PROPUESTA PARA EL CUMPLIMIENTO DE LOS...

CIS1010IS04

http://pegasus.javeriana.edu.co/~CIS1010IS04

PROPUESTA PARA EL CUMPLIMIENTO DE LOS CONTROLES TÉCNICOS DE LA

CIRCULAR 14 BASADO EN EL MODELO PLANTEADO POR LA NORMA

ISO27001, BAJO PLATAFORMA ORACLE

Javier Alejandro Losada Rivera

Marco Antonio Olivera Arboleda

PONTIFICIA UNIVERSIDAD JAVERIANA

FACULTAD DE INGENIERÍA

CARRERA DE INGENIERÍA DE SISTEMAS

BOGOTÁ, D.C.

2010

http://pegasus.javeriana.edu.co/~CIS1010IS04

i

CIS1010IS04

PROPUESTA PARA EL CUMPLIMIENTO DE LOS CONTROLES TÉCNICOS DE LA

CIRCULAR 14 BASADO EN EL MODELO PLANTEADO POR LA NORMA

ISO27001, BAJO PLATAFORMA ORACLE

Autor(es):

Javier Alejandro Losada Rivera

Marco Antonio Olivera Arboleda

MEMORIA DEL TRABAJO DE GRADO REALIZADO PARA CUMPLIR UNO DE

LOS REQUISITOS PARA OPTAR AL TITULO DE INGENIERO DE SISTEMAS

Director

Ing. Luz Adriana Bueno Mendoza

Jurados del Trabajo de Grado

Ing. Gloria Patricia Arenas Mendoza

Ing. Norbey Mejía Chica




BOGOTÁ, D.C.

Diciembre, 2010

ii




Rector Magnífico

Joaquín Emilio Sánchez GarcíaS.J.

Decano Académico Facultad de Ingeniería

Ingeniero Francisco Javier Rebolledo Muñoz

Decano del Medio Universitario Facultad de Ingeniería

Padre Sergio Bernal Restrepo S.J.

Directora de la Carrera de Ingeniería de Sistemas

Ingeniero Luis Carlos Díaz Chaparro

Director Departamento de Ingeniería de Sistemas

Ingeniero César Julio Bustacara Medina

iii

Dedicatoria

“A nuestros padres que ayudaron

a que este sueño fuera posible”

iv

AGRADECIMIENTOS

Agradecemos a nuestra directora Luz Adriana Bueno que desde un principio nos apoyó en la

realización del proyecto, sin su guía, soporte y compromiso no podría haberse logrado.

A nuestros Padres por estar siempre presentes, apoyándonos y aconsejándonos en cada paso que

dimos.

A Alejandra por estar siempre de manera incondicional junto a mí.

v

CONTENIDO

pág.

1. MARCO TEÓRICO .........................................................................................................................1

1.1. DESCRIPCIÓN DEL CONTEXTO ..............................................................................................1

1.2. COMMITTEE OF SPONSORING ORGANIZATIONS OF THE TREADWAY COMMISSION

(COSO) 7

1.2.1. Marco de Control (Informe COSO) ...............................................................................7

1.2.2. SOX y El Control Interno ............................................................................................ 11

Como Funciona SOX. ....................................................................................................12

1.3. CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY (CobiT) ........... 13

1.3.1. Áreas de Enfoque del Gobierno de las TI. ................................................................. 14

1.3.2. Marco de Trabajo. ..................................................................................................... 16

1.4. ISO 27001 Tecnología de la Información – Técnicas de seguridad – Sistemas de gestión

de seguridad de la información – Requerimientos ....................................................................... 17

1.4.1. Seguridad de la Información. .................................................................................... 17

1.4.2. ISO 27001 y el sistema de gestión de la seguridad de la información. .................... 19

1.4.3. Establecimiento del sgsi. ........................................................................................... 21

Identificación de los Activos de la Información. ...........................................................21

Clasificación de Activos de Información. ......................................................................22

Análisis de la Situación Actual. .....................................................................................23

Análisis de Riesgos y Vulnerabilidades. ........................................................................24

Opciones del Tratamiento del Riesgo. ...........................................................................25

1.4.4. Requisitos de Documentación. ................................................................................. 25

Ciclo de Vida de la Información. ...................................................................................27

1.4.5. Alineamiento Estratégico. ......................................................................................... 29

vi

1.5. Circular Externa 014 del 2009 de la Superintendencia Financiera de Colombia ............. 30

1.5.1. Elementos y Estructura de la Circular 14. ................................................................. 33

1.5.2. COSO y la Circular 014. .............................................................................................. 39

1.5.3. ISO 27001 y la Circular 014. ...................................................................................... 41

1.5.4. Circular 014 y los Controles Tecnológicos. ................................................................ 43

1.6. Alineación Circular 014 de 2009, ISO 27001:2005 Anexo A, Cobit y COSO ...................... 44

2. Soluciones Tecnológicas............................................................................................................ 66

2.1. NECESIDADES TÉCNICAS GENERALES A CUMPLIR EN LA CIRCULAR 14… SECCIÓN 7.6 .... 66

2.1.1. Cifrado y Enmascaramiento. ..................................................................................... 66

2.1.2. Control de Acceso. .................................................................................................... 67

2.1.3. Monitoreo y Auditoría. ............................................................................................. 67

2.1.4. Continuidad del negocio. .......................................................................................... 68

2.1.5. Gestión Documental. ................................................................................................ 68

2.2. COMPONENTES ORACLE ................................................................................................... 69

2.2.1. Cifrado y Enmascaramiento. .................................................................................... 69

Oracle Data Masking Pack. ............................................................................................69

Oracle Advanced Security Option. ................................................................................70

2.2.2. Control de Acceso. .................................................................................................... 71

Oracle Database Vault. ..................................................................................................71

Oracle Identity Management. .........................................................................................71

Oracle Virtual Private Database (VD). ..........................................................................72

2.2.3. Monitoreo y Auditoría. ............................................................................................. 72

Oracle Enterprise Manager y Oracle Enterprise Manager Grid Control. ......................72

Oracle Audit Vault. ........................................................................................................73

Oracle Database Firewall. ..............................................................................................74

Oracle Diagnostic Pack. .................................................................................................74

Oracle Configuration Management Pack (CMP). ..........................................................75

2.2.4. Continuidad del Negocio. .......................................................................................... 76

Oracle Real Application Clusters (RAC). ......................................................................76

vii

Oracle Data Guard (DG) y Oracle Active Data Guard (ADG). .....................................76

Oracle Golden Gate. .......................................................................................................77

2.2.5. Gestión Documental. ................................................................................................ 78

Oracle Enterprise Content Management (ECM). ...........................................................78

Oracle Information Rights Management (IRM). ...........................................................78

2.3. Alineación de la Circular 014 de 2009 de la Superintendencia Financiera y las ISO27001

con los productos ORACLE seleccionados. ................................................................................... 79

3. ARQUITECTURAS PROPUESTAS ................................................................................................. 99

3.1. 3.1 Arquitecturas Para Mediana Empresa ...................................................................... 100

3.1.1. ARQUITECTURA ORIENTADA A LA CONTINUIDAD DEL NEGOCIO ........................... 101

Tabla de Apoyo al Cumplimiento ................................................................................101

Lista de productos asociados a la arquitectura .............................................................106

Ilustración de la arquitectura ........................................................................................107

3.1.2. ARQUITECTURA ORIENTADA A LA SEGURIDAD ...................................................... 108




3.1.3. ARQUITECTURA ORIENTADA A LA ADMINISTRACIÓN Y MONITOREO .................... 117




3.2. Arquitecturas Para Grandes Empresas ......................................................................... 122

3.2.1. ARQUITECTURA AVANZADA ORIENTADA A LA CONTINUIDAD ............................... 122




3.2.2. ARQUITECTURA AVANZADA ORIENTADA A LA SEGURIDAD ................................... 129



viii


3.2.3. ARQUITECTURA AVANZADA ORIENTADA A LA ADMINISTRACIÓN Y MONITOREO 138




3.3. Estadísticas de Cumplimiento ......................................................................................... 143

4. LA Circular 014 ENMARCADA BAJO EL MODELO PROPUESTO DE LA NORMA ISO27001 ...... 146

5. CONCLUSIONES ....................................................................................................................... 151

6. BIBLIOGRAFÍA .......................................................................................................................... 153

7. TRABAJOS CITADOS ................................................................................................................. 154

8. ANEXOS ................................................................................................................................... 157

Anexo Circular 014 de 2009 De La Superintendencia Financiera Sección 7.6.2 ......................... 157

“7.6.2. Normas de Control Interno para la gestión de la Tecnología ................................... 157

7.6.2.1 Plan Estratégico de Tecnología................................................................................ 158

7.6.2.2 Administración de la Calidad. .................................................................................... 159

7.6.2.3 Administración de Cambios. ................................................................................... 159

7.6.2.4 Seguridad de los Sistemas. ..................................................................................... 160

7.6.2.5 Administración de los datos. ................................................................................. 160

7.6.2.6 Administración de las instalaciones. ...................................................................... 161

ix

LISTA DE TABLAS

Pág.

Tabla 1: confianza que la información de la organizaciones es protegida de ataques internos y

externo .................................................................................................................................................2

Tabla 2: violaciones externas experimentadas en los últimos 12 meses ..............................................3

Tabla 3: violaciones internas en los últimos 12 meses ........................................................................3

Tabla 4: daños y perjuicios estimados totales monetarios que son resultado de violaciones durante

los 12 meses pasados ...........................................................................................................................4

Tabla 5: controles y productos asociados ..........................................................................................80

Tabla 6: Reporte de cuota del mercado de RDBMS a nivel mundial ..............................................100

Tabla 7: controles apoyados con la arquitectura básica de continuidad ..........................................101

Tabla 8: controles apoyados con la arquitectura básica de seguridad ..............................................108

Tabla 9: Controles apoyados con la arquitectura básica de continuidad..........................................117

Tabla 10: Controles apoyados con la arquitectura avanzada de continuidad ...................................123

Tabla 11: Controles apoyados con la arquitectura avanzada de Seguridad .....................................130

Tabla 12: Controles apoyados con la arquitectura avanzada de Administración y Monitoreo ........138

x

LISTA DE FIGURAS

Pág.

Ilustración 1: Estándares y Regulaciones. ............................................................................................5

Ilustración 2: Ciclo del SCI ..................................................................................................................8

Ilustración 3: Medios para el SCI ........................................................................................................8

Ilustración 4: Componentes del SCI ....................................................................................................9

Ilustración 5: Ventajas de SOX ..........................................................................................................12

Ilustración 6: Áreas de enfoque del gobierno de las TI. (IT Governance Institute, 2007) .................14

Ilustración 7: Marco de Trabajo completo de CobiT .........................................................................16

Ilustración 8 Protección de la Información (Deloitte, 2010) ..............................................................18

Ilustración 9. Evolución de ISO 27001 ..............................................................................................20

Ilustración 10 Ejemplo Activos de La Información (Deloitte, 2010) ................................................21

Ilustración 11 Clasificación Activos (Deloitte, 2010)........................................................................22

Ilustración 12 Integración del Negocio, Funcionario, Normatividad e ISO27001 (Deloitte, 2010) ..23

Ilustración 13 Riesgos vs Vulnerabilidades (Deloitte, 2010) .............................................................24

Ilustración 14 Tratamiento del Riesgo (Deloitte, 2010) .....................................................................25

Ilustración 15 Ciclo de Vida de la Información (Deloitte, 2010).......................................................28

Ilustración 16 Estrategia de Seguridad (Deloitte, 2010) ....................................................................29

Ilustración 17: Objetivos de Control MECI .......................................................................................30

Ilustración 18: Elementos del SCI en la Circular 14 (Oracle, 2009)..................................................39

Ilustración 19 SCI y los Activos de la Información ...........................................................................41

Ilustración 20 Ciclo de Mejora Continua - Activos de Información ..................................................42

Ilustración 21: Circular 14 arquitectura Base Controles apoyados versus no apoyados ..................105

Ilustración 22: ISO 27001 arquitectura Base Controles apoyados versus no apoyados ..................106

Ilustración 23: Arquitectura Base Continuidad del negocio ............................................................107

Ilustración 24: circular 14 arquitectura base controles apoyados versus no apoyados ....................114

Ilustración 25:iso 27001 arquitectura base controles apoyados versus no apoyados .......................114

Ilustración 26: Arquitectura base Seguridad ....................................................................................116

Ilustración 28: Circular 14 arquitectura base: controles apoyados versus no apoyados ..................119

Ilustración 29: Iso 27001 arquitectura base: controles apoyados versus no apoyados ....................119

Ilustración 30: Arquitectura Base: Administración y monitoreo .....................................................121

Ilustración 31: Circular 14 arquitectura avanzada continuidad: controles apoyados versus no

apoyados ..........................................................................................................................................126

Ilustración 32: Iso 27001 arquitectura avanzada Continuidad: controles apoyados versus no

apoyados ..........................................................................................................................................126

xi

Ilustración 33: arquitectura avanzada. Continuidad del negocio .....................................................128

Ilustración 34: Circular 14 arquitectura avanzada Seguridad: controles apoyados versus no

apoyados ..........................................................................................................................................135

Ilustración 35: Iso 27001 arquitectura avanzada Seguridad: controles apoyados versus no apoyados

.........................................................................................................................................................136

Ilustración 36: Arquitectura avanzada Seguridad ............................................................................137

Ilustración 37: Circular 14 arquitectura avanzada Administración y Monitoreo: controles apoyados

versus no apoyados ..........................................................................................................................140

Ilustración 38: Iso 27001 arquitectura avanzada administración y Monitoreo: controles apoyados

versus no apoyados ..........................................................................................................................140

Ilustración 39: Arquitectura Avanzada: Administración y monitoreo .............................................142

Ilustración 40: Porcentajes de apoyo en la circular 014 con la arquitectura básica .........................143

Ilustración 41: Porcentajes de controles apoyados de la ISO 27001 con la arquitectura básica ......144

Ilustración 42: Porcentajes de controles apoyados de la circular 014 con la arquitectura Avanzada

.........................................................................................................................................................144

Ilustración 43: Porcentajes de controles apoyados de la Iso 27001 con la arquitectura avanzada ..145

Ilustración 44: ciclo de implementación del Sistema de Gestión de Seguridad ...............................146

xii

LISTA DE ANEXOS

Pág.

Anexo Circular 014 de 2009 De La Superintendencia Financiera Sección 7.6.2 ……………….. 174

xiii

GLOSARIO

Alter Table: comando referente a la base de datos permite modificar la estructura de los objetos de

las bases de datos.

Ataque Dirigido: Uso de grandes redes de computadores para realizar peticiones constantes a un

punto específico, por ejemplo un servidor de correo.

BotNets: Conjunto de computadores que son controlados remotamente para fines maliciosos.

Ciberdelincuencia: Es un delito informático el cual ha sido realizado a través de un medio digital y

ha repercutido en un sistema protegido de manera jurídica.

Ciberseguridad: Seguridad relacionada con los medios tecnológicos como computadores, celulares,

televisión digital.

COSO: Committee of Sponsoring Organizations of the Tread- way Commission.

DBA: Database Administrator. Rol que desempeña labores de administración de una base de datos.

Deploy: desplegar una aplicación en un ambiente.

GRC: Governance Risk and Compliance

Hacker: “Programador perfeccionista y obsesivo, hábil en el uso de los sistemas, que gusta de

explorarlos al detalle” (Prieto, 2010)1

ISO: International Standarization Organization.

Malware: Forma reducida de "malicious y software” y este contiene programas espías, envío de

spam, virus.

Red Zombi: BotNet.

SCI: Sistema de Control Interno.

SGSI: Sistema de Gestión de Seguridad de la Información.

SOX: Sarbanes-Oxley Act of 2002 (Ley Sarbanes Oxley).

1 Prieto, J. L. (2010). Acerca del término hacker. Obtenido de Centro Virtual Cervantes.

xiv

SQL Injection: es aprovecharse de una vulnerabilidad de una sentencia SQL ingresando código

malicioso.

TI: Tecnología de la Información.

xv

INTRODUCCIÓN

En la actualidad es imperativo para las empresas, ya sean grandes o pequeñas el mitigar los riesgos

subsecuentes de su actividad económica, porque de otra manera seria imposible sobrevivir en el

ambiente competitivo del mercado actual, por ello no debe ser visto como una molestia o como un

gasto innecesario, la aplicación de controles para la mitigación de riesgos es una inversión a futuro

que evitara más de un dolor de cabeza y por supuesto el gasto de prevenir será poco comparado con

los gastos que genera la materialización de un riesgo, Además muchos de ellos pueden ser

sobrellevados con software y hardware que pueden reducir el error humano, automatizando

procesos y realizándolos de manera eficaz y eficiente, pero definir estos controles no es fácil y

mucho menos aplicarlos por ello afortunadamente en el mundo existen modelos, estándares y

regulaciones que buscan dar una guía para lograr mantener protegida a las empresas contra los

riesgos.

El siguiente trabajo de grado tiene como objetivo apoyar el cumplimiento de los controles

tecnológicos de la circular 014 de 2009 de la Superintendencia Financiera de Colombia, para lograr

esta meta, se inicia con la alineación de la circular junto con estándares y regulaciones

internacionales que tienen un grado de madurez más alto debido a su trascendencia e historia,

además cuentan con modelos de adopción ya probados, y debido a que la creación de estas

estándares y normas fueron creados a partir de buenas prácticas es de esperar que en muchos de los

controles sean comunes.

Una vez encontrada la relación de los controles entre sí, se analizaran los requerimientos

tecnológicos y se definirán los tipos de programas necesarios que abarquen la mayor parte de los

controles de la circular 014, ya teniendo presente las necesidades de software se procederá con el

estudio de los productos Oracle, una vez seleccionados se pasa a los diseños donde vemos como los

productos se distribuyen teniendo en cuenta que se proponen dos grandes arquitecturas una para

gran empresa y otra para mediana empresa estas a su se dividen en tres subgrupos los cuales son

monitoreo, seguridad y “Administración y Monitoreo”, esto permitirá a las empresa pensar en una

adopción por etapas de los productos ORACLE.

Finalmente se propone una homologación de la circular 014 de 2009 de la Superintendencia

Financiera de Colombia con el modelo propuesto por la norma ISO 27001, donde se podrá apreciar

por ejemplo que el análisis y la gestión de riesgos es abordada por la ISO 27005.

xvi

OBJETIVOS

OBJETIVO GENERAL

Desarrollo de una propuesta para el cumplimiento de los controles tecnológicos de la circular 14

que permita mediante el uso de herramientas Oracle , agilizar la administración de la seguridad de

la información acorde con los objetivos de control del Anexo A relacionados de la norma ISO

27001

OBJETIVOS ESPECÍFICOS

• Analizar el porcentaje de controles de la ISO 27001 que pueden ser resueltos a través de los

objetivos de control tecnológicos de la circular 014 de la superintendencia financiera.

• Explorar, analizar y seleccionar las soluciones tecnológicas Oracle que apoyen el

cumplimiento de los controles tecnológicos de la circular 14 así como los controles

relacionados con la ISO 27001.

• Analizar, Diseñar y describir de las arquitecturas basadas soluciones tecnológicas Oracle

que apoyaran el cumplimiento de los controles tecnológicos de la circular 14 así como los

controles relacionados con la ISO 27001.

• Validar la propuesta y las soluciones por medio de un juicio de experto teniendo en cuenta

el nivel de impacto y cumplimiento que tendría su adopción.

xvii

PRESENTACIÓN DEL PROYECTO

ALCANCE

El presente trabajo busca proponer un manejo de los controles tecnológicos de la Circular 14 en

paralelo a los objetivos de control relacionados de la norma ISO 27001.

La idea principal de la propuesta, es llevar a cabo un análisis del porcentaje de objetivos de control

contenidos en el Anexo A de la norma ISO 27001 que pueden ser resueltos a través de los objetivos

de control de la circular 14, esto con el fin de que las organizaciones que sea vean en la obligación

de cumplir con la regulación nacional (Circula 014) cuenten con un recurso que pueda facilitar el

proceso de implementar un sistema de gestión de seguridad de la información con validez

internacional como el que propone la ISO 27001.

De manera adicional, la propuesta no solo se conformará con la identificación, clasificación y

análisis de los controles en común entre la Circular 014 e ISO27001. También se explorarán y

analizarán herramientas de Oracle que apoyarán el cumplimiento de dichos controles, esto con el fin

de agilizar el proceso de identificación de soluciones tecnológicas que deberían implantar aquellas

organizaciones interesadas en el cumplimiento de las especificaciones de la Circular 014 e

ISO27001.

Ya teniendo una serie de soluciones claramente identificadas se analizarán y diseñarán una serie

arquitecturas basadas en herramientas Oracle para pequeñas, medianas y grandes empresas, que

apoyarán el cumplimiento de los controles tecnológicos de la circular 14 así como los controles

relacionados con la ISO 27001.

xviii

METODOLOGÍA

En este capítulo se presenta la metodología que enmarco las actividades del presente proyecto,

dividida en fases con sus respectivos entregables.

La metodología que será empleada para el desarrollo de este proyecto consiste en una serie de

etapas interconectadas que servirán de base sólida para el resultado final de la investigación

uyytysa ETAPA 1 ETAPA 2 ETAPA 3 ETAPA 4

Diseño

Arquitectónico

DIAGRAMAS

Sistema de

Control Interno y

Seguridad de la

Información.

Reconocimiento

Circular 14

ISO 27001

anexo A

Levantamiento

Planeación

Lineamientos

Validación

1

1. MARCO TEÓRICO

En esta sección encontraremos los concepto y teorías necesarias que se utilizaran para sustentar y

justificar el problema de la investigación propuesta.

1.1. DESCRIPCIÓN DEL CONTEXTO La adopción de tecnologías que apoyen los procesos empresariales es una tendencia que se está

dando desde hace varios años, esto debido a las ventajas que estas ofrecen como lo son: agilizar

procesos, generar conocimientos, mejorar administración del conocimiento, romper fronteras de

comunicación y producción, expansión a nuevos mercados, sustentando decisiones y generando

más ganancias, Pero el uso de la tecnología por sí sola no es suficiente, a esta se le debe proveer

datos obtenidos de diferentes fuentes (informes, investigaciones, estadísticas entre otras), que una

vez procesados se convierten en información que debe ser almacenada y según su calidad y

cantidad, se convierte junto con la tecnología en los activos más valiosos de la empresa. Pero el

incremento descuidado de esta información está generando grandes riesgos que amenazan con la

permanencia de las empresas en el mercado, esto es debido a la complejidad de estas tecnologías y a

la falta de metodología para la integración de las mismas, esto lo único que logra es que las ventajas

obtenidas se vuelvan en contra de las empresas, ya que facilita por falta de controles que empleados

desleales, hackers, malware, virus, fallos en hardware o desastres naturales, generen grandes

pérdidas para las empresas que en algunos casos nunca logran recuperarse, por ello es importante

salvaguardar la información controlando la tecnología.

Hoy en día la batalla por la información es ahora una guerra cibernética que se da en todos los

rincones del mundo. Y el listado de amenazas es creciente donde podemos encontrar desde redes

zombis o botnets que realizan ataques dirigidos, PDFs maliciosos, hasta grupos de hacking donde

entrenan nuevos atacantes, en su discurso dado el 29 de mayo de 2009 el presidente de los Estados

Unidos Barack Obama dice: “Se ha estimado que sólo el año pasado los ciberdelincuentes robaron

la propiedad intelectual de las empresas en todo el mundo por valor de hasta 1 trillón de dólares.”

(WHITE HOUSE, 2009)2, esta escandalosa cifra evidencia la falta de ciberseguridad en las

empresas.

2 WHITE HOUSE. (29 de Mayo de 2009). REMARKS BY THE PRESIDENT. Recuperado el 2010 de

Septiembre de 5, de whitehouse: http://www.whitehouse.gov/the_press_office/Remarks-by-the-President-on-

Securing-Our-Nations-Cyber-Infrastructure/

2

En una encuesta realizada por Deloitte “2010 Global Financial Services Security Survey” (Deloitte,

2010)3 en la cual participaron el 27% de las 100 principales instituciones financieras mundiales,

26% de los 100 principales bancos mundiales y el 28% de las 50 compañías aseguradoras

mundiales las cuales se les realizaron preguntas relacionadas con la seguridad de la información,

cuando se les pregunto el nivel de confianza de que la información está protegida contra ataques

cuyos resultado apreciamos en la Tabla 1, la mayoría de los encuestados un 42% afirmo sentir

“Algo de Confianza” con su protección contra un ataque interno y tan solo un 25% se sintió “Algo

de Confianza” con su protección contra un ataque externo, tan solo el 34% afirmo estar “Muy

Confiado” frente a un ataque interno y un 56% dijo estar “Muy Confiado” contra un ataque

externo.

TABLA 1: CONFIANZA QUE LA INFORMACIÓN DE LA ORGANIZACIONES ES PROTEGIDA DE ATAQUES INTERNOS

Y EXTERNO

Mucha

Confianza

Muy

Confiado

Algo de

Confianza

No muy

Confiado

No Confían

en Absoluto

Ataques

originados

internamente

5% 34% 42% 16% 2%

Ataques

originados

externamente

15% 56% 25% 3% 1%

Tomado y Traducido de 2010 Financial Services Global Security Study: The faceless threat

(Deloitte, 2010).4

Si bien los niveles de confianza más bajos “No muy Confiado” y “No confían en Absoluto” de la

Tabla 1 no suman más de 18%, cuando hablamos de “Ataques originados internamente” y solo

suman un 4% cuando hablamos de “Ataques originados externamente”, los ataques informáticos

exitosos se presentan y peor aún estos se repiten debido a que las empresas no reaccionan de

manera adecuada ante estas agresiones, entre los que más se presentan que apreciamos en la Tabla

2 están “El software malicioso se origina fuera de la organización” que se presenta por lo menos

una vez en el 14% de las empresas y ocurre repetidas veces en un 20% de las empresas, esto

3 Deloitte. (2010). 2010 Financial Services Global Security Study: The faceless threat. Recuperado el Agosto

de 29 de 2010, de deloitte: http://www.deloitte.com/assets/Dcom-

Global/Local%20Assets/Documents/Financial%20Services/dtt_fsi_2010%20Global%20FS%20Security%20S

urvey_20100603.pdf 4 Ibíd., p. 2.

3

evidentemente no debe suceder pero sucede y no solo con este tipo de ataques sino que con otros

como lo son “La pérdida de información procede de un ataque físico fuera de la organización”.

Indudablemente los ataques no solo provienen desde fuera de la organización y entre las que más se

presentan al interior de las organizaciones como se ve en la Tabla 3 se encuentra la “Brecha

accidental de información que proviene de dentro de la organización” que se presenta por lo menos

una vez en el 14% de la organizaciones y se repite en más del 20% de ellas.

TABLA 2: VIOLACIONES EXTERNAS EXPERIMENTADAS EN LOS ÚLTIMOS 12 MESES

Un

Incidente

Repetidos

Incidentes

El software malicioso se origina fuera de la organización 14% 20%

La pérdida de información procede de un ataque físico fuera de la

organización

10% 10%

Fraude financiero externo que implica sistemas de información 5% 9%

Brecha de información que proviene de fuera de la organización 7% 4%

Brecha de información que proviene de un vendedor de tercero 6% 4%

Robo de información que es resultado de espionaje estatal o

industrial

2% 1%

Desfiguración del sitio web 4% 1%

Brecha de la red móvil que proviene de fuera del a organización 1% 1%

Otra forma de brecha externa 5% 4%


(Deloitte, 2010)5.

TABLA 3: VIOLACIONES INTERNAS EN LOS ÚLTIMOS 12 MESES

Un

Incidente

Repetidos

Incidentes

Brecha accidental de información que proviene de dentro de la

organización

8% 11%

Software malévolo que proviene de dentro de la organización 9% 10%

Brecha de información que proviene de dentro de la organización

conducida por un empleado

11% 8%

Fraude interno financiero que implica sistemas de información 7% 4%

Brecha de información que proviene de dentro de la organización

conducida por un no empleado

3% 2%

5 Ibíd., p. 2.

4

Brecha de información que proviene de un vendedor de tercero 3% 2%

Brecha de red móvil que proviene de dentro de la organización 1% 1%

Información privilegiada y comerciante bribón 2% 0%

Otra forma de brecha interna 3% 3%


(Deloitte, 2010)6.

Sin lugar a dudas estos ataques no solo generan perdida de información y de imagen ante los

clientes, también generan grandes pérdidas que en algunos casos ni siquiera puede ser estimada por

las empresas, como se puede contemplar en la Tabla 4 que solo el 26% dice “no hay perdida

financiera”, mientras que el restante presentan perdidas que van desde los 250.000 dólares hasta 10

millones de dólares y en algunos casos 10% dice que esta “no medido”, debemos tener en cuenta

que en más de la mitad de los casos las empresas no tiene registro de estar perdidas con lo cual se

aumenta la probabilidad que los errores se presenten nuevamente.

TABLA 4: DAÑOS Y PERJUICIOS ESTIMADOS TOTALES MONETARIOS QUE SON RESULTADO DE VIOLACIONES

DURANTE LOS 12 MESES PASADOS


(Deloitte, 2010)7.

6 Ibíd., p. 2.

7 Ibíd., p. 2.

5

Por estas razones “La creciente adopción de mejores prácticas de TI ha sido impulsada por una

exigencia de la industria de TI para gestionar mejor la calidad y fiabilidad de las TI en los negocios

y responder a un número cada vez mayor de las disposiciones normativas y contractuales” (ITGI,

2005)8 que buscan permitirles un mayor control en la administración de la información por medio

de políticas y procedimientos de control interno, desarrollando sus objetivos “en el ámbito de la

seguridad, transparencia y eficiencia”. (Superintendencia Financiera de Colombia, 2009)9.

Con relación a la gestión del riesgo, seguridad de la información, continuidad del negocio y

elementos relacionados se observan en la Ilustración 1, se dispone de estándares internacionales

como lo son COSO, Cobit, Val IT, CMMI, ISO 17799 (más conocido actualmente como ISO 27001

anexo A ó ISO 27002) y ITIL; y en lo referente a las Regulaciones encontramos a SARL, SARM,

SARO, SARG, SARLAFT, CIRCULAR 052 BASILEA II y CIRCULAR 014.

ILUSTRACIÓN 1: ESTÁNDARES Y REGULACIONES.

Tomado de ISACA.org

8 ITGI. (2005). itgovernance. Recuperado el 15 de Agosto de 2010, de

http://www.itgovernance.co.uk/files/ITIL-COBiT-ISO17799JointFramework.pdf 9 Superintendencia Financiera de Colombia. (19 de Mayo de 2009). Normativa. Recuperado el 16 de Agosto

de 2010, de Superintendencia Financiera de Colombia:

http://www.superfinanciera.gov.co/NormativaFinanciera/Archivos/ance014_09.doc

6

Estándares internacionales para la Gestión de la Seguridad de la Información, como lo es la

ISO27001 anteriormente ISO 17799, la cual “busca proponer un modelo para establecer,

implementar, operar, monitorear, revisar, mantener y mejorar un Sistema de Gestión de Seguridad

de la Información” (ISO, 2005)10

, junto con ITIL y Cobit 4.1 1 “son el estándar y las buenas

prácticas que están en las áreas de seguridad de la información o en los departamentos de

tecnologías de información” (ACIS, 2010)11

.

Regulaciones Colombianas como lo es la Circular 052 y la Circular 014 también conocida como

Circular 038 la cual contiene modificaciones para la circular 014 son emitidas por la

Superintendencia Financiera de Colombia, cabe recalcar que la “Circular 052 y Circular 014 son

las normativas actuales a cumplir, sin embargo la Circular038 del 2009 es las más reciente y

activa” (Bueno, 2010)12

. Estas circulares consideran que “Corresponde a los administradores de las

entidades vigiladas o sometidas al control exclusivo de esta Superintendencia” cumplir con dichas

circulares, entre las entidades vigiladas encontramos las del sector de servicios de banca y

financieros, en la actualidad estas empresas se están definiendo los planes de adopción e

implementación de las mismas debido a que las fechas paras las cuales ellos deben demostrar

cumplimiento se acercan. Estas regulaciones definen que es lo que desean pero en ningún momento

especifican como lograr esto, por ello las empresas sin tener un punto de arranque ejecutan de

manera inadecuada o parcialmente los controles que establecen las regulaciones, otros deciden no

cumplirlos con las consecuencias que esto conlleva, “Existe el peligro, que la aplicación de estas

mejores prácticas potencialmente útiles será costosa y fuera de foco si se les trata como una

orientación puramente técnica” (ITGI, 2005)13

, para que estas buenas prácticas logren de manera

efectiva sus objetivos se deben aplicar en el contexto del negocio y en la medida de lo posible que

estas logren el mayor beneficio para la organización. “La alta dirección, administración de

empresas, auditores, oficiales de cumplimiento y los administradores de TI deben trabajar juntos

para asegurar que las mejores prácticas de conducir a la relación coste-efectiva y bien controlados

de TI de entrega.” (ITGI, 2005)14

Es importante aclarar que la propuesta puede servir para seleccionar controles a resolver tanto en

una entidad financiera robusta como una pequeña, aunque el tiempo, el esfuerzo y el presupuesto a

emplear variarán sensiblemente. A continuación serán explicados de manera un poco más detalladas

algunos de los marcos de referencia nombrados anterior mente así mismo se aclarara la relación

entre ellos.

10 ITGI. (2005), op. cit., p.5.

11 ACIS. (2010). II Encuesta Latinoamericana de Seguridad de la información. Recuperado el 13 de

Septiembre de 2010, de ACIS: http://www.acis.org.co/fileadmin/Base_de_Conocimiento/XJNSI/IIELSI-

2010.pdf 12

Bueno, Luz Adriana (2010). 13

ITGI. (2005), op. cit., p.5. 14

ITGI. (2005), op. cit., p.5.

7

1.2. COMMITTEE OF SPONSORING ORGANIZATIONS OF THE

TREADWAY COMMISSION (COSO)

Antes de abordar en detalle la Circular 014 es importante conocer cuáles fueron los lineamientos

que influenciaron su creación y porque la Superintendencia financiera decidió oficializar y exigir el

cumplimiento de una regulación basada en estándares internacionales que enmarca los objetivos del

negocio dentro del concepto del Control Interno.

COSO, se constituyó en 1985 con el fin ofrecer patrocinio a la Comisión Nacional De Información

Financiera Fraudulenta, cuyo propósito es estudiar aquellos factores que dan evidencia a la emisión

de información financiera de carácter fraudulento.

COSO es una organización sin ánimo de lucro cuya función es emitir lineamientos a la

administración ejecutiva y a diversas entidades con el fin de establecer procesos de negocio basados

en la ética, en la eficiencia y eficacia. Es por esto que dicho lineamiento toma la forma de

frameworks y guías basados en buenas prácticas fruto de investigaciones, y análisis hechos a

profundidad.

1.2.1. MARCO DE CONTROL (INFORME COSO) El informe COSO tiene por objetivos (Bae, 2003)

15:

Establecer un Marco de Referencia común de Control Interno.

Dicho Marco debe ser susceptible de evaluación por parte de cualquier organización con el

fin de evaluar su Sistema de Control y encontrar la manera de mejorarlo.

Apoyar a las Directivas de las empresas a optimizar el proceso de control de actividades.

El control interno es un proceso o ciclo (Ver Ilustración 2) efectuado por las Directivas, la Gerencia

y el personal, con el fin de aportar un nivel aceptable de seguridad en el logro de los objetivos. Esto

para garantizar que las operaciones hechas en la organización sean eficientes y eficaces. Para que la

información financiera sea correcta y confiable y para garantizar el cumplimiento de leyes y normas

pertinentes.

15 Bae, B. (2003). Internal Control Issues: The Case of Changes to Information Processes.

8

ILUSTRACIÓN 2: CICLO DEL SCI

En la ilustración 2 se observa el ciclo que debe llevarse a cabo para el desarrollo de un Sistema de

Control Interno como el que propone COSO. Este sistema surge entonces como solución o

instrumento para lograr los objetivos propuestos por la organización y busca esto a través de:

ILUSTRACIÓN 3: MEDIOS PARA EL SCI

9

Como beneficios la entidad adquiere:

• Incrementar la productividad y competitividad de la entidad.

• Generar confianza e incrementar el reconocimiento de la entidad por parte de sus grupos de

interés.

• Fortalecer el proceso de toma de decisiones, fundamentando su gestión en la identificación,

prevención y gestión de riesgos y en la mejora continua.

• Clarificar los roles de las diferentes áreas de dirección de los órganos de control

involucrados en el Sistema de Control Interno.

• Dar mayor relevancia al rol que desempeña el proceso contable y tecnológico para el

soporte de los procesos misionales de la entidad.

• Mayor compromiso por parte de todos los funcionarios de la entidad en el cumplimiento de

los objetivos institucionales. Esto es que cada funcionario entienda la importancia de

cumplir debidamente con su trabajo para lograr los objetivos de negocio propuestos por las

directivas.

COSO no es un proceso secuencial, por el contrario es interoperable, reiterativo y constante.

Como se muestra en la Ilustración 8, COSO cuenta con cinco componentes principales relacionados

entre sí como respuesta a la administración adecuada del negocio. Dichos componentes están

interconectados con los procesos administrativos formando “un sistema integrado que reacciona

dinámicamente a las condiciones cambiantes.”[Control Interno y Control de Gestión] del entorno

que rodean a las organizaciones.

Los componentes son:

ILUSTRACIÓN 4: COMPONENTES DEL SCI

Basado en degerencia.com

10

• Ambiente de Control

Es el primer componente del SCI y propone establecer un entorno que incite e influencie todas las

actividades que tiene a cargo el personal referente al control de las actividades. El Ambiente de

Control es la base de los cuatro componentes restantes que se apoyan en este elemento. (Mantilla,

2005)16

• Análisis de Riesgo:

Este componente comprende una etapa de identificación y otra de análisis de los riesgos más

importantes a los que se verían comprometidos los objetivos de negocio de la organización y que

servirá como base para conocer la manera en la que esos riesgos serán manejados. (Mantilla,

2005)17

• Actividades de Control:

Una actividad de control es realizada por todo el personal de la empresa para garantizar el

cumplimiento de las actividades que le han sido asignadas. Dichas actividades tienen una relación

directa con procedimientos y políticas internas. Estas actividades pueden tomar la forma de

autorizaciones, aprobaciones, revisiones e indicadores y van dirigidas a los riesgos y objetivos de la

organización. (Mantilla, 2005).18

La importancia de estas actividades de control radica en que su naturaleza es la de mostrar la

manera correcta y adecuada de hacer las cosas, asegurando en mayor medida el logro de los

objetivos planteados.

• Información y Comunicación:

Para que el personal pueda cumplir con las responsabilidades que les han sido asignadas, es

necesario que la información ligada a estas haya pasado por un proceso de identificación y filtrado

para que posteriormente sea debidamente comunicada.

Es crucial que la Directiva de la entidad declare su responsabilidad sobre el control y la importancia

de las actividades individuales para el trabajo de otros empleados. Es indispensable que la

organización cuente con los medios adecuados para realizar procesos de comunicación internos y

externos. (Mantilla, 2005)19

16 Mantilla, S. A. (2005). Auditoría del control interno.

17 Ibíd., p. 10.

18 Ibíd., p. 10.

19 Ibíd., p. 10.

11

• Monitoreo:

Como las condiciones bajo las que se diseñaron los sistemas de control cambian y evolucionan ya

sea por factores externos o internos es necesario que la Gerencia lleve a cabo procedimientos de

revisión y re-evaluación de los componentes que hacen parte del sistema, para que los controles que

han perdido eficiencia debido al cambio sean corregidos y reforzados.

Sin embargo el hecho de que hayan cambiado las condiciones no implica que la revisión y

valoración deba realizarse en todos los elementos del sistema ni mucho menos al mismo tiempo. Y

esto dependerá de las condiciones de la organización, los riesgos previamente identificados y el

rendimiento de cada uno de los componentes de control. (Mantilla, 2005)20

Si bien COSO identifica una serie de componentes de control interno con el fin de ser

implementados para lograr los objetivos de reportes financieros y divulgación este no está solo,

también existe una regulación a nivel mundial para el control en el proceso de emisión de

información financiera y está basada en procesos de control interno para tal fin, dicha regulación es

llamada SOX o Ley Sarbanes-Oxley. A continuación se explicará sus objetivos fundamentales y su

relación con COSO.

1.2.2. SOX Y EL CONTROL INTERNO

SOX es una ley de los Estados Unidos que surgió debido a una serie de sucesos en el 2001

relacionados con quiebras, fraudes y anomalías en la administración corporativa que puso en duda

la veracidad de la información financiera emitida por las empresas. En el 2002 la ley Sarbanes-

Oxley fue aprobada con el fin de fortalecer los mecanismos de control de las empresas y retomar la

confianza en el proceso de emisión de información financiera.

Para lo anterior busca crear Transparencia en las operaciones, generar controles que aseguren el

manejo legal y minimizar riesgos para la alta gerencia. Adicionalmente, busca que las entidades

produzcan requerimientos relacionados con la confiabilidad y veracidad de la información

financiera así como la calidad de los procesos de emisión de la información y sus controles internos.

20 Ibíd., p. 10.

12

Como Funciona SOX.

De SOX se abstraen una serie de interrogantes interrelacionados que buscan generar

procedimientos de valoración y mejora del sistema de control, dichos pasos son los siguientes:

Luego de estos pasos se debe llevar a cabo la Implementación de nuevos controles y la

actualización y mejora de los existentes para así garantizar un nivel aceptable de confiabilidad,

exactitud y disponibilidad en el proceso de emisión de la información financiera.

ILUSTRACIÓN 5: VENTAJAS DE SOX

13

Y es de esa forma que SOX se convierte en un sistema de Implementación del control interno para

verificar y analizar los procedimientos de funcionamiento, garantizar la confiabilidad de la

información y la gestión pertinente obteniendo como resultado los aspectos que se muestran en la

Ilustración 5.

“Si bien COSO identifica cinco componentes de control interno, que deberán estar integrados para

alcanzar los objetivos de reporte financiero y divulgación, CobiT (CONTROL OBJECTIVES FOR

INFORMATION AND RELATED TECHNOLOGY) proporciona una guía detallada similar pero para

TI” (BDO, 2010)21

1.3. CONTROL OBJECTIVES FOR INFORMATION AND RELATED

TECHNOLOGY (COBIT) Para el proceso de apoyo al cumplimiento de los controles de la Circular 014 se hará uso de

herramientas tecnológicas por lo tanto es necesario abordar el estándar COBIT, el cual apunta hacia

el control sobre la inversión en TI, velando por el uso responsable de los recursos tecnológicos,

entendiendo, planeando y gestionando los riesgos asociados a esta, y realizando mediciones sobre el

despeño con el fin de asegurar que la inversión en TI genere beneficios para la organización.

El gobierno de las TI busca la integración e institucionalización de las buenas prácticas, para lograr

sacar el máximo provecho a la información que tienen las empresas, para así maximizar los

beneficios obtenidos. Para lograr esto es necesario un marco de referencia y “los Objetivos de

Control para la Información y la Tecnología relacionada (CobiT) brindan buenas prácticas a

través de un marco de trabajo de dominios y procesos, y presenta las actividades en una estructura

manejable y lógica. Las buenas prácticas de CobiT representan el consenso de los expertos. Están

enfocadas fuertemente en el control y menos en la ejecución. Estas prácticas ayudarán a optimizar

las inversiones habilitadas por TI, asegurarán la entrega del servicio y brindarán una medida

contra la cual juzgar cuando las cosas no vayan bien” (IT Governance Institute, 2007)22

.

CobiT no expide un certificado que avale el uso de las prácticas indicadas, pero ISACA si brinda un

título personal como lo es “Certified Information Systems Auditor” (CISA), “Certified Information

Security Manager” (CISM) y "Certified in the Governance of Enterprise IT" CGEIT.

21 BDO. (2010). Adoptando los Modelos de Control Interno COSO y COBIT.

22 IT Governance Institute. (2007). cobiT4.1. Recuperado el 12 de Septiembre de 2010, de isaca:

http://www.isaca.org/Knowledge-Center/cobit/Documents/cobiT4.1spanish.pdf

14

1.3.1. ÁREAS DE ENFOQUE DEL GOBIERNO DE LAS TI. COBIT ofrece un modelo de procesos genéricos que representan los procesos que se encuentran en

las funciones de TI, esto ofrece un modelo de referencia común para los gerentes operativos de TI y

del negocio, de esta manera se establece un puente entre lo que los gerentes operativos deben

realizar y lo que los ejecutivos desean gobernar.

El marco de referencia Cobit tiene como objetivos que:

• TI está alineada con el negocio.

• TI habilita al negocio y maximiza los beneficios.

• Los recursos de TI se usan de manera responsable.

• Los riesgos de TI se administran apropiadamente.

• La medición del desempeño.

Estos objetivos definen las áreas de enfoque que vemos en la ilustración 9.

ILUSTRACIÓN 6: ÁREAS DE ENFOQUE DEL GOBIERNO DE LAS TI. (IT GOVERNANCE INSTITUTE, 2007)

“Alineación Estratégica: se enfoca en garantizar la alineación entre los planes de negocio y de TI;

en definir, mantener y validar la propuesta de valor de TI y en alinear las operaciones de TI con las

operaciones de la empresa.

15

Entrega de Valor: se refiere a ejecutar la propuesta de valor a todo lo largo del ciclo de entrega,

asegurando que TI genere los beneficios prometidos en la estrategia, concentrándose en optimizar

los costos y en brindar el valor intrínseco de la TI.

Administración de Recursos: se trata de la inversión óptima, así como la administración adecuada

de los recursos críticos de TI, aplicaciones, información, infraestructura y personas. Los demás

temas claves se refieren a la optimización de conocimiento y de infraestructura.

Administración de Riesgos: requiere conciencia de los riesgos por parte de los altos ejecutivos de

la empresa, un claro entendimiento de apetito de riesgo que tiene la empresa, comprender de

cumplimiento, transparencia, de los riesgos significativos para la empresa, y la inclusión de las

responsabilidades de administración de riesgos dentro de la organización.

Medición del Desempeño: rastrea y monitorea la estrategia de implementación, la terminación del

proyecto, el uso de los recursos, el desempeño de los procesos y la entrega del servicio, con el uso,

por ejemplo, de balanced scoredcards que traducen la estrategia en acción para lograr las metas

medibles más allá del registro convencional.” (IT Governance Institute, 2007)23

23 Ibíd., p. 32.

16

1.3.2. MARCO DE TRABAJO.

ILUSTRACIÓN 7: MARCO DE TRABAJO COMPLETO DE COBIT

Tomado de CobiT 4.1 spanish. (IT Governance Institute, 2007)

CobiT es un marco relacionado con ISO 27001 anexo A y Coso, ya que incorpora aspectos

elementales de otros estándares relacionados, debido a esto las empresas que se hayan desarrollado

según las prácticas de CobiT están más cerca de adaptarse y lograr la certificación de ISO 27001

(López Neira, Otros Estandares)24

.

24 López Neira, A. (s.f.). Otros Estandares. Recuperado el 14 de Septiembre de 2010, de iso27000.es:

http://www.iso27000.es/download/doc_otros_estandar_all.pdf

17

1.4. ISO 27001 TECNOLOGÍA DE LA INFORMACIÓN – TÉCNICAS DE

SEGURIDAD – SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

– REQUERIMIENTOS

Cuando se habla del Sistema de Control Interno, este no solo incluye aspectos de gestión de riesgos,

integración de sistemas y cultura de calidad, sino que además sugiere la idea de implantar un

sistema de gestión de seguridad de la información es por esto que a continuación se aborda la norma

ISO 27001 la cual se remite directamente a la implantación de un SGSI.

1.4.1. SEGURIDAD DE LA INFORMACIÓN. La información es uno de los activos más importantes de una empresa, y es posible que a veces no

se lleven a cabo medidas para protegerla y alguna contingencia puede llevar a perderla para

siempre.

La tecnología hoy en día juega un papel importante en la operación y vida de una organización, casi

todos los procesos en el ámbito de las comunicaciones, producción y gestión de la información

dependen en gran medida de ella. Los riesgos a los que la información se enfrenta van desde los

daños físicos como desastres naturales o daños humanos hasta los causados por virus, ataques

informáticos y daños en infraestructura tecnológica. Y es por esto que las amenazas a las que

actualmente están expuestas las organizaciones son cada vez mayores.

“Contar con un sistema 100% seguro es prácticamente imposible, siempre hay cabida a una

pequeña posibilidad de que alguien logre hacer más de lo que los administradores de sistemas de

cómputo le permitan hacer.” (Colombiahosting.com, 2010)25

He aquí unas estadísticas relacionadas con la seguridad de la información hoy en día:

• 45% de los empleados se llevan consigo información de la empresa cuando cambia de

empleo. (Machines, 2002)26

• 97% de los entrevistados se muestra preocupado sobre brechas en la protección de la

información. (Institute, 2009)27

• 80% de los entrevistados considera que la mayor amenaza humana para la seguridad de la

información son personas internas. (Institute, 2009)28

25 Colombiahosting.com. (2010). La Seguridad de la Información.

26 Machines, L. (2002). Information Security Survey on Internal Threats.

27 Institute, M. T. (2009). CISO Information Security Survey.

28 Ibíd., p. 17.

18

Los siguientes porcentajes fueron obtenidos del documento Seguridad de la Información en

Latinoamérica, Tendencias 2009. Jeimy Cano

• Virus 71%

• Software No Autorizado 61%

• Troyanos 33%

• Acceso No Autorizados 31%

• Manipulación de Aplicaciones 22%

(Cano, 2009)29

Las anteriores estadísticas nos muestran que la Seguridad de la información no es un mito, tampoco

moda, es una realidad. (Deloitte, 2010)30

. Y es que actualmente el mismo mercado lleva a las

organizaciones a contemplar constantemente la protección de la información para sus negocios, la

globalización, la tecnología como producto de consumo masivo, etc.

ILUSTRACIÓN 8 PROTECCIÓN DE LA INFORMACIÓN (DELOITTE, 2010)

29 Cano, Jeimy. (2009). Seguridad de la Información en Latinoamerica Tendencias.

30 Deloitte, op. cit., p.2.

19

Adicional a las condiciones de mercado, uno de los problemas más significativos “es que la mayoría

de los “especialistas en seguridad” basan sus conocimientos y experticia solamente en el aspecto

técnico tradicional de la seguridad, es decir del área IT.” (Meyer, 2010)31

Pero obteniéndose un enfoque puramente técnico, lo único que se manejaría serían vulnerabilidades

bajo ciertos tipos de plataformas siendo insuficiente para el gran número de riesgos asociados a

ellas.

El mejor proceso es llevar a cabo un análisis de riesgos, donde se realiza una valoración de los

activos en la organización, una identificación de amenazas relacionadas con las vulnerabilidades de

cada uno de los activos. A partir de este proceso es posible iniciar con la identificación de los

riesgos. Posteriormente es necesario conocer la manera en la que los riesgos se asumirán,

generalmente se busca mitigarlos para lograr un nivel aceptable de funcionamiento, pero que para lo

cual se deberán generar e implantar un serie de disposiciones de seguridad.

El proceso sigue realizando un análisis de los riesgos identificados contra un estándar técnico como

lo es la ISO27001 (como se verá más adelante), para así poder establecer una serie de controles a

implantar de acuerdo a un nivel de implementación definido para reducir dichos riesgos a estados

aceptables. Para esto se propone un Sistema de Gestión de la Seguridad de la Información.

1.4.2. ISO 27001 Y EL SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA

INFORMACIÓN. “El propósito de un sistema de gestión de la seguridad de la información es, por tanto, garantizar

que los riesgos de la seguridad de la información sean conocidos, asumidos, gestionados y

minimizados por la organización de una forma documentada, sistemática, estructurada, repetible,

eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologías.”

(López Neira, iso27000.es el Portal de ISO 27001 en español, 2005)32

Siguiendo la meta del SGSI

podremos garantizar que habrá protección de la confidencialidad, integridad y disponibilidad de la

información.

Este estándar fue aprobado y publicado en el año 2005 por ISO, esto con el fin de crear una

certificación que se enfocara exclusivamente en la seguridad informática, en el anexo A se

encuentran los objetivos de control y controles necesarios para lograr el SGSI (Sistema de gestión

de seguridad de la información) el cual es la base sobre la cual se construye la certificación, para

llegar finalmente a la ISO 27001 se vivió un proceso de muchos años de evolución y crecimiento de

31 Meyer, C. O. (2010). Seguridad Informatica vs Seguridad de la Información.

32 López Neira, A. (2005). iso27000.es el Portal de ISO 27001 en español. Recuperado el 16 de Agosto de

2010, de http://www.iso27000.es/sgsi.html

20

la importancia que llega a tener la seguridad informática en las empresas, en el siguiente grafico

podemos observas los elementos que dejaron huella en la creación de la certificación.

ILUSTRACIÓN 9. EVOLUCIÓN DE ISO 27001

Con el apropiado uso de la certificación se logra:

• reducir o prevenir los riegos relacionados con la información, esto mediante la implantación

de controles adecuados, consiguiendo que la empresa esté preparada ante la

materialización de una amenaza con lo cual se garantice la continuidad del negocio.

• Crear un instrumento para la creación del SGSI que considere la estructura organizativa, los

recursos, los procedimientos y la política de la empresa.

• Gestión de la integridad, disponibilidad y confidencialidad.

• Concientización del personal de la empresa en lo relacionado con la seguridad de la

informática más específicamente en la seguridad de la información.

En general “con un SGSI, la organización conoce los riesgos a los que está sometida su información

y los asume, minimiza, transfiere o controla mediante una sistemática definida, documentada y

conocida por todos, que se revisa y mejora constantemente” (López Neira, iso27000.es el Portal de

21

ISO 27001 en español, 2005)33

. Es importante que la seguridad haga parte del diario vivir de la

empresa y que se tenga en cuenta desde el cargo más bajo como el más alto de la organización.

Adicionalmente si una empresa logra la certificación le será de gran utilidad ya que con ella puede

demostrar no solo a nivel nacional sino a nivel internacional, que cuenta con un sistema de gestión

en el campo de seguridad informática, lo cual nos facilitara el hacer negocios con multinacionales

ya que algunas de ellas exigen esta certificación para lograr tener una relación comercial.

1.4.3. ESTABLECIMIENTO DEL SGSI. El establecimiento del SGSI consta de las siguientes fases:

Identificación de los Activos de la Información.

Como se vio anteriormente, la estrategia de seguridad busca identificar un nivel aceptable de

seguridad acorde con los objetivos de negocio de la organización, sin embargo para establecer dicho

nivel es necesario identificar qué activos de la empresa serán objeto de control y verificación, es

decir, establecer qué activos se van a asegurar.

Para esto se debe identificar los flujos de información y los datos que pasan a través de ellos, esto se

hace en cada uno de los procesos críticos que se hayan seleccionado y a partir de este mecanismo

se identifican los activos de información de dichos procesos que serán tratados por el análisis de

riesgos.

ILUSTRACIÓN 10 EJEMPLO ACTIVOS DE LA INFORMACIÓN (DELOITTE, 2010)34

33 Ibíd., p. 19.

34 DELOITTE, op. cit., p.2.

22

Como se muestra en la imagen de arriba, es un ejemplo de algunos procesos de negocio en una

organización, allí deben analizarse los flujos de información que atraviesan el proceso en cuestión,

validar con el dueño del proceso e identificar los activos asociados a dichos procesos, para su

posterior clasificación.

Clasificación de Activos de Información.

Para realizar una clasificación de los activos de información se requiere haber identificado como se

explicó anteriormente unos procesos, para cada proceso una serie de activos. Posteriormente se

establecen atributos agrupados en categorías que ayudarán a establecer el impacto del activo frente

a una característica de la información. En estas categorías se encuentras ejemplos como

Confidencialidad, Integridad y Disponibilidad. Cada atributo tendrá un puntaje de acuerdo al

impacto en la característica. Totalizando de acuerdo a cada categoría como lo indica la gráfica,

quedan agrupados los puntajes de los atributos de acuerdo a Confidencialidad, Integridad y

Disponibilidad, para luego establecer un promedio obteniendo como resultado la columna llamada

Valor del Activo, que contendrá un puntaje que indicará el impacto del activo en el negocio, siendo

los puntajes más altos los que obtendrán mayor prioridad.

ILUSTRACIÓN 11 CLASIFICACIÓN ACTIVOS (DELOITTE, 2010)

23

Análisis de la Situación Actual.

Actualmente las empresas deben lidiar con diversos aspectos coyunturales, por un lado disponen

ellas mismas de una Estrategia de negocio que establece planes y programas de acción, definiendo

prioridades y recursos para lograr los objetivos de negocio. Por otro lado se encuentra con la

estructura organizacional que define una división del trabajo en la organización alineado con los

objetivos de negocio pero limitado por mecanismos de coordinación para ajustar, estandarizar,

supervisar y valorar las actividades pertenecientes a las labores operacionales. Y por último se

encuentran con un entorno que establece una serie de procesos bajo un marco normativo. Estos tres

elementos deben integrarse y alinearse con el fin de trabajar juntos en contexto con la norma

ISO27001.

ILUSTRACIÓN 12 INTEGRACIÓN DEL NEGOCIO, FUNCIONARIO, NORMATIVIDAD E ISO27001 (DELOITTE,

2010)35


24

Análisis de Riesgos y Vulnerabilidades.

Establecer un inventario de activos críticos por proceso no es suficiente para realizar un mecanismo

de protección y aseguramiento, también es necesario e indispensable identificar los riesgos

asociados a dichos activos, sus vulnerabilidades y las probabilidades de que estos se presenten.

Como se muestra en la siguiente gráfica, con anterioridad ya se cuentan con los procesos y los

activos asociados a ellos, lo siguiente a identificar son la vulnerabilidades para cada uno de los

activos agrupadas según categorías, pare el caso Confidencialidad, Integridad y Disponibilidad,

luego de identificar las amenazas asociadas a los activos y se determina la probabilidad de que una

amenaza suceda y explote la vulnerabilidad tratada.

ILUSTRACIÓN 13 RIESGOS VS VULNERABILIDADES (DELOITTE, 2010)36


25

Opciones del Tratamiento del Riesgo.

Las siguientes son las cuatro opciones que propone Deloitte para tratar los posibles riesgos que se

presenten (Deloitte, 2010)37

:

ILUSTRACIÓN 14 TRATAMIENTO DEL RIESGO (DELOITTE, 2010)

• Asumir el Riesgo

“Asumir el riesgo es la opción más arriesgada, es aceptar el riesgo y continuar operando tal

como se ha estado haciendo” (Deloitte, 2010)38

• Evitar el Riesgo

Una de las más complicadas, “Eliminar la causa de éste (ej. Sacar de producción un

activo)” (Deloitte, 2010)39

• Transferir el Riesgo

Va desde transferir la operación y responsabilidad a un tercero o “Usar opciones que

compensen la pérdida (ej. Adquirir seguros o pólizas)” (Deloitte, 2010)40

con los costos que

esto acarrea.

• Limitar el Riesgo

La más adecuada de todas y la base del modelo ISO27001 que es “Implementar controles

que reduzcan la probabilidad de la amenaza” (Deloitte, 2010)41

1.4.4. REQUISITOS DE DOCUMENTACIÓN.


38 DELOITTE, op. cit., p.2




26

El ISO 27001 especifica que debe contar como mínimo los siguientes documentos en cualquier

formato (Digital o impreso):

• Alcance: Acota las áreas de la empresa que son sometidas al SGSI.

• Políticas y Objetivos de Seguridad: declara el objetivo, el enfoque y el compromiso de la

empresa en la gestión de la seguridad de la información.

• Procedimientos y mecanismos de control que soportan el SGSI: contiene los

procedimientos que regulan el funcionamiento del SGSI, de manera clara y concisa.

• Enfoque de la evaluación de riesgos: detalla la metodología para el manejo de los riesgos,

esto incluye identificación, análisis, define límites de tolerancia del riesgo y cálculo del

impacto.

• Informe de la evaluación de riesgos: este es un documento que contiene los resultados de

aplicar el enfoque de la evaluación de riesgos.

• Plan de tratamiento de riesgos: documenta los recursos, las responsabilidades y las

prioridades de los riesgos, esto orientado por las conclusiones de la evaluación de riesgos y

recursos disponibles.

• Procedimientos documentados: contiene los pasos para el manejo de los riesgos.

• Registros: Aquí podremos encontrar las evidencias que muestran el funcionamiento del

SGSI.

• Declaración de aplicabilidad: esta sección contiene los objetivos de control y los controles.

Los anteriores documentos deben contar con un proceso de verificación y validación para asegurar

la calidad de los mismos ya que estos deben ser conocidos por todos los involucrados en el SGSI,

que son los miembros de las áreas sometidas al SGSI.

Para lograr la implementación este estándar internacional adopta el modelo PDCA “por sus siglas

en ingles Plan-Do-Check-Act”, en español seria Planificar-Hacer-Verificar-Actuar.

“Esta norma está dividida en once dominios de control, 39 objetivos y 133 controles. Los dominios

presentados abarcan: política de seguridad, organización de la seguridad de la información, gestión

de activos, control de acceso, seguridad de los recursos humanos, cumplimiento, seguridad física y

del entorno, adquisición, desarrollo y mantenimiento de sistemas de información, gestión de las

comunicaciones y operaciones, gestión de la continuidad del negocio y gestión de incidentes de

seguridad de la información.” (ICONTEC, 2010)42

“Adicionalmente las organizaciones deben implementar los objetivos de control y los controles

descritos en los numerales 5 al 15 de la ISO/IEC 27002, que cumplan los requisitos identificados en

el proceso de valoración y tratamiento de riesgos.”

42 ICONTEC. (2010). Certificación ISO 27001. Recuperado el 1 de Septiembre de 2010, de icontec.com:

http://www.icontec.org/BancoConocimiento/C/certificacion_iso_27001/certificacion_iso_27001.asp?CodIdio

ma=ESP

27

“Obtener un buen sistema de gestión de la información no depende de la tecnología que utilicemos

en nuestra empresa, sino en mayor medida de los procesos y las personas involucradas, con el

objetivo de preservar el valor actual y futuro de nuestras organizaciones.” (Dutra, 2006)43

Ciclo de Vida de la Información.

Con el aumento dramático de la información y la consecuente complejidad en su administración da

una idea del porqué “los sistemas y las soluciones de almacenamiento se desplazan hacia el centro

de la infraestructura tecnológica.” (Solla, 2009)44

. La TI busca ahora generar conciencia del valor

actual de la información, su organización y clasificación según importancia y prioridad. De esta

forma así como otros procesos de negocio cuentan con un ciclo de vida, la información también lo

tiene, donde su valor constantemente cambia desde su creación hasta su fin.

El valor de la información no es constante, este varía de acuerdo a los estados en las operaciones de

la organización como por ejemplo:

Horas o días en las transacciones que generan las ventas. (Solla, 2009)45

Mensuales en el tratamiento de nóminas. (Solla, 2009)46

Anuales en los cierres de ejercicio. (Solla, 2009)47

Esto significa que las organizaciones cada vez producen y usan en mayor nivel grande s volúmenes

de información, que constantemente modifican, actualizan y mantienen como acción natural al

crecimiento del negocio. Adicionalmente se vinculan normativas que obligan a “establecer un el

plazo que hay que mantener salvaguardados los correos y otras informaciones en formato

electrónico, así como el tiempo máximo para su recuperación y puesta a disposición del organismo

solicitante” (Solla, 2009)48

43 Dutra, E. G. (24 de febreo de 2006). Seguridadit Blogspot. Recuperado el 16 de Agosto de 2010,

de http://seguridadit.blogspot.com/2006/02/mas-sobre-iso-1779927001.html

44

Solla, J. L. (2009). Gestión del Ciclo de Vida de la Información. 45

Ibíd., p. 27. 46

Ibíd., p. 27. 47

Ibíd., p. 27. 48

Ibíd., p. 27.

28

Entonces a medida que la información crece es necesario establecer un ciclo apropiado que apoyará

los cambios de estado y de valor que en ella se presentan y para esto se establece un ciclo de 6 fases

como lo muestra la siguiente imagen:

ILUSTRACIÓN 15 CICLO DE VIDA DE LA INFORMACIÓN (DELOITTE, 2010)49

Este ciclo permitirá asociar un estado en el que se encuentra la información con unos

procedimientos para tratarla en dicho estado. Estos procedimientos son libremente establecidos por

la organización y dependen en gran medida del volumen, tipo y tiempos de vida de la información a

tratar.

El punto de partida radica que dentro de la organización se comprenda que la gestión del ciclo de

vida la información puede implementarse por etapas, cada una ofreciendo un valor específico, la

construcción de esta implementación es secuencial y dependerá del alcance fijado por la

organización así como de las arquitecturas tecnológicas existentes. De esta forma como bien la

norma ISO27001 requiere que todo proceso se encuentre debidamente documentado, es necesario

establecer un ciclo de vida válido y acorde con los requerimientos para toda documentación

generada fruto del establecimiento de nuevos procedimientos en la organización.

49 Deloitte. (2010). Alineando Procesos de Negocio con la ISO27001.

29

1.4.5. ALINEAMIENTO ESTRATÉGICO. Ya conociendo la estructura formal de la norma ISO 27001, es evidente que se necesita identificar

una estrategia de seguridad en las organizaciones para esto es necesario contemplar los diferentes

aspectos que la alimentan. Por un lado es necesario establecer los Objetivos de Negocio, que estén

debidamente formulados y clarificados, posteriormente se formularán los objetivos de seguridad

que estarán alineados con los de negocio, para consecuentemente emitir Políticas corporativas que

deberán ser divulgadas en todas la organización.

Estas políticas establecerán procedimientos de acción frente a los aspectos claves en ciertas

operaciones de la compañía. Estos tres elementos permitirán generar una Política de Seguridad que

propondrá más adelante procesos, pasos, controles y verificaciones en las actividades relacionadas

con los aspectos claves de seguridad que buscan implantarse.

Con los componentes anteriores ya definidos, se procede a realizar un Plan de Acción el cual

permitirá programar y controlar las actividades que deberán llevarse a cabo para dar cumplimiento

a las estrategias y proyectos de la organización, allí se establecerá un tiempo, espacio y metas de las

tareas específicas que contribuirán con los objetivos de negocio y de seguridad. En este sentido, el

plan de acción contemplará a su vez con una serie de procesos de seguridad que tendrá como base

una Arquitectura de Seguridad escalable.

ILUSTRACIÓN 16 ESTRATEGIA DE SEGURIDAD (DELOITTE, 2010)50

Ya entendiendo el concepto del Sistema de Control interno y su relación con el Sistema de Gestión

de Seguridad de la información, a continuación se abordará en detalle la Circular 014, sus objetivos,

estructura y controles.

50 Ibíd., p. 28.

30

1.5. CIRCULAR EXTERNA 014 DEL 2009 DE LA SUPERINTENDENCIA

FINANCIERA DE COLOMBIA La superintendencia Financiera controla y supervisa la gestión de las entidades detalladas en los

artículos 72 y 73 del Decreto 4327 de 2006 y bajo este contexto emitió la Circular Externa 14 el 19

de Mayo de 2009, titulándola “Instrucciones relativas a la revisión y adecuación del Sistema de

Control Interno” realizando un recalcando la importancia del papel que tiene el Sistema de Control

Interno (SCI) como instrumento fundamental del gobierno corporativo de las entidades. La

exigencia de su adopción inició el 30 de septiembre de 2009.

La emisión de la circular busca presentar un conjunto de requerimientos y recomendaciones

técnicas y metodológicas con el fin de hacer cumplir un modelo de gestión relacionado con las

actividades a desarrollar propias del control interno de las entidades.

La circular 14 hereda aspectos fundamentales del Modelo Estándar de Control Interno (MECI)

establecido en el Decreto 1599 de 2005 y aplicabilidad en el sector público. Su alcance es bastante

grande incluyendo:

- Tareas

- Funciones

- Responsabilidades

Todas ellas propias de los Directivos, Auditores Internos, Departamento de Tecnología,

Administración del Riesgo. De esta forma MECI propone una estructura para realizar control en la

gestión, en la estrategia y valoración de las entidades esto con el fin de orientarse hacia el

cumplimiento de los objetivos de la institución.

El Modelo MECI se formuló con el propósito de que las entidades pudieran mejorar su desempeño

día a día fortaleciendo los procesos control y evaluación. Para esto (similar a la Circular 014) las

entidades deben llevar a cabo una valoración que arrojará un nivel de efectividad de los elementos

de control con los que cuenta, con el fin de realizar una etapa de diseño, desarrollo o incluso de

ajuste para su implementación o mejora según sea el caso.

Sin embargo, es importante aclarar los objetivos fundamentales del Modelo Estándar de Control

Interno (MECI), estos se agrupan en 5 Grandes Áreas u Objetivos de Control:

ILUSTRACIÓN 17: OBJETIVOS DE CONTROL MECI

31

Objetivos de Control de Cumplimiento (Colombia, 2005)51

:

Estos controles son los que afectan directamente a la Administración, es decir que allí se encuentran

actividades que le permitirán a la organización cumplir con las funciones establecidas, generar

instrucciones o pasos de verificación y evaluación dentro del marco que establezca la ley.

Objetivos de Control Estratégico (Colombia, 2005)52

:

Estos objetivos re encalcan la importancia que tiene el control sobre los procesos, además construye

una serie de procedimientos que rediseñan a la entidad permitiendo gestionar los posibles riesgos

que puedan presentarse.

Objetivos de Control de Ejecución (Colombia, 2005)53

:

Estos objetivos buscan crear una serie de instructivos para las actividades y funciones de la

organización que garanticen aspectos de prevención y corrección en ellas. Esto con el fin de poder

tomar decisiones con información pertinente, correcta y fiable. También hace referencia a un nivel

mínimo de comunicación que permita un ejercicio adecuado de la actividad empresarial.

Objetivos de Control de Evaluación (Colombia, 2005)54

:

51 Colombia, R. d. (2005). MODELO ESTANDAR DE CONTROL INTERNO PARA EL ESTADO

COLOMBIANO. Bogotá. 52

Ibíd., p. 31. 53

Ibíd., p. 31. 54

Ibíd., p. 31.

32

Busca que existan herramientas, medios e instructivos que permitan generar actividades de

corrección y mejoramiento. Hace referencia también, a actividades de verificación y evaluación

constante del control y la gestión acorde con las recomendaciones de los entes de control.

Objetivos de Control de Información (Colombia, 2005)55

:

Son procedimientos que explican el cómo generar información clara, correcta y exacta para ser

entregada a los entes de control interno para su posterior evaluación y resultado.

Bajo este marco de control que aporta MECI es en el cual en parte se basa la Superintendencia

Financiera para emitir circular 14 donde evaluará el cumplimiento de las exigencias que en ella se

nombran pero de acuerdo a su propio modelo de supervisión.

En dicha Circular se establece de manera obligatoria la realización de informes periódicos en cada

etapa de cierre e informes de avance sobre cada temática. De esta manera la Superintendencia

Financiera busca constatar la existencia de documentación formal como Políticas, procedimientos y

normas. Así como la implementación real en los sectores relacionados. Para tal fin la

Superintendencia Financiera cuenta con un documento mayor que evaluará a manera de CheckList

los aspectos a revisar durante su visita.

La circular externa 014 busca no solo los administradores de las entidades vigiladas o sometidas al

control exclusivo de la Superintendencia Financiera de Colombia cumplan con un sistema de

control interno, sino que las entidades Financieras también lo hagan llevando a cabo una serie de

procedimientos, normas, políticas y mecanismos que entregarán un nivel de seguridad adecuado

para la organización y para aquellas entidades que interactúen con ella.

Dentro de la circular 14 se establece:

- Ámbito de Aplicación

- Objetivos

- Elementos del Sistema de Control.

- Procedimientos para la gestión de riesgos.

- Órganos responsables de verificar la implementación y cumplimiento del SCI.

- Mecanismos y procesos de seguimiento.

Adicionalmente afirma que son los representantes legales de la organización tienen a cargo

establecer y mantener los sistemas de revelación, los de control y además el proceso de diseño y

operación de los controles internos.

55 Ibíd., p. 31.

33

El cumplimiento de la circular 14 es posible solo con la implantación de un SCIF (Sistema de

Control Interno Efectivo) el cual permitiría la detección y remedio de los vacíos que existen entre

los riesgos que la compañía afronta y los controles establecidos para prevenir o mitigar esos riesgos.

Este sistema busca contribuir al logro de los objetivos empresariales y fortalecer la administración

de los riesgos a los que las empresas están expuestas a diario en sus actividades ofreciendo entornos

de seguridad y eficiencia.

Los registros de fracasos y crisis en el sector empresarial han mostrado que la gerencia toma riesgos

sin los controles correspondientes. Es por esto que con un nuevo enfoque del control interno se

puede corregir esta falla llevando a cabo controles en cada uno de los procesos administrativos y

estableciendo un Ambiente de Control que incentive los principios y buenas conductas orientadas al

control.

En este caso las directivas juegan un papel crucial para transferir liderazgo y compromiso haciendo

hincapié en la gran importancia de los controles internos y las responsabilidades que deben ser

asumidas por cada uno de los funcionarios de acuerdo al sistema de control interno. Por lo tanto se

habla de un control preventivo donde se reúnen aspectos fundamentales de la organización como la

estrategia, reglamentos, información para tomar decisiones, etc. De esta manera las directivas, jefes

y empleados tendrán la capacidad para administrar los riesgos de la empresa, estableciendo con

antelación un Sistema de Control Interno.

Claro está que el Sistema de Control Interno se basa en que cada uno de los funcionarios de la

empresa control su trabajo con el fin de detectar fallas para después ejecutar acciones correctivas en

sus funciones y proporcionar mejoras a las operaciones.

Bajo este contexto los auditores juegan dos papeles importantes para el mantenimiento del Sistema

de Control interno. Por una parte, la auditoría interna es un aspecto fundamental para el

mejoramiento del sistema, detectando irregularidades, gestionando riesgos, amenazas y

proporcionando un monitoreo constante de los procesos internos. La auditoría externa ofrece un

nivel adecuado de seguridad a terceros referente a la confiabilidad de la certificación que tiene la

empresa para comprobar la efectividad de su Sistema de control Interno.

1.5.1. ELEMENTOS Y ESTRUCTURA DE LA CIRCULAR 14. Como ya se ha explicado con anterioridad, todas las entidades supervisadas, deberán implementar

un Sistema de Control Interno de nivel aceptable que la circular establece en sus capítulos. Y se

espera que dicho sistema sea acorde con el tamaño de la empresa es decir que se deberá tener en

34

cuenta el número de empleados, activos e ingresos, número de sucursales, etc. (Superintendencia

Financiera de Colombia, 2009)56

.

La Circula Externa 014 en su sección 7.4 explica lo que para la Superintendencia Financiera son los

principios del Sistema de Control Interno, siendo tres como se muestra a continuación:

1) Autocontrol

El autocontrol va directamente relacionado a que cada empleado en la organización pueda “evaluar

y controlar su trabajo” (Superintendencia Financiera de Colombia, 2009)57

, y si detectará un error

pueda efectuar una actividad de corrección en sus funciones, a esto se le agrega también, la

capacidad de optimizar tareas y responsabilidades asignadas.

Además atribuye las Directivas la responsabilidad de recalcar el deber de cada uno de los

empleados en la organización para que sean conscientes de sus funciones y los procesos de control

ligados a ellas, lo cual permitirá cumplir con los objetivos propuestos de la Dirección.

2) Autorregulación

Hace referencia a que la organización debe estar en capacidad de generar lineamientos, normas e

instructivos que permitan que el Sistema de Control Interno pueda ser desarrollado, implementado o

mejorado según sea el caso.

3) Autogestión

La autogestión hace referencia a que la organización este en capacidad de “interpretar, coordinar,

ejecutar y evaluar de manera efectiva, eficiente y eficaz su funcionamiento.” (Superintendencia

Financiera de Colombia, 2009)58

.

Basada en los principios mencionados, la Circular 014 establece una serie de aspectos que

garantizarán una seguridad aceptable dentro de las organizaciones acorde con sus objetivos y

cumpliendo con la regulaciones correspondientes.

56 Superintendencia Financiera de Colombia. (19 de Mayo de 2009). Normativa. Recuperado el 16 de Agosto

de 2010, de Superintendencia Financiera de Colombia:

http://www.superfinanciera.gov.co/NormativaFinanciera/Archivos/ance014_09.doc 57

Ibíd., p. 34. 58

Ibíd., p. 34.

35

Para que haya un cumplimiento efectivo de los principios mencionados anteriormente así como los

objetivos del SCI tratados en la sección 1.1, las organizaciones tendrán que crear una “estructura de

control interno” (Superintendencia Financiera de Colombia, 2009)59

que esté basado en los

elementos del SCI propuesto por el Modelo COSO, ya explicados en la sección 1.1.1.1, sin embargo

señálemelos desde la perspectiva de la Circula 014:

• Ambiente de Control

La Circular 14 se refiere a este como “políticas y procedimientos que deben seguirse para

lograr que las instrucciones de la administración con relación a sus riesgos y controles se

cumplan. Las actividades de control se distribuyen a lo largo y a lo ancho de la

organización, en todos los niveles y funciones.” (Superintendencia Financiera de Colombia,

2009)60

Y propone unos elementos básicos para la creación de un ambiente de control, dicho

elementos son:

1) Establecimiento formal de los principios de la organización, es decir debidamente

documentado, y que sea divulgado a toda la empresa.

2) Generación de un Código de Conducta

3) Seguimiento de procedimientos que permitan que los empleados cuenten con suficiente

información para el cumplimiento de sus responsabilidades.

4) Estructura Organizacional en función del SCI, con establecimiento de

responsabilidades y niveles de autoridad correspondientes.

5) Generación de objetivos organizacionales orientados a la Misión y Visión de la

empresa.

• Análisis de Riesgo:

Este componente comprende una etapa de identificación y otra de análisis de los riesgos

más importantes a los que se verían comprometidos los objetivos de negocio de la

organización y que servirá como base para conocer la manera en la que esos riesgos serán

manejados.

Es decir que es necesario establecer unos objetivos a nivel interno y externo que permitirán

identificar los riesgos que amenazan su cumplimiento, “así como la determinación de métodos para

el tratamiento y monitoreo de los riesgos, con el propósito de prevenir o evitar la materialización

59 Superintendencia Financiera de Colombia, op. cit., p.34.


36

de eventos que puedan afectar el normal desarrollo de los procesos” (Superintendencia Financiera

de Colombia, 2009)61

y de no ser posible por lo menos mitigar su impacto.

Para el caso de las entidades sometidas a control como las financieras, el proceso de administración

del riesgo deberá contar con los siguientes procedimientos:

1) Identificación de Amenazas.

2) Identificar y Priorizar Riesgos.

3) Calcular Probabilidad de Ocurrencia de los riesgos e impacto sobre los recursos.

4) Evaluar los controles identificados y determinar su efectividad.

5) Construcción de Mapas de Riesgos pertinentes.

6) Implementar un plan de continuidad del negocio y probarlo.

7) Divulgar mapas de riesgos y políticas definidas por la Administración.

8) Administración del Riesgo con el uso de diversas estrategias para mitigar su efecto.

9) Registro y Reporte de pérdidas materiales cuanto el riesgo de materializa.

10) Seguimiento con el apoyo de las entidades encargadas.

11) Establecimiento de acciones preventivas y correctivas.

• Actividades de Control:

La Circular 014 afirma que “las actividades de control son las políticas y los

procedimientos que deben seguirse para lograr que las instrucciones de la administración

con relación a sus riesgos y controles se cumplan.” (Superintendencia Financiera de

Colombia, 2009)62

.

Y para esto, es necesario establecer actividades de carácter obligatorio para todo tipo de proceso en

la organización dentro de las cuales, la Circular 014 espera:

1) Análisis de informes por parte de la Administración para observar los progresos en el

logro de sus objetivos.

2) Gestión de Funciones y Actividades.

3) Análisis y Procesamiento de la Información.

4) Controles de Aplicación. (Superintendencia Financiera de Colombia, 2009)63

5) Establecimiento de alcances en cada área de la organización dependiendo del tipo de

riesgo.

6) Inspección de los lugares en los que se encuentran los visitantes con el fin de evitar una

contingencia.

7) Controles Físicos.

8) Indicadores.




37

9) “Segregación de Funciones”. (Superintendencia Financiera de Colombia, 2009)64

10) “Acuerdo de Confidencialidad”. (Superintendencia Financiera de Colombia, 2009)65

11) “Procedimientos de Control”. (Superintendencia Financiera de Colombia, 2009)66

12) “Difusión de las actividades de control.” (Superintendencia Financiera de Colombia,

2009)67

Las actividades de control que sean consideradas cumplirán una relación costo/beneficio y

estarán apoyadas en políticas que enseñaran qué hay que hacer y cómo hacerlo.

• Información y Comunicación:

La Circular 014 expresa que es indispensable “identificar, capturar e intercambiar

información en una forma y período de tiempo que permita al personal cumplir con sus

responsabilidades.” (Superintendencia Financiera de Colombia, 2009)68

Información

El sistema de información debe suministrar información suficiente para poder controlar los

objetivos de negocio establecidos, la Circular 014 propone las siguientes:

1) Identificación de la información entrante y saliente.

2) Asignación de propietarios de la información y quienes tienen acceso a ella.

3) Generación de Formulario que minimicen el ingreso erróneo de información

4) Generar instructivos que pueda proponer un proceso de identificación, reporte y

corrección de errores.

5) Procedimientos que permitan almacenar los documentos originales emitidos por la

entidad.

6) Establecer restricciones y controles para que los informes sean hechos por personal

autorizado.

7) Establecer restricciones y controles que protejan el acceso no autorizado a la

información.

8) Establecimiento de procesos de backup.

9) Parámetros para la entrega de la información sin importar el medio.

10) Clasificación de información en privada, publica, confidencial.

11) Custodia de la información.

12) Uso de mecanismos o herramientas que eviten el uso de información privilegiada.






38

13) Detectar fallas y aplicar correcciones.

14) “Cumplir Requerimientos Legales” (Superintendencia Financiera de Colombia, 2009)69

Comunicación:

La organización debe garantizar un nivel de comunicación bastante alto para que esta se

propague en todas las áreas de la organización.

De esta forma, cada empleado deber saber exactamente qué rol desempeña dentro del

Sistema de Control Interno y ser consciente que las actividades que realiza dependen de las

de otros y viceversa.

Para tal fin, la Circular 14 Propone los siguientes elementos tomados literalmente de sus

capítulos:

1) Canales de comunicación

2) Responsables de su manejo

3) Requisitos de la información que se divulga

4) Frecuencia de la comunicación

5) Responsables

6) Destinatarios

7) Controles al proceso de comunicación

(Superintendencia Financiera de Colombia, 2009)70

• Monitoreo:

La Circula 014 define a este componente como “el proceso que se lleva a cabo para

verificar la calidad de desempeño del control interno a través del tiempo”

(Superintendencia Financiera de Colombia, 2009)71

. Lo anterior se logra con unos procesos

de valoración continua en cada una de las áreas o procesos liderados por cada uno de los

jefes responsables. La circular externa hace hincapié en que el SCI debe ser dinámico para

que siempre pueda adaptarse a las condiciones de la empresa y al entorno en el que opera.

Lo cual implica una evaluación de calidad y desempeño del sistema con sus correcciones

pertinentes.




39

La siguiente Ilustración muestra un resumen los elementos del SCI propuesto por la Circular 014.

ILUSTRACIÓN 18: ELEMENTOS DEL SCI EN LA CIRCULAR 14 (ORACLE, 2009)

1.5.2. COSO Y LA CIRCULAR 014. Con el paso de los años se ha presentado un interés sobre la importancia del control interno como

elemento fundamental de las grandes organizaciones y así mismo se han generado una serie de

herramientas que ayudan a las directivas de las entidades a ejercer dicha función de una manera

más fácil y efectiva. Es por esto que existe una estructura bien conceptualizada sobre el control

interno junto con varios enfoques teóricos disponibles.

40

“Desde septiembre de 1992 el control interno ha constituido un fenómeno mundial y su aceptación

ha ido creciendo en todos los sectores vinculados con los negocios.” (Grupo Inversión, financiación

y control Universidad Icesi, 2010)72

Con la emisión de la ley SravaneOxley de 2001, las grandes organizaciones y entidades auditoras

adoptaron el enfoque propuesto por el modelo COSO para así cumplir con esta regulación y es a

partir de esta donde se generan herramientas orientadas para su implantación. Gracias a esto, los

empresarios se vieron en la necesidad de establecer ciertos elementos que garantizarán un mínimo

de control dentro de la organización.

De esta forma, debieron transcurrir casi 20 años para que la Superintendencia Financiera de

Colombia tuviera en consideración aquellos estándares de carácter internacional referentes al

control interno como un requisito indispensable de cumplimiento de las organizaciones que están

bajo su supervisión y control.

Y para mayo de 2009, se promulga la Circular Externa 014 de 2009, circular que hace alusión al

compromiso en el que se encuentran las organizaciones que están supeditadas al control y vigilancia

de la Superintendencia Financiera. Dicho compromiso se entiende como la especificación de

políticas y diseño de una serie de procedimientos de control interno que deberán ser implementados

dentro de la entidad, esto con el fin de permitir, mejorar y garantizar el cumplimiento de sus

objetivos de negocio. En esta circular se “compila toda la normatividad dispersa sobre control

interno y estructura un documento formal y completo sobre el tema de aplicación forzosa en

Colombia para empresas emisoras de títulos valores.” (Grupo Inversión, financiación y control

Universidad Icesi, 2010)73

El hecho de haberse emitido la Circular Externa, indica que se ha iniciado un proceso de

verificación, estandarización y encuentro de los modelos de control interno, y es la

Superintendencia Financiera quien sugiere la utilización de la guía de COSO(Committe Sponsoring

Organization of theTreadway) como apoyo a dicho proceso de implantación. A continuación se

explicará el porqué de la Circular Externa 014, sus antecedentes y la importancia de esta más allá

del entorno regulatorio que la rodea.

72 Grupo Inversión, financiación y control Universidad Icesi. (Enero de 2010). Universidad ICESI.

Recuperado el 15 de Agosto de 2010, de

http://www.icesi.edu.co/departamentos/finanzas_contabilidad/images/proyectos/control_interno.pdf 73

Ibíd., p. 40.

41

1.5.3. ISO 27001 Y LA CIRCULAR 014. Tanto en la Circular 014 como en la norma ISO27001, la palabra control se refiere a una serie de

acciones, a documentación, adopción de medidas, procedimientos y técnicas de medición. Tanto

para Circular 014 como para la ISO27001 un control “es lo que permite garantizar que cada

aspecto que se valoró con un cierto riesgo, queda cubierto y auditable” (Estrada, 2006)74

En este sentido la Circular 014 y la ISO 27001 buscan establecer una “definición común del

control interno” (Mantilla, 2005)75

, es decir que ambas proponen un marco de referencia con el fin

de proporcionar un cierto grado de seguridad para la consecución de objetivos.

Así que sobre un Activo de Información previamente identificado fruto de los lineamientos de la

ISO27001 se llevará a cabo la aplicación de los cinco componentes básicos del sistema de control

interno en el que se basa la Circular 014 (Explicados con anterioridad):

ILUSTRACIÓN 19 SCI Y LOS ACTIVOS DE LA INFORMACIÓN

74 Estrada, A. (2006). ISO27001: Los Controles.

75 Mantilla, S. A. (2005). Auditoría del control interno.

42

De manera análoga “Se trata de ejercer el control interno sobre nuestros principales activos

mediante un ciclo de mejora continua” (Security, 2010)76

como se muestra a continuación:

ILUSTRACIÓN 20 CICLO DE MEJORA CONTINUA - ACTIVOS DE INFORMACIÓN

Plan: Definir la política de seguridad basada en los activos identificados, definir el alcance del

Sistema de Gestión de la Seguridad, realizar el análisis de riesgos correspondiente para los activos

identificados, selección de controles para la mitigación de los riesgos identificados.

Do: Implantación del Plan de Gestión de Riesgos .Implantación de controles.

Check: Revisión interna del Sistema de Gestión de Seguridad por medio de auditorías.

Act: Aplicación de las Acciones Correctivas y Preventivas.

76 Security, E. (2010). ISO 27001 • Certificación de la Gestión de la Seguridad de la Información •

Implantación SGSI.

43

De esta forma se observa la relación que tiene el SCI propuesto en la Circular 14 junto con el

proceso de mejora continua que se llevaría cabo por la ISO 27001 contra los activos de la

información identificados en la organización.

1.5.4. CIRCULAR 014 Y LOS CONTROLES TECNOLÓGICOS. A continuación se presentan los controles tecnológicos de la Circular 014 con los cuales se

trabajarán más adelante para realizar una matriz de alineación entre los diferentes frameworks

explicados en este Trabajo de Grado y su relación con esta normativa colombiana.

• Plan estratégico de tecnología.

• Infraestructura de tecnología.

• Relaciones con proveedores.

• Cumplimiento de requerimientos legales para derechos de autor, privacidad y comercio

electrónico.

• Administración de proyectos de sistemas.

• Administración de la calidad.

• Adquisición de tecnología.

• Adquisición y mantenimiento de software de aplicación.

• Instalación y acreditación de sistemas.

• Administración de cambios.

• Administración de servicios con terceros.

• Administración, desempeño, capacidad y disponibilidad de la infraestructura

tecnológica.

• Continuidad del negocio.

• Seguridad de los sistemas.

• Educación y entrenamiento de usuarios.

• Administración de los datos.

• Administración de instalaciones.

• Administración de operaciones de tecnología.

• Documentación.

44

1.6. ALINEACIÓN CIRCULAR 014 DE 2009, ISO 27001:2005 ANEXO A, COBIT Y COSO

Circular 014 2009 de la

Superintendencia Financiera ISO/IEC 27001:2005 Anexo A CobiT COSO

7.6.2 Normas de Control Interno para

la gestión de la Tecnología

I Plan estratégico de tecnología.

i. Análisis de cómo soporta

la tecnología los objetivos del

negocio.

• A.7.1.1 Inventario de Activos

• A.10.5.1 Back-up o respaldo de la

información

• A.10.6.1 Controles de red

• A.10.6.2 Seguridad de servicios de

red

• A.10.7.1 Gestión de Medio

removibles.

• A.10.7.4 Seguridad de

Documentación del Sistema

• A.10.8.3 Medio Físicos en

Tránsito

• A.10.8.4 Mensajes electrónicos.

• A.10.9.1 Comercio Electrónico.

• A.10.9.2 Transacciones en línea.

• A.10.9.3 Información Disponible

Públicamente

• A.11.4.2 Autenticación de usuario

para conexiones externas

• A.11.4.6 Control conexión de

redes.

• A.11.4.7 Control de Routing de

redes.

• PO1 Definir un Plan

Estratégico de TI.

• PO2 Definir la Arquitectura

de la Información.

• PO3 Determinar la

Dirección Tecnológica.

• PO4 Definir los Procesos,

Organización y Relaciones de

TI.

• PO5 Administrar la

Inversión TI.

• PO6 Comunicar las

Aspiraciones y la Dirección

de la Gerencia.

• A.7.1.1

Inventario de

Activos

45



ii. Evaluación de la

tecnología actual. • A.7.1.1 Inventario de Activos.


Estratégico de TI.




de la Información.


Inversión TI.



de la Gerencia.

iii. Estudios de mercado y

factibilidad de alternativas

tecnológicas que respondan a las

necesidades de la entidad.

• A.6.1.6 Contacto con autoridades

• A.6.1.7 Contacto con grupos de

interés especial

• A.14.1.1 Incluir seguridad de la

información en el proceso de

gestión de continuidad comercial.

• A.14.1.3 Desarrollar e

implementar planes de continuidad

incluyendo seguridad de la

información


Estratégico de TI.


de la Información.





de la Gerencia.

46



iv. Planes operacionales

estableciendo metas claras y

concretas.

• A.5.1.1 Documentar Política de

seguridad de la información.

• A.5.1.2 Revisión de la política de


• A.6.1.2 Coordinación de la


• A.6.1.3 Asignación de

responsabilidades de la seguridad de

la información.

• A.6.1.8 Revisión independiente de

la seguridad de la información.

• A.7.2.2 Etiquetado y manejo de la

información.

• A8.1.1 Roles y Responsabilidades.

• A.10.3.1 Gestión de Capacidad.

• A.13.2.1 Responsabilidades y

procedimientos.




información.



de la Gerencia.

• PO8 Administrar la Calidad.

• PO9 Evaluar y Administrar

los Riesgos de TI.

• PO10 Administrar

Proyectos.

47



II Infraestructura de tecnología.

• A.7.1.1 Inventarios de Activos.

• A.9.1.1 Perímetro de Seguridad

Física.

• A.9.1.2 Controles de entrada

físicos.

• A.9.1.3 Seguridad de oficinas,

habitaciones y medios.

• A.9.1.4 Protección contra

amenazas externas y ambientales.

• A.9.1.5 Trabajo en áreas seguras.

• A.9.2.1 Ubicación y protección del

equipo.

• A.9.2.2 Servicios Públicos.

• A.9.2.3 Seguridad en el cableado.


Estratégico de TI.


de la Información.





TI.


Inversión TI.

• 5.3.4

Mecanismos de

control. • 5.3.5

Control sobre los

sistemas de

procesamiento

electrónico de

datos. • 5.3.6

Controles sobre

las aplicaciones.

• 5.5.1

Supervisión

Continua.

III

Cumplimiento de requerimientos

legales para derechos de autor,

privacidad y comercio

electrónico.

• A.15.1.1 Identificación de

legislación aplicable.

• A.15.1.2 Derechos de propiedad

intelectual.

• A.15.1.3 Protección de los

registros organizacionales.

• A.15.1.4 Protección de data y

privacidad de información personal.

• A.15.1.6 Regulación de controles

criptográficos.


Estratégico de TI.


Dirección de Tecnología.


los riesgos de TI.

48



IV Administración de proyectos de

sistemas.

• A.10.3 Planeación y Aceptación

del Sistema.

• A.10.6 Gestión de seguridad de

redes.

• A.10.7 Gestión de medios.

• A.11.2 Gestión del acceso del

usuario.

• A.12.6 Gestión de vulnerabilidad

técnica.

• A.13 Gestión de incidentes en la


• A.14 Gestión de la continuidad

comercial.

• PO10 Administrar Proyectos

V Administración de la calidad, • PO8 Administrar la calidad.

• 5.3

ACTIVIDADES

DE CONTROL.

• 5.4.1

Información. •

5.4.2

Comunicación.•

5.5.1

Supervisión

Continua

49



i. Programas para establecer

una cultura de calidad de la

tecnología en toda la entidad.





• A.6.1.1 Compromiso de la

Gerencia con la seguridad de la

información.

• A.6.1.2 Coordinación de la




la información.

• A.8.2.2 Capacitación y educación

en seguridad de la información.

• A.10.1.1 Procedimientos de

operación documentados.

• A.15.2.1 Cumplimiento con las

políticas y estándares de seguridad.





TI.

• PO8 Administrar la calidad.

• 5.4.1

Información. •

5.4.2

Comunicación.

ii. Planes concretos de

calidad de la tecnología.




• A.14.1.2 Continuidad comercial y

evaluación del riesgo.




información.

• A.14.1.4 Marco referencial para la

planeación de la continuidad

comercial.

• A.14.1.5 Prueba, mantenimiento y





los Riesgos de TI

50



re-evaluación de planes de

continuidad comerciales.

iii. Responsables por el

aseguramiento de la calidad.

• A.8.1.1 Roles y

Responsabilidades.


Procedimientos.



TI.



de la Gerencia.

• PO7 Administrar los

recursos humanos de TI.


• 5.3.2 Quiénes

deben llevar a

cabo las

actividades de

control

51



iv. Prácticas de control de

calidad.









información.



comercial.






• A.15.3.1 Controles de auditoría de

sistemas de información.

• A.15.2.2 Chequeo de

cumplimiento técnico.





TI.



de la Gerencia.



los Riesgos de TI.

• 5.5.1

Supervisión

Continua

v. Metodología para el ciclo

de vida de desarrollo de sistemas. • PO8 Administrar la calidad.

52



vi. Metodología de prueba y

documentación de programas y

sistemas.

• A.10.3.2 Aceptación del Sistema.

• A.12.4.2 Protección de la data de

prueba del sistema.






información.



comercial.






Proyectos.

• 5.3.4

Mecanismos de

control

vii. Diseño de informes de






• A.10.10.1 Registro de auditoría.

• A.13.2.2 Aprendizaje de los

incidentes de la seguridad de la

información.

• A.13.2.3 Recolección de

Evidencia.



Proyectos.

• 5.3.4

Mecanismos de

control

viii. Capacitación de usuarios

finales y del personal de


• A.8.2.1 Gestión de

Responsabilidades.


en la seguridad de la información.



TI.


• 5.4.1

Información. •

5.4.2

Comunicación.

ix. Desarrollo de una base de • PO8 Administrar la calidad.

53



conocimiento de aseguramiento

de la calidad.

VI Adquisición de tecnología.

• A.7.1.1 Inventario de Activos.

• A.9.1.1 Perímetro de Seguridad

Física.

• A.9.1.2 Controles de entrada

físicos.



• A.9.1.4 Protección contra

amenazas externas y ambientales.



equipo.



• A.9.2.5 Seguridad del equipo fuera

del local.

• A.9.2.6 Eliminación seguro o re-

uso del equipo.


información.

• A.10.6.1 Controles de red.


red.


removibles.

• A.10.7.4 Seguridad de

Documentación del Sistema.

• A.10.8.3 Medio Físicos en

Tránsito.


Estratégico de TI.


de la Información.





TI.


Inversión TI.

• 5.4.1

Información. •

5.4.2

Comunicación. •

5.1.1 Integridad

y valores éticos.

• 5.1.2

Competencia

profesional. •

5.1.3 Filosofía y

estilo de la

Dirección. •

5.1.4 Estructura

y plan

organizacional. •

5.1.5 Políticas y

prácticas de los

RRHH. • 5.1.6

Comité de

Administración

o Comité de

Auditoría.

54







Públicamente.


para conexiones externas.

• A.11.4.6 Control conexión de

redes.

• A.11.4.7 Control de Routing de

redes.

VII Adquisición y mantenimiento de

software de aplicación.

• A.12 Adquisición, desarrollo y

mantenimiento de los sistemas de

información.


Estratégico de TI.


de la Información.





TI.


Inversión TI.

• 5.3.4

Mecanismos de

control. • 5.3.5

Control sobre los

sistemas de

procesamiento

electrónico de

datos. • 5.3.6

Controles sobre

las aplicaciones

VIII Instalación y acreditación de

sistemas.

• A.10.3.2 Aceptación del sistema.

• A.12.4.1 Control Software

Operacional.

• PO10 Administrar Proyectos

• 5.3.4

Mecanismos de

control. • 5.3.5

Control sobre los

sistemas de

procesamiento

electrónico de

datos. 5.3.6

Controles sobre

55



las aplicaciones

IX Administración de cambios.

i. Identificación clara del

cambio a realizar en la

infraestructura.

• A.10.1.2 Gestión de Cambio.

• A.10.2.3 Manejar los cambios en

los servicios de terceros.


control de cambio.




inversión TI.

ii. Categorización,

priorización y procedimientos de

emergencia a llevar a cabo

durante el cambio.


Control de Cambio.

• A.12.3.1 Políticas sobre el uso de

controles criptográficos.

• A.12.3.2 Gestión Clave.



TI

• 5.2.1

Identificación de

riesgos. • 5.2.2

Objetivos de

control de

riesgos.

iii. Evaluación del impacto

que ocasiona el cambio en la

infraestructura.

• A.6.1.8 Revisión independiente de


• A.12.5.2 Revisión Técnica de las

Aplicaciones después de cambios en

el sistema operativo.


Dirección Tecnológica

• 5.2.1

Identificación de

riesgos. • 5.2.3

Condiciones

previas para la

evaluación del

riesgo. • 5.2.4

Medición y

evaluación de

riesgos.

56



iv. Procedimiento de

autorización de los cambios.

• A.10.1.2 Gestión del Cambio

• A.12.5.3 Restricciones sobre los

cambios en los paquetes software.

• A.12.4.1 Control de Software

Operacional.


prueba del sistema.

• A.12.4.3 Control de acceso al

código fuente del programa.

• A.10.1.3 Segregación de deberes


de la Información.



TI.

• 5.3.5 Control

sobre los

sistemas de

procesamiento

electrónico de

datos

v. Procedimiento de

administración de versiones. • A.10.3.2 Aceptación del Sistema

• 5.3.4

Mecanismos de

control

vi. Políticas de distribución

del software.

• 5.3.4

Mecanismos de

control. 5.3.6

Controles sobre

las aplicaciones

vii. Obtención de herramientas

automatizadas para realizar los

cambios.

• A.12.2.2 Control de

Procesamiento Interno.

• A.12.2.3 Integridad del Mensaje.

• A.12.2.4 Validación de data de

output.


control de cambio.


cambios en los paquetes de

software.


Estratégico de TI.


de la Información.





TI.


Inversión TI.

• 5.3.6 Controles

sobre las

aplicaciones

57



viii. Procedimientos para la

administración de la

configuración.

• 5.3.4

Mecanismos de

control. • 5.3.5

Control sobre los

sistemas de

procesamiento

electrónico de

datos

ix. Rediseño de los procesos

del negocio que se vean

impactados por el cambio en la

infraestructura.



TI.

X Administración de servicios con

terceros.

• A.8.1.1 Roles y

Responsabilidades.

• A.8.1.3 Términos y condiciones

de empleo.

• A.8.2.1 Gestión de

responsabilidades.


en seguridad de la información.

• A.8.3.2 Devolución de Activos.

• A.8.3.3 Eliminación de derechos

de acceso.

• A.10.2.1 Entrega del servicio.

• A.10.2.2 Monitoreo y Revisión de

los servicios de terceros.

• A.10.2.3 Manejar los cambios en

los servicios de terceros



TI.

• PO8 Administración de la

calidad.

• 5.3.4

Mecanismos de

control. • 5.3.5

Control sobre los

sistemas de

procesamiento

electrónico de

datos. 5.3.6

Controles sobre

las aplicaciones

58



XI

Administración, desempeño,

capacidad y disponibilidad de la

infraestructura tecnológica.

• 10.3.1 Gestión de la capacidad.

• 10.3.2 Aceptación del sistema.

PO1.3 Evaluación del

desempeño y la capacidad

actual.

DS3.1 Planeación del

Desempeño y la Capacidad

DS3.2 Capacidad y

Desempeño Actual

DS3.3 Capacidad y

Desempeño Futuros

DS3.4 Disponibilidad de

Recursos de TI

DS3.5 Monitoreo y Reporte

• 5.3.4.10

Indicadores de

desempeño

XII Continuidad del negocio.

• 14.1.1 Incluir la seguridad de la


gestión de continuidad del negocio

• 14.1.2 Continuidad del negocio y

evaluación del riesgo

• 14.1.3 Desarrollar e implementar

los planes de continuidad

incluyendo la seguridad de la

información

• A.5.1 Política de seguridad de la

información.

10.5 Respaldo o Back-Up

PO3.1 Planeación de la

dirección tecnológica.

DS4.1 Marco de Trabajo de

Continuidad de TI

DS4.2 Planes de Continuidad

de TI

DS4.3 Recursos Críticos de

TI

DS4.4 Mantenimiento del

Plan de Continuidad de TI

DS4.5 Pruebas del Plan de

Continuidad de TI

DS4.6 Entrenamiento del Plan

de Continuidad de TI

DS4.7 Distribución del Plan


DS4.8 Recuperación y

Reanudación de los Servicios

de TI

• 5.3.5.4 Normas

sobre

continuidad del

procesamiento

59



DS4.9 Almacenamiento de

Respaldos Fuera de las

Instalaciones

DS4.10 Revisión Post

Reanudación

XIII Seguridad de los sistemas.

i. Autorización,

autenticación y control de acceso.

• A.11.1.1 Política de control del

acceso.

• 8.3.3 Retiro de los derechos de

acceso.

• 11.5.1 Procedimientos para un

registro seguro

• 11.5.2 Identificación y

autenticación del usuario

• 11.5.3 Sistema de gestión de

claves secretas

• 11.5.4 Uso de las utilidades del

sistema

• 11.5.5Cierre de una sesión por

inactividad

• 11.5.6 Limitación del tiempo de

conexión

• 11.6.1 Restricción del acceso a la

información

• 11.6.2 Aislar el sistema

confidencial

• 11.7.1 Computación y

comunicaciones móviles

• 11.7.2 Tele-trabajo

DS5.3 Administración de

Identidad

5.3.4.4

Definición de

niveles de

autorización

60



ii. Identificación de usuarios

y perfiles de autorización los

cuales deberán ser otorgados de

acuerdo con la necesidad de tener

y necesidad de conocer.

• 11.2.1 Registro del usuario

• 11.2.2 Gestión de privilegios

• 11.2.3 Gestión de las claves

secretas de los usuarios

• 11.2.4 Revisión de los derechos de

acceso del usuario

• 11.1.1 Política de control del

acceso

PO7.3 Asignación de Roles

PO7.2 Competencias del

Personal


Cuentas del Usuario

5.3.4.6 Acceso

restringido a los

recursos, activos

y registros

iii. Manejo de incidentes,

información y seguimiento.

• 13.1.1 Reporte de eventos en la

seguridad de la información

• 13.1.2 Reporte de las debilidades

en la seguridad

• 13.2.1 Responsabilidades y

procedimientos

• 13.2.2 Aprender de los incidentes

en la seguridad de la información

• 13.2.3 Recolección de evidencia

DS5.6 Definición de

Incidente de Seguridad

DS8.3 Escalamiento de

Incidentes

DS8.4 Cierre de Incidentes

5.5.1

Supervisión

continua

iv. Prevención y detección de

código malicioso, virus, entre

otros.

• 10.4.1 Controles contra códigos

maliciosos


móviles

DS5.9 Prevención, Detección

y Corrección de Software

Malicioso

5.3.4

Mecanismos de

control. 5.3.5

Control sobre los

sistemas de

procesamiento

electrónico de

datos. 5.3.6

Controles sobre

las aplicaciones

61



v. Entrenamiento de usuarios.

• A8.2.2 Conocimiento, educación y

capacitación en seguridad de la

información.

• 11.3.1 Uso de claves secretas.

• 11.3.2 Equipo del usuario

desatendido.

• 11.3.3 Política de escritorio y

pantalla limpios.

DS7.1 Identificación de

Necesidades de

Entrenamiento y Educación

DS7.2 Impartición de


DS7.3 Evaluación del

Entrenamiento Recibido

5.3.5.4 Normas

sobre

continuidad del

procesamiento

(sub-ítem

educación)

vi. Administración

centralizada de la seguridad.

• 10.2 Gestión de la entrega del

servicio de terceros

• A.10.4. Protección contra el

código malicioso y móvil.

• A.10.5 Respaldo o Back-up.

DS5.1 Administración de la

Seguridad de TI

DS5.5 Pruebas, Vigilancia y

Monitoreo de la Seguridad

5.3.5.7 Controles

sobre la

seguridad lógica

XIV Educación y entrenamiento de

usuarios.



información

PO7.4 Entrenamiento del

Personal de TI

DS7.1 Identificación de

Necesidades de


DS7.2 Impartición de


DS7.3 Evaluación del

Entrenamiento Recibido

AI7.1 Entrenamiento

DS4.6 Entrenamiento del Plan


5.3.5.4 Normas

sobre

continuidad del

procesamiento

(sub ítem

educación)

XV Administración de los datos.

62



i. Establecer controles de

entrada, procesamiento y salida

para garantizar la autenticidad e

integridad de los datos.

• 12.2.1 Validación de la input data.

• 12.2.4 Validación de la output

data.

• 12.2.3 Integridad del mensaje.

PO2.4 Administración de

integridad.

PO10.7 Plan Integrado del

Proyecto

DS11.1 Requerimientos del

Negocio para Administración

de Datos

ii. Verificar la exactitud,

suficiencia y validez de los datos

de transacciones que sean

capturados para su procesamiento

(generados por personas, por

sistemas o entradas de interface).

• 12.2.2 Control del procesamiento

interno.

AC6 Autenticación e

Integridad de Transacciones

iii. Preservar la segregación

de funciones en el procesamiento

de datos y la verificación

rutinaria del trabajo realizado.

Los procedimientos deberán

incluir controles de actualización

adecuados, como totales de

control "corrida a corrida" y

controles de actualización de

archivos maestros.

• A.6.1.3 Asignación de las


la información

• A.10.7.4 Seguridad de la

documentación del sistema

• 10.1.3 Segregación de los deberes

PO10.11 Control de Cambios

del Proyecto

AI6 Administrar cambios.

PO4.11 Segregación de

Funciones

5.3.5.2 Controles

sobre las

operaciones del

centro de

procesamiento

de datos

iv. Establecer procedimientos

para que la validación,

autenticación y edición de los

datos sean llevadas a cabo tan

cerca del punto de origen como

sea posible.

• A11.6 Control de acceso a la

aplicación y la información

63



v. Definir e implementar

procedimientos para prevenir el

acceso a la información y

software sensitivos de

computadores, discos y otros

equipos o medios, cuando hayan

sido sustituidos o se les haya

dado otro uso. Tales

procedimientos deberán

garantizar que los datos marcados

como eliminados no puedan ser

recuperados por cualquier

individuo interno o tercero ajeno

a la entidad.

• 9.2.6 Seguridad de la eliminación

o re-uso del equipo

• 9.2.7 Retiro de propiedad

DS11.4 Eliminación

vi. Establecer los mecanismos

necesarios para garantizar la

integridad continua de los datos

almacenados.

• A.10.7.3 Procedimientos para el

manejo de información

• 12.4.2 Protección de la data del

sistema

PO2.4 Administración de

integridad.

DS11.6 Requerimientos de

Seguridad para la

Administración de Datos

DS13.1 Procedimientos e

Instrucciones de Operación

vii. Definir e implementar

procedimientos apropiados y

prácticas para transacciones

electrónicas que sean sensitivas y

críticas para la organización,

velando por su integridad y

autenticidad.

• 10.9.1 Comercio electrónico

• 10.9.2 Transacciones en-línea

• 10.9.3 Información públicamente

disponible

PO6.2 Riesgo Corporativo y

Marco de Referencia de

Control Interno de TI.

DS5.11 Intercambio de Datos

Sensitivos.

5.3.5.2 Controles

sobre las

operaciones del

centro de

procesamiento

de datos

viii. Establecer controles para

garantizar la integración y

DS9.3 Revisión de Integridad

de la Configuración

64



consistencia entre plataformas.

XVI Administración de instalaciones. DS12 Administrar el

ambiente físico

i. Acceso a las instalaciones. • 9.1.2 Controles de ingreso físico DS12.3 Acceso Físico

ii. Identificación clara del

sitio.

• 9.1.1 Perímetro de seguridad

física.

• 9.2.1 Ubicación y protección del

equipo.

DS12.1 Selección y Diseño

del Centro de Datos

iii. Controles de seguridad

física.

• 9.1.3 Asegurar las oficinas,


• 9.1.6 Áreas de acceso público,

entrega y carga.

DS12.2 Medidas de

Seguridad Física

iv. Definición de políticas de

inspección y escalamiento de

problemas.

DS13.2 Programación de

Tareas

v. Planeamiento de

continuidad del negocio y

administración de crisis.



gestión de continuidad del negocio



• 14.1.3 Desarrollar e implementar

los planes de continuidad

incluyendo la seguridad de la

información

vi. Salud y seguridad del

personal.

vii. Políticas de

mantenimiento preventivo. • 9.2.4 Mantenimiento de equipo.

DS13.5 Mantenimiento

Preventivo del Hardware

65



viii. Protección contra

amenazas ambientales.

• 9.1.4 Protección contra amenazas

externas e internas

DS12.4 Protección Contra

Factores Ambientales

ix. Monitoreo automatizado.

• 10.10.1 Registro de auditoría

• 10.10.2 Uso del sistema de

monitoreo

• 10.10.3 Protección del registro de

información

• 10.10 4 Registros del

administrador y operador

• 10.10.5 Registro de fallas

• 10.10.6 Sincronización de relojes

DS13.3 Monitoreo de la

Infraestructura de TI

XVII Administración de operaciones

de tecnología.

• A.10 Administración de las

comunicaciones y operaciones

• 10.1.2 Gestión del cambio

• 10.1.4 Separación de los medios

de desarrollo, prueba y operación


Instalaciones Físicas

XVIII Documentación.

• 12.1.1 Análisis y especificación de

los requerimientos de seguridad

• 10.1.1 Procedimientos de

operación documentados

5.3.4.3

Documentación

66

2. SOLUCIONES TECNOLÓGICAS

En la presente sección se expondrá los requerimientos que deberían cumplir aquellas herramientas

tecnológicas que puedan apoyar el proceso de cumplimiento de los objetivos de control analizados

con anterioridad, pertenecientes a la Circular 014 y al Anexo A de la norma ISO 27001. Para este

capítulo se busca ser lo más genérico posible, para evaluar de manera imparcial las necesidades que

deberán suplir las soluciones tecnológicas a elegir.

2.1. NECESIDADES TÉCNICAS GENERALES A CUMPLIR EN LA

CIRCULAR 14… SECCIÓN 7.6

2.1.1. CIFRADO Y ENMASCARAMIENTO. A nivel mundial existen una serie de requerimientos de seguridad que se aplican en diferentes

países como lo son PCI-DSS, HIPAA y la ley 201 CMR 17.00 orientados a la protección de la

información sensible. Y debido a esto es necesario contar con soluciones que permitan realizar

cifrado en los datos de las Bases de Datos con las que cuentan las organizaciones, para que de esta

forma se controle y proteja el acceso a ellos a través del sistema operativo o a través de los backups.

Dichas soluciones deben permitir cifrar datos y campos específicos y no interferir con otras

aplicaciones, así como que estas no necesiten cambios para su interoperabilidad. El proceso de

cifrado y des-cifrado debe ser transparente después de que un usuario se ha autenticado con éxito.

De esta forma se garantiza la protección de las comunicaciones desde y hacia la Base de Datos.

De manera similar, los backups generados de la base de datos, deben ser protegidos a través de

medios de cifrado al vuelo en caso de ser extraviados o robados. Para esto es necesario contar con

una infraestructura tecnológica que permita la administración de una manera centralizada de los

respaldos realizados, ya sean de la base de datos, del sistema operativo y de los NAS con los que se

cuenten. Esta infraestructura debe ser rápida y de consumo razonable de recursos de procesamiento.

Con el fin de cumplir a cabalidad con las normas de protección y privacidad de los datos, aquella

información sensible con la cual se requiera trabajar en un ambiente de pruebas, desarrollo o que

sea necesario compartirla, esta debe ser remplazada con un valores ficticios pero funcionales que

permitan trabajar de una manera simulada, como si de datos reales se tratara.

67

2.1.2. CONTROL DE ACCESO. El control de acceso además de ser implementado a nivel de aplicación debe serlo a nivel de capa de

datos, esto debido a que las “organizaciones se mueven hacia la consolidación de datos, la

tercerización y la computación en la nube” (ORACLE, 2010)77

y porque las regulaciones y leyes de

privacidad así lo requieren. Siguiendo esta visión, con una protección a nivel de datos provee una

seguridad adicional cuando existe un uso inadecuado de los privilegios o cuando estos han sido

obtenidos por individuos ajenos a la organización.

Para esto, se requiere contar con herramientas que detengan el acceso a los datos de las aplicaciones

sensibles por parte de aquellos usuarios con privilegios, es decir que incluso un DBA no pudiera

acceder a ciertos datos confidenciales. Estos bloqueos deben ser transparentes para todas las

aplicaciones que pertenezcan al dominio de ese control de acceso, ofreciendo un control de

seguridad fuerte sin realizar cambios en el código fuente de las aplicaciones.

La idea del control de acceso es presentar un limitante que permitirá establecer quién, cuando,

donde y como serán accedidos los datos y también las aplicaciones. De ser posible se desearía

contar con controles dependientes de la dirección IP, hora, fecha, etc.

2.1.3. MONITOREO Y AUDITORÍA. La dinámica y movimiento en el que las empresas se encuentran inmersas hoy en día, como

resultado de la competencia que se hace cada vez mayor, debido a los procesos de globalización

derivan en una mayor exigencia de control y calidad de las tecnologías que intervienen en los

sistemas productivos de la empresa, en consecuencia es necesario la captación, almacenamiento y

comunicación de los cambios en el entorno, que permitirán aplicar las estrategias correctivas para

cada caso.

La solución debe brindar la capacidad de analizar, seguir y administrar de manera centralizada y en

tiempo real toda la información relevante de los recursos de software y hardware de la empresa,

para así facilitar el diagnóstico y solución de problemas, la generación de reportes de auditoría y la

configuración de estos recursos, adicionalmente debe proveer alertas automáticas de fallo y

preventivas frente a eventos del sistema.

Es necesario que permita consolidar la información de auditoría de todos los activos involucrados

en los sistemas productivos de la empresa de manera que genere una visión global y unificada de

las acciones realizadas por el usuario, para lograr la emisión de un juicio objetivo, también debe

identificar debilidades y fortalezas de los diferentes entorno, realizar correlación de eventos y

análisis.

77 ORACLE. (2010). Conceptos de Seguridad.

68

2.1.4. CONTINUIDAD DEL NEGOCIO. Los sistemas de información en las empresas día a día se convierten en un elemento críticos, debido

a la necesidad de acceso a sus datos desde cualquier lugar y en cualquier momento, lo que hace que

sea indispensable que exista un servicio ininterrumpido de los mismos para el mantenimiento de las

actividades del negocio sin ningún tipo de perdida.

Esta herramienta debe proporcionar una disponibilidad interrumpida y la seguridad apropiada para

el acceso a las bases de datos, se debe tener en cuenta que incluso las soluciones más confiables

fallan ya sea por un error humano, desastre natural o una falla ocasional, por ello las herramienta

debe contar con un robusto sistema de respaldo que de manera automática este sincronizado con el

ambiente de producción y que remplace en el momento que sea necesario el ambiente principal para

que los clientes de los sistemas de información no se percaten del fallo.

Para garantizar la continuidad del negocia la herramientas debe permitir realizar pruebas parciales

y totales de las unidades tecnológicas del negocio, así como la entrada en contingencia real, lo cual

permitirá medir el grado de madures de la empresa para afrontar los diferentes siniestros que se

puedan presentar a lo largo de la vida de la misma.

2.1.5. GESTIÓN DOCUMENTAL. Contar con un buen sistema de gestión documental que permita la recepción, distribución, consulta,

organización, y recuperación de los documentos es de vital importancia para las empresas, ya que

dinamizan los procesos informativos, la toma de decisiones basadas en antecedentes, por otra parte

la regulación Colombiana exige la gestión documental como lo dicta “La Ley 594 de 2000 - Ley

General de Archivos, reguló en su Título V: Gestión de documentos, la obligación que tienen las

entidades públicas y privadas que cumplen funciones públicas, en elaborar programas de gestión de

documentos, independientemente del soporte en que produzcan la información para el

cumplimiento de su cometido estatal, o del objeto social para el que fueron creadas” (Archivo

General de la Nacion, 2010)78

La herramienta de gestión documenta debe ser capaz de soportar la estructura documental de la

empresa, un rápido acceso a la información contenida en los documentos, almacenaje, seguridad,

indexación, relación y eliminación de los mismos, adicionalmente esta debe contar con

mecanismos que faciliten su divulgación, así como la privacidad para los documentos sensibles, que

deben ser protegidos de amenazas internas y externas.

78 Archivo General de la Nacion. (29 de 10 de 2010). Programa de Gestión Documental (PGD). Recuperado

el 30 de Octubre de 2010, de Archivo General de la Nacion:

http://www.archivogeneral.gov.co/index.php?idcategoria=1232

69

Es indispensable que los documentos puedan ser actualizados directamente y remotamente por los

responsables para que la documentación vigente de la empresa esté disponible en los puntos de uso,

y debe brindar las herramientas necesarias para contingencia y continuidad del negocio.

2.2. COMPONENTES ORACLE Ya entendiendo las necesidades tecnológicas que apoyarán el cumplimiento de controles, se

muestra en este capítulo el mapeo de dichas necesidades a soluciones bajo plataforma ORACLE.

Como base de todos los componentes Oracle se debe contar con la base de datos Oracle Database

Enterprise Edition u Oracle Database Standard Edition.

2.2.1. CIFRADO Y ENMASCARAMIENTO.

Oracle Data Masking Pack.

Las Organizaciones precisan compartir datos de producción con usuarios internos y externos con

diferentes propósitos, como el de realizar pruebas a las aplicaciones, en muchos casos estos datos

contienen información sensible que queda expuesta y pude ser usado con fines maliciosos. Con

Oracle Data Masking es posible suplir esta necesidad de compartir estos datos con entidades

internas y externas pero garantizando que los datos no sean revelados, pero que de igual manera

sean válidos para las pruebas y otros usos que se le den.

Proteger los datos sensibles que son usados del ambiente de producción en otras áreas es una

necesidad para las empresas, esto gracias a las regulaciones que existen a nivel mundial, para el

caso de Colombia existe la LEY 1266 de 2008 llamada “Ley Habeas Data.”

Es una solución que sustituye los datos de producción con valores anónimos, protegiendo datos

sensibles de una exposición innecesaria en ambientes de prueba y desarrollo.

Data Masking provee una variedad de técnicas sofisticadas de enmascaramiento para cumplir con

los requerimientos de aplicación mientras asegura la privacidad de los datos. Estas técnicas

aseguran que las aplicaciones continúen operando sin errores después del enmascaramiento.

Data Masking provee adicionalmente una librería centralizada de formatos de máscaras para tipos

comunes de datos sensibles, como números de tarjetas de crédito, números telefónicos. Reglas de

privacidad de datos pueden ser aplicadas a datos sensibles en todas las bases de datos de la

organización desde un solo origen.

70

Los datos a usar pueden ser sensibles por varias razones, por ejemplo la confidencialidad (salario de

los empleados), el ambiente regulatorio (Sarbanes-Oxley) o prácticas de negocio establecidas.

Usando las capacidades de búsqueda que integra el producto Oracle Data Masking Pack los

administradores de la seguridad de la información pueden rápidamente identificar datos sensibles

en la base de datos. En algunas aplicaciones, los mismos datos sensibles son almacenados en

múltiples tablas relacionadas como por ejemplo el ID del empleado en una aplicación de Recursos

Humanos, el Data Masking Pack descubre esas relaciones y marca automáticamente todos los

elementos relacionados.

Con este producto se obtienen diversas técnicas de enmascaramiento para cumplir con los

requerimientos de la aplicación al tiempo que se asegura la privacidad de los datos. Dichas técnicas

son:

Enmascaramiento Basado en condiciones: esta técnica hace posible aplicar diferentes formatos de

enmascaramiento al mismo conjunto de datos.

Enmascaramiento Compuesto: esta técnica asegura que un conjunto de columnas relacionadas

están enmascaradas como un grupo para asegurar que estos datos retienen la misma relación, como

por ejemplo: ciudad, estado y el código postal son valores que deber se consistentes después de

realizar el enmascaramiento.

Enmascaramiento Determinístico: esta técnica asegura que existan valores enmascarados

repetidos después de aplicar el enmascaramiento. Las empresas pueden usar esta opción para

garantizar que varios valores como un ID de cliente sea enmascarado al mismo valor en todas las

bases de datos.

Oracle Advanced Security Option.

Oracle Advanced Security ofrece una solución completa y fácil de implementar para la protección

de las comunicaciones hacia y desde la base de datos.

Advanced Security ofrece cifrado para resguardar datos sensibles y cumplir con las regulaciones

existentes. Este cifrado se incorpora directamente en la base de datos. Los datos se cifran de

manera automática para todos los usuarios de la base de datos.

A nivel de backups, Advanced Security Option los protege usando cifrado Transparente de Datos.

Es posible proteger los datos sensibles ante un acceso no autorizado al sistema operativo o al

eventual robo del componente hardware. Con un “alter table” el administrador puede cifrar datos

sensibles de una tabla, como números de tarjeta de crédito, números de seguro social, etc.

Este cifrado es transparente para todas las aplicaciones y no requiere de ningún cambio en ellas. El

cifrado de datos se realiza directamente en el disco, y se descifran para un usuario que se haya

71

identificado exitosamente. Adicionalmente se cuenta con el cifrado por red como SSL, y se ofrece

soporte para el protocolo TLS. De esta forma la base de datos puede configurarse para que no

acepte conexiones cuyos clientes tengan el cifrado inactivo o permitir conexiones no cifradas.

También se encuentra soporte para servicio de autenticación como Kerberos, PKI, RADIUS.

2.2.2. CONTROL DE ACCESO.

Oracle Database Vault.

Con Database Vault se protege la información sensible para que no sea vista por el administrador de

la base de datos. Información sensible como datos relacionados con los ciudadanos, socios,

empleados y clientes. La intención de Database Vault es impedir que los DBA accedan a

aplicaciones y tareas que están fuera de sus responsabilidades. Se incluyen restricciones a las base

de datos según roles, estas restricciones son totalmente flexibles y adaptables según se requiera.

De esta forma se puede restringir el acceso del DBA y de otros usuarios privilegiados a los datos de

las aplicaciones, evitar que el DBA manipule otras aplicaciones y mejores controles sobre quién,

dónde y cuándo puede acceder a una aplicación.

Oracle Identity Management.

Identity Management permite a las empresas administrar el ciclo de vida de la identidad de los

usuarios a través de todos los recursos de la empresa dentro y más allá de los firewall. De esta

forma puede hacerse un deploy de aplicaciones rápido y posteriormente aplicar una protección

granular a los recursos.

Identity Management provee seguridad integrada y unificada además de servicios de identidad

para administrar a los usuarios, proveerles accesos seguros a los recursos. Está diseñado para

administrar usuarios de intranet y extranet. Para estos últimos permite el soporte de millones de

clientes que acceden a los recursos de la compañía usando clientes tradiciones como los

navegadores o smart phones.

Con Oracle Identity Management se cuenta con una serie de servicios categorizados de la siguiente

forma:

Administración de la identidad:

Gestión del Ciclo de Vida de la identidad

Gestión de contraseñas

Gestión de roles en el sistema

72

Administración del Acceso:

Inicio de sesión único

Autenticación fuerte

Autorización basada en Riesgos

Servicio de Directorio:

Almacenamiento de identidad

Virtualización de identidad

Integración de Directorio

Oracle Virtual Private Database (VD).

Oracle Virtual Private Database es una característica de seguridad de Oracle Database Enterprise

Edition que permite aplicar políticas de seguridad y enmascaramiento sobre tablas y vistas de las

bases de datos. Estas políticas son invocadas cuando una sentencia SQL se ejecuta sobre el objeto

asociado a la política, esto permite que sin importar como acceda el usuario a los datos la política

sea ejecutada.

Los acceso directo o indirectos s los objetos asociados con las políticas hacer que se ejecute una

función que agrega a la sentencia SQL enviada por el usuario una clausula “WHERE” que

condiciona dinámicamente el acceso a los datos. Entre los usos que se les puede dar están: Mostrar

filas o columnas de un tabal según el rol del usuario o restringir el acceso a los datos durante

determinadas horas.

2.2.3. MONITOREO Y AUDITORÍA.

Oracle Enterprise Manager y Oracle Enterprise Manager Grid

Control.

Oracle Enterprise Manager permite la administración de las plataformas de despliegue de Oracle,

Microsoft NET, Microsoft SQL Server, archivadores NetApp, BEA Weblogic y otros. Los

administradores pueden personalizar los análisis realizados con los módulos de administración y

agrupar los datos específicos de rendimiento de los sistemas

Oracle Enterprise Manager provee herramientas que permiten administrar todas las piezas que hacer

parte del sistema y del ambiente hardware. Es posible administrar comerciales, servicios para el

73

usuario final y la infraestructura grid de manera sencilla desde una sola máquina y con las

aplicaciones que están creadas de manera tal que parece una sola.

Es posible administrar los siguientes componentes:

Base de Datos

o Analizar el rendimiento de sentencias SQL

o Verificar la salud de la base de datos.

o Verificar si existen parches que son necesarios aplicar a la base de datos.

o Monitorizar bases de datos en Cluster.

Servidor de Aplicaciones Oracle

o Identificar los componentes de un servidor de aplicaciones y su estado.

o Monitorear en tiempo real el rendimiento del servidor de aplicaciones.

o Verificar si existen parches necesarios para aplicarle al servidor de aplicaciones.

Oracle Collaboration Suite

Host (Solaris, Linux, Windows)

o Analizas los procesos más importantes que más consumen CPU y memoria RAM

en el host elegido.

o Mantener un rastreo del inventario software y hardware.

o Estudiar los problemas más importantes de rendimiento del host elegido.

* Oracle Enterprise Manager Grid Control tiene la misma funcionalidad del Oracle Enterprise

Manager, la diferencia radica que en la capacidad de manejo de grillas.

Oracle Audit Vault.

Audit Vault es un motor de auditoría que busca detectar, monitorear, consolidar y generar alertas y

reportes de los datos de auditoría de todos los sistemas con los que se cuente incluso si no son

productos Oracle. Con Audit Vault se puede consolidar los registros de auditoría y llevarlos a un

formato único, asegurar todos los datos de auditoría del sistema, centralizar el manejo de políticas

de auditoría, facilita el análisis de la información de auditoría proveyendo la detección de

violaciones, facilita el cumplimiento de la normatividad y estándares internacionales.

Con Audit Vault es posible generar notificaciones de actividad sospechosa en la compañía.

Constantemente monitorea los datos de auditoría contra las condiciones de alerta. Las alertas

pueden ser asociadas con cualquier evento auditable incluyen eventos del sistema como cambios a

las tabla de una aplicación, autorización de roles y creación de usuarios con privilegios.

Audit Vaul protege datos de auditoria de SQL Server, IMB DB2 y Sybase usando seguridad fuerte.

Es posible a su vez, generar reportes que incluyen usuarios con privilegios, gestión de cuentas, roles

74

y privilegios. También los reportes pueden incluir la actividad de inicio de sesión a través de

múltiples sistemas en periodos específicos, como fines de semana.

Oracle Database Firewall.

Con Database Firewall es la primeria línea de defensa, el cual provee un monitoreo en tiempo real

de la actividad de la base de datos en la red. Con este firewall es posible bloquear transacciones no

autorizadas ayudando a prevenir ataques internos y externos, antes de que alcancen la base de datos.

Con Database Firewall es posible:

Monitorear y bloquear trafico SQL en la red, incluyendo listas blancas y negras con

políticas de excepción.

Protege amenazas de SQL Injection.

Reporta actividad en la base de saros para SOX y otras regulaciones.

Protege base de datos Oracle, Sybase, SQL Server.

Oracle Database Firewall crea un perímetro defensivo que monitorea y hace cumplir el

comportamiento normal de una aplicación, ayudando a prevenir casos de SQL injection y otras

actividades malignas que buscarían llegar a la base de datos. Analiza todas las sentencias SQL que

están siendo enviadas a la base de datos, analizando su significado y determinando la política de

seguridad adecuada para ser aplicada. Las políticas pueden llegar a configurarse basado en

atributos que incluyen categorías de SQL, hora del día, aplicación, usuario y dirección IP.

Constantemente realiza logs y alertas, bloquea y sustituye las sentencias SQL que llegan con unas

inofensivas según sea el caso. Contiene reportes listos para ser usados, alrededor de 100 para que

fácilmente sean configurados para las regulaciones como SOX, Payment Card Industry

Oracle Diagnostic Pack.

Oracle Diagnostic Pack es un motor de diagnóstico automático dentro de la base de datos. Este

producto permite analizar problemas de desempeño en la base de datos liberando de trabajo

adicional a los administradores. Entre sus características principales encontramos:

Reportes automáticos sobre rendimiento.

Almacenamiento del historial de carga presentado en el sistema para un posterior análisis

del rendimiento.

75

Uso de métricas

Notificación de eventos.

El motor de diagnóstico examina automáticamente el estado de la base de datos identificando

cuellos de botella y recomendando acciones correctivas, que serán guías paso a paso para ser

ejecutadas por los administradores. Dicho motor inicia analizando las actividades en la que la base

de datos gasta la mayor cantidad de tiempo, identificando problemas relacionados uso de

procesador, pobre gestión de la conexión, sentencias SQL intensivas y bloqueos de conexión.

Oracle Configuration Management Pack (CMP).

Oracle Configuration Management Pack permite el manejo centralizado de la configuración.

Capturando la información del Hardware y software de la empresa, lo cual facilita el diagnostico de

problemas y la automatización de procesos basados en regulaciones y estándares aplicables a la

empresa. El análisis y monitoreo permite la evaluación de las practicas establecidas y facilitar su

mejoramiento continuo.

Sus principales beneficios son:

• La rápida resolución de problemas, porque detecta, documenta, alerta y mantiene la

configuración de los sistemas. Minimiza los riesgos en los cambios de configuración al

medir el impacto de sobre los sistemas y permite el rastreo de las causas de la falla.

• Administración de configuraciones de software complejas, ya que el análisis en tiempo real

de los elementos asociados posibilita la generación de informes de procesos de cambios con

el análisis y reporte de las configuraciones que son usadas.

• Inventario centralizado, al ofrecer una visión completa y centralizada de los componentes.

• Búsqueda de configuraciones, permite la busque da de parámetros de valores de

configuración.

• Comparación de configuraciones, al brindar herramientas que permiten la realización de

esta tarea con todos los sistemas de la empresa lo cual facilita la tarea del administrador

para detectar cualquier diferencia que pueda genera una falla.

• Manejo de historiales de configuración.

• Administración de políticas basadas en estándares y regulaciones, ya que cuanta con más de

200 políticas relacionadas con la seguridad, configuración y almacenamiento que permiten

el análisis de las vulnerabilidades de seguridad críticas.

• Aplicación de actualizaciones, alertando al administrador sobre la aparición de

actualizaciones críticas del sistema y dando la facilidad del modo fuera de línea para los

sistemas sin conexión a internet.

76

2.2.4. CONTINUIDAD DEL NEGOCIO.

Oracle Real Application Clusters (RAC).

Oracle Real Application Clusters permite que varias terminales puedan ejecutar software de una

base de datos Oracle mientras se accede a una base de datos individual, esto es conocido como una

base de datos en clúster. Permitiendo que dos o más computadores accedan de forma concurrente a

una base de datos individual, permitiendo que un usuario e incluso una aplicación se conecte a

alguno de esos computadores y obtenga acceso a los mismos datos.

Con RAC, puede ejecutarse una única base de datos en varios servidores proporcionando tolerancia

a fallos y mejorando el rendimiento y la capacidad de escalabilidad. Los administradores de la base

de datos cuentan con un solo sitio de instalación y administración del RAC ya sea a través de una

interfaz gráfica o por línea de comandos. También incluye herramientas procesos de recuperación,

fallas, y bloqueos, permitiendo identificar las aplicaciones instaladas y monitorearlas, reasignarlas o

reiniciarlas.

Al distribuir la ejecución de la base de datos a través de RAC se garantiza una alta disponibilidad de

la misma, si un nodo del clúster falla, los demás nodos continuaran ofreciendo la disponibilidad de

la base de datos. De esta forma si un nodo está en mantenimiento, los usuarios pueden continuar

haciendo unos de la base de datos a través de los demás nodos del clúster.

Dentro de las ventajas de contar con RAC se encuentra la posibilidad de que cada una de las cargas

de trabajo que generan las aplicaciones se definirán como servicios, permitiendo así su

administración y control de manera individual, generando un balance de carga.

Oracle Data Guard (DG) y Oracle Active Data Guard (ADG).

Con Oracle Data Guard se asegura alta disponibilidad, protección de datos y recuperación del

desastre para los datos de las empresas. Data Guard provee un conjunto de servicios para crear,

mantener, administrar y monitorear una o más bases de datos para soportar desastres y corrupción

de datos.

Con Data Guard las bases de datos que están en standby se mantienen como copias transaccionales

consistentes de la base de datos de producción. De esta forma si la base de datos de producción

llega a no estar disponible ya sea planeado o no, Data Guard puede cambiar la base de datos de

standby a rol de producción, minimizando el tiempo de baja del servicio. Dichas bases de datos

standby pueden ubicarse a miles de kilómetros de las de producción. De esta forma Data Guard

consiste de una base de datos de producción llamada Primaria y una o más bases de datos de

StandBy. Como las transacciones ocurren en la base de datos primaria, estas son almacenadas y

transferidas a cada una de las base de datos replicas manteniendo la sincronía con la base de datos

77

principal. Esto permite realizar un cambio de la primaria a las secundarias relativamente rápido

minimizando el tiempo de caída.

Haciendo uso de Data Guard se obtienen los siguientes beneficios:

Alta Disponibilidad y Recuperación del Desastre:

o Provee una administración sencilla del cambio entre de bases de datos primaria a

secundarias minimizando el tiempo de caída, bajo condiciones previamente

planeadas o improvistas.

Protección Completa de Datos:

o Se asegura una ausencia de pérdida de datos, las bases de datos secundarias proveen

un seguro contra la corrupción de datos o errores de usuario. Corrupciones físicas

de los datos de la base de datos primaria no son propagado a las base de datos

secundarias. Esto permite que si un usuario realiza una corrupción total de la base

de datos primaria esto pueda resolverse fácilmente.

Utilización eficiente de los recursos del sistema:

o Los sitios alternos pueden ser usados para otras tareas como backups, generación de

reportes, y queries, reduciendo la carga de trabajo en la base de datos primaria.

Oracle Golden Gate.

Oracle Golden Gate fue diseñada para proveer soluciones de integración de datos en tiempo real

con una sobrecarga mínima de la infraestructura de TI, una de sus características más notables es su

capacidad de configuración, la cual le permite realizar integraciones heterogéneas entre diferentes

bases de datos, sistemas operativos y servidores de manera bidireccional.

Adicionalmente cuenta con la habilidad de mantener la integridad de las transacciones, además,

utiliza un módulo de check-pointing, para subsanar interrupciones y cortes de servicio, para

mantener la continuidad de la operación, reduciendo de esta manera las interrupciones del servicio.

Los beneficios que Golden Gate ofrece son:

Alto Desempeño: Envío de datos en segundos, ya que solo se transmiten los datos

cambiados a través del log de transacciones.

78

Confiabilidad: Integridad de transacciones con un envío y recepción de datos contante y

garantizada, reduciendo la pérdida de datos.

Heterogeneidad: Soporta gran variedad de sistemas de bases de datos permitiendo la

integridad de diferentes plataformas.

2.2.5. GESTIÓN DOCUMENTAL.

Oracle Enterprise Content Management (ECM).

Oracle Content Management provee una solución para todos los tipos de contenido que la

administración necesita. Desde un servidor de archivos hasta la administración de contenido web

Esta tecnología “ayuda a las empresas a administrar el contenido no estructurado a través de todas

las etapas del ciclo de vida del contenido aplicando funcionalidad y control” (ORACLE, 2010)79

de

acuerdo a las necesidades. Con esta suite se incluyen administración de documentos e imágenes y

procesos, “administración de contenido web, administración de activos digitales y administración

de registros todo en una sola plataforma fácil de usar” (ORACLE, 2010)80

.

Con ECM de Oracle es posible realizar:

• Captura de Documentos

• Creación de un repositorio

• Indexación

• Versionamiento

• Flujos de Trabajo

• Role de usuario y seguridad

Oracle Information Rights Management (IRM).

Oracle IRM permite implantar Políticas Corporativas de Seguridad Documental, con IRM es

posible:



79

Especificar los usuarios (destinatarios) o grupos de usuarios de un documento, sean internos

(empleados) o externos (terceros).

• Permitir o no la impresión de un documento

• Permitir o no una captura de la imagen de un documento en pantalla

• Establecer la vida de un documento (desde cuando sea vigente hasta su retirada de

circulación)

• Establecer el tiempo de uso de un documento

• por el usuario desde la primera vez que se abra

• Establecer franjas de horario para la utilización de un documento

• Permitir o no la utilización “offline” de un documento

• Especificar lo que puede hacer cada destinatario con un documento (leerlo, editarlo,

copiarlo sin cifrar, re-cifrar otro grupo de usuarios, etc.)

2.3. ALINEACIÓN DE LA CIRCULAR 014 DE 2009 DE LA SUPERINTENDENCIA

FINANCIERA Y LAS ISO27001 CON LOS PRODUCTOS ORACLE

SELECCIONADOS.

El propósito de esta sección es presentar de manera lógica y ordenada los controles tecnológicos de

la Circular 014 de la Superintendencia Financiera y los objetivos de control relacionado del Anexo

A de la norma ISO 27001, sumándole a esto se sugiere un producto Oracle que apoyará el

cumplimiento de los controles respectivos.

La tabla está organizada de la siguiente manera:

La primera columna contiene los controles tecnológicos de la Circular 014, la segunda columna

contiene los objetivos de control del Anexo A de la norma ISO 27001 que están relacionado con la

Circular 014, y la tercer y última columna presenta el producto que apoyara el cumplimiento de los

controles analizados en la fila de consulta.

80

TABLA 5: CONTROLES Y PRODUCTOS ASOCIADOS

Circular 014 2009 de la Superintendencia

Financiera ISO/IEC 27001:2005 Anexo A Soluciones Oracle

7.6.2 Normas de Control Interno para la gestión de la

Tecnología


i. Análisis de cómo soporta la tecnología

los objetivos del negocio.

• A.7.1.1 Inventario de Activos


información

• A.10.6.1 Controles de red

• A.10.6.2 Seguridad de servicios de red


removibles.

• A.10.7.4 Seguridad de Documentación

del Sistema

• A.10.8.3 Medio Físicos en Tránsito





Públicamente


para conexiones externas

• A.11.4.6 Control conexión de redes.

• A.11.4.7 Control de Routing de redes.

ii. Evaluación de la tecnología actual. • A.7.1.1 Inventario de Activos.

• Oracle Enterprise Manager

(EM).

• Oracle Diagnostic Pack (DP).

81



iii. Estudios de mercado y factibilidad de

alternativas tecnológicas que respondan a las


• A.6.1.6 Contacto con autoridades

• A.6.1.7 Contacto con grupos de interés

especial


información en el proceso de gestión de

continuidad comercial.

• A.14.1.3 Desarrollar e implementar

planes de continuidad incluyendo


iv. Planes operacionales estableciendo metas

claras y concretas.





• A.6.1.2 Coordinación de la seguridad

de la información.


responsabilidades de la seguridad de la

información.

• A.6.1.8 Revisión independiente de la


• A.7.2.2 Etiquetado y manejo de la

información.

• A8.1.1 Roles y Responsabilidades.

• A.10.3.1 Gestión de Capacidad.


procedimientos.




82





• A.9.1.1 Perímetro de Seguridad Física.

• A.9.1.2 Controles de entrada físicos.



• A.9.1.4 Protección contra amenazas

externas y ambientales.



equipo.




(EM).

• Oracle Audit Vault (AV).

III

Cumplimiento de requerimientos legales para

derechos de autor, privacidad y comercio

electrónico.

• A.15.1.1 Identificación de legislación

aplicable.

• A.15.1.2 Derechos de propiedad

intelectual.

• A.15.1.3 Protección de los registros

organizacionales.

• A.15.1.4 Protección de data y

privacidad de información personal.


criptográficos.

• Oracle Enterprise Content

Management (ECM).

• Oracle Information Rights

Management (IRM).

83



IV Administración de proyectos de sistemas.

• A.10.3 Planeación y Aceptación del

Sistema.

• A.10.6 Gestión de seguridad de redes.

• A.10.7 Gestión de medios.

• A.11.2 Gestión del acceso del usuario.

• A.12.6 Gestión de vulnerabilidad

técnica.

• A.13 Gestión de incidentes en la


• A.14 Gestión de la continuidad

comercial.

V Administración de la calidad,

i. Programas para establecer una cultura de

calidad de la tecnología en toda la entidad.





• A.6.1.1 Compromiso de la Gerencia

con la seguridad de la información.

• A.6.1.2 Coordinación de la seguridad

de la información.



información.

• A.8.2.2 Capacitación y educación en


• A.10.1.1 Procedimientos de operación

documentados.

• A.15.2.1 Cumplimiento con las

políticas y estándares de seguridad.


Management (ECM)


Management (IRM)

84



ii. Planes concretos de calidad de la

tecnología.










planeación de la continuidad comercial.

• A.14.1.5 Prueba, mantenimiento y re-

evaluación de planes de continuidad

comerciales.

• Oracle Real Application

Clusters (RAC)

• Oracle Data Guard (DG)

• Oracle Golden Gate (GG)

iii. Responsables por el aseguramiento de la

calidad.

• A.8.1.1 Roles y Responsabilidades.


Procedimientos.

• Oracle Database Vault (DV).

• Oracle Identity Management

(IDM).

iv. Prácticas de control de calidad.













comerciales.


Management (ECM)


(EM).

85




documentados.

• A.15.3.1 Controles de auditoría de

sistemas de información.

• A.15.2.2 Chequeo de cumplimiento

técnico.

v. Metodología para el ciclo de vida de

desarrollo de sistemas.

vi. Metodología de prueba y documentación

de programas y sistemas.



prueba del sistema.










comerciales.

• Oracle Data Masking Pack

(DMP).

• Oracle Advanced Security

(AS).


Management (ECM) ,

86



vii. Diseño de informes de aseguramiento de

la calidad.




documentados.


• A.13.2.2 Aprendizaje de los incidentes

de la seguridad de la información.

• A.13.2.3 Recolección de Evidencia.


Management (ECM)


Grid Control (EMGC)

viii. Capacitación de usuarios finales y del

personal de aseguramiento de la calidad.

• A.8.2.1 Gestión de Responsabilidades.



ix. Desarrollo de una base de conocimiento

de aseguramiento de la calidad.


Management (ECM)

VI Adquisición de tecnología.

• A.7.1.1 Inventario de Activos.





• A.9.1.4 Protección contra amenazas

externas y ambientales.



equipo.



• A.9.2.5 Seguridad del equipo fuera del

local.

87



• A.9.2.6 Eliminación seguro o re-uso

del equipo.


información.

• A.10.6.1 Controles de red.


red.


removibles.

• A.10.7.4 Seguridad de Documentación

del Sistema.

• A.10.8.3 Medio Físicos en Tránsito.





Públicamente.


para conexiones externas.

• A.11.4.6 Control conexión de redes.

• A.11.4.7 Control de Routing de redes.

VII Adquisición y mantenimiento de software de

aplicación.

• A.12 Adquisición, desarrollo y

mantenimiento de los sistemas de

información.

VIII Instalación y acreditación de sistemas.

• A.10.3.2 Aceptación del sistema.

• A.12.4.1 Control Software

Operacional.


Grid Control (EMGC)



88



i. Identificación clara del cambio a realizar

en la infraestructura.


• A.10.2.3 Manejar los cambios en los

servicios de terceros.

• A.12.5.1 Procedimientos de control de

cambio.


Grid Control (EMGC)


• Oracle Configuration

Management Pack (CMP).

ii. Categorización, priorización y

procedimientos de emergencia a llevar a cabo

durante el cambio.

• A.12.5.1 Procedimientos de Control

de Cambio.





Grid Control (EMGC)




iii. Evaluación del impacto que ocasiona el

cambio en la infraestructura.




Aplicaciones después de cambios en el

sistema operativo.



iv. Procedimiento de autorización de los

cambios.



cambios en los paquetes software.

• A.12.4.1 Control de Software

Operacional.


prueba del sistema.

• A.12.4.3 Control de acceso al código

fuente del programa.



(DMP).


(AS).


(IDM).

v. Procedimiento de administración de

versiones. • A.10.3.2 Aceptación del Sistema


Management (ECM)

vi. Políticas de distribución del software.

89




automatizadas para realizar los cambios.

• A.12.2.2 Control de Procesamiento

Interno.


• A.12.2.4 Validación de data de output.


cambio.


cambios en los paquetes de software.


Management (ECM)


(AS).

viii. Procedimientos para la administración de

la configuración.





Grid Control (EMGC)

ix. Rediseño de los procesos del negocio que

se vean impactados por el cambio en la

infraestructura.

X Administración de servicios con terceros.


• A.8.1.3 Términos y condiciones de

empleo.

• A.8.2.1 Gestión de responsabilidades.




• A.8.3.3 Eliminación de derechos de

acceso.


• A.10.2.2 Monitoreo y Revisión de los




(IDM).

90



servicios de terceros

XI Administración, desempeño, capacidad y

disponibilidad de la infraestructura tecnológica.




(EM).





continuidad del negocio



• 14.1.3 Desarrollar e implementar los

planes de continuidad incluyendo la



información.



Clusters (RAC).


• Oracle Active Data Guard

(ADG)



91



i. Autorización, autenticación y control de

acceso.

• A.11.1.1 Política de control del

acceso.

• 8.3.3 Retiro de los derechos de acceso.

• 11.5.1 Procedimientos para un registro

seguro

• 11.5.2 Identificación y autenticación

del usuario

• 11.5.3 Sistema de gestión de claves

secretas

• 11.5.4 Uso de las utilidades del

sistema

• 11.5.5Cierre de una sesión por

inactividad

• 11.5.6 Limitación del tiempo de

conexión


información

• 11.6.2 Aislar el sistema confidencial

• 11.7.1 Computación y

comunicaciones móviles



(IDM).

ii. Identificación de usuarios y perfiles de

autorización los cuales deberán ser otorgados de

acuerdo con la necesidad de tener y necesidad

de conocer.



• 11.2.3 Gestión de las claves secretas

de los usuarios

• 11.2.4 Revisión de los derechos de

acceso del usuario

• 11.1.1 Política de control del acceso


(IDM).

92



iii. Manejo de incidentes, información y

seguimiento.

• 13.1.1 Reporte de eventos en la


• 13.1.2 Reporte de las debilidades en la

seguridad

• 13.2.1 Responsabilidades y

procedimientos

• 13.2.2 Aprender de los incidentes en la





(EM).

iv. Prevención y detección de código

malicioso, virus, entre otros.


maliciosos


móviles

• Oracle Database Firewall

(DF)




información.

• 11.3.1 Uso de claves secretas.

• 11.3.2 Equipo del usuario desatendido.

• 11.3.3 Política de escritorio y pantalla

limpios.

vi. Administración centralizada de la

seguridad.

• 10.2 Gestión de la entrega del servicio

de terceros

• A.10.4. Protección contra el código

malicioso y móvil.



XIV Educación y entrenamiento de usuarios.



información

93




i. Establecer controles de entrada,

procesamiento y salida para garantizar la

autenticidad e integridad de los datos.


• 12.2.4 Validación de la output data.



(DF).


(AS).

ii. Verificar la exactitud, suficiencia y

validez de los datos de transacciones que sean

capturados para su procesamiento (generados

por personas, por sistemas o entradas de

interface).

• 12.2.2 Control del procesamiento

interno.


(DF).


(AS).

iii. Preservar la segregación de funciones en

el procesamiento de datos y la verificación

rutinaria del trabajo realizado. Los

procedimientos deberán incluir controles de

actualización adecuados, como totales de

control "corrida a corrida" y controles de

actualización de archivos maestros.

• A.6.1.3 Asignación de las


información

• A.10.7.4 Seguridad de la

documentación del sistema




iv. Establecer procedimientos para que la

validación, autenticación y edición de los datos

sean llevadas a cabo tan cerca del punto de

origen como sea posible.

• A11.6 Control de acceso a la

aplicación y la información



(IDM).

94



v. Definir e implementar procedimientos

para prevenir el acceso a la información y

software sensitivos de computadores, discos y

otros equipos o medios, cuando hayan sido

sustituidos o se les haya dado otro uso. Tales

procedimientos deberán garantizar que los datos

marcados como eliminados no puedan ser

recuperados por cualquier individuo interno o

tercero ajeno a la entidad.

• 9.2.6 Seguridad de la eliminación o re-

uso del equipo


• Oracle Virtual Private

Database (VD).


Management (IRM)

vi. Establecer los mecanismos necesarios

para garantizar la integridad continua de los

datos almacenados.

• A.10.7.3 Procedimientos para el

manejo de información

• 12.4.2 Protección de la data del

sistema


Clusters (RAC).



(ADG)


vii. Definir e implementar procedimientos

apropiados y prácticas para transacciones

electrónicas que sean sensitivas y críticas para la

organización, velando por su integridad y

autenticidad.



• 10.9.3 Información públicamente

disponible


(DF).


(DMP).




(IDM).


(AS).


Database (VD).

95



viii. Establecer controles para garantizar la

integración y consistencia entre plataformas. • Oracle Golden Gate (GG)

XVI Administración de instalaciones.

i. Acceso a las instalaciones. • 9.1.2 Controles de ingreso físico • Oracle Identity Management

(IDM).

ii. Identificación clara del sitio.

• 9.1.1 Perímetro de seguridad física.

• 9.2.1 Ubicación y protección del

equipo.

iii. Controles de seguridad física.

• 9.1.3 Asegurar las oficinas,


• 9.1.6 Áreas de acceso público, entrega

y carga.


(IDM).

iv. Definición de políticas de inspección y

escalamiento de problemas.


Grid Control (EMGC)





v. Planeamiento de continuidad del negocio

y administración de crisis.



continuidad del negocio



• 14.1.3 Desarrollar e implementar los

planes de continuidad incluyendo la



Clusters (RAC)



(ADG)


vi. Salud y seguridad del personal.

96



vii. Políticas de mantenimiento preventivo. • 9.2.4 Mantenimiento de equipo.


(DF).




viii. Protección contra amenazas ambientales. • 9.1.4 Protección contra amenazas

externas e internas


Clusters (RAC)


• Oracle Data Guard (DG) y

Oracle Active Data Guard

(ADG)



• 10.10.2 Uso del sistema de monitoreo


información

• 10.10 4 Registros del administrador y

operador




(EM).



(IDM).

97



XVII Administración de operaciones de tecnología.




• 10.1.4 Separación de los medios de

desarrollo, prueba y operación


(EM).


Management (ECM)


(DMP).



(IDM).


(EM).



(DF).



Clusters (RAC)

• Oracle Data Guard (DG) y

Oracle Active Data Guard

(ADG)



Management (IRM)


Grid Control (EMGC)




(AS).

98




Database (VD).


• 12.1.1 Análisis y especificación de los

requerimientos de seguridad

• 10.1.1 Procedimientos de operación

documentados


Management (ECM)


Management (IRM).

99

3. ARQUITECTURAS PROPUESTAS

Esta sección presenta una descripción de varias arquitecturas genéricas para medianas y grandes

empresas con el objetivo de transmitir una visión global de un conjunto de ambientes y soluciones

de software de la manera más estructurada posible que buscan acercar a las empresas al

cumplimiento de los requerimientos tecnológicos de la Circular 014 de 2009 de la Superintendencia

Financiera de Colombia y los objetivos de control del Anexo A de la norma ISO27001.

Con las arquitecturas propuestas las empresas lograrán automatizar muchos de los procesos que en

el mejor de los casos se hace manualmente, como copias de seguridad y conservación de la

información, procesos que son vitales para la continuidad del negocio.

Al establecer diferentes niveles de seguridad como la protección de acceso, cifrado de datos, gestión

de identidad y gestión documental, se mitigarán los riesgos de un fallo total del sistema.

“Para ampliar el alcance de las arquitecturas se decidió diseñarlas y agruparlas de acuerdo al

tamaño de las empresas objetivo, es decir para medias y grandes empresas. Partiendo de que “las

medianas empresas tienen la misma necesidad de proteger sus datos tanto como las grandes; la

única diferencia es que cuentan con menos recursos para hacerlo”, afirma Mike Karp, analista jefe

de Ptak, Noel & Associates. En cualquier empresa, si los datos están comprometidos o son

inaccesibles por alguna razón, su actividad se detendrá en poco tiempo. “El interrogante es cuánto

tiempo puede funcionar sin tener acceso a los datos” y de esto dependerá el tipo de arquitectura a

elegir.” (Alan, 2010)81

De manera adicional, se cuentan con algunos consolidados orientados a ofrecer una mayor

información respecto al alcance de cada una de las arquitecturas. Es por esto que se incluye:

Tabla de apoyo al cumplimiento: Muestra cada uno de los controles de la Circular 014 y

del Anexo A de la ISO27001 que la arquitectura propuesta apoyará para el proceso de su

cumplimiento (los controles).

Cifras de apoyo al cumplimiento: Por cada arquitectura se presentan dos tipos de gráficos

que muestran en términos porcentuales la capacidad con la que cuenta la arquitectura en el

proceso de apoyo del cumplimento de los controles tecnológicos de la Circular 014 y del

Anexo A de la norma ISO27001.

81 Alan, R. (2010). Guía paso a paso: protección de datos. Recuperado el 20 de 11 de 2010, de

http://i.dell.com/sites/content/business/smb/sb360/es/Documents/0910-mx-catalyst-4.pdf

100

3.1. 3.1 ARQUITECTURAS PARA MEDIANA EMPRESA

La adopción de tecnologías por parte de la pequeñas y medianas empresas para lograr el

cumplimiento de la leyes Colombianas esta dictaminada por muchos factores, entre ellos está la

viabilidad económica, que en algunos casos por buscar un ahorro puede llevar a la adopción de

tecnologías riesgosas (no probadas o con muy poco tiempo en el mercado) o poco efectiva o

eficiente que implican una mayor probabilidad de fallo.

Teniendo en cuenta esto las arquitecturas propuestas para la mediana empresa cuenta con

soluciones inteligentes y asequibles de Oracle, que poseen la misma funcionalidad, rendimiento y

seguridad de sistemas de mayor magnitud, cuenta con tecnologías innovadoras, las mejores

prácticas de la industria y la suficiente madurez y confiabilidad en el mercado, adicionalmente

estudios realizados mundialmente como vemos en la siguiente tabla indican que Oracle es el líder

mundial desde el 2006 en RDBMS con una cuota del mercado en el 2009 de 48%, lo cual nos

indica que un enorme porcentaje del as empresa que aplicaran la circular 014 contaran con las Bases

de datos ORACLE, las cuales son la base de las arquitecturas propuestas.

TABLA 6: REPORTE DE CUOTA DEL MERCADO DE RDBMS A NIVEL MUNDIAL

Año Cuota del Mercado

2006 47.1%

2007 48.6%

2008 48.9%

2009* 48.0%

Tomado de Busika.com (ThanosTP, 2009)

*Tomado de (Oracle, 2010)82

82 Oracle. (2010). Oracle is #1 in the RDBMS market for 2009. Recuperado el 20 de 11 de 2010, de Oracle:

http://www.oracle.com/us/products/database/number-one-database-069037.html

101

3.1.1. ARQUITECTURA ORIENTADA A LA CONTINUIDAD DEL

NEGOCIO

La arquitectura de continuidad de negocio está dirigida a pequeñas y medianas empresas que

cuentas o planean adquirir las versiones más básicas de aplicaciones Oracle, partiendo de las base

de datos Standard Edition. Con esta arquitectura se busca mantener la funcionalidad de la

organización en un nivel mínimo considerable, contando con medidas preventivas y de

recuperación ante los posibles riesgos a los que la compañía este expuesta.

De esta forma se incluye Real Application Cluster (RAC) para ejecutarse una única base de datos en

varios servidores proporcionando tolerancia a fallos y mejorando el rendimiento y la capacidad de

escalabilidad. Se incluye Golden Gate para realizar integraciones heterogéneas entre diferentes

bases de datos, ya sean SQL Server, Informix, FileSystem y sistemas operativos y servidores. Y

adicionalmente se propone el uso de herramientas de gestión documental como Oracle Enterprise

Content Management (ECM) y Oracle Information Rights Management (IRM) para la

administración de documentos e imágenes y procesos y también para el establecimiento de

permisos de acceso, lectura, impresión, etc., respectivamente. Obteniéndose alta disponibilidad,

replicación con sitio alterno.

Tabla de Apoyo al Cumplimiento

La aplicación de la arquitectura base para la continuidad de negocio apoya al cumplimiento del

siguiente listado de controles de la circular 014 de 2009 y de la ISO 27001:2005.

TABLA 7: CONTROLES APOYADOS CON LA ARQUITECTURA BÁSICA DE CONTINUIDAD


Superintendencia Financiera ISO/IEC 27001:2005 Anexo A

7.6.2 Normas de Control Interno para la gestión

de la Tecnología

102



III

Cumplimiento de requerimientos legales

para derechos de autor, privacidad y

comercio electrónico.


aplicable.

• A.15.1.2 Derechos de propiedad intelectual.


organizacionales.

• A.15.1.4 Protección de data y privacidad de

información personal.


criptográficos.


i. Programas para establecer una

cultura de calidad de la tecnología en toda

la entidad.

• A.5.1.1 Documentar Política de seguridad

de la información.

• A.5.1.2 Revisión de la política de seguridad

de la información.

• A.6.1.1 Compromiso de la Gerencia con la


• A.6.1.2 Coordinación de la seguridad de la

información.

• A.6.1.3 Asignación de responsabilidades de





documentados.

• A.15.2.1 Cumplimiento con las políticas y

estándares de seguridad.


tecnología.

• A.14.1.1 Incluir seguridad de la información

en el proceso de gestión de continuidad

comercial.



• A.14.1.3 Desarrollar e implementar planes

de continuidad incluyendo seguridad de la

información.





comerciales.

103






comercial.





información.





comerciales.


documentados.

• A.15.3.1 Controles de auditoría de sistemas

de información.

• A.15.2.2 Chequeo de cumplimiento técnico.

vii. Diseño de informes de


• A.5.1.1 Documentar Política de seguridad

de la información.


documentados.


• A.13.2.2 Aprendizaje de los incidentes de la



ix. Desarrollo de una base de

conocimiento de aseguramiento de la

calidad.




104





• A.12.2.2 Control de Procesamiento Interno.




cambio.

• A.12.5.3 Restricciones sobre los cambios

en los paquetes de software.


• 14.1.1 Incluir la seguridad de la información

en el proceso de gestión de continuidad del

negocio



• 14.1.3 Desarrollar e implementar los planes

de continuidad incluyendo la seguridad de la

información


información.




necesarios para garantizar la integridad

continua de los datos almacenados.

• A.10.7.3 Procedimientos para el manejo de

información

• 12.4.2 Protección de la data del sistema


garantizar la integración y consistencia

entre plataformas.


v. Planeamiento de continuidad del

negocio y administración de crisis.



negocio





información

viii. Protección contra amenazas

ambientales.

• 9.1.4 Protección contra amenazas externas e

internas

105







documentados

Teniendo en cuenta la anterior tabla podemos extrapolar las siguientes cifras, de las cuales

obtenemos a nivel porcentual los controles que la arquitectura básica orientada a la continuidad del

negocio apoyará a cumplir (los controles). Divididas en el porcentaje de apoyo al cumplimiento de

los controles tecnológicos de la Circular 014 y los objetivos de control de la norma ISO27001.

Junto con el porcentaje de aquellos controles que la arquitectura actual por su diseño no apoyará su

cumplimiento.

ILUSTRACIÓN 21: CIRCULAR 14 ARQUITECTURA BASE CONTROLES APOYADOS VERSUS NO APOYADOS

106

ILUSTRACIÓN 22: ISO 27001 ARQUITECTURA BASE CONTROLES APOYADOS VERSUS NO APOYADOS

Lista de productos asociados a la arquitectura

• Oracle Database Enterprise Edition

• Oracle Enterprise Content Management (ECM)


• Oracle Information Rights Management (IRM).

• Oracle Real Application Clusters (RAC)

107

Ilustración de la arquitectura ILUSTRACIÓN 23: ARQUITECTURA BASE CONTINUIDAD DEL NEGOCIO

108

3.1.2. ARQUITECTURA ORIENTADA A LA SEGURIDAD Con la arquitectura orientada a seguridad se busca enfrentar y reducir riesgos provenientes de

agentes internos y externos, ya sean fallos en el paso de información a través de la red, pérdida o

robo de datos, robo o pérdida de infraestructura tecnológica. Pero con la arquitectura orientada a

seguridad no solo se busca apoyar este procedo sino también agilizar su ejecución y manejo.

En esta arquitectura se continúa partiendo de la base de datos Oracle Standard Edition, la cual

incluye internamente opciones de seguridad que pueden habilitarse, entre ellos un paquete de

cifrado de datos y de auditoría. Aquí se incluye protección perimetral a través de DataBase Firewall

y Audit Vault para monitorear la información que cruza por la red y monitorear bases de datos

Oracle y de otros fabricantes y logs de bases de datos respectivamente, bloqueando sentencias SQL

e incluso reemplazándolas. El monitoreo llegar incluso a ser directamente sobre los servidores.

Agregándole Oracle Identity Management para la gestión adecuada de identidad.


La aplicación de la arquitectura base para la continuidad de negocio apoya el cumplimiento del


TABLA 8: CONTROLES APOYADOS CON LA ARQUITECTURA BÁSICA DE SEGURIDAD




de la Tecnología

109







• A.9.1.3 Seguridad de oficinas, habitaciones y

medios.

• A.9.1.4 Protección contra amenazas externas

y ambientales.


• A.9.2.1 Ubicación y protección del equipo.




iii. Responsables por el aseguramiento

de la calidad.



Procedimientos.


documentación de programas y sistemas.


• A.12.4.2 Protección de la data de prueba del

sistema.





información.





comerciales.

VIII Instalación y acreditación de sistemas. • A.10.3.2 Aceptación del sistema.

• A.12.4.1 Control Software Operacional.


110



iv. Procedimiento de autorización de

los cambios.


• A.12.5.3 Restricciones sobre los cambios en

los paquetes software.

• A.12.4.1 Control de Software Operacional.


sistema.

• A.12.4.3 Control de acceso al código fuente

del programa.




• A.8.1.3 Términos y condiciones de empleo.





• A.8.3.3 Eliminación de derechos de acceso.






XI

Administración, desempeño, capacidad y

disponibilidad de la infraestructura

tecnológica.




111



i. Autorización, autenticación y

control de acceso.

• A.11.1.1 Política de control del acceso.



seguro

• 11.5.2 Identificación y autenticación del

usuario

• 11.5.3 Sistema de gestión de claves secretas

• 11.5.4 Uso de las utilidades del sistema

• 11.5.5Cierre de una sesión por inactividad

• 11.5.6 Limitación del tiempo de conexión


información


• 11.7.1 Computación y comunicaciones

móviles


ii. Identificación de usuarios y perfiles

de autorización los cuales deberán ser

otorgados de acuerdo con la necesidad de

tener y necesidad de conocer.



• 11.2.3 Gestión de las claves secretas de los

usuarios

• 11.2.4 Revisión de los derechos de acceso

del usuario


iii. Manejo de incidentes, información

y seguimiento.

• 13.1.1 Reporte de eventos en la seguridad de

la información


seguridad

• 13.2.1 Responsabilidades y procedimientos






• 10.4.1 Controles contra códigos maliciosos

• 10.4.2 Controles contra códigos móviles

112




seguridad.

• 10.2 Gestión de la entrega del servicio de

terceros


malicioso y móvil.









iii. Preservar la segregación de

funciones en el procesamiento de datos y la

verificación rutinaria del trabajo realizado.

Los procedimientos deberán incluir

controles de actualización adecuados,

como totales de control "corrida a corrida"

y controles de actualización de archivos

maestros.

• A.6.1.3 Asignación de las responsabilidades

de la seguridad de la información

• A.10.7.4 Seguridad de la documentación del

sistema


iv. Establecer procedimientos para que

la validación, autenticación y edición de

los datos sean llevadas a cabo tan cerca del

punto de origen como sea posible.

• A11.6 Control de acceso a la aplicación y la

información


procedimientos para prevenir el acceso a la

información y software sensitivos de

computadores, discos y otros equipos o

medios, cuando hayan sido sustituidos o se

les haya dado otro uso. Tales

procedimientos deberán garantizar que los

datos marcados como eliminados no

puedan ser recuperados por cualquier

individuo interno o tercero ajeno a la

entidad.

• 9.2.6 Seguridad de la eliminación o re-uso

del equipo



procedimientos apropiados y prácticas para

transacciones electrónicas que sean

sensitivas y críticas para la organización,



• 10.9.3 Información públicamente disponible

113



velando por su integridad y autenticidad.


i. Acceso a las instalaciones. • 9.1.2 Controles de ingreso físico


• 9.1.3 Asegurar las oficinas, habitaciones y

medios.

• 9.1.6 Áreas de acceso público, entrega y

carga.

vii. Políticas de mantenimiento

preventivo. • 9.2.4 Mantenimiento de equipo.





información


operador




obtenemos a nivel porcentual los controles que la arquitectura básica orientada a la seguridad

apoyará a cumplir (los controles). Divididas en el porcentaje de apoyo al cumplimiento de los

controles tecnológicos de la Circular 014 y los objetivos de control de la norma ISO27001. Junto

con el porcentaje de aquellos controles que la arquitectura actual por su diseño no apoyará su

cumplimiento.

114

ILUSTRACIÓN 24: CIRCULAR 14 ARQUITECTURA BASE CONTROLES APOYADOS VERSUS NO APOYADOS

ILUSTRACIÓN 25:ISO 27001 ARQUITECTURA BASE CONTROLES APOYADOS VERSUS NO APOYADOS

115


Los productos de la siguiente lista son los asociados a la arquitectura, los que se encuentran

subrayados son adicionales a la arquitectura anterior.



• Oracle Database Firewall (DF).



• Oracle Identity Management (IDM).

• Oracle Information Rights Management (IRM)


116

Ilustración de la arquitectura ILUSTRACIÓN 26: ARQUITECTURA BASE SEGURIDAD

Arquitectura Base: SeguridadAcceso

Documentación

Ambiente de Producción

Oracle RAC

Oracle Audit Vault

Ambiente de contingencia Ambiente de Pruebas

Clientes

Estación de trabajo

de la empresa

Clientes de la empresa

Servidor externo

ClientesAmbiente de Desarrollo

Desarrollador

Tester

Servidor Servidor ServidorServidor

Oracle Database Standard Edition

Oracle DatabaseStandard Edition

Servidor

Oracle Database Standard Edition

Servidor

Oracle Database Standard Edition Servidor

Oracle Enterprise Content Management

Oracle Information Rights ManagementGestión Documental

Activación automática del

ambiente de contingencia

Mayor acceso simultaneo a una

Base de Datos

Oracle Database Firewall

Oracle Database Firewall

Actualizaciones sin tiempo fuera

de linea

Oracle Golden Gate

Sincronización

BD de IBM, Microsoft, Teradata, SyBase y otras

File System

Oracle Identity Management

117

3.1.3. ARQUITECTURA ORIENTADA A LA ADMINISTRACIÓN Y

MONITOREO Esta arquitectura completa incluye la integración de continuidad de negocio y seguridad, sin

embargo se busca darle un mayor alcance, permitiendo realizar tareas de administración y

monitoreo de los recursos TI con los que cuenta las compañías, de esta forma se incluye el

complemento de Oracle Enterprise Manager Grid Control el cual permitirá monitorear y

administrar el ciclo de vida de la infraestructura TI de Oracle como por ejemplo las bases de datos y

servidores de aplicaciones con que se cuenten.




TABLA 9: CONTROLES APOYADOS CON LA ARQUITECTURA BÁSICA DE CONTINUIDAD




de la Tecnología


i. Identificación clara del cambio a

realizar en la infraestructura.





cambio.


procedimientos de emergencia a llevar a

cabo durante el cambio.

• A.12.5.1 Procedimientos de Control de

Cambio.

• A.12.3.1 Políticas sobre el uso de controles

criptográficos.


118



iii. Evaluación del impacto que

ocasiona el cambio en la infraestructura.





sistema operativo.

viii. Procedimientos para la

administración de la configuración.

XVII Administración de operaciones de

tecnología.

• A.10 Administración de las comunicaciones

y operaciones





obtenemos a nivel porcentual los controles que la arquitectura básica orientada a la administración

y monitoreo apoyará a cumplir (los controles). Divididas en el porcentaje de apoyo al cumplimiento

de los controles tecnológicos de la Circular 014 y los objetivos de control de la norma ISO27001.

Junto con el porcentaje de aquellos controles que la arquitectura actual por su diseño no apoyará su

cumplimiento.

119

ILUSTRACIÓN 27: CIRCULAR 14 ARQUITECTURA BASE: CONTROLES APOYADOS VERSUS NO APOYADOS

ILUSTRACIÓN 28: ISO 27001 ARQUITECTURA BASE: CONTROLES APOYADOS VERSUS NO APOYADOS

120






• Oracle Configuration Management Pack (CMP).

• Oracle Enterprise Manager (EM).







121

Ilustración de la arquitectura ILUSTRACIÓN 29: ARQUITECTURA BASE: ADMINISTRACIÓN Y MONITOREO

122

3.2. ARQUITECTURAS PARA GRANDES EMPRESAS

Las arquitecturas para grandes empresas están pensadas para organizaciones que requieren un nivel

de protección y seguridad mayor, una arquitectura más robusta de continuidad del negocio y

menores tiempos de caída del sistema. Dichas arquitecturas al ser más completas y avanzadas

cuentan con las soluciones Oracle más complejas y efectivas a nivel empresarial contemplando

escalabilidad, seguridad, confiabilidad y ofreciendo diversas características para gestionar los

ambientes más demandantes.

3.2.1. ARQUITECTURA AVANZADA ORIENTADA A LA

CONTINUIDAD Con la arquitectura avanzada de continuidad de negocio, se busca garantizar un mayor tiempo de

funcionamiento de la infraestructura contemplando las posibles contingencias, reduciendo tiempos

de caída del sistema.

A diferencia de la básica, se parte a través de la base de datos Oracle Enterprise Edition. Con esta

versión de base de datos la integración con otros productos de Oracle tendrá mayores opciones y

complementos que harán a la arquitectura más compleja y variada. Se integra nuevamente con

Oracle RAC para proveer de alta disponibilidad con la diferencia de que ahora esta versión

soportará un número ilimitado de máquinas con distribución de ambientes, dando una mayor

flexibilidad.

La replicación se realizará con Data Guard de esta forma se asegura alta disponibilidad y protección

de datos y ofreciendo servicios para crear, mantener, administrar y monitorear bases de datos.

Directamente sobre el sitio alterno se establecerá Active Data Guard, permitiendo que las bases de

datos replicadas seas copias de la de producción, permitiendo esto en caso de falla, usar una de las

réplicas de forma automática, minimizando el tiempo de baja del servicio. Lo anterior permitirá que

desde los sitios alternos puedan realizarse backups, se ejecuten reportes y se hagan pruebas de

carga.

También se incluye un sitio alterno basado en otros productos como SQL Server, Informix,

FileSystem pero administrado y monitoreado a través de Oracle Golden Gate.




123

TABLA 10: CONTROLES APOYADOS CON LA ARQUITECTURA AVANZADA DE CONTINUIDAD




de la Tecnología

III

Cumplimiento de requerimientos legales

para derechos de autor, privacidad y

comercio electrónico.


aplicable.

• A.15.1.2 Derechos de propiedad intelectual.


organizacionales.

• A.15.1.4 Protección de data y privacidad de

información personal.


criptográficos.



tecnología.



comercial.





información.





comerciales.

124






comercial.





información.





comerciales.


documentados.

• A.15.3.1 Controles de auditoría de sistemas

de información.

• A.15.2.2 Chequeo de cumplimiento técnico.







negocio





información


información.





necesarios para garantizar la integridad

continua de los datos almacenados.

• A.10.7.3 Procedimientos para el manejo de

información

• 12.4.2 Protección de la data del sistema

125




garantizar la integración y consistencia

entre plataformas.


v. Planeamiento de continuidad del

negocio y administración de crisis.



negocio





información

vii. Políticas de mantenimiento

preventivo. • 9.2.4 Mantenimiento de equipo.

viii. Protección contra amenazas

ambientales.

• 9.1.4 Protección contra amenazas externas e

internas





documentados


obtenemos a nivel porcentual los controles que la arquitectura avanzada orientada a la continuidad




cumplimiento.

126

ILUSTRACIÓN 30: CIRCULAR 14 ARQUITECTURA AVANZADA CONTINUIDAD: CONTROLES APOYADOS VERSUS

NO APOYADOS

ILUSTRACIÓN 31: ISO 27001 ARQUITECTURA AVANZADA CONTINUIDAD: CONTROLES APOYADOS VERSUS NO

APOYADOS

127



• Oracle Data Guard (DG) y Oracle Active Data Guard (ADG)





128

Ilustración de la arquitectura ILUSTRACIÓN 32: ARQUITECTURA AVANZADA. CONTINUIDAD DEL NEGOCIO

129


SEGURIDAD

Con la arquitectura orientada a seguridad se busca enfrentar y reducir riesgos provenientes de

agentes internos y externos, ya sean fallos en el paso de información a través de la red, pérdida o

robo de datos, robo o pérdida de infraestructura tecnológica.

Esta arquitectura se basa en la arquitectura de continuidad pero se le incluye un fuerte aspecto de

seguridad con herramientas de integración que ahora son posibles incluirlas gracias al uso de las

base de datos Oracle Enterprise Edition. Se agrega Oracle Data Vault con el fin de impedir que los

DBA accedan a aplicaciones y tareas que están fuera de sus responsabilidades y se asignar

permisos de acuerdo a roles establecidos. La arquitectura cuenta también con el apoyo de Oracle

Advanced security ofreciendo criptografía en la base de datos y en la red, de esta forma se protege

toda comunicación hacia y desde la base de datos.

Se provee de un ambiente de desarrollo especializado a través de Oracle Data Masking el cual

permitirá sustituir datos de producción con valores similares y válidos para trabajar con ellos en este

ambiente.

Los clientes antes de ingresar al sistema tendrán que pasar a través de Oracle Database Firewall

para el monitoreo en tiempo real de la actividad de la base de datos en la red, esto con el apoyo de

Oracle Identity Management para la gestión de usuarios.


La aplicación de la arquitectura base para la continuidad de negocio cumple con el siguiente listado

de controles de la circular 014 de 2009 y de la ISO 27001:2005.

130

TABLA 11: CONTROLES APOYADOS CON LA ARQUITECTURA AVANZADA DE SEGURIDAD




de la Tecnología





• A.9.1.3 Seguridad de oficinas, habitaciones y

medios.

• A.9.1.4 Protección contra amenazas externas

y ambientales.


• A.9.2.1 Ubicación y protección del equipo.




i. Programas para establecer una

cultura de calidad de la tecnología en toda

la entidad.

• A.5.1.1 Documentar Política de seguridad de

la información.

• A.5.1.2 Revisión de la política de seguridad

de la información.

• A.6.1.1 Compromiso de la Gerencia con la


• A.6.1.2 Coordinación de la seguridad de la

información.

• A.6.1.3 Asignación de responsabilidades de





documentados.

• A.15.2.1 Cumplimiento con las políticas y

estándares de seguridad.

131



iii. Responsables por el aseguramiento

de la calidad.



Procedimientos.


documentación de programas y sistemas.



sistema.





información.





comerciales.

VIII Instalación y acreditación de sistemas. • A.10.3.2 Aceptación del sistema.

• A.12.4.1 Control Software Operacional.


iv. Procedimiento de autorización de

los cambios.


• A.12.5.3 Restricciones sobre los cambios en

los paquetes software.

• A.12.4.1 Control de Software Operacional.


sistema.

• A.12.4.3 Control de acceso al código fuente

del programa.


132





• A.8.1.3 Términos y condiciones de empleo.





• A.8.3.3 Eliminación de derechos de acceso.






XI

Administración, desempeño, capacidad y

disponibilidad de la infraestructura

tecnológica.




i. Autorización, autenticación y

control de acceso.

• A.11.1.1 Política de control del acceso.



seguro

• 11.5.2 Identificación y autenticación del

usuario

• 11.5.3 Sistema de gestión de claves secretas

• 11.5.4 Uso de las utilidades del sistema

• 11.5.5Cierre de una sesión por inactividad

• 11.5.6 Limitación del tiempo de conexión


información


• 11.7.1 Computación y comunicaciones

móviles


133



ii. Identificación de usuarios y perfiles

de autorización los cuales deberán ser

otorgados de acuerdo con la necesidad de

tener y necesidad de conocer.



• 11.2.3 Gestión de las claves secretas de los

usuarios

• 11.2.4 Revisión de los derechos de acceso

del usuario


iii. Manejo de incidentes, información

y seguimiento.

• 13.1.1 Reporte de eventos en la seguridad de

la información


seguridad

• 13.2.1 Responsabilidades y procedimientos






• 10.4.1 Controles contra códigos maliciosos

• 10.4.2 Controles contra códigos móviles


seguridad.

• 10.2 Gestión de la entrega del servicio de

terceros


malicioso y móvil.









ii. Verificar la exactitud, suficiencia y

validez de los datos de transacciones que

sean capturados para su procesamiento

(generados por personas, por sistemas o

entradas de interface).

• 12.2.2 Control del procesamiento interno.

134



iii. Preservar la segregación de

funciones en el procesamiento de datos y

la verificación rutinaria del trabajo

realizado. Los procedimientos deberán

incluir controles de actualización

adecuados, como totales de control

"corrida a corrida" y controles de


• A.6.1.3 Asignación de las responsabilidades

de la seguridad de la información

• A.10.7.4 Seguridad de la documentación del

sistema


iv. Establecer procedimientos para que

la validación, autenticación y edición de

los datos sean llevadas a cabo tan cerca del

punto de origen como sea posible.

• A11.6 Control de acceso a la aplicación y la

información


procedimientos para prevenir el acceso a la

información y software sensitivos de

computadores, discos y otros equipos o

medios, cuando hayan sido sustituidos o se

les haya dado otro uso. Tales

procedimientos deberán garantizar que los

datos marcados como eliminados no

puedan ser recuperados por cualquier

individuo interno o tercero ajeno a la

entidad.

• 9.2.6 Seguridad de la eliminación o re-uso

del equipo



procedimientos apropiados y prácticas para

transacciones electrónicas que sean

sensitivas y críticas para la organización,

velando por su integridad y autenticidad.



• 10.9.3 Información públicamente disponible


i. Acceso a las instalaciones. • 9.1.2 Controles de ingreso físico


• 9.1.3 Asegurar las oficinas, habitaciones y

medios.

• 9.1.6 Áreas de acceso público, entrega y

carga.

iv. Definición de políticas de

inspección y escalamiento de problemas.

135







información


operador




obtenemos a nivel porcentual los controles que la arquitectura avanzada orientada a la seguridad




cumplimiento.

ILUSTRACIÓN 33: CIRCULAR 14 ARQUITECTURA AVANZADA SEGURIDAD: CONTROLES APOYADOS VERSUS NO

APOYADOS

136

ILUSTRACIÓN 34: ISO 27001 ARQUITECTURA AVANZADA SEGURIDAD: CONTROLES APOYADOS VERSUS NO

APOYADOS





• Oracle Advanced Security (AS).



• Oracle Data Masking Pack (DMP).









• Oracle Virtual Private Database (VD).

137

Ilustración de la arquitectura ILUSTRACIÓN 35: ARQUITECTURA AVANZADA SEGURIDAD

138


ADMINISTRACIÓN Y MONITOREO

Esta arquitectura incluye la integración de continuidad de negocio avanzada y seguridad avanzada,

pero se busca darle un componente adicional con el fin de ejercer un mayor control sobre la

infraestructura dándole un mayor poder a través de herramientas de Administración y Monitoreo. Es

por esto que se incluye Oracle Diagnostic Pack el cual hará labores de diagnóstico en busca de

problemas de rendimiento, métricas, notificación de eventos e historial de carga.




TABLA 12: CONTROLES APOYADOS CON LA ARQUITECTURA AVANZADA DE ADMINISTRACIÓN Y MONITOREO


Financiera ISO/IEC 27001:2005 Anexo A

7.6.2 Normas de Control Interno para la gestión de la

Tecnología


ii. Evaluación de la tecnología actual. • A.7.1.1 Inventario de Activos.


vii. Diseño de informes de aseguramiento de

la calidad.




documentados.


• A.13.2.2 Aprendizaje de los incidentes

de la seguridad de la información.


ix. Desarrollo de una base de conocimiento

de aseguramiento de la calidad.

139


Financiera ISO/IEC 27001:2005 Anexo A


i. Identificación clara del cambio a realizar

en la infraestructura.





cambio.


procedimientos de emergencia a llevar a cabo

durante el cambio.

• A.12.5.1 Procedimientos de Control de

Cambio.




iii. Evaluación del impacto que ocasiona el

cambio en la infraestructura.





sistema operativo.



• A.12.2.2 Control de Procesamiento

Interno.




cambio.


cambios en los paquetes de software.

viii. Procedimientos para la administración de

la configuración.

XVII Administración de operaciones de tecnología.







obtenemos a nivel porcentual los controles que la arquitectura avanzada orientada a la

140

administración y monitoreo apoyará a cumplir (los controles). Divididas en el porcentaje de apoyo

al cumplimiento de los controles tecnológicos de la Circular 014 y los objetivos de control de la

norma ISO27001. Junto con el porcentaje de aquellos controles que la arquitectura actual por su

diseño no apoyará su cumplimiento.

ILUSTRACIÓN 36: CIRCULAR 14 ARQUITECTURA AVANZADA ADMINISTRACIÓN Y MONITOREO: CONTROLES

APOYADOS VERSUS NO APOYADOS

ILUSTRACIÓN 37: ISO 27001 ARQUITECTURA AVANZADA ADMINISTRACIÓN Y MONITOREO: CONTROLES

APOYADOS VERSUS NO APOYADOS

141





• Oracle Advanced Security (AS).


• Oracle Configuration Management Pack (CMP).


• Oracle Data Masking Pack (DMP).





• Oracle Enterprise Manager Grid Control (EMGC)





• Oracle Virtual Private Database (VD).

142

Ilustración de la arquitectura ILUSTRACIÓN 38: ARQUITECTURA AVANZADA: ADMINISTRACIÓN Y MONITOREO

143

3.3. ESTADÍSTICAS DE CUMPLIMIENTO

Las arquitecturas propuestas tienen como meta el cumplimiento de los controles tecnológicos de la

Circular 014 de 2009 y de la norma ISO 27001:2005 anexo A, para lograr cubrir la mayor cantidad

de estos controles tanto la mediana y gran empresa debe de aplicar la arquitectura orientada de

Administración y monitoreo la cual recoge los productos y los controles cumplidos de seguridad y

continuidad de negocio, también debemos tener en cuenta que las soluciones Oracle cuenta con

tecnologías y aplicaciones escalables, por lo cual es posible arrancar con una solución muy reducida

e ir agregando componentes cuando la empresa lo considere necesario.

En los siguientes gráficos circulares podemos observar el aporte para el cumplimiento que da cada

una de las arquitecturas, se puede afirmar que el grado de cumplimiento de la arquitectura básica

con relación a los controles tecnológicos de la circular 014 de 2009 de la Superintendencia

Financiera alcanza un 70.18% de cumplimiento, y la ISO 27001:2005 logra un 96.17%.

ILUSTRACIÓN 39: PORCENTAJES DE APOYO EN LA CIRCULAR 014 CON LA ARQUITECTURA BÁSICA

144

ILUSTRACIÓN 40: PORCENTAJES DE CONTROLES APOYADOS DE LA ISO 27001 CON LA ARQUITECTURA

BÁSICA

Por otra parte la Arquitectura avanzada logra mejores cifras como se puede observar en las

siguientes gráficas, en el caso del cumplimiento de la circular 014 de la Superintendencia

Financiera se logra un nivel de cumplimiento de 75.44% y con la ISO 27001:2005 Anexo A es de

97.72%, también podemos observar que la arquitectura que más aporta es la de seguridad con un

ostentoso 37% y 52% en la Circular 014 y la ISO 27001:2005 Anexo A respectivamente.

ILUSTRACIÓN 41: PORCENTAJES DE CONTROLES APOYADOS DE LA CIRCULAR 014 CON LA ARQUITECTURA

AVANZADA

145

ILUSTRACIÓN 42: PORCENTAJES DE CONTROLES APOYADOS DE LA ISO 27001 CON LA ARQUITECTURA

AVANZADA

146

4. LA CIRCULAR 014 ENMARCADA BAJO EL

MODELO PROPUESTO DE LA NORMA ISO27001

El ejercicio desarrollado busca facilitar a las organizaciones el abordar procesos de Gobierno, riesgo

y cumplimiento unificados, de manera que la implementación de cada nueva regulación,

framework, o cualquier tipo de medición sobre la efectividad de operación del negocio, pueda ser

visualizado de manera centralizada. A continuación se plantea la manera en que es posible

aprovechar la implementación de la Circular 14, para agilizar y facilitar la implementación de la

ISO 27001, centralizando tareas, reutilizando controles y consolidando los documentos y diferentes

entregables exigidos, buscando la implementación de un programa integrado de GRC (Gobierno,

Riesgo y Cumplimento), evitando tener una visión monolítica de cumplimiento y llevando a un

proceso de cumplimiento unificado.

La norma ISO 27001 propone un ciclo de implementación del Sistema de Gestión de Seguridad de

la Información que se puede resumir en las fases que se muestran en la siguiente imagen:

ILUSTRACIÓN 43: CICLO DE IMPLEMENTACIÓN DEL SISTEMA DE GESTIÓN DE SEGURIDAD

147

Tomado de www.iso27000.es

Los requerimientos establecidos en cada una de las fases se encuentran debidamente detallados en

la sección 4.2 de la norma ISO27001 llamada “Establecer y Manejar el SGSI”.

A continuación se buscar establecer un mecanismo para facilitar la implementación de la Circular

14 ,basados en el alcance de este documento que corresponde a los controles técnicos de las

sección 7.6.2 , partiendo del enfoque propuesto por la ISO27001, de manera que sea posible

estructurar un proceso integrado de Cumplimiento de la Circular y la Norma permitiendo a las

organizaciones una integración a nivel regulatorio, reduciendo tiempos en reportes de auditoría y

evitando rehacer tareas cada vez que se requiera implementar un nuevo componente regulatorio.

A continuación se establecen posibles parámetros para alinear los requerimientos técnicos exigidos

en la circular 14 y que en paralelo facilite la implementación de la ISO 27001, ya que las dos

establecen requerimientos similares en su implementación.

ISO27001 Circular 014 alcance

Definición de política,

Objetivos y Alcance

7.2. Ámbito de Aplicación

7.3 Definición y Objetivo

del Sistema de Control

Interno

El proceso inicial para la norma es el

establecimiento de la política,

objetivos, procesos y procedimientos

que para la Circular 014 deben

orientarse a los sistemas que

148

7.4 Principios Del Sistema

De Control Interno

contienen información sensitiva

financiera, de manera que el alcance

de la implementación de la Circular

014, corresponda al alcance y límites

de la Norma .

El ámbito de Aplicación para la

Circular 014 y en general todos los

elementos que corresponden a las

secciones 7.2 - 7.3 y 7.4 de la

Circular, deber estar enmarcados en

los requerimientos necesarios para la

definición de la Política del SGSI.

Análisis de Riesgos 7.5.2 Gestión de Riesgos

Las organizaciones deben contar con

su metodología de evaluación,

definición y tratamiento de riesgos.

Ni la Circular 014 ni la norma

ISO27001 cuenta con una propia.

Adicionalmente la metodología

adoptada debería ser usada para los

dos procesos, de manera que al dar

tratamiento a un riesgo, se asegure

su cumplimiento para las dos

certificaciones.

Tratamiento de Riesgos 7.5.2 Gestión de Riesgos

(Ver anterior)

A manera de ejemplo. Es posible

usar el modelo planteado por la

norma ISO27005 para establecer el

tratamiento de riesgos facilitando el

cumplimiento de los 11 ítems de la

sección 7.5.2

Implantación y Operación

del SGSI

7.5 Elementos Del Sistema

De Control Interno

7.6 Áreas Especiales

Dentro Del Sistema De

Control Interno

El alcance del ejercicio corresponde

a la sección 7.6.2. Por otro lado la

implementación estará basada en los

modelos de arquitectura propuestos,

que se definieron de acuerdo al

tamaño y características de cada

empresa.

Al implementar la solución

propuesta, deberá remitirse al

capítulo 2.3. Alineación de la

Circular 014 de 2009 de la

Superintendencia Financiera y las

ISO27001 con los productos

149

ORACLE seleccionados. , donde se

encontrará la manera en la que los

controles técnicos de la Circular 014

se homologan con los controles

técnicos del anexo A de la norma

ISO27001.

Para cada organización debe

definirse cuáles son sus criterios de

cumplimiento de estos controles de

acuerdo con sus características

técnicas y de operación y pueden ser

monitoreados en línea con los

componentes incluidos en cada

arquitectura.

De manera adicional de acuerdo a la

sección 7.7 de la Circular 014, cada

entidad financiera deberá asignar los

responsables y mecanismos de

gestión y operación.

Monitorización y Revisión

del SGSI

7.7 Responsabilidades

Dentro Del Sistema De

Control

Las plataformas propuestas proveen

mecanismos automáticos que

permiten el monitoreo en línea de los

controles definidos. Se cuenta con

controles (Oracle) tanto preventivos

como de detección y serán

habilitados acorde con las

necesidades de cada entidad.

Los responsables asignados para el

monitoreo de la circular contarán

con herramientas que facilitan su

labor e inclusive, recibirán

recomendaciones de cómo ir

alineando la solución acorde con la

evolución y cambios en los sistemas.

Mantenimiento y Mejora del

SGSI

7.8 Productos Que Deben

Presentarse A La Sfc

Cualquier actividad de cumplimiento

regulatorio exige generar reportes y

documentos soporte al proceso, así

como las acciones y gestión de

riesgos definidos.

La solución busca minimizar las

tareas manuales para la generación

de estos documentos, incluyendo

reportes asociados a cumplimiento y

parametrizando los documentos de

150

acuerdo con las diferentes

regulaciones.

Los Puntos “Análisis de Riesgos” y” Tratamiento de Riesgos” son abordados con más detalle en la

ISO/IEC 27005 que trata de la gestión de riesgos en seguridad de la información.

151

5. CONCLUSIONES

• Durante la ejecución del proyecto se observó que la circular 014 de la Superintendencia

financiera, presenta sus controles de manera genérica, lo cual posibilita llegar a su

cumplimiento desde diferentes aproximaciones, pero esto también puede hacer que las

empresas no tengan claro cómo abordar la circular.

• La alineación de las circular 014 con la ISO 27001 muestra que hay muchos puntos en

común lo cual permite los métodos ya utilizadas para el cumplimiento de la ISO 27001

sean de gran apoyo para el cumplimiento de la Circular 014.

• Se ha concluido que es posible homologar aspectos tanto de la Circular 014 como la norma

ISO27001 para así agilizar el proceso de certificación. Con esto, adicionalmente se busca

que las tareas realizadas, los requerimientos asociados y el tiempo invertido en el

cumplimiento de la Circular 014 pueda usarse como apoyo al proceso de adopción de la

norma ISO27001.

• El análisis de las aplicaciones propuestas para la solución deja ver que muchas de estas

soluciones ya están pensadas para ayudar a cumplir con normativas, regulaciones y buenas

prácticas que se encuentran a nivel mundial y debido a que la Circular 014 tiene como

fuente muchas de estas regulaciones y estándares, el apoyo que estas le brindan es amplio.

• Propagar la adopción de la filosofía GRC (Governance, Risk management, and

Compliance) para las organizaciones que aborden esta propuesta de manera que estén

alineados con las tendencias actuales de evolución a nivel de cumplimiento regulatorio.

• Las organizaciones actuales y en especial las entidades financieras deben cumplir con un

gran número de frameworks internacionales como lo son COSO, SOX, COBIT entre otros

y unas regulaciones nacionales como la Circular 052, Circular 014 y Circular 38, y dichas

organizaciones no cuentan con una estrategia clara y estructurada de cómo hacerlo, lo cual

conlleva a grandes costos y esfuerzos.

• Es de gran importancia conocer las tendencias tecnológicas que se encuentran en el

mercado ya que estas podrán apoyar, facilitar e incluso agilizar el proceso de cumplimiento

de controles.

152

• Las organizaciones de hoy en día deben conocer, entender y gestionar los riesgos a los que

están expuestas con base en su actividad económica, y apuntar a estrategias y modelos

basados en GRC.

• Es importante contar con una muestra que permita realizar un análisis porcentual del uso

de bases de datos Oracle a nivel nacional, esto con el fin de dar un mayor peso al proyecto

presentado, ya que las cifras internacionales no necesariamente reflejan la realidad nacional.

• Evaluar si las entidades financieras tienen conocimiento de la existencia de herramientas

tecnológicas Oracle que apoyen el proceso de cumplimiento y que tan dispuestas están al

proceso de adopción de las mismas, considerando sus características y costos.

153

6. BIBLIOGRAFÍA

INSTITUTO COLOMBIANO DE NORMAS TÉCNICAS Y CERTIFICACIÓN. “Compendio tesis

y otros trabajos de grado”. Bogotá: Legis S.A, 2006.

154

7. TRABAJOS CITADOS ACIS. (2010). II Encuesta Latinoamericana de Seguridad de la información. Recuperado el 13 de

Septiembre de 2010, de ACIS:

http://www.acis.org.co/fileadmin/Base_de_Conocimiento/XJNSI/IIELSI-2010.pdf

Alan, R. (2010). Guía paso a paso: protección de datos. Recuperado el 20 de 11 de 2010, de

http://i.dell.com/sites/content/business/smb/sb360/es/Documents/0910-mx-catalyst-4.pdf

Archivo General de la Nacion. (29 de 10 de 2010). Programa de Gestión Documental (PGD).

Recuperado el 30 de Octubre de 2010, de Archivo General de la Nacion:

http://www.archivogeneral.gov.co/index.php?idcategoria=1232

Bae, B. (2003). Internal Control Issues: The Case of Changes to Information Processes.

BDO. (2010). Adoptando los Modelos de Control Interno COSO y COBIT.

Bueno, L. A. (2010).

Cano, J. (2009). Seguridad de la Información en Latinoamerica Tendencias.

Colombia, R. d. (2005). MODELO ESTANDAR DE CONTROL INTERNO PARA EL ESTADO

COLOMBIANO. Bogotá.

Colombiahosting.com. (2010). La Seguridad de la Información.

Deloitte. (2010). 2010 Financial Services Global Security Study: The faceless threat. Recuperado el

Agosto de 29 de 2010, de deloitte: http://www.deloitte.com/assets/Dcom-

Global/Local%20Assets/Documents/Financial%20Services/dtt_fsi_2010%20Global%20FS

%20Security%20Survey_20100603.pdf


Agosto de 29 de 2010, de Deloitte: http://www.deloitte.com/assets/Dcom-




Agosto de 29 de 2010, de Deloitte: http://www.deloitte.com/assets/Dcom-



Deloitte. (2010). Alineando Procesos de Negocio con la ISO27001.

155

Dutra, E. G. (24 de febreo de 2006). Seguridadit Blogspot. Recuperado el 16 de Agosto de 2010, de

http://seguridadit.blogspot.com/2006/02/mas-sobre-iso-1779927001.html

Estrada, A. (2006). ISO27001: Los Controles.

Grupo Inversión, financiación y control Universidad Icesi. (Enero de 2010). Universidad ICESI.

Recuperado el 15 de Agosto de 2010, de

http://www.icesi.edu.co/departamentos/finanzas_contabilidad/images/proyectos/control_int

erno.pdf

ICONTEC. (2010). Certificación ISO 27001. Recuperado el 1 de Septiembre de 2010, de

icontec.com:

http://www.icontec.org/BancoConocimiento/C/certificacion_iso_27001/certificacion_iso_2

7001.asp?CodIdioma=ESP

Institute, M. T. (2009). CISO Information Security Survey.

ISO. (2005). International Standards for Business. Recuperado el 16 de Agosto de 2010, de

http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.htm?csnumber=42103

IT Governance Institute. (2007). cobiT4.1. Recuperado el 12 de Septiembre de 2010, de isaca:

http://www.isaca.org/Knowledge-Center/cobit/Documents/cobiT4.1spanish.pdf

ITGI. (2005). itgovernance. Recuperado el 15 de Agosto de 2010, de

http://www.itgovernance.co.uk/files/ITIL-COBiT-ISO17799JointFramework.pdf

López Neira, A. (2005). iso27000.es el Portal de ISO 27001 en español. Recuperado el 16 de

Agosto de 2010, de http://www.iso27000.es/sgsi.html

López Neira, A. (s.f.). Otros Estandares. Recuperado el 14 de Septiembre de 2010, de iso27000.es:

http://www.iso27000.es/download/doc_otros_estandar_all.pdf

Machines, L. (2002). Information Security Survey on Internal Threats.

Mantilla, S. A. (2005). Auditoría del control interno.

Meyer, C. O. (2010). Seguridad Informatica vs Seguridad de la Información.

Oracle. (2009). Enfoque Tecnico Oracle Circular 14 V5. Bogota.

ORACLE. (2010). Conceptos de Seguridad.

Oracle. (2010). Oracle is #1 in the RDBMS market for 2009. Recuperado el 20 de 11 de 2010, de

Oracle: http://www.oracle.com/us/products/database/number-one-database-069037.html

156

Prieto, J. L. (2010). Acerca del término hacker. Obtenido de Centro Virtual Cervantes.

Radding, A. (2010). Guía paso a paso: Proteccion de Datos.

Radding, A. (s.f.). Guía paso a paso: protección de datos.

Security, E. (2010). ISO 27001 · Certificación de la Gestión de la Seguridad de la Información ·

Implantación SGSI.

Singleton, T. (2007). The COSO Model: How IT Auditors Can Use It to Evaluate the Effectiveness

of Internal Controls.

Solla, J. L. (2009). Gestión del Ciclo de Vida de la Información.

Superintendencia Financiera de Colombia. (19 de Mayo de 2009). Normativa. Recuperado el 16 de

Agosto de 2010, de Superintendencia Financiera de Colombia:


Superintendencia Financiera de Colombia. (2009). superfinanciera. Recuperado el 16 de Agosto de

2010, de


ThanosTP. (4 de Septiembre de 2009). Gartner RDBMS Market Share. Recuperado el 20 de 11 de

2010, de Bukisa: http://www.bukisa.com/articles/143366_gartner-rdbms-market-share

WHITE HOUSE. (29 de Mayo de 2009). REMARKS BY THE PRESIDENT. Recuperado el 2010 de

Septiembre de 5, de whitehouse: http://www.whitehouse.gov/the_press_office/Remarks-by-

the-President-on-Securing-Our-Nations-Cyber-Infrastructure/

157

8. ANEXOS

ANEXO CIRCULAR 014 DE 2009 DE LA SUPERINTENDENCIA FINANCIERA

SECCIÓN 7.6.2

“7.6.2. NORMAS DE CONTROL INTERNO PARA LA GESTIÓN DE LA

TECNOLOGÍA

La tecnología es imprescindible para el cumplimiento de los objetivos y la prestación de servicios

de las entidades a sus diferentes grupos de interés, en condiciones de seguridad, calidad y

efectividad. Por lo tanto, se tendrá que velar porque el diseño del SCI para la gestión de la

tecnología responda a las políticas, necesidades y expectativas de la entidad, así como a las

exigencias normativas sobre la materia. De otra parte, el sistema deberá ser objeto de evaluación y

el mejoramiento continuo con el propósito de contribuir al logro de los objetivos institucionales y a

la prestación de los servicios en las condiciones señaladas.

Las entidades deben establecer, desarrollar, documentar y comunicar políticas de tecnología y

definir los recursos, procesos, procedimientos, metodologías y controles necesarios para asegurar su

cumplimiento.

Las políticas deberán ser revisadas por lo menos una vez al año o al momento de presentarse

cambios significativos en el ambiente operacional o del negocio, para lo cual la administración

deberá contar con estándares, políticas, directrices y procedimientos debidamente aprobados,

orientados a cubrir los siguientes aspectos:

i. Plan estratégico de tecnología.

ii. Infraestructura de tecnología.

iii. Relaciones con proveedores.

iv. Cumplimiento de requerimientos legales para derechos de autor, privacidad y comercio

electrónico.

v. Administración de proyectos de sistemas.

158

vi. Administración de la calidad.

vii. Adquisición de tecnología.

viii. Adquisición y mantenimiento de software de aplicación.

ix. Instalación y acreditación de sistemas.

x. Administración de cambios.

xi. Administración de servicios con terceros.

xii. Administración, desempeño, capacidad y disponibilidad de la infraestructura

tecnológica.

xiii. Continuidad del negocio.

xiv. Seguridad de los sistemas.

xv. Educación y entrenamiento de usuarios.

xvi. Administración de los datos.

xvii. Administración de instalaciones.

xviii. Administración de operaciones de tecnología.

xix. Documentación.

En el caso de las entidades vigiladas, lo dispuesto en el presente numeral y sus subdivisiones se

entiende sin perjuicio del cumplimiento de las instrucciones especiales impartidas por esta

Superintendencia en materia de riesgo operativo –SARO y de seguridad y calidad en el manejo de

información a través de medios y canales de distribución de productos y servicios para clientes y

usuarios, las cuales deberán cumplirse dentro de los plazos y condiciones específicos establecidos

para el efecto.

Por la relevancia que representan algunas de las políticas previamente identificadas, conviene a

continuación señalar en forma particular algunas de ellas.

7.6.2.1 PLAN ESTRATÉGICO DE TECNOLOGÍA.

Las entidades deberán realizar un proceso de planeación estratégica de tecnología, a intervalos de

tiempo regulares, con el propósito de lograr el cumplimiento de los objetivos de la organización a

través de las oportunidades que brinda la tecnología a su alcance.

El plan estratégico de tecnología deberá estar alineado con el plan estratégico institucional y en él se

deberán contemplar adicionalmente, al menos, los siguientes aspectos:

159

i. Análisis de cómo soporta la tecnología los objetivos del negocio.

ii. Evaluación de la tecnología actual.

iii. Estudios de mercado y factibilidad de alternativas tecnológicas que respondan a las


iv. Planes operacionales estableciendo metas claras y concretas.

7.6.2.2 ADMINISTRACIÓN DE LA CALIDAD.

Con el objeto de satisfacer las necesidades de sus clientes (internos y externos), las entidades

deberán llevar a cabo la planeación, implementación y mantenimiento de estándares y sistemas de

administración de calidad de la tecnología que contengan:

i. Programas para establecer una cultura de calidad de la tecnología en toda la entidad.

ii. Planes concretos de calidad de la tecnología.

iii. Responsables por el aseguramiento de la calidad.


v. Metodología para el ciclo de vida de desarrollo de sistemas.

vi. Metodología de prueba y documentación de programas y sistemas.

vii. Diseño de informes de aseguramiento de la calidad.

viii. Capacitación de usuarios finales y del personal de aseguramiento de la calidad.

ix. Desarrollo de una base de conocimiento de aseguramiento de la calidad.

El sistema de administración de la calidad deberá ser objeto de evaluaciones periódicas para

ajustarlo a las necesidades de la entidad.

7.6.2.3 ADMINISTRACIÓN DE CAMBIOS.

Con el fin de minimizar la probabilidad de interrupciones, alteraciones no autorizadas y errores, se

deberá diseñar un sistema de administración que permita el análisis, implementación y seguimiento

de los cambios requeridos y llevados a cabo a la infraestructura de tecnología que posea la entidad.

Como mínimo se tendrán que contemplar los siguientes aspectos:

i. Identificación clara del cambio a realizar en la infraestructura.

160

ii. Categorización, priorización y procedimientos de emergencia a llevar a cabo durante el

cambio.

iii. Evaluación del impacto que ocasiona el cambio en la infraestructura.

iv. Procedimiento de autorización de los cambios.

v. Procedimiento de administración de versiones.

vi. Políticas de distribución del software.

vii. Obtención de herramientas automatizadas para realizar los cambios.

viii. Procedimientos para la administración de la configuración.

ix. Rediseño de los procesos del negocio que se vean impactados por el cambio en la

infraestructura.

7.6.2.4 SEGURIDAD DE LOS SISTEMAS.

Con el objeto de salvaguardar la información contra usos no autorizados, divulgación,

modificación, daño o pérdida, le corresponderá a las entidades supervisadas establecer controles de

acceso lógico que aseguren que los sistemas, datos y programas están restringidos exclusivamente a

usuarios autorizados para lo cual se deberá contar con procedimientos y recursos sobre los

siguientes aspectos:

i. Autorización, autenticación y control de acceso.

ii. Identificación de usuarios y perfiles de autorización los cuales deberán ser otorgados de

acuerdo con la necesidad de tener y necesidad de conocer.

iii. Manejo de incidentes, información y seguimiento.

iv. Prevención y detección de código malicioso, virus, entre otros.


vi. Administración centralizada de la seguridad.

7.6.2.5 ADMINISTRACIÓN DE LOS DATOS.

Para que los datos permanezcan completos, precisos y válidos durante su entrada, actualización y

almacenamiento en los sistemas de información, las entidades tendrán que establecer controles

generales y de aplicación sobre la operación de la tecnología, adicionales a los establecidos en el

numeral 7.5.4.1, atendiendo como mínimo los siguientes aspectos:

i. Establecer controles de entrada, procesamiento y salida para garantizar la autenticidad e

integridad de los datos.

161

ii. Verificar la exactitud, suficiencia y validez de los datos de transacciones que sean

capturados para su procesamiento (generados por personas, por sistemas o entradas de

interface).

iii. Preservar la segregación de funciones en el procesamiento de datos y la verificación

rutinaria del trabajo realizado. Los procedimientos deberán incluir controles de

actualización adecuados, como totales de control "corrida a corrida" y controles de


iv. Establecer procedimientos para que la validación, autenticación y edición de los datos

sean llevadas a cabo tan cerca del punto de origen como sea posible.

v. Definir e implementar procedimientos para prevenir el acceso a la información y

software sensitivos de computadores, discos y otros equipos o medios, cuando hayan

sido sustituidos o se les haya dado otro uso. Tales procedimientos deberán garantizar

que los datos marcados como eliminados no puedan ser recuperados por cualquier

individuo interno o tercero ajeno a la entidad.

vi. Establecer los mecanismos necesarios para garantizar la integridad continua de los

datos almacenados.

vii. Definir e implementar procedimientos apropiados y prácticas para transacciones

electrónicas que sean sensitivas y críticas para la organización, velando por su

integridad y autenticidad.

viii. Establecer controles para garantizar la integración y consistencia entre plataformas.

7.6.2.6 ADMINISTRACIÓN DE LAS INSTALACIONES.

Con el objeto de proporcionar un ambiente físico conveniente que proteja los equipos y el personal

de tecnología contra peligros naturales o fallas humanas, las entidades deberán instalar controles

físicos y ambientales adecuados que sean revisados regularmente para garantizar su buen

funcionamiento teniendo en cuenta, entre otros, los siguientes aspectos:

i. Acceso a las instalaciones.

ii. Identificación clara del sitio.


iv. Definición de políticas de inspección y escalamiento de problemas.

v. Planeamiento de continuidad del negocio y administración de crisis.

vi. Salud y seguridad del personal.

vii. Políticas de mantenimiento preventivo.

viii. Protección contra amenazas ambientales.

Monitoreo automatizado.

162

” (Superintendencia Financiera de Colombia, 2009)

PROPUESTA PARA EL CUMPLIMIENTO DE LOS...

Documents

Transcript of PROPUESTA PARA EL CUMPLIMIENTO DE LOS...