PROPUESTA PARA EL CUMPLIMIENTO DE LOS...
Transcript of PROPUESTA PARA EL CUMPLIMIENTO DE LOS...
CIS1010IS04
http://pegasus.javeriana.edu.co/~CIS1010IS04
PROPUESTA PARA EL CUMPLIMIENTO DE LOS CONTROLES TÉCNICOS DE LA
CIRCULAR 14 BASADO EN EL MODELO PLANTEADO POR LA NORMA
ISO27001, BAJO PLATAFORMA ORACLE
Javier Alejandro Losada Rivera
Marco Antonio Olivera Arboleda
PONTIFICIA UNIVERSIDAD JAVERIANA
FACULTAD DE INGENIERÍA
CARRERA DE INGENIERÍA DE SISTEMAS
BOGOTÁ, D.C.
2010
i
CIS1010IS04
PROPUESTA PARA EL CUMPLIMIENTO DE LOS CONTROLES TÉCNICOS DE LA
CIRCULAR 14 BASADO EN EL MODELO PLANTEADO POR LA NORMA
ISO27001, BAJO PLATAFORMA ORACLE
Autor(es):
Javier Alejandro Losada Rivera
Marco Antonio Olivera Arboleda
MEMORIA DEL TRABAJO DE GRADO REALIZADO PARA CUMPLIR UNO DE
LOS REQUISITOS PARA OPTAR AL TITULO DE INGENIERO DE SISTEMAS
Director
Ing. Luz Adriana Bueno Mendoza
Jurados del Trabajo de Grado
Ing. Gloria Patricia Arenas Mendoza
Ing. Norbey Mejía Chica
PONTIFICIA UNIVERSIDAD JAVERIANA
FACULTAD DE INGENIERÍA
CARRERA DE INGENIERÍA DE SISTEMAS
BOGOTÁ, D.C.
Diciembre, 2010
ii
PONTIFICIA UNIVERSIDAD JAVERIANA
FACULTAD DE INGENIERÍA
CARRERA DE INGENIERÍA DE SISTEMAS
Rector Magnífico
Joaquín Emilio Sánchez GarcíaS.J.
Decano Académico Facultad de Ingeniería
Ingeniero Francisco Javier Rebolledo Muñoz
Decano del Medio Universitario Facultad de Ingeniería
Padre Sergio Bernal Restrepo S.J.
Directora de la Carrera de Ingeniería de Sistemas
Ingeniero Luis Carlos Díaz Chaparro
Director Departamento de Ingeniería de Sistemas
Ingeniero César Julio Bustacara Medina
iv
AGRADECIMIENTOS
Agradecemos a nuestra directora Luz Adriana Bueno que desde un principio nos apoyó en la
realización del proyecto, sin su guía, soporte y compromiso no podría haberse logrado.
A nuestros Padres por estar siempre presentes, apoyándonos y aconsejándonos en cada paso que
dimos.
A Alejandra por estar siempre de manera incondicional junto a mí.
v
CONTENIDO
pág.
1. MARCO TEÓRICO .........................................................................................................................1
1.1. DESCRIPCIÓN DEL CONTEXTO ..............................................................................................1
1.2. COMMITTEE OF SPONSORING ORGANIZATIONS OF THE TREADWAY COMMISSION
(COSO) 7
1.2.1. Marco de Control (Informe COSO) ...............................................................................7
1.2.2. SOX y El Control Interno ............................................................................................ 11
Como Funciona SOX. ....................................................................................................12
1.3. CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY (CobiT) ........... 13
1.3.1. Áreas de Enfoque del Gobierno de las TI. ................................................................. 14
1.3.2. Marco de Trabajo. ..................................................................................................... 16
1.4. ISO 27001 Tecnología de la Información – Técnicas de seguridad – Sistemas de gestión
de seguridad de la información – Requerimientos ....................................................................... 17
1.4.1. Seguridad de la Información. .................................................................................... 17
1.4.2. ISO 27001 y el sistema de gestión de la seguridad de la información. .................... 19
1.4.3. Establecimiento del sgsi. ........................................................................................... 21
Identificación de los Activos de la Información. ...........................................................21
Clasificación de Activos de Información. ......................................................................22
Análisis de la Situación Actual. .....................................................................................23
Análisis de Riesgos y Vulnerabilidades. ........................................................................24
Opciones del Tratamiento del Riesgo. ...........................................................................25
1.4.4. Requisitos de Documentación. ................................................................................. 25
Ciclo de Vida de la Información. ...................................................................................27
1.4.5. Alineamiento Estratégico. ......................................................................................... 29
vi
1.5. Circular Externa 014 del 2009 de la Superintendencia Financiera de Colombia ............. 30
1.5.1. Elementos y Estructura de la Circular 14. ................................................................. 33
1.5.2. COSO y la Circular 014. .............................................................................................. 39
1.5.3. ISO 27001 y la Circular 014. ...................................................................................... 41
1.5.4. Circular 014 y los Controles Tecnológicos. ................................................................ 43
1.6. Alineación Circular 014 de 2009, ISO 27001:2005 Anexo A, Cobit y COSO ...................... 44
2. Soluciones Tecnológicas............................................................................................................ 66
2.1. NECESIDADES TÉCNICAS GENERALES A CUMPLIR EN LA CIRCULAR 14… SECCIÓN 7.6 .... 66
2.1.1. Cifrado y Enmascaramiento. ..................................................................................... 66
2.1.2. Control de Acceso. .................................................................................................... 67
2.1.3. Monitoreo y Auditoría. ............................................................................................. 67
2.1.4. Continuidad del negocio. .......................................................................................... 68
2.1.5. Gestión Documental. ................................................................................................ 68
2.2. COMPONENTES ORACLE ................................................................................................... 69
2.2.1. Cifrado y Enmascaramiento. .................................................................................... 69
Oracle Data Masking Pack. ............................................................................................69
Oracle Advanced Security Option. ................................................................................70
2.2.2. Control de Acceso. .................................................................................................... 71
Oracle Database Vault. ..................................................................................................71
Oracle Identity Management. .........................................................................................71
Oracle Virtual Private Database (VD). ..........................................................................72
2.2.3. Monitoreo y Auditoría. ............................................................................................. 72
Oracle Enterprise Manager y Oracle Enterprise Manager Grid Control. ......................72
Oracle Audit Vault. ........................................................................................................73
Oracle Database Firewall. ..............................................................................................74
Oracle Diagnostic Pack. .................................................................................................74
Oracle Configuration Management Pack (CMP). ..........................................................75
2.2.4. Continuidad del Negocio. .......................................................................................... 76
Oracle Real Application Clusters (RAC). ......................................................................76
vii
Oracle Data Guard (DG) y Oracle Active Data Guard (ADG). .....................................76
Oracle Golden Gate. .......................................................................................................77
2.2.5. Gestión Documental. ................................................................................................ 78
Oracle Enterprise Content Management (ECM). ...........................................................78
Oracle Information Rights Management (IRM). ...........................................................78
2.3. Alineación de la Circular 014 de 2009 de la Superintendencia Financiera y las ISO27001
con los productos ORACLE seleccionados. ................................................................................... 79
3. ARQUITECTURAS PROPUESTAS ................................................................................................. 99
3.1. 3.1 Arquitecturas Para Mediana Empresa ...................................................................... 100
3.1.1. ARQUITECTURA ORIENTADA A LA CONTINUIDAD DEL NEGOCIO ........................... 101
Tabla de Apoyo al Cumplimiento ................................................................................101
Lista de productos asociados a la arquitectura .............................................................106
Ilustración de la arquitectura ........................................................................................107
3.1.2. ARQUITECTURA ORIENTADA A LA SEGURIDAD ...................................................... 108
Tabla de Apoyo al Cumplimiento ................................................................................108
Lista de productos asociados a la arquitectura .............................................................115
Ilustración de la arquitectura ........................................................................................116
3.1.3. ARQUITECTURA ORIENTADA A LA ADMINISTRACIÓN Y MONITOREO .................... 117
Tabla de Apoyo al Cumplimiento ................................................................................117
Lista de productos asociados a la arquitectura .............................................................120
Ilustración de la arquitectura ........................................................................................121
3.2. Arquitecturas Para Grandes Empresas ......................................................................... 122
3.2.1. ARQUITECTURA AVANZADA ORIENTADA A LA CONTINUIDAD ............................... 122
Tabla de Apoyo al Cumplimiento ................................................................................122
Lista de productos asociados a la arquitectura .............................................................127
Ilustración de la arquitectura ........................................................................................128
3.2.2. ARQUITECTURA AVANZADA ORIENTADA A LA SEGURIDAD ................................... 129
Tabla de Apoyo al Cumplimiento ................................................................................129
Lista de productos asociados a la arquitectura .............................................................136
viii
Ilustración de la arquitectura ........................................................................................137
3.2.3. ARQUITECTURA AVANZADA ORIENTADA A LA ADMINISTRACIÓN Y MONITOREO 138
Tabla de Apoyo al Cumplimiento ................................................................................138
Lista de productos asociados a la arquitectura .............................................................141
Ilustración de la arquitectura ........................................................................................142
3.3. Estadísticas de Cumplimiento ......................................................................................... 143
4. LA Circular 014 ENMARCADA BAJO EL MODELO PROPUESTO DE LA NORMA ISO27001 ...... 146
5. CONCLUSIONES ....................................................................................................................... 151
6. BIBLIOGRAFÍA .......................................................................................................................... 153
7. TRABAJOS CITADOS ................................................................................................................. 154
8. ANEXOS ................................................................................................................................... 157
Anexo Circular 014 de 2009 De La Superintendencia Financiera Sección 7.6.2 ......................... 157
“7.6.2. Normas de Control Interno para la gestión de la Tecnología ................................... 157
7.6.2.1 Plan Estratégico de Tecnología................................................................................ 158
7.6.2.2 Administración de la Calidad. .................................................................................... 159
7.6.2.3 Administración de Cambios. ................................................................................... 159
7.6.2.4 Seguridad de los Sistemas. ..................................................................................... 160
7.6.2.5 Administración de los datos. ................................................................................. 160
7.6.2.6 Administración de las instalaciones. ...................................................................... 161
ix
LISTA DE TABLAS
Pág.
Tabla 1: confianza que la información de la organizaciones es protegida de ataques internos y
externo .................................................................................................................................................2
Tabla 2: violaciones externas experimentadas en los últimos 12 meses ..............................................3
Tabla 3: violaciones internas en los últimos 12 meses ........................................................................3
Tabla 4: daños y perjuicios estimados totales monetarios que son resultado de violaciones durante
los 12 meses pasados ...........................................................................................................................4
Tabla 5: controles y productos asociados ..........................................................................................80
Tabla 6: Reporte de cuota del mercado de RDBMS a nivel mundial ..............................................100
Tabla 7: controles apoyados con la arquitectura básica de continuidad ..........................................101
Tabla 8: controles apoyados con la arquitectura básica de seguridad ..............................................108
Tabla 9: Controles apoyados con la arquitectura básica de continuidad..........................................117
Tabla 10: Controles apoyados con la arquitectura avanzada de continuidad ...................................123
Tabla 11: Controles apoyados con la arquitectura avanzada de Seguridad .....................................130
Tabla 12: Controles apoyados con la arquitectura avanzada de Administración y Monitoreo ........138
x
LISTA DE FIGURAS
Pág.
Ilustración 1: Estándares y Regulaciones. ............................................................................................5
Ilustración 2: Ciclo del SCI ..................................................................................................................8
Ilustración 3: Medios para el SCI ........................................................................................................8
Ilustración 4: Componentes del SCI ....................................................................................................9
Ilustración 5: Ventajas de SOX ..........................................................................................................12
Ilustración 6: Áreas de enfoque del gobierno de las TI. (IT Governance Institute, 2007) .................14
Ilustración 7: Marco de Trabajo completo de CobiT .........................................................................16
Ilustración 8 Protección de la Información (Deloitte, 2010) ..............................................................18
Ilustración 9. Evolución de ISO 27001 ..............................................................................................20
Ilustración 10 Ejemplo Activos de La Información (Deloitte, 2010) ................................................21
Ilustración 11 Clasificación Activos (Deloitte, 2010)........................................................................22
Ilustración 12 Integración del Negocio, Funcionario, Normatividad e ISO27001 (Deloitte, 2010) ..23
Ilustración 13 Riesgos vs Vulnerabilidades (Deloitte, 2010) .............................................................24
Ilustración 14 Tratamiento del Riesgo (Deloitte, 2010) .....................................................................25
Ilustración 15 Ciclo de Vida de la Información (Deloitte, 2010).......................................................28
Ilustración 16 Estrategia de Seguridad (Deloitte, 2010) ....................................................................29
Ilustración 17: Objetivos de Control MECI .......................................................................................30
Ilustración 18: Elementos del SCI en la Circular 14 (Oracle, 2009)..................................................39
Ilustración 19 SCI y los Activos de la Información ...........................................................................41
Ilustración 20 Ciclo de Mejora Continua - Activos de Información ..................................................42
Ilustración 21: Circular 14 arquitectura Base Controles apoyados versus no apoyados ..................105
Ilustración 22: ISO 27001 arquitectura Base Controles apoyados versus no apoyados ..................106
Ilustración 23: Arquitectura Base Continuidad del negocio ............................................................107
Ilustración 24: circular 14 arquitectura base controles apoyados versus no apoyados ....................114
Ilustración 25:iso 27001 arquitectura base controles apoyados versus no apoyados .......................114
Ilustración 26: Arquitectura base Seguridad ....................................................................................116
Ilustración 28: Circular 14 arquitectura base: controles apoyados versus no apoyados ..................119
Ilustración 29: Iso 27001 arquitectura base: controles apoyados versus no apoyados ....................119
Ilustración 30: Arquitectura Base: Administración y monitoreo .....................................................121
Ilustración 31: Circular 14 arquitectura avanzada continuidad: controles apoyados versus no
apoyados ..........................................................................................................................................126
Ilustración 32: Iso 27001 arquitectura avanzada Continuidad: controles apoyados versus no
apoyados ..........................................................................................................................................126
xi
Ilustración 33: arquitectura avanzada. Continuidad del negocio .....................................................128
Ilustración 34: Circular 14 arquitectura avanzada Seguridad: controles apoyados versus no
apoyados ..........................................................................................................................................135
Ilustración 35: Iso 27001 arquitectura avanzada Seguridad: controles apoyados versus no apoyados
.........................................................................................................................................................136
Ilustración 36: Arquitectura avanzada Seguridad ............................................................................137
Ilustración 37: Circular 14 arquitectura avanzada Administración y Monitoreo: controles apoyados
versus no apoyados ..........................................................................................................................140
Ilustración 38: Iso 27001 arquitectura avanzada administración y Monitoreo: controles apoyados
versus no apoyados ..........................................................................................................................140
Ilustración 39: Arquitectura Avanzada: Administración y monitoreo .............................................142
Ilustración 40: Porcentajes de apoyo en la circular 014 con la arquitectura básica .........................143
Ilustración 41: Porcentajes de controles apoyados de la ISO 27001 con la arquitectura básica ......144
Ilustración 42: Porcentajes de controles apoyados de la circular 014 con la arquitectura Avanzada
.........................................................................................................................................................144
Ilustración 43: Porcentajes de controles apoyados de la Iso 27001 con la arquitectura avanzada ..145
Ilustración 44: ciclo de implementación del Sistema de Gestión de Seguridad ...............................146
xii
LISTA DE ANEXOS
Pág.
Anexo Circular 014 de 2009 De La Superintendencia Financiera Sección 7.6.2 ……………….. 174
xiii
GLOSARIO
Alter Table: comando referente a la base de datos permite modificar la estructura de los objetos de
las bases de datos.
Ataque Dirigido: Uso de grandes redes de computadores para realizar peticiones constantes a un
punto específico, por ejemplo un servidor de correo.
BotNets: Conjunto de computadores que son controlados remotamente para fines maliciosos.
Ciberdelincuencia: Es un delito informático el cual ha sido realizado a través de un medio digital y
ha repercutido en un sistema protegido de manera jurídica.
Ciberseguridad: Seguridad relacionada con los medios tecnológicos como computadores, celulares,
televisión digital.
COSO: Committee of Sponsoring Organizations of the Tread- way Commission.
DBA: Database Administrator. Rol que desempeña labores de administración de una base de datos.
Deploy: desplegar una aplicación en un ambiente.
GRC: Governance Risk and Compliance
Hacker: “Programador perfeccionista y obsesivo, hábil en el uso de los sistemas, que gusta de
explorarlos al detalle” (Prieto, 2010)1
ISO: International Standarization Organization.
Malware: Forma reducida de "malicious y software” y este contiene programas espías, envío de
spam, virus.
Red Zombi: BotNet.
SCI: Sistema de Control Interno.
SGSI: Sistema de Gestión de Seguridad de la Información.
SOX: Sarbanes-Oxley Act of 2002 (Ley Sarbanes Oxley).
1 Prieto, J. L. (2010). Acerca del término hacker. Obtenido de Centro Virtual Cervantes.
xiv
SQL Injection: es aprovecharse de una vulnerabilidad de una sentencia SQL ingresando código
malicioso.
TI: Tecnología de la Información.
xv
INTRODUCCIÓN
En la actualidad es imperativo para las empresas, ya sean grandes o pequeñas el mitigar los riesgos
subsecuentes de su actividad económica, porque de otra manera seria imposible sobrevivir en el
ambiente competitivo del mercado actual, por ello no debe ser visto como una molestia o como un
gasto innecesario, la aplicación de controles para la mitigación de riesgos es una inversión a futuro
que evitara más de un dolor de cabeza y por supuesto el gasto de prevenir será poco comparado con
los gastos que genera la materialización de un riesgo, Además muchos de ellos pueden ser
sobrellevados con software y hardware que pueden reducir el error humano, automatizando
procesos y realizándolos de manera eficaz y eficiente, pero definir estos controles no es fácil y
mucho menos aplicarlos por ello afortunadamente en el mundo existen modelos, estándares y
regulaciones que buscan dar una guía para lograr mantener protegida a las empresas contra los
riesgos.
El siguiente trabajo de grado tiene como objetivo apoyar el cumplimiento de los controles
tecnológicos de la circular 014 de 2009 de la Superintendencia Financiera de Colombia, para lograr
esta meta, se inicia con la alineación de la circular junto con estándares y regulaciones
internacionales que tienen un grado de madurez más alto debido a su trascendencia e historia,
además cuentan con modelos de adopción ya probados, y debido a que la creación de estas
estándares y normas fueron creados a partir de buenas prácticas es de esperar que en muchos de los
controles sean comunes.
Una vez encontrada la relación de los controles entre sí, se analizaran los requerimientos
tecnológicos y se definirán los tipos de programas necesarios que abarquen la mayor parte de los
controles de la circular 014, ya teniendo presente las necesidades de software se procederá con el
estudio de los productos Oracle, una vez seleccionados se pasa a los diseños donde vemos como los
productos se distribuyen teniendo en cuenta que se proponen dos grandes arquitecturas una para
gran empresa y otra para mediana empresa estas a su se dividen en tres subgrupos los cuales son
monitoreo, seguridad y “Administración y Monitoreo”, esto permitirá a las empresa pensar en una
adopción por etapas de los productos ORACLE.
Finalmente se propone una homologación de la circular 014 de 2009 de la Superintendencia
Financiera de Colombia con el modelo propuesto por la norma ISO 27001, donde se podrá apreciar
por ejemplo que el análisis y la gestión de riesgos es abordada por la ISO 27005.
xvi
OBJETIVOS
OBJETIVO GENERAL
Desarrollo de una propuesta para el cumplimiento de los controles tecnológicos de la circular 14
que permita mediante el uso de herramientas Oracle , agilizar la administración de la seguridad de
la información acorde con los objetivos de control del Anexo A relacionados de la norma ISO
27001
OBJETIVOS ESPECÍFICOS
• Analizar el porcentaje de controles de la ISO 27001 que pueden ser resueltos a través de los
objetivos de control tecnológicos de la circular 014 de la superintendencia financiera.
• Explorar, analizar y seleccionar las soluciones tecnológicas Oracle que apoyen el
cumplimiento de los controles tecnológicos de la circular 14 así como los controles
relacionados con la ISO 27001.
• Analizar, Diseñar y describir de las arquitecturas basadas soluciones tecnológicas Oracle
que apoyaran el cumplimiento de los controles tecnológicos de la circular 14 así como los
controles relacionados con la ISO 27001.
• Validar la propuesta y las soluciones por medio de un juicio de experto teniendo en cuenta
el nivel de impacto y cumplimiento que tendría su adopción.
xvii
PRESENTACIÓN DEL PROYECTO
ALCANCE
El presente trabajo busca proponer un manejo de los controles tecnológicos de la Circular 14 en
paralelo a los objetivos de control relacionados de la norma ISO 27001.
La idea principal de la propuesta, es llevar a cabo un análisis del porcentaje de objetivos de control
contenidos en el Anexo A de la norma ISO 27001 que pueden ser resueltos a través de los objetivos
de control de la circular 14, esto con el fin de que las organizaciones que sea vean en la obligación
de cumplir con la regulación nacional (Circula 014) cuenten con un recurso que pueda facilitar el
proceso de implementar un sistema de gestión de seguridad de la información con validez
internacional como el que propone la ISO 27001.
De manera adicional, la propuesta no solo se conformará con la identificación, clasificación y
análisis de los controles en común entre la Circular 014 e ISO27001. También se explorarán y
analizarán herramientas de Oracle que apoyarán el cumplimiento de dichos controles, esto con el fin
de agilizar el proceso de identificación de soluciones tecnológicas que deberían implantar aquellas
organizaciones interesadas en el cumplimiento de las especificaciones de la Circular 014 e
ISO27001.
Ya teniendo una serie de soluciones claramente identificadas se analizarán y diseñarán una serie
arquitecturas basadas en herramientas Oracle para pequeñas, medianas y grandes empresas, que
apoyarán el cumplimiento de los controles tecnológicos de la circular 14 así como los controles
relacionados con la ISO 27001.
xviii
METODOLOGÍA
En este capítulo se presenta la metodología que enmarco las actividades del presente proyecto,
dividida en fases con sus respectivos entregables.
La metodología que será empleada para el desarrollo de este proyecto consiste en una serie de
etapas interconectadas que servirán de base sólida para el resultado final de la investigación
uyytysa ETAPA 1 ETAPA 2 ETAPA 3 ETAPA 4
Diseño
Arquitectónico
DIAGRAMAS
Sistema de
Control Interno y
Seguridad de la
Información.
Reconocimiento
Circular 14
ISO 27001
anexo A
Levantamiento
Planeación
Lineamientos
Validación
1
1. MARCO TEÓRICO
En esta sección encontraremos los concepto y teorías necesarias que se utilizaran para sustentar y
justificar el problema de la investigación propuesta.
1.1. DESCRIPCIÓN DEL CONTEXTO La adopción de tecnologías que apoyen los procesos empresariales es una tendencia que se está
dando desde hace varios años, esto debido a las ventajas que estas ofrecen como lo son: agilizar
procesos, generar conocimientos, mejorar administración del conocimiento, romper fronteras de
comunicación y producción, expansión a nuevos mercados, sustentando decisiones y generando
más ganancias, Pero el uso de la tecnología por sí sola no es suficiente, a esta se le debe proveer
datos obtenidos de diferentes fuentes (informes, investigaciones, estadísticas entre otras), que una
vez procesados se convierten en información que debe ser almacenada y según su calidad y
cantidad, se convierte junto con la tecnología en los activos más valiosos de la empresa. Pero el
incremento descuidado de esta información está generando grandes riesgos que amenazan con la
permanencia de las empresas en el mercado, esto es debido a la complejidad de estas tecnologías y a
la falta de metodología para la integración de las mismas, esto lo único que logra es que las ventajas
obtenidas se vuelvan en contra de las empresas, ya que facilita por falta de controles que empleados
desleales, hackers, malware, virus, fallos en hardware o desastres naturales, generen grandes
pérdidas para las empresas que en algunos casos nunca logran recuperarse, por ello es importante
salvaguardar la información controlando la tecnología.
Hoy en día la batalla por la información es ahora una guerra cibernética que se da en todos los
rincones del mundo. Y el listado de amenazas es creciente donde podemos encontrar desde redes
zombis o botnets que realizan ataques dirigidos, PDFs maliciosos, hasta grupos de hacking donde
entrenan nuevos atacantes, en su discurso dado el 29 de mayo de 2009 el presidente de los Estados
Unidos Barack Obama dice: “Se ha estimado que sólo el año pasado los ciberdelincuentes robaron
la propiedad intelectual de las empresas en todo el mundo por valor de hasta 1 trillón de dólares.”
(WHITE HOUSE, 2009)2, esta escandalosa cifra evidencia la falta de ciberseguridad en las
empresas.
2 WHITE HOUSE. (29 de Mayo de 2009). REMARKS BY THE PRESIDENT. Recuperado el 2010 de
Septiembre de 5, de whitehouse: http://www.whitehouse.gov/the_press_office/Remarks-by-the-President-on-
Securing-Our-Nations-Cyber-Infrastructure/
2
En una encuesta realizada por Deloitte “2010 Global Financial Services Security Survey” (Deloitte,
2010)3 en la cual participaron el 27% de las 100 principales instituciones financieras mundiales,
26% de los 100 principales bancos mundiales y el 28% de las 50 compañías aseguradoras
mundiales las cuales se les realizaron preguntas relacionadas con la seguridad de la información,
cuando se les pregunto el nivel de confianza de que la información está protegida contra ataques
cuyos resultado apreciamos en la Tabla 1, la mayoría de los encuestados un 42% afirmo sentir
“Algo de Confianza” con su protección contra un ataque interno y tan solo un 25% se sintió “Algo
de Confianza” con su protección contra un ataque externo, tan solo el 34% afirmo estar “Muy
Confiado” frente a un ataque interno y un 56% dijo estar “Muy Confiado” contra un ataque
externo.
TABLA 1: CONFIANZA QUE LA INFORMACIÓN DE LA ORGANIZACIONES ES PROTEGIDA DE ATAQUES INTERNOS
Y EXTERNO
Mucha
Confianza
Muy
Confiado
Algo de
Confianza
No muy
Confiado
No Confían
en Absoluto
Ataques
originados
internamente
5% 34% 42% 16% 2%
Ataques
originados
externamente
15% 56% 25% 3% 1%
Tomado y Traducido de 2010 Financial Services Global Security Study: The faceless threat
(Deloitte, 2010).4
Si bien los niveles de confianza más bajos “No muy Confiado” y “No confían en Absoluto” de la
Tabla 1 no suman más de 18%, cuando hablamos de “Ataques originados internamente” y solo
suman un 4% cuando hablamos de “Ataques originados externamente”, los ataques informáticos
exitosos se presentan y peor aún estos se repiten debido a que las empresas no reaccionan de
manera adecuada ante estas agresiones, entre los que más se presentan que apreciamos en la Tabla
2 están “El software malicioso se origina fuera de la organización” que se presenta por lo menos
una vez en el 14% de las empresas y ocurre repetidas veces en un 20% de las empresas, esto
3 Deloitte. (2010). 2010 Financial Services Global Security Study: The faceless threat. Recuperado el Agosto
de 29 de 2010, de deloitte: http://www.deloitte.com/assets/Dcom-
Global/Local%20Assets/Documents/Financial%20Services/dtt_fsi_2010%20Global%20FS%20Security%20S
urvey_20100603.pdf 4 Ibíd., p. 2.
3
evidentemente no debe suceder pero sucede y no solo con este tipo de ataques sino que con otros
como lo son “La pérdida de información procede de un ataque físico fuera de la organización”.
Indudablemente los ataques no solo provienen desde fuera de la organización y entre las que más se
presentan al interior de las organizaciones como se ve en la Tabla 3 se encuentra la “Brecha
accidental de información que proviene de dentro de la organización” que se presenta por lo menos
una vez en el 14% de la organizaciones y se repite en más del 20% de ellas.
TABLA 2: VIOLACIONES EXTERNAS EXPERIMENTADAS EN LOS ÚLTIMOS 12 MESES
Un
Incidente
Repetidos
Incidentes
El software malicioso se origina fuera de la organización 14% 20%
La pérdida de información procede de un ataque físico fuera de la
organización
10% 10%
Fraude financiero externo que implica sistemas de información 5% 9%
Brecha de información que proviene de fuera de la organización 7% 4%
Brecha de información que proviene de un vendedor de tercero 6% 4%
Robo de información que es resultado de espionaje estatal o
industrial
2% 1%
Desfiguración del sitio web 4% 1%
Brecha de la red móvil que proviene de fuera del a organización 1% 1%
Otra forma de brecha externa 5% 4%
Tomado y Traducido de 2010 Financial Services Global Security Study: The faceless threat
(Deloitte, 2010)5.
TABLA 3: VIOLACIONES INTERNAS EN LOS ÚLTIMOS 12 MESES
Un
Incidente
Repetidos
Incidentes
Brecha accidental de información que proviene de dentro de la
organización
8% 11%
Software malévolo que proviene de dentro de la organización 9% 10%
Brecha de información que proviene de dentro de la organización
conducida por un empleado
11% 8%
Fraude interno financiero que implica sistemas de información 7% 4%
Brecha de información que proviene de dentro de la organización
conducida por un no empleado
3% 2%
5 Ibíd., p. 2.
4
Brecha de información que proviene de un vendedor de tercero 3% 2%
Brecha de red móvil que proviene de dentro de la organización 1% 1%
Información privilegiada y comerciante bribón 2% 0%
Otra forma de brecha interna 3% 3%
Tomado y Traducido de 2010 Financial Services Global Security Study: The faceless threat
(Deloitte, 2010)6.
Sin lugar a dudas estos ataques no solo generan perdida de información y de imagen ante los
clientes, también generan grandes pérdidas que en algunos casos ni siquiera puede ser estimada por
las empresas, como se puede contemplar en la Tabla 4 que solo el 26% dice “no hay perdida
financiera”, mientras que el restante presentan perdidas que van desde los 250.000 dólares hasta 10
millones de dólares y en algunos casos 10% dice que esta “no medido”, debemos tener en cuenta
que en más de la mitad de los casos las empresas no tiene registro de estar perdidas con lo cual se
aumenta la probabilidad que los errores se presenten nuevamente.
TABLA 4: DAÑOS Y PERJUICIOS ESTIMADOS TOTALES MONETARIOS QUE SON RESULTADO DE VIOLACIONES
DURANTE LOS 12 MESES PASADOS
Tomado y Traducido de 2010 Financial Services Global Security Study: The faceless threat
(Deloitte, 2010)7.
6 Ibíd., p. 2.
7 Ibíd., p. 2.
5
Por estas razones “La creciente adopción de mejores prácticas de TI ha sido impulsada por una
exigencia de la industria de TI para gestionar mejor la calidad y fiabilidad de las TI en los negocios
y responder a un número cada vez mayor de las disposiciones normativas y contractuales” (ITGI,
2005)8 que buscan permitirles un mayor control en la administración de la información por medio
de políticas y procedimientos de control interno, desarrollando sus objetivos “en el ámbito de la
seguridad, transparencia y eficiencia”. (Superintendencia Financiera de Colombia, 2009)9.
Con relación a la gestión del riesgo, seguridad de la información, continuidad del negocio y
elementos relacionados se observan en la Ilustración 1, se dispone de estándares internacionales
como lo son COSO, Cobit, Val IT, CMMI, ISO 17799 (más conocido actualmente como ISO 27001
anexo A ó ISO 27002) y ITIL; y en lo referente a las Regulaciones encontramos a SARL, SARM,
SARO, SARG, SARLAFT, CIRCULAR 052 BASILEA II y CIRCULAR 014.
ILUSTRACIÓN 1: ESTÁNDARES Y REGULACIONES.
Tomado de ISACA.org
8 ITGI. (2005). itgovernance. Recuperado el 15 de Agosto de 2010, de
http://www.itgovernance.co.uk/files/ITIL-COBiT-ISO17799JointFramework.pdf 9 Superintendencia Financiera de Colombia. (19 de Mayo de 2009). Normativa. Recuperado el 16 de Agosto
de 2010, de Superintendencia Financiera de Colombia:
http://www.superfinanciera.gov.co/NormativaFinanciera/Archivos/ance014_09.doc
6
Estándares internacionales para la Gestión de la Seguridad de la Información, como lo es la
ISO27001 anteriormente ISO 17799, la cual “busca proponer un modelo para establecer,
implementar, operar, monitorear, revisar, mantener y mejorar un Sistema de Gestión de Seguridad
de la Información” (ISO, 2005)10
, junto con ITIL y Cobit 4.1 1 “son el estándar y las buenas
prácticas que están en las áreas de seguridad de la información o en los departamentos de
tecnologías de información” (ACIS, 2010)11
.
Regulaciones Colombianas como lo es la Circular 052 y la Circular 014 también conocida como
Circular 038 la cual contiene modificaciones para la circular 014 son emitidas por la
Superintendencia Financiera de Colombia, cabe recalcar que la “Circular 052 y Circular 014 son
las normativas actuales a cumplir, sin embargo la Circular038 del 2009 es las más reciente y
activa” (Bueno, 2010)12
. Estas circulares consideran que “Corresponde a los administradores de las
entidades vigiladas o sometidas al control exclusivo de esta Superintendencia” cumplir con dichas
circulares, entre las entidades vigiladas encontramos las del sector de servicios de banca y
financieros, en la actualidad estas empresas se están definiendo los planes de adopción e
implementación de las mismas debido a que las fechas paras las cuales ellos deben demostrar
cumplimiento se acercan. Estas regulaciones definen que es lo que desean pero en ningún momento
especifican como lograr esto, por ello las empresas sin tener un punto de arranque ejecutan de
manera inadecuada o parcialmente los controles que establecen las regulaciones, otros deciden no
cumplirlos con las consecuencias que esto conlleva, “Existe el peligro, que la aplicación de estas
mejores prácticas potencialmente útiles será costosa y fuera de foco si se les trata como una
orientación puramente técnica” (ITGI, 2005)13
, para que estas buenas prácticas logren de manera
efectiva sus objetivos se deben aplicar en el contexto del negocio y en la medida de lo posible que
estas logren el mayor beneficio para la organización. “La alta dirección, administración de
empresas, auditores, oficiales de cumplimiento y los administradores de TI deben trabajar juntos
para asegurar que las mejores prácticas de conducir a la relación coste-efectiva y bien controlados
de TI de entrega.” (ITGI, 2005)14
Es importante aclarar que la propuesta puede servir para seleccionar controles a resolver tanto en
una entidad financiera robusta como una pequeña, aunque el tiempo, el esfuerzo y el presupuesto a
emplear variarán sensiblemente. A continuación serán explicados de manera un poco más detalladas
algunos de los marcos de referencia nombrados anterior mente así mismo se aclarara la relación
entre ellos.
10 ITGI. (2005), op. cit., p.5.
11 ACIS. (2010). II Encuesta Latinoamericana de Seguridad de la información. Recuperado el 13 de
Septiembre de 2010, de ACIS: http://www.acis.org.co/fileadmin/Base_de_Conocimiento/XJNSI/IIELSI-
2010.pdf 12
Bueno, Luz Adriana (2010). 13
ITGI. (2005), op. cit., p.5. 14
ITGI. (2005), op. cit., p.5.
7
1.2. COMMITTEE OF SPONSORING ORGANIZATIONS OF THE
TREADWAY COMMISSION (COSO)
Antes de abordar en detalle la Circular 014 es importante conocer cuáles fueron los lineamientos
que influenciaron su creación y porque la Superintendencia financiera decidió oficializar y exigir el
cumplimiento de una regulación basada en estándares internacionales que enmarca los objetivos del
negocio dentro del concepto del Control Interno.
COSO, se constituyó en 1985 con el fin ofrecer patrocinio a la Comisión Nacional De Información
Financiera Fraudulenta, cuyo propósito es estudiar aquellos factores que dan evidencia a la emisión
de información financiera de carácter fraudulento.
COSO es una organización sin ánimo de lucro cuya función es emitir lineamientos a la
administración ejecutiva y a diversas entidades con el fin de establecer procesos de negocio basados
en la ética, en la eficiencia y eficacia. Es por esto que dicho lineamiento toma la forma de
frameworks y guías basados en buenas prácticas fruto de investigaciones, y análisis hechos a
profundidad.
1.2.1. MARCO DE CONTROL (INFORME COSO) El informe COSO tiene por objetivos (Bae, 2003)
15:
Establecer un Marco de Referencia común de Control Interno.
Dicho Marco debe ser susceptible de evaluación por parte de cualquier organización con el
fin de evaluar su Sistema de Control y encontrar la manera de mejorarlo.
Apoyar a las Directivas de las empresas a optimizar el proceso de control de actividades.
El control interno es un proceso o ciclo (Ver Ilustración 2) efectuado por las Directivas, la Gerencia
y el personal, con el fin de aportar un nivel aceptable de seguridad en el logro de los objetivos. Esto
para garantizar que las operaciones hechas en la organización sean eficientes y eficaces. Para que la
información financiera sea correcta y confiable y para garantizar el cumplimiento de leyes y normas
pertinentes.
15 Bae, B. (2003). Internal Control Issues: The Case of Changes to Information Processes.
8
ILUSTRACIÓN 2: CICLO DEL SCI
En la ilustración 2 se observa el ciclo que debe llevarse a cabo para el desarrollo de un Sistema de
Control Interno como el que propone COSO. Este sistema surge entonces como solución o
instrumento para lograr los objetivos propuestos por la organización y busca esto a través de:
ILUSTRACIÓN 3: MEDIOS PARA EL SCI
9
Como beneficios la entidad adquiere:
• Incrementar la productividad y competitividad de la entidad.
• Generar confianza e incrementar el reconocimiento de la entidad por parte de sus grupos de
interés.
• Fortalecer el proceso de toma de decisiones, fundamentando su gestión en la identificación,
prevención y gestión de riesgos y en la mejora continua.
• Clarificar los roles de las diferentes áreas de dirección de los órganos de control
involucrados en el Sistema de Control Interno.
• Dar mayor relevancia al rol que desempeña el proceso contable y tecnológico para el
soporte de los procesos misionales de la entidad.
• Mayor compromiso por parte de todos los funcionarios de la entidad en el cumplimiento de
los objetivos institucionales. Esto es que cada funcionario entienda la importancia de
cumplir debidamente con su trabajo para lograr los objetivos de negocio propuestos por las
directivas.
COSO no es un proceso secuencial, por el contrario es interoperable, reiterativo y constante.
Como se muestra en la Ilustración 8, COSO cuenta con cinco componentes principales relacionados
entre sí como respuesta a la administración adecuada del negocio. Dichos componentes están
interconectados con los procesos administrativos formando “un sistema integrado que reacciona
dinámicamente a las condiciones cambiantes.”[Control Interno y Control de Gestión] del entorno
que rodean a las organizaciones.
Los componentes son:
ILUSTRACIÓN 4: COMPONENTES DEL SCI
Basado en degerencia.com
10
• Ambiente de Control
Es el primer componente del SCI y propone establecer un entorno que incite e influencie todas las
actividades que tiene a cargo el personal referente al control de las actividades. El Ambiente de
Control es la base de los cuatro componentes restantes que se apoyan en este elemento. (Mantilla,
2005)16
• Análisis de Riesgo:
Este componente comprende una etapa de identificación y otra de análisis de los riesgos más
importantes a los que se verían comprometidos los objetivos de negocio de la organización y que
servirá como base para conocer la manera en la que esos riesgos serán manejados. (Mantilla,
2005)17
• Actividades de Control:
Una actividad de control es realizada por todo el personal de la empresa para garantizar el
cumplimiento de las actividades que le han sido asignadas. Dichas actividades tienen una relación
directa con procedimientos y políticas internas. Estas actividades pueden tomar la forma de
autorizaciones, aprobaciones, revisiones e indicadores y van dirigidas a los riesgos y objetivos de la
organización. (Mantilla, 2005).18
La importancia de estas actividades de control radica en que su naturaleza es la de mostrar la
manera correcta y adecuada de hacer las cosas, asegurando en mayor medida el logro de los
objetivos planteados.
• Información y Comunicación:
Para que el personal pueda cumplir con las responsabilidades que les han sido asignadas, es
necesario que la información ligada a estas haya pasado por un proceso de identificación y filtrado
para que posteriormente sea debidamente comunicada.
Es crucial que la Directiva de la entidad declare su responsabilidad sobre el control y la importancia
de las actividades individuales para el trabajo de otros empleados. Es indispensable que la
organización cuente con los medios adecuados para realizar procesos de comunicación internos y
externos. (Mantilla, 2005)19
16 Mantilla, S. A. (2005). Auditoría del control interno.
17 Ibíd., p. 10.
18 Ibíd., p. 10.
19 Ibíd., p. 10.
11
• Monitoreo:
Como las condiciones bajo las que se diseñaron los sistemas de control cambian y evolucionan ya
sea por factores externos o internos es necesario que la Gerencia lleve a cabo procedimientos de
revisión y re-evaluación de los componentes que hacen parte del sistema, para que los controles que
han perdido eficiencia debido al cambio sean corregidos y reforzados.
Sin embargo el hecho de que hayan cambiado las condiciones no implica que la revisión y
valoración deba realizarse en todos los elementos del sistema ni mucho menos al mismo tiempo. Y
esto dependerá de las condiciones de la organización, los riesgos previamente identificados y el
rendimiento de cada uno de los componentes de control. (Mantilla, 2005)20
Si bien COSO identifica una serie de componentes de control interno con el fin de ser
implementados para lograr los objetivos de reportes financieros y divulgación este no está solo,
también existe una regulación a nivel mundial para el control en el proceso de emisión de
información financiera y está basada en procesos de control interno para tal fin, dicha regulación es
llamada SOX o Ley Sarbanes-Oxley. A continuación se explicará sus objetivos fundamentales y su
relación con COSO.
1.2.2. SOX Y EL CONTROL INTERNO
SOX es una ley de los Estados Unidos que surgió debido a una serie de sucesos en el 2001
relacionados con quiebras, fraudes y anomalías en la administración corporativa que puso en duda
la veracidad de la información financiera emitida por las empresas. En el 2002 la ley Sarbanes-
Oxley fue aprobada con el fin de fortalecer los mecanismos de control de las empresas y retomar la
confianza en el proceso de emisión de información financiera.
Para lo anterior busca crear Transparencia en las operaciones, generar controles que aseguren el
manejo legal y minimizar riesgos para la alta gerencia. Adicionalmente, busca que las entidades
produzcan requerimientos relacionados con la confiabilidad y veracidad de la información
financiera así como la calidad de los procesos de emisión de la información y sus controles internos.
20 Ibíd., p. 10.
12
Como Funciona SOX.
De SOX se abstraen una serie de interrogantes interrelacionados que buscan generar
procedimientos de valoración y mejora del sistema de control, dichos pasos son los siguientes:
Luego de estos pasos se debe llevar a cabo la Implementación de nuevos controles y la
actualización y mejora de los existentes para así garantizar un nivel aceptable de confiabilidad,
exactitud y disponibilidad en el proceso de emisión de la información financiera.
ILUSTRACIÓN 5: VENTAJAS DE SOX
13
Y es de esa forma que SOX se convierte en un sistema de Implementación del control interno para
verificar y analizar los procedimientos de funcionamiento, garantizar la confiabilidad de la
información y la gestión pertinente obteniendo como resultado los aspectos que se muestran en la
Ilustración 5.
“Si bien COSO identifica cinco componentes de control interno, que deberán estar integrados para
alcanzar los objetivos de reporte financiero y divulgación, CobiT (CONTROL OBJECTIVES FOR
INFORMATION AND RELATED TECHNOLOGY) proporciona una guía detallada similar pero para
TI” (BDO, 2010)21
1.3. CONTROL OBJECTIVES FOR INFORMATION AND RELATED
TECHNOLOGY (COBIT) Para el proceso de apoyo al cumplimiento de los controles de la Circular 014 se hará uso de
herramientas tecnológicas por lo tanto es necesario abordar el estándar COBIT, el cual apunta hacia
el control sobre la inversión en TI, velando por el uso responsable de los recursos tecnológicos,
entendiendo, planeando y gestionando los riesgos asociados a esta, y realizando mediciones sobre el
despeño con el fin de asegurar que la inversión en TI genere beneficios para la organización.
El gobierno de las TI busca la integración e institucionalización de las buenas prácticas, para lograr
sacar el máximo provecho a la información que tienen las empresas, para así maximizar los
beneficios obtenidos. Para lograr esto es necesario un marco de referencia y “los Objetivos de
Control para la Información y la Tecnología relacionada (CobiT) brindan buenas prácticas a
través de un marco de trabajo de dominios y procesos, y presenta las actividades en una estructura
manejable y lógica. Las buenas prácticas de CobiT representan el consenso de los expertos. Están
enfocadas fuertemente en el control y menos en la ejecución. Estas prácticas ayudarán a optimizar
las inversiones habilitadas por TI, asegurarán la entrega del servicio y brindarán una medida
contra la cual juzgar cuando las cosas no vayan bien” (IT Governance Institute, 2007)22
.
CobiT no expide un certificado que avale el uso de las prácticas indicadas, pero ISACA si brinda un
título personal como lo es “Certified Information Systems Auditor” (CISA), “Certified Information
Security Manager” (CISM) y "Certified in the Governance of Enterprise IT" CGEIT.
21 BDO. (2010). Adoptando los Modelos de Control Interno COSO y COBIT.
22 IT Governance Institute. (2007). cobiT4.1. Recuperado el 12 de Septiembre de 2010, de isaca:
http://www.isaca.org/Knowledge-Center/cobit/Documents/cobiT4.1spanish.pdf
14
1.3.1. ÁREAS DE ENFOQUE DEL GOBIERNO DE LAS TI. COBIT ofrece un modelo de procesos genéricos que representan los procesos que se encuentran en
las funciones de TI, esto ofrece un modelo de referencia común para los gerentes operativos de TI y
del negocio, de esta manera se establece un puente entre lo que los gerentes operativos deben
realizar y lo que los ejecutivos desean gobernar.
El marco de referencia Cobit tiene como objetivos que:
• TI está alineada con el negocio.
• TI habilita al negocio y maximiza los beneficios.
• Los recursos de TI se usan de manera responsable.
• Los riesgos de TI se administran apropiadamente.
• La medición del desempeño.
Estos objetivos definen las áreas de enfoque que vemos en la ilustración 9.
ILUSTRACIÓN 6: ÁREAS DE ENFOQUE DEL GOBIERNO DE LAS TI. (IT GOVERNANCE INSTITUTE, 2007)
“Alineación Estratégica: se enfoca en garantizar la alineación entre los planes de negocio y de TI;
en definir, mantener y validar la propuesta de valor de TI y en alinear las operaciones de TI con las
operaciones de la empresa.
15
Entrega de Valor: se refiere a ejecutar la propuesta de valor a todo lo largo del ciclo de entrega,
asegurando que TI genere los beneficios prometidos en la estrategia, concentrándose en optimizar
los costos y en brindar el valor intrínseco de la TI.
Administración de Recursos: se trata de la inversión óptima, así como la administración adecuada
de los recursos críticos de TI, aplicaciones, información, infraestructura y personas. Los demás
temas claves se refieren a la optimización de conocimiento y de infraestructura.
Administración de Riesgos: requiere conciencia de los riesgos por parte de los altos ejecutivos de
la empresa, un claro entendimiento de apetito de riesgo que tiene la empresa, comprender de
cumplimiento, transparencia, de los riesgos significativos para la empresa, y la inclusión de las
responsabilidades de administración de riesgos dentro de la organización.
Medición del Desempeño: rastrea y monitorea la estrategia de implementación, la terminación del
proyecto, el uso de los recursos, el desempeño de los procesos y la entrega del servicio, con el uso,
por ejemplo, de balanced scoredcards que traducen la estrategia en acción para lograr las metas
medibles más allá del registro convencional.” (IT Governance Institute, 2007)23
23 Ibíd., p. 32.
16
1.3.2. MARCO DE TRABAJO.
ILUSTRACIÓN 7: MARCO DE TRABAJO COMPLETO DE COBIT
Tomado de CobiT 4.1 spanish. (IT Governance Institute, 2007)
CobiT es un marco relacionado con ISO 27001 anexo A y Coso, ya que incorpora aspectos
elementales de otros estándares relacionados, debido a esto las empresas que se hayan desarrollado
según las prácticas de CobiT están más cerca de adaptarse y lograr la certificación de ISO 27001
(López Neira, Otros Estandares)24
.
24 López Neira, A. (s.f.). Otros Estandares. Recuperado el 14 de Septiembre de 2010, de iso27000.es:
http://www.iso27000.es/download/doc_otros_estandar_all.pdf
17
1.4. ISO 27001 TECNOLOGÍA DE LA INFORMACIÓN – TÉCNICAS DE
SEGURIDAD – SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
– REQUERIMIENTOS
Cuando se habla del Sistema de Control Interno, este no solo incluye aspectos de gestión de riesgos,
integración de sistemas y cultura de calidad, sino que además sugiere la idea de implantar un
sistema de gestión de seguridad de la información es por esto que a continuación se aborda la norma
ISO 27001 la cual se remite directamente a la implantación de un SGSI.
1.4.1. SEGURIDAD DE LA INFORMACIÓN. La información es uno de los activos más importantes de una empresa, y es posible que a veces no
se lleven a cabo medidas para protegerla y alguna contingencia puede llevar a perderla para
siempre.
La tecnología hoy en día juega un papel importante en la operación y vida de una organización, casi
todos los procesos en el ámbito de las comunicaciones, producción y gestión de la información
dependen en gran medida de ella. Los riesgos a los que la información se enfrenta van desde los
daños físicos como desastres naturales o daños humanos hasta los causados por virus, ataques
informáticos y daños en infraestructura tecnológica. Y es por esto que las amenazas a las que
actualmente están expuestas las organizaciones son cada vez mayores.
“Contar con un sistema 100% seguro es prácticamente imposible, siempre hay cabida a una
pequeña posibilidad de que alguien logre hacer más de lo que los administradores de sistemas de
cómputo le permitan hacer.” (Colombiahosting.com, 2010)25
He aquí unas estadísticas relacionadas con la seguridad de la información hoy en día:
• 45% de los empleados se llevan consigo información de la empresa cuando cambia de
empleo. (Machines, 2002)26
• 97% de los entrevistados se muestra preocupado sobre brechas en la protección de la
información. (Institute, 2009)27
• 80% de los entrevistados considera que la mayor amenaza humana para la seguridad de la
información son personas internas. (Institute, 2009)28
25 Colombiahosting.com. (2010). La Seguridad de la Información.
26 Machines, L. (2002). Information Security Survey on Internal Threats.
27 Institute, M. T. (2009). CISO Information Security Survey.
28 Ibíd., p. 17.
18
Los siguientes porcentajes fueron obtenidos del documento Seguridad de la Información en
Latinoamérica, Tendencias 2009. Jeimy Cano
• Virus 71%
• Software No Autorizado 61%
• Troyanos 33%
• Acceso No Autorizados 31%
• Manipulación de Aplicaciones 22%
(Cano, 2009)29
Las anteriores estadísticas nos muestran que la Seguridad de la información no es un mito, tampoco
moda, es una realidad. (Deloitte, 2010)30
. Y es que actualmente el mismo mercado lleva a las
organizaciones a contemplar constantemente la protección de la información para sus negocios, la
globalización, la tecnología como producto de consumo masivo, etc.
ILUSTRACIÓN 8 PROTECCIÓN DE LA INFORMACIÓN (DELOITTE, 2010)
29 Cano, Jeimy. (2009). Seguridad de la Información en Latinoamerica Tendencias.
30 Deloitte, op. cit., p.2.
19
Adicional a las condiciones de mercado, uno de los problemas más significativos “es que la mayoría
de los “especialistas en seguridad” basan sus conocimientos y experticia solamente en el aspecto
técnico tradicional de la seguridad, es decir del área IT.” (Meyer, 2010)31
Pero obteniéndose un enfoque puramente técnico, lo único que se manejaría serían vulnerabilidades
bajo ciertos tipos de plataformas siendo insuficiente para el gran número de riesgos asociados a
ellas.
El mejor proceso es llevar a cabo un análisis de riesgos, donde se realiza una valoración de los
activos en la organización, una identificación de amenazas relacionadas con las vulnerabilidades de
cada uno de los activos. A partir de este proceso es posible iniciar con la identificación de los
riesgos. Posteriormente es necesario conocer la manera en la que los riesgos se asumirán,
generalmente se busca mitigarlos para lograr un nivel aceptable de funcionamiento, pero que para lo
cual se deberán generar e implantar un serie de disposiciones de seguridad.
El proceso sigue realizando un análisis de los riesgos identificados contra un estándar técnico como
lo es la ISO27001 (como se verá más adelante), para así poder establecer una serie de controles a
implantar de acuerdo a un nivel de implementación definido para reducir dichos riesgos a estados
aceptables. Para esto se propone un Sistema de Gestión de la Seguridad de la Información.
1.4.2. ISO 27001 Y EL SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA
INFORMACIÓN. “El propósito de un sistema de gestión de la seguridad de la información es, por tanto, garantizar
que los riesgos de la seguridad de la información sean conocidos, asumidos, gestionados y
minimizados por la organización de una forma documentada, sistemática, estructurada, repetible,
eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologías.”
(López Neira, iso27000.es el Portal de ISO 27001 en español, 2005)32
Siguiendo la meta del SGSI
podremos garantizar que habrá protección de la confidencialidad, integridad y disponibilidad de la
información.
Este estándar fue aprobado y publicado en el año 2005 por ISO, esto con el fin de crear una
certificación que se enfocara exclusivamente en la seguridad informática, en el anexo A se
encuentran los objetivos de control y controles necesarios para lograr el SGSI (Sistema de gestión
de seguridad de la información) el cual es la base sobre la cual se construye la certificación, para
llegar finalmente a la ISO 27001 se vivió un proceso de muchos años de evolución y crecimiento de
31 Meyer, C. O. (2010). Seguridad Informatica vs Seguridad de la Información.
32 López Neira, A. (2005). iso27000.es el Portal de ISO 27001 en español. Recuperado el 16 de Agosto de
2010, de http://www.iso27000.es/sgsi.html
20
la importancia que llega a tener la seguridad informática en las empresas, en el siguiente grafico
podemos observas los elementos que dejaron huella en la creación de la certificación.
ILUSTRACIÓN 9. EVOLUCIÓN DE ISO 27001
Con el apropiado uso de la certificación se logra:
• reducir o prevenir los riegos relacionados con la información, esto mediante la implantación
de controles adecuados, consiguiendo que la empresa esté preparada ante la
materialización de una amenaza con lo cual se garantice la continuidad del negocio.
• Crear un instrumento para la creación del SGSI que considere la estructura organizativa, los
recursos, los procedimientos y la política de la empresa.
• Gestión de la integridad, disponibilidad y confidencialidad.
• Concientización del personal de la empresa en lo relacionado con la seguridad de la
informática más específicamente en la seguridad de la información.
En general “con un SGSI, la organización conoce los riesgos a los que está sometida su información
y los asume, minimiza, transfiere o controla mediante una sistemática definida, documentada y
conocida por todos, que se revisa y mejora constantemente” (López Neira, iso27000.es el Portal de
21
ISO 27001 en español, 2005)33
. Es importante que la seguridad haga parte del diario vivir de la
empresa y que se tenga en cuenta desde el cargo más bajo como el más alto de la organización.
Adicionalmente si una empresa logra la certificación le será de gran utilidad ya que con ella puede
demostrar no solo a nivel nacional sino a nivel internacional, que cuenta con un sistema de gestión
en el campo de seguridad informática, lo cual nos facilitara el hacer negocios con multinacionales
ya que algunas de ellas exigen esta certificación para lograr tener una relación comercial.
1.4.3. ESTABLECIMIENTO DEL SGSI. El establecimiento del SGSI consta de las siguientes fases:
Identificación de los Activos de la Información.
Como se vio anteriormente, la estrategia de seguridad busca identificar un nivel aceptable de
seguridad acorde con los objetivos de negocio de la organización, sin embargo para establecer dicho
nivel es necesario identificar qué activos de la empresa serán objeto de control y verificación, es
decir, establecer qué activos se van a asegurar.
Para esto se debe identificar los flujos de información y los datos que pasan a través de ellos, esto se
hace en cada uno de los procesos críticos que se hayan seleccionado y a partir de este mecanismo
se identifican los activos de información de dichos procesos que serán tratados por el análisis de
riesgos.
ILUSTRACIÓN 10 EJEMPLO ACTIVOS DE LA INFORMACIÓN (DELOITTE, 2010)34
33 Ibíd., p. 19.
34 DELOITTE, op. cit., p.2.
22
Como se muestra en la imagen de arriba, es un ejemplo de algunos procesos de negocio en una
organización, allí deben analizarse los flujos de información que atraviesan el proceso en cuestión,
validar con el dueño del proceso e identificar los activos asociados a dichos procesos, para su
posterior clasificación.
Clasificación de Activos de Información.
Para realizar una clasificación de los activos de información se requiere haber identificado como se
explicó anteriormente unos procesos, para cada proceso una serie de activos. Posteriormente se
establecen atributos agrupados en categorías que ayudarán a establecer el impacto del activo frente
a una característica de la información. En estas categorías se encuentras ejemplos como
Confidencialidad, Integridad y Disponibilidad. Cada atributo tendrá un puntaje de acuerdo al
impacto en la característica. Totalizando de acuerdo a cada categoría como lo indica la gráfica,
quedan agrupados los puntajes de los atributos de acuerdo a Confidencialidad, Integridad y
Disponibilidad, para luego establecer un promedio obteniendo como resultado la columna llamada
Valor del Activo, que contendrá un puntaje que indicará el impacto del activo en el negocio, siendo
los puntajes más altos los que obtendrán mayor prioridad.
ILUSTRACIÓN 11 CLASIFICACIÓN ACTIVOS (DELOITTE, 2010)
23
Análisis de la Situación Actual.
Actualmente las empresas deben lidiar con diversos aspectos coyunturales, por un lado disponen
ellas mismas de una Estrategia de negocio que establece planes y programas de acción, definiendo
prioridades y recursos para lograr los objetivos de negocio. Por otro lado se encuentra con la
estructura organizacional que define una división del trabajo en la organización alineado con los
objetivos de negocio pero limitado por mecanismos de coordinación para ajustar, estandarizar,
supervisar y valorar las actividades pertenecientes a las labores operacionales. Y por último se
encuentran con un entorno que establece una serie de procesos bajo un marco normativo. Estos tres
elementos deben integrarse y alinearse con el fin de trabajar juntos en contexto con la norma
ISO27001.
ILUSTRACIÓN 12 INTEGRACIÓN DEL NEGOCIO, FUNCIONARIO, NORMATIVIDAD E ISO27001 (DELOITTE,
2010)35
35 DELOITTE, op. cit., p.2.
24
Análisis de Riesgos y Vulnerabilidades.
Establecer un inventario de activos críticos por proceso no es suficiente para realizar un mecanismo
de protección y aseguramiento, también es necesario e indispensable identificar los riesgos
asociados a dichos activos, sus vulnerabilidades y las probabilidades de que estos se presenten.
Como se muestra en la siguiente gráfica, con anterioridad ya se cuentan con los procesos y los
activos asociados a ellos, lo siguiente a identificar son la vulnerabilidades para cada uno de los
activos agrupadas según categorías, pare el caso Confidencialidad, Integridad y Disponibilidad,
luego de identificar las amenazas asociadas a los activos y se determina la probabilidad de que una
amenaza suceda y explote la vulnerabilidad tratada.
ILUSTRACIÓN 13 RIESGOS VS VULNERABILIDADES (DELOITTE, 2010)36
36 DELOITTE, op. cit., p.2.
25
Opciones del Tratamiento del Riesgo.
Las siguientes son las cuatro opciones que propone Deloitte para tratar los posibles riesgos que se
presenten (Deloitte, 2010)37
:
ILUSTRACIÓN 14 TRATAMIENTO DEL RIESGO (DELOITTE, 2010)
• Asumir el Riesgo
“Asumir el riesgo es la opción más arriesgada, es aceptar el riesgo y continuar operando tal
como se ha estado haciendo” (Deloitte, 2010)38
• Evitar el Riesgo
Una de las más complicadas, “Eliminar la causa de éste (ej. Sacar de producción un
activo)” (Deloitte, 2010)39
• Transferir el Riesgo
Va desde transferir la operación y responsabilidad a un tercero o “Usar opciones que
compensen la pérdida (ej. Adquirir seguros o pólizas)” (Deloitte, 2010)40
con los costos que
esto acarrea.
• Limitar el Riesgo
La más adecuada de todas y la base del modelo ISO27001 que es “Implementar controles
que reduzcan la probabilidad de la amenaza” (Deloitte, 2010)41
1.4.4. REQUISITOS DE DOCUMENTACIÓN.
37 DELOITTE, op. cit., p.2.
38 DELOITTE, op. cit., p.2
39 DELOITTE, op. cit., p.2
40 DELOITTE, op. cit., p.2
41 DELOITTE, op. cit., p.2
26
El ISO 27001 especifica que debe contar como mínimo los siguientes documentos en cualquier
formato (Digital o impreso):
• Alcance: Acota las áreas de la empresa que son sometidas al SGSI.
• Políticas y Objetivos de Seguridad: declara el objetivo, el enfoque y el compromiso de la
empresa en la gestión de la seguridad de la información.
• Procedimientos y mecanismos de control que soportan el SGSI: contiene los
procedimientos que regulan el funcionamiento del SGSI, de manera clara y concisa.
• Enfoque de la evaluación de riesgos: detalla la metodología para el manejo de los riesgos,
esto incluye identificación, análisis, define límites de tolerancia del riesgo y cálculo del
impacto.
• Informe de la evaluación de riesgos: este es un documento que contiene los resultados de
aplicar el enfoque de la evaluación de riesgos.
• Plan de tratamiento de riesgos: documenta los recursos, las responsabilidades y las
prioridades de los riesgos, esto orientado por las conclusiones de la evaluación de riesgos y
recursos disponibles.
• Procedimientos documentados: contiene los pasos para el manejo de los riesgos.
• Registros: Aquí podremos encontrar las evidencias que muestran el funcionamiento del
SGSI.
• Declaración de aplicabilidad: esta sección contiene los objetivos de control y los controles.
Los anteriores documentos deben contar con un proceso de verificación y validación para asegurar
la calidad de los mismos ya que estos deben ser conocidos por todos los involucrados en el SGSI,
que son los miembros de las áreas sometidas al SGSI.
Para lograr la implementación este estándar internacional adopta el modelo PDCA “por sus siglas
en ingles Plan-Do-Check-Act”, en español seria Planificar-Hacer-Verificar-Actuar.
“Esta norma está dividida en once dominios de control, 39 objetivos y 133 controles. Los dominios
presentados abarcan: política de seguridad, organización de la seguridad de la información, gestión
de activos, control de acceso, seguridad de los recursos humanos, cumplimiento, seguridad física y
del entorno, adquisición, desarrollo y mantenimiento de sistemas de información, gestión de las
comunicaciones y operaciones, gestión de la continuidad del negocio y gestión de incidentes de
seguridad de la información.” (ICONTEC, 2010)42
“Adicionalmente las organizaciones deben implementar los objetivos de control y los controles
descritos en los numerales 5 al 15 de la ISO/IEC 27002, que cumplan los requisitos identificados en
el proceso de valoración y tratamiento de riesgos.”
42 ICONTEC. (2010). Certificación ISO 27001. Recuperado el 1 de Septiembre de 2010, de icontec.com:
http://www.icontec.org/BancoConocimiento/C/certificacion_iso_27001/certificacion_iso_27001.asp?CodIdio
ma=ESP
27
“Obtener un buen sistema de gestión de la información no depende de la tecnología que utilicemos
en nuestra empresa, sino en mayor medida de los procesos y las personas involucradas, con el
objetivo de preservar el valor actual y futuro de nuestras organizaciones.” (Dutra, 2006)43
Ciclo de Vida de la Información.
Con el aumento dramático de la información y la consecuente complejidad en su administración da
una idea del porqué “los sistemas y las soluciones de almacenamiento se desplazan hacia el centro
de la infraestructura tecnológica.” (Solla, 2009)44
. La TI busca ahora generar conciencia del valor
actual de la información, su organización y clasificación según importancia y prioridad. De esta
forma así como otros procesos de negocio cuentan con un ciclo de vida, la información también lo
tiene, donde su valor constantemente cambia desde su creación hasta su fin.
El valor de la información no es constante, este varía de acuerdo a los estados en las operaciones de
la organización como por ejemplo:
Horas o días en las transacciones que generan las ventas. (Solla, 2009)45
Mensuales en el tratamiento de nóminas. (Solla, 2009)46
Anuales en los cierres de ejercicio. (Solla, 2009)47
Esto significa que las organizaciones cada vez producen y usan en mayor nivel grande s volúmenes
de información, que constantemente modifican, actualizan y mantienen como acción natural al
crecimiento del negocio. Adicionalmente se vinculan normativas que obligan a “establecer un el
plazo que hay que mantener salvaguardados los correos y otras informaciones en formato
electrónico, así como el tiempo máximo para su recuperación y puesta a disposición del organismo
solicitante” (Solla, 2009)48
43 Dutra, E. G. (24 de febreo de 2006). Seguridadit Blogspot. Recuperado el 16 de Agosto de 2010,
de http://seguridadit.blogspot.com/2006/02/mas-sobre-iso-1779927001.html
44
Solla, J. L. (2009). Gestión del Ciclo de Vida de la Información. 45
Ibíd., p. 27. 46
Ibíd., p. 27. 47
Ibíd., p. 27. 48
Ibíd., p. 27.
28
Entonces a medida que la información crece es necesario establecer un ciclo apropiado que apoyará
los cambios de estado y de valor que en ella se presentan y para esto se establece un ciclo de 6 fases
como lo muestra la siguiente imagen:
ILUSTRACIÓN 15 CICLO DE VIDA DE LA INFORMACIÓN (DELOITTE, 2010)49
Este ciclo permitirá asociar un estado en el que se encuentra la información con unos
procedimientos para tratarla en dicho estado. Estos procedimientos son libremente establecidos por
la organización y dependen en gran medida del volumen, tipo y tiempos de vida de la información a
tratar.
El punto de partida radica que dentro de la organización se comprenda que la gestión del ciclo de
vida la información puede implementarse por etapas, cada una ofreciendo un valor específico, la
construcción de esta implementación es secuencial y dependerá del alcance fijado por la
organización así como de las arquitecturas tecnológicas existentes. De esta forma como bien la
norma ISO27001 requiere que todo proceso se encuentre debidamente documentado, es necesario
establecer un ciclo de vida válido y acorde con los requerimientos para toda documentación
generada fruto del establecimiento de nuevos procedimientos en la organización.
49 Deloitte. (2010). Alineando Procesos de Negocio con la ISO27001.
29
1.4.5. ALINEAMIENTO ESTRATÉGICO. Ya conociendo la estructura formal de la norma ISO 27001, es evidente que se necesita identificar
una estrategia de seguridad en las organizaciones para esto es necesario contemplar los diferentes
aspectos que la alimentan. Por un lado es necesario establecer los Objetivos de Negocio, que estén
debidamente formulados y clarificados, posteriormente se formularán los objetivos de seguridad
que estarán alineados con los de negocio, para consecuentemente emitir Políticas corporativas que
deberán ser divulgadas en todas la organización.
Estas políticas establecerán procedimientos de acción frente a los aspectos claves en ciertas
operaciones de la compañía. Estos tres elementos permitirán generar una Política de Seguridad que
propondrá más adelante procesos, pasos, controles y verificaciones en las actividades relacionadas
con los aspectos claves de seguridad que buscan implantarse.
Con los componentes anteriores ya definidos, se procede a realizar un Plan de Acción el cual
permitirá programar y controlar las actividades que deberán llevarse a cabo para dar cumplimiento
a las estrategias y proyectos de la organización, allí se establecerá un tiempo, espacio y metas de las
tareas específicas que contribuirán con los objetivos de negocio y de seguridad. En este sentido, el
plan de acción contemplará a su vez con una serie de procesos de seguridad que tendrá como base
una Arquitectura de Seguridad escalable.
ILUSTRACIÓN 16 ESTRATEGIA DE SEGURIDAD (DELOITTE, 2010)50
Ya entendiendo el concepto del Sistema de Control interno y su relación con el Sistema de Gestión
de Seguridad de la información, a continuación se abordará en detalle la Circular 014, sus objetivos,
estructura y controles.
50 Ibíd., p. 28.
30
1.5. CIRCULAR EXTERNA 014 DEL 2009 DE LA SUPERINTENDENCIA
FINANCIERA DE COLOMBIA La superintendencia Financiera controla y supervisa la gestión de las entidades detalladas en los
artículos 72 y 73 del Decreto 4327 de 2006 y bajo este contexto emitió la Circular Externa 14 el 19
de Mayo de 2009, titulándola “Instrucciones relativas a la revisión y adecuación del Sistema de
Control Interno” realizando un recalcando la importancia del papel que tiene el Sistema de Control
Interno (SCI) como instrumento fundamental del gobierno corporativo de las entidades. La
exigencia de su adopción inició el 30 de septiembre de 2009.
La emisión de la circular busca presentar un conjunto de requerimientos y recomendaciones
técnicas y metodológicas con el fin de hacer cumplir un modelo de gestión relacionado con las
actividades a desarrollar propias del control interno de las entidades.
La circular 14 hereda aspectos fundamentales del Modelo Estándar de Control Interno (MECI)
establecido en el Decreto 1599 de 2005 y aplicabilidad en el sector público. Su alcance es bastante
grande incluyendo:
- Tareas
- Funciones
- Responsabilidades
Todas ellas propias de los Directivos, Auditores Internos, Departamento de Tecnología,
Administración del Riesgo. De esta forma MECI propone una estructura para realizar control en la
gestión, en la estrategia y valoración de las entidades esto con el fin de orientarse hacia el
cumplimiento de los objetivos de la institución.
El Modelo MECI se formuló con el propósito de que las entidades pudieran mejorar su desempeño
día a día fortaleciendo los procesos control y evaluación. Para esto (similar a la Circular 014) las
entidades deben llevar a cabo una valoración que arrojará un nivel de efectividad de los elementos
de control con los que cuenta, con el fin de realizar una etapa de diseño, desarrollo o incluso de
ajuste para su implementación o mejora según sea el caso.
Sin embargo, es importante aclarar los objetivos fundamentales del Modelo Estándar de Control
Interno (MECI), estos se agrupan en 5 Grandes Áreas u Objetivos de Control:
ILUSTRACIÓN 17: OBJETIVOS DE CONTROL MECI
31
Objetivos de Control de Cumplimiento (Colombia, 2005)51
:
Estos controles son los que afectan directamente a la Administración, es decir que allí se encuentran
actividades que le permitirán a la organización cumplir con las funciones establecidas, generar
instrucciones o pasos de verificación y evaluación dentro del marco que establezca la ley.
Objetivos de Control Estratégico (Colombia, 2005)52
:
Estos objetivos re encalcan la importancia que tiene el control sobre los procesos, además construye
una serie de procedimientos que rediseñan a la entidad permitiendo gestionar los posibles riesgos
que puedan presentarse.
Objetivos de Control de Ejecución (Colombia, 2005)53
:
Estos objetivos buscan crear una serie de instructivos para las actividades y funciones de la
organización que garanticen aspectos de prevención y corrección en ellas. Esto con el fin de poder
tomar decisiones con información pertinente, correcta y fiable. También hace referencia a un nivel
mínimo de comunicación que permita un ejercicio adecuado de la actividad empresarial.
Objetivos de Control de Evaluación (Colombia, 2005)54
:
51 Colombia, R. d. (2005). MODELO ESTANDAR DE CONTROL INTERNO PARA EL ESTADO
COLOMBIANO. Bogotá. 52
Ibíd., p. 31. 53
Ibíd., p. 31. 54
Ibíd., p. 31.
32
Busca que existan herramientas, medios e instructivos que permitan generar actividades de
corrección y mejoramiento. Hace referencia también, a actividades de verificación y evaluación
constante del control y la gestión acorde con las recomendaciones de los entes de control.
Objetivos de Control de Información (Colombia, 2005)55
:
Son procedimientos que explican el cómo generar información clara, correcta y exacta para ser
entregada a los entes de control interno para su posterior evaluación y resultado.
Bajo este marco de control que aporta MECI es en el cual en parte se basa la Superintendencia
Financiera para emitir circular 14 donde evaluará el cumplimiento de las exigencias que en ella se
nombran pero de acuerdo a su propio modelo de supervisión.
En dicha Circular se establece de manera obligatoria la realización de informes periódicos en cada
etapa de cierre e informes de avance sobre cada temática. De esta manera la Superintendencia
Financiera busca constatar la existencia de documentación formal como Políticas, procedimientos y
normas. Así como la implementación real en los sectores relacionados. Para tal fin la
Superintendencia Financiera cuenta con un documento mayor que evaluará a manera de CheckList
los aspectos a revisar durante su visita.
La circular externa 014 busca no solo los administradores de las entidades vigiladas o sometidas al
control exclusivo de la Superintendencia Financiera de Colombia cumplan con un sistema de
control interno, sino que las entidades Financieras también lo hagan llevando a cabo una serie de
procedimientos, normas, políticas y mecanismos que entregarán un nivel de seguridad adecuado
para la organización y para aquellas entidades que interactúen con ella.
Dentro de la circular 14 se establece:
- Ámbito de Aplicación
- Objetivos
- Elementos del Sistema de Control.
- Procedimientos para la gestión de riesgos.
- Órganos responsables de verificar la implementación y cumplimiento del SCI.
- Mecanismos y procesos de seguimiento.
Adicionalmente afirma que son los representantes legales de la organización tienen a cargo
establecer y mantener los sistemas de revelación, los de control y además el proceso de diseño y
operación de los controles internos.
55 Ibíd., p. 31.
33
El cumplimiento de la circular 14 es posible solo con la implantación de un SCIF (Sistema de
Control Interno Efectivo) el cual permitiría la detección y remedio de los vacíos que existen entre
los riesgos que la compañía afronta y los controles establecidos para prevenir o mitigar esos riesgos.
Este sistema busca contribuir al logro de los objetivos empresariales y fortalecer la administración
de los riesgos a los que las empresas están expuestas a diario en sus actividades ofreciendo entornos
de seguridad y eficiencia.
Los registros de fracasos y crisis en el sector empresarial han mostrado que la gerencia toma riesgos
sin los controles correspondientes. Es por esto que con un nuevo enfoque del control interno se
puede corregir esta falla llevando a cabo controles en cada uno de los procesos administrativos y
estableciendo un Ambiente de Control que incentive los principios y buenas conductas orientadas al
control.
En este caso las directivas juegan un papel crucial para transferir liderazgo y compromiso haciendo
hincapié en la gran importancia de los controles internos y las responsabilidades que deben ser
asumidas por cada uno de los funcionarios de acuerdo al sistema de control interno. Por lo tanto se
habla de un control preventivo donde se reúnen aspectos fundamentales de la organización como la
estrategia, reglamentos, información para tomar decisiones, etc. De esta manera las directivas, jefes
y empleados tendrán la capacidad para administrar los riesgos de la empresa, estableciendo con
antelación un Sistema de Control Interno.
Claro está que el Sistema de Control Interno se basa en que cada uno de los funcionarios de la
empresa control su trabajo con el fin de detectar fallas para después ejecutar acciones correctivas en
sus funciones y proporcionar mejoras a las operaciones.
Bajo este contexto los auditores juegan dos papeles importantes para el mantenimiento del Sistema
de Control interno. Por una parte, la auditoría interna es un aspecto fundamental para el
mejoramiento del sistema, detectando irregularidades, gestionando riesgos, amenazas y
proporcionando un monitoreo constante de los procesos internos. La auditoría externa ofrece un
nivel adecuado de seguridad a terceros referente a la confiabilidad de la certificación que tiene la
empresa para comprobar la efectividad de su Sistema de control Interno.
1.5.1. ELEMENTOS Y ESTRUCTURA DE LA CIRCULAR 14. Como ya se ha explicado con anterioridad, todas las entidades supervisadas, deberán implementar
un Sistema de Control Interno de nivel aceptable que la circular establece en sus capítulos. Y se
espera que dicho sistema sea acorde con el tamaño de la empresa es decir que se deberá tener en
34
cuenta el número de empleados, activos e ingresos, número de sucursales, etc. (Superintendencia
Financiera de Colombia, 2009)56
.
La Circula Externa 014 en su sección 7.4 explica lo que para la Superintendencia Financiera son los
principios del Sistema de Control Interno, siendo tres como se muestra a continuación:
1) Autocontrol
El autocontrol va directamente relacionado a que cada empleado en la organización pueda “evaluar
y controlar su trabajo” (Superintendencia Financiera de Colombia, 2009)57
, y si detectará un error
pueda efectuar una actividad de corrección en sus funciones, a esto se le agrega también, la
capacidad de optimizar tareas y responsabilidades asignadas.
Además atribuye las Directivas la responsabilidad de recalcar el deber de cada uno de los
empleados en la organización para que sean conscientes de sus funciones y los procesos de control
ligados a ellas, lo cual permitirá cumplir con los objetivos propuestos de la Dirección.
2) Autorregulación
Hace referencia a que la organización debe estar en capacidad de generar lineamientos, normas e
instructivos que permitan que el Sistema de Control Interno pueda ser desarrollado, implementado o
mejorado según sea el caso.
3) Autogestión
La autogestión hace referencia a que la organización este en capacidad de “interpretar, coordinar,
ejecutar y evaluar de manera efectiva, eficiente y eficaz su funcionamiento.” (Superintendencia
Financiera de Colombia, 2009)58
.
Basada en los principios mencionados, la Circular 014 establece una serie de aspectos que
garantizarán una seguridad aceptable dentro de las organizaciones acorde con sus objetivos y
cumpliendo con la regulaciones correspondientes.
56 Superintendencia Financiera de Colombia. (19 de Mayo de 2009). Normativa. Recuperado el 16 de Agosto
de 2010, de Superintendencia Financiera de Colombia:
http://www.superfinanciera.gov.co/NormativaFinanciera/Archivos/ance014_09.doc 57
Ibíd., p. 34. 58
Ibíd., p. 34.
35
Para que haya un cumplimiento efectivo de los principios mencionados anteriormente así como los
objetivos del SCI tratados en la sección 1.1, las organizaciones tendrán que crear una “estructura de
control interno” (Superintendencia Financiera de Colombia, 2009)59
que esté basado en los
elementos del SCI propuesto por el Modelo COSO, ya explicados en la sección 1.1.1.1, sin embargo
señálemelos desde la perspectiva de la Circula 014:
• Ambiente de Control
La Circular 14 se refiere a este como “políticas y procedimientos que deben seguirse para
lograr que las instrucciones de la administración con relación a sus riesgos y controles se
cumplan. Las actividades de control se distribuyen a lo largo y a lo ancho de la
organización, en todos los niveles y funciones.” (Superintendencia Financiera de Colombia,
2009)60
Y propone unos elementos básicos para la creación de un ambiente de control, dicho
elementos son:
1) Establecimiento formal de los principios de la organización, es decir debidamente
documentado, y que sea divulgado a toda la empresa.
2) Generación de un Código de Conducta
3) Seguimiento de procedimientos que permitan que los empleados cuenten con suficiente
información para el cumplimiento de sus responsabilidades.
4) Estructura Organizacional en función del SCI, con establecimiento de
responsabilidades y niveles de autoridad correspondientes.
5) Generación de objetivos organizacionales orientados a la Misión y Visión de la
empresa.
• Análisis de Riesgo:
Este componente comprende una etapa de identificación y otra de análisis de los riesgos
más importantes a los que se verían comprometidos los objetivos de negocio de la
organización y que servirá como base para conocer la manera en la que esos riesgos serán
manejados.
Es decir que es necesario establecer unos objetivos a nivel interno y externo que permitirán
identificar los riesgos que amenazan su cumplimiento, “así como la determinación de métodos para
el tratamiento y monitoreo de los riesgos, con el propósito de prevenir o evitar la materialización
59 Superintendencia Financiera de Colombia, op. cit., p.34.
60 Superintendencia Financiera de Colombia, op. cit., p.34.
36
de eventos que puedan afectar el normal desarrollo de los procesos” (Superintendencia Financiera
de Colombia, 2009)61
y de no ser posible por lo menos mitigar su impacto.
Para el caso de las entidades sometidas a control como las financieras, el proceso de administración
del riesgo deberá contar con los siguientes procedimientos:
1) Identificación de Amenazas.
2) Identificar y Priorizar Riesgos.
3) Calcular Probabilidad de Ocurrencia de los riesgos e impacto sobre los recursos.
4) Evaluar los controles identificados y determinar su efectividad.
5) Construcción de Mapas de Riesgos pertinentes.
6) Implementar un plan de continuidad del negocio y probarlo.
7) Divulgar mapas de riesgos y políticas definidas por la Administración.
8) Administración del Riesgo con el uso de diversas estrategias para mitigar su efecto.
9) Registro y Reporte de pérdidas materiales cuanto el riesgo de materializa.
10) Seguimiento con el apoyo de las entidades encargadas.
11) Establecimiento de acciones preventivas y correctivas.
• Actividades de Control:
La Circular 014 afirma que “las actividades de control son las políticas y los
procedimientos que deben seguirse para lograr que las instrucciones de la administración
con relación a sus riesgos y controles se cumplan.” (Superintendencia Financiera de
Colombia, 2009)62
.
Y para esto, es necesario establecer actividades de carácter obligatorio para todo tipo de proceso en
la organización dentro de las cuales, la Circular 014 espera:
1) Análisis de informes por parte de la Administración para observar los progresos en el
logro de sus objetivos.
2) Gestión de Funciones y Actividades.
3) Análisis y Procesamiento de la Información.
4) Controles de Aplicación. (Superintendencia Financiera de Colombia, 2009)63
5) Establecimiento de alcances en cada área de la organización dependiendo del tipo de
riesgo.
6) Inspección de los lugares en los que se encuentran los visitantes con el fin de evitar una
contingencia.
7) Controles Físicos.
8) Indicadores.
61 Superintendencia Financiera de Colombia, op. cit., p.34.
62 Superintendencia Financiera de Colombia, op. cit., p.34.
63 Superintendencia Financiera de Colombia, op. cit., p.34.
37
9) “Segregación de Funciones”. (Superintendencia Financiera de Colombia, 2009)64
10) “Acuerdo de Confidencialidad”. (Superintendencia Financiera de Colombia, 2009)65
11) “Procedimientos de Control”. (Superintendencia Financiera de Colombia, 2009)66
12) “Difusión de las actividades de control.” (Superintendencia Financiera de Colombia,
2009)67
Las actividades de control que sean consideradas cumplirán una relación costo/beneficio y
estarán apoyadas en políticas que enseñaran qué hay que hacer y cómo hacerlo.
• Información y Comunicación:
La Circular 014 expresa que es indispensable “identificar, capturar e intercambiar
información en una forma y período de tiempo que permita al personal cumplir con sus
responsabilidades.” (Superintendencia Financiera de Colombia, 2009)68
Información
El sistema de información debe suministrar información suficiente para poder controlar los
objetivos de negocio establecidos, la Circular 014 propone las siguientes:
1) Identificación de la información entrante y saliente.
2) Asignación de propietarios de la información y quienes tienen acceso a ella.
3) Generación de Formulario que minimicen el ingreso erróneo de información
4) Generar instructivos que pueda proponer un proceso de identificación, reporte y
corrección de errores.
5) Procedimientos que permitan almacenar los documentos originales emitidos por la
entidad.
6) Establecer restricciones y controles para que los informes sean hechos por personal
autorizado.
7) Establecer restricciones y controles que protejan el acceso no autorizado a la
información.
8) Establecimiento de procesos de backup.
9) Parámetros para la entrega de la información sin importar el medio.
10) Clasificación de información en privada, publica, confidencial.
11) Custodia de la información.
12) Uso de mecanismos o herramientas que eviten el uso de información privilegiada.
64 Superintendencia Financiera de Colombia, op. cit., p.34.
65 Superintendencia Financiera de Colombia, op. cit., p.34.
66 Superintendencia Financiera de Colombia, op. cit., p.34.
67 Superintendencia Financiera de Colombia, op. cit., p.34.
68 Superintendencia Financiera de Colombia, op. cit., p.34.
38
13) Detectar fallas y aplicar correcciones.
14) “Cumplir Requerimientos Legales” (Superintendencia Financiera de Colombia, 2009)69
Comunicación:
La organización debe garantizar un nivel de comunicación bastante alto para que esta se
propague en todas las áreas de la organización.
De esta forma, cada empleado deber saber exactamente qué rol desempeña dentro del
Sistema de Control Interno y ser consciente que las actividades que realiza dependen de las
de otros y viceversa.
Para tal fin, la Circular 14 Propone los siguientes elementos tomados literalmente de sus
capítulos:
1) Canales de comunicación
2) Responsables de su manejo
3) Requisitos de la información que se divulga
4) Frecuencia de la comunicación
5) Responsables
6) Destinatarios
7) Controles al proceso de comunicación
(Superintendencia Financiera de Colombia, 2009)70
• Monitoreo:
La Circula 014 define a este componente como “el proceso que se lleva a cabo para
verificar la calidad de desempeño del control interno a través del tiempo”
(Superintendencia Financiera de Colombia, 2009)71
. Lo anterior se logra con unos procesos
de valoración continua en cada una de las áreas o procesos liderados por cada uno de los
jefes responsables. La circular externa hace hincapié en que el SCI debe ser dinámico para
que siempre pueda adaptarse a las condiciones de la empresa y al entorno en el que opera.
Lo cual implica una evaluación de calidad y desempeño del sistema con sus correcciones
pertinentes.
69 Superintendencia Financiera de Colombