINICIONES:

¿QUÉ SON LOS ESTÁNDARES?

Los estándares son un conjunto de parámetros técnicos de seguridad a configurar en cada uno de los distintos componentes de la tecnología. En principio son de uso voluntario, aunque la legislación y las reglamentaciones pueden hacer referencia a ellos.

¿QUÉ ES UN PROCESO?

Es el conjunto de actividades mutuamente relacionadas que transforman entradas en salidas, mediante la utilización de recursos. Es la acción general de lo que se va a llevar a cabo. Los procesos se comportan, son dinámicos, se operan y gestionan. (Ej. Venta de Billetes)



MARCO NORMATIVO – BCRA / COMUNICACIÓN “A” 4192

Sección B “Controles Generales de Tecnología”

3. Documentación

De acuerdo con la estructura y complejidad de sus funciones informáticas, las casas y agencias de cambio deberán contar con políticas, normas, estándares, procedimientos y/o prácticas para los aspectos relacionados con la planificación, seguridad, operación y control de los sistemas de información y su tecnología asociada.

También deberán contar con documentación técnica y manuales de usuarios de los sistemas aplicativos, del equipamiento informático y su software de base, diagramas topológicos de las redes de telecomunicaciones y toda aquella documentación relacionada con los recursos de información.




Asimismo, en el Punto 2 . Proveedores de Servicios Informáticos refiere que:

Los contratos deberán contener como mínimo: … y el procedimiento por el cual la entidad pueda obtener los datos, los programas fuentes, los manuales y la documentación técnica de los sistemas,… …, a fin de poder asegurar la continuidad del procesamiento.




Los procedimientos que deben llevarse a cabo para el desarrollo de la tarea y control de las áreas de sistemas, los cuales involucran al Directorio, Área de Sistemas y personal de la entidad, deben estar diseñados para proveer un grado razonable de seguridad en relación con el logro de los objetivos y los recursos aplicados en los siguientes aspectos:

EficaciaLa información y sus procesos relacionados, deben ser relevantes y pertinentes para el desarrollo de las actividades. La información debe presentarse en forma correcta, coherente, completa y que pueda ser utilizada en forma oportuna.

Eficiencia El proceso de la información debe realizarse mediante una óptima utilización de los recursos.




ConfidencialidadLa información crítica o sensible debe ser protegida a fin de evitar su uso no autorizado.

IntegridadSe refiere a la exactitud que la información debe tener, así como su validez acorde con las pautas fijadas por la entidad y regulaciones externas.

DisponibilidadLos recursos y la información, ante su requerimiento, deben estar disponibles en tiempo y forma.

CumplimientoSe refiere al cumplimiento de las normas internas y de todas lasleyes y reglamentaciones a las que está sujeta la entidad.




ConfiabilidadLos sistemas deben brindar información correcta para ser utilizada en la operatoria de la entidad, en la presentación de informes internos y en su entrega al Banco Central de la Republica Argentina y demás organismos reguladores.

Todos estos aspectos deben ser aplicados a cada uno de los recursos intervinientes en los procesos de TI, tales como: datos, sistemas de aplicación, tecnología, instalaciones y personas.



EJEMPLO PRÁCTICO:

POLÍTICAS GENERALES DEL ÁREA DE SISTEMAS/TI:

Objetivo:Establecer los valores generales de seguridad de la información que deben regir el comportamiento de todo el personal de la Organización en el desarrollo de sus funciones.

Responsable del cumplimiento:Todo el personal de la compañía y los terceros, que interactúan de manera habitual u ocasional, que accedan a información sensible, son responsables de informarse del contenido del presente manual y cumplirlo y hacerlo cumplir en el desarrollo de sus tareas habituales.



EJEMPLO PRÁCTICO:


Incumplimientos:Las medidas disciplinarias están descriptas en el Anexo I - Sanciones por incumplimientos del Manual de Políticas del Área de Sistemas.

Definiciones:La compañía entiende que la información es un recurso que como el resto de los activos, tiene el valor para una Organización y por ende debe ser debidamente protegida.

A través de las medidas de protección definidas en el presente manual, la compañía pretende garantizar la continuidad del negocio.



EJEMPLO PRÁCTICO:


Definiciones:Se establecen un conjunto de controles que conforman la Gestión del Área de sistemas, a través de:

-Políticas-Normas-Procedimientos

…



EJEMPLO PRÁCTICO:


Definiciones:Es política de la compañía:

Autorización:Que todos los accesos a datos y/o transacciones cumplan con los niveles de aprobación previa correspondiente para su utilización y divulgación.

Confiabilidad:Que los sistemas informáticos brinden información correcta para ser utilizada en la operatoria de cada uno de los procesos.

Confidencialidad:Que la información crítica esté protegida del acceso de personas o terceros no autorizados.

Disponibilidad: Que la información pueda ser utilizada en todos los momentos en que sea requerida.



EJEMPLO PRÁCTICO:


Eficacia:Que toda la información utilizada y conservada sea útil para el desarrollo de los negocios.

Eficiencia:Que el procesamiento de la información se realice mediante una óptima utilización de los recursos humanos y materiales.

Exactitud:Que toda la información se encuentre libre de errores y/o irregularidades de cualquiertipo.

Integridad:Que sean procesados todos los datos y que se conserve toda la información necesaria para el desarrollo de las tareas.



EJEMPLO PRÁCTICO:


Legalidad:Que toda la información y los medios de conservación, procesamiento y/o transporte, estén dentro del marco legal vigente.

Propiedad:Que todos los derechos de propiedad sobre la información utilizada en la Compañía para el desarrollo de las actividades, estén adecuadamente establecidos a favor de la misma.

Protección Física:Que todos los recursos informáticos cuenten con las adecuadas medidas de seguridad física.



EJEMPLO PRÁCTICO:

NORMAS:

BACKUPS (Ejemplo)

1. Se deberán realizar en cada caso, dos copias de resguardos de todos los sistemas de información y datos que maneja la Organización.

2. Las copias se generarán en DVD, y se rotularán según el siguiente formato: …

3. El tipo de proceso para la generación de las copias de resguardos será incremental.

4. Las copias de resguardos se realizarán en forma diaria, semanal, mensual, y anual.



EJEMPLO PRÁCTICO:

NORMAS:

5. Las primeras copias en todos los casos serán guardadas en el Tesoro de la Entidad.

6. Las segundas copias, correspondientes a la frecuencia diaria y semanal, serán enviadas al Tesoro de la Sucursal X.

7. Las segundas copias, correspondientes a la frecuencia mensual y anual, serán enviadas a la Caja de Seguridad de una entidad Bancaria.

8. Las copias de resguardos de todos los sistemas de información y datos que posee la Organización serán realizadas a través del aplicativo “Copias BKP” como lo indica el Instructivo I.



EJEMPLO PRÁCTICO:

PROCEDIMIENTOS:

BACKUPS (Ejemplo)

•Todos los días laborales, el (Responsable del Área de Sistemas / el Responsable del Sector Seguridad Informática/ Persona encargada de la Generación de los Backups, etc), luego del cierre operativo en el sistema de cambio, es el encargado de generar las copias de resguardos correspondientes.•La persona encargada de realizar el backup, ingresará a la sala de servidores para llevar a cabo lo mencionado en el Instructivo I, y registrará en el Formulario I la ejecución del backup. Para ello dejaráconstancia ingresando en dicho formulario: Apellido y Nombre, Hora de inicio, Hora de finalización, su firma, y Observaciones.



EJEMPLO PRÁCTICO:

PROCEDIMIENTOS:

•Luego de ello, el encargado de la generación de los backups concurrirá al tesoro de la Entidad, para dejar alojada la copia 1.•Seguidamente en caso de tratarse de la copia 2 de frecuencia diaria o semanal, el encargado de la generación de los backups, concurriráa la Sucursal X, y entregará al Gerente de dicha Sucursal, el DVD para que lo aloje en el Tesoro de la Entidad. Para ello el encargado de la generación de los backups, antes de salir de la Casa Central, registrará en el Formulario II, que retira el soporte físico, dejando asentado…. Lo mismo ocurre al llegar a la Sucursal, donde en el Formulario III, que se encuentra en el lugar, el Gerente de la Sucursal, deja asentado la recepción del soporte físico. (y procedimiento contrario)•En caso de tratarse de la copia 2 de frecuencia mensual y anual…



¿CUALES SON LOS MANUALES QUE EL ÁREA DE SISTEMAS/TI DEBE TENER?, Y ¿CUÁL ES EL CONTENIDO QUE LOS MANUALES DEL SECTOR, DEBEN INCLUIR?

INSTRUCTIVOS / FORMULARIOS /ANEXOS




INSTRUCTIVOS / FORMULARIOS / ANEXOS




MANUALES DE USUARIO DE LOS SISTEMAS APLICATIVOS

Se trata de documentación destinada a usuarios finales con la intención de establecer una regulación específica sobre la utilización de un sistema. En este caso, deben documentarse las acciones quedeben cumplir los usuarios en el uso de los sistemas de información, así como los usos que son considerados autorizados y los usos no aceptables.

DOCUMENTACIÓN TÉCNICA DE LOS SISTEMAS APLICATIVOS

Se trata de mencionar el Lenguaje de Programación, Diseño de tablas y archivos en general, Diagramas de flujo, Detalles de procesos, y otros datos técnicos.




MANUAL DE MISIONES Y FUNCIONES DEL ÁREA DE SISTEMAS/TI

-ORGANIGRAMA-MISIONES / OBJETIVOS-INTEGRANTES / FUNCIONES-SEPARACIÓN DE AMBIENTES Y SEGREGACIÓN DE FUNCIONES-PLAN DE SISTEMAS

MANUAL DE NORMAS Y PROCEDIMIENTOS

SEGURIDAD FÍSICAA) SEGURIDAD FÍSICA Y CONTROL TÉCNICO AMBIENTAL-PROCEDIMIENTO DE INGRESO A LA SALA DE SERVIDORES.-PROCEDIMIENTO DE CONTROL SOBRE LOS DISPOSITIVOS DE SEGURIDAD TÉCNICO AMBIENTAL.




B) RESGUARDO DE LA INFORMACIÓN-NORMAS PARA EL RESGUARDO DE LA INFORMACIÓN.-PROCEDIMIENTO PARA LA GENERACIÓN DE LOS BACKUPS.-PROCEDIMIENTO DE ENVÍO Y RECEPCIÓN DE LOS BACKUPS.

C) CONTINUIDAD DEL PROCESAMIENTO-NORMAS GENERALES PARA LA CONTINUIDAD DEL PROCESAMIENTO EN CASO DE UNA CONTINGENCIA. (VER MANUAL PLAN DE CONTINGENCIA O PLAN DE CONTINUIDAD DEL NEGOCIO)

SEGURIDAD LÓGICAA) USUARIOS Y ASIGNACIÓN DE PERMISOS-NORMAS GENERALES DE ABM DE USUARIOS Y ASIGNACIÓN DE PERMISOS EN LAS DISTINTAS PLATAFORMAS.-PROCEDIMIENTO DE ABM DE USUARIO EN EL SISTEMA OPERATIVO.-PROCEDIMENTO DE ABM DE USUARIO EN LOS DIFERENTES APLICATIVOS.-NORMAS Y PROCEDIMIENTOS PARA LA UTILIZACIÓN DE LOS USUARIOS DE EMERGENCIA EN LAS DIFERENTES PLATAFORMAS.




B) PASE A PRODUCCIÓN-NORMAS GENERALES PARA LA IMPLEMENTACIÓN Y PASE A PRODUCCIÓN DE LOS SISTEMAS Y PROGRAMAS.-PROCEDIMIENTO DE INSTALACIÓN DEL SOFTWARE DE BASE Y SISTEMAS APLICATIVOS.-PROCEDIMIENTO DE PASE AL AMBIENTE PRODUCTIVO DE LOS PROGRAMAS Y SUS MODIFICACIONES.

-REQUERIMIENTO DE MODIFICACIÓN DE LOS SISTEMAS APLICATIVOS.-PRUEBAS PREVIAS -IMPLEMENTACIÓN

-PROCEDIMIENTO DE CONTROL DE CORRESPONDENCIA ENTRE FUENTES Y EJECUTABLES.-PROCEDIMIENTO DE CONTROL DE VERSIONES.




C) REVISIÓN Y CONTROL DE LOGS-NORMAS GENERALES DE AUDITORÍA DE LOGS.-PROCEDIMIENTO DE CONTROL SOBRE LOS EVENTOS DE SEGURIDAD DE LOS DIFERENTES SISTEMAS.-PROCEDIMIENTO DE CONTROL SOBRE LA ACTIVIDAD DE LOS USUARIOS EN LOS DIFERENTES SISTEMAS.-PROCEDIMIENTO DE CONTROL SOBRE LA ACTIVIDAD DE LOS USUARIOS DE EMERGENCIA DE LOS DIFERENTES SISTEMAS.

TELECOMUNICACIONES Y REDES-NORMAS Y PROCEDIMIENTOS PARA PREVENIR LA PÉRDIDA, MODIFICACIÓN O USO INADECUADO DE LA INFORMACIÓN QUE SE TRANSMITE A TRAVÉS DE LAS REDES DE TELECOMUNICACIONES.-PROCEDIMIENTOS GENERALES DE SEGURIDAD INFORMATICA.

-CONTROL SOBRE LOS FIREWALLS.-UTILIZACIÓN DE ANTIVIRUS.-UTILIZACIÓN DE ANTITROYANOS.-ENCRIPTACIÓN DE LA INFORMACIÓN QUE VIAJA A TRAVÉS DE LAS REDES.




PLAN DE CONTINGENCIA

-OBJETIVO / CONCEPTOS / ALCANCE-ESCENARIOS-PLAN DE ACCION-RETORNO A PRODUCCIÓN-PRUEBAS AL PLAN-MANTENIMIENTO DEL PLAN



PLAN DE CONTINGENCIA

La Normativa del BCRA requiere como mínimo:

El desarrollo de un Plan de Contingencia o documento equivalente.

Se establezca con claridad y precisión los cursos de acción a seguir.

Se establezca con claridad y precisión la definición de responsabilidades.

Se establezca con claridad y precisión los tiempos a cumplir.

Se establezca con claridad y precisión los proveedores de servicios de tecnología y sistemas de información.

Se establezca con claridad y precisión el equipamiento alternativo, los archivos y todos los recursos necesarios para lograr la continuidad del procesamiento.

A los fines de no interrumpir las actividades normales y procesos críticos del negocio y conforme con una adecuada evaluación de los riesgos, las casas y agencias de cambio deberán desarrollar un plan de contingencia o documento equivalente, probado en forma parcial periódicamente y en forma integral como mínimo anualmente.



TIPS:

# LOS MANUALES PUEDEN TENER CUALQUIER DISEÑO, TENIENDO EN CUENTA LAS SIGUIENTES PAUTAS:

-TODOS LOS MANUALES DEBEN TENER UN FORMATO ESTANDAR. -SE DEBE INCLUIR LA VIGENCIA, ES DECIR, A PARTIR DE QUE FECHA ESTA VIGENTE EL MISMO.-DEBEN CONTENER UN ÍNDICE Y PAGINADO.-NO DEBEN TENER FECHA DE VENCIMIENTO.-DEBEN INCLUIR VERSIONADO.

# LOS MANUALES DEBEN SER APROBADOS POR ACTA DE DIRECTORIO, INCLUSO LOS MANUALES DE USUARIO Y TÉCNICOS DE LOS APLICATIVOS.



TIPS:

# SE SUGIERE QUE UN INTEGRANTE DEL DIRECTORIO Y EL RESPONSABLE DE SISTEMAS/TI, FIRMEN LAS TAPAS DE LOS MANUALES EN CONFORMIDAD Y ACEPTACION DE SU CONTENIDO.

# SI HACE FALTA, SE PUEDE ADJUNTAR UNA NOMINA DEL PERSONAL, COMO CONSTANCIA DE QUE SE PUSO EN CONOCIMIENTO DE SU CONTENIDO.

# RECORDAR AGREGAR UN GLOSARIO DONDE SE ACLAREN TÉRMINOS QUE SE CONSIDEREN NECESARIOS.

# UNA CORRECTA CONFECCIÓN DE LOS MANUALES DESDE EL INICIO, RESULTARÁ BENEFICIOSO, YA QUE SE MODIFICARÁ EN UNA MENOR CANTIDAD DE VECES.



ALGUNAS OBSERVACIONES DEL BCRA SOBRE MANUALES DE SISTEMAS:

# Del análisis efectuado sobre el organigrama de la entidad y el incluido en la Política de Seguridad no coinciden, debido a que reflejan distintas dependencias y estructuras para el área.

# Si bien la entidad cuenta con un manual de tecnología de seguridad informática, se observó que el mismo carece de nivel de detalle y no describe adecuadamente los aspectos relacionados con la planificación, la administración de la seguridad lógica y de acceso a los datos, la operación y el control de los sistemas de información y sus tecnologías asociadas.




# Se observó que si bien el manual de tecnología y seguridad informática hace referencia a los controles que se deben realizar, al momento de la presente Inspección no se encontraron implementados, como por ejemplo: el compromiso de lealtad de proveedores, la administración de usuarios de accesos a los sistemas, los parámetros de seguridad lógica y acceso a los datos, y el monitoreo de la actividad de los usuarios, entre otros.

# Si bien existe un manual que hace referencia al plan de sistemas, el mismo es incompleto, ya que no especifica el cronograma detallado de los proyectos, ni las distintas tareas a realizar.




# El Plan de Contingencia es incompleto, dado que el mismo no evidencia los posibles escenarios de contingencia y todos aquellos recursos necesarios para asegurar la continuidad ante situaciones que afecten al normal desarrollo de los procesos del negocio, entre otros.

# El proceso para la generación de los “backups” de los datos, es incompleto dado que no contempla: el método aplicado para su rotulación; el procedimiento del traslado de la segunda copia de resguardo, y el procedimiento ante fallas en la generación de los archivos a resguardar, entre otros.




# No se desarrollaron políticas y procedimientos para la administración y el control de la seguridad lógica y el acceso a los datos en las plataformas operativas, y para los cambios e implementaciones realizadas en los sistemas de información.

# Se observó que el manual de misiones y funciones del área de Sistemas no establece claramente el objetivo y las funciones aplicables a cada uno de los puestos que conforman el área.

# No se evidenció la existencia de informes ni de un procedimiento, relacionados con la gestión del responsable de sistemas y su elevación a una instancia de reporte superior.




# Sobre la base del análisis efectuado al Plan de Contingencia, se observó que se encuentra incompleto debido a que, por ejemplo:-no indica el grado de responsabilidad y participación de los proveedores y de las áreas usuarias, así como tampoco los datos para la localización del personal de la entidad involucrados en el proceso;- no contiene los cursos de acción necesarios y los mecanismos de continuidad aplicables a la Sucursal;- incluye procedimientos generales y no presenta una definición de los niveles de criticidad de los distintos escenarios de contingencia que puedan presentarse (existe una clasificación parcial de escenarios de contingencia y no se incluyen los mecanismos de activación del plan), y- no prevé los procedimientos para la reactivación del servidor principal.



GRACIAS!!!

JUNIO 2012

tutorial Del Área de Sistemas CyAhhhdC

Documents

Transcript of tutorial Del Área de Sistemas CyAhhhdC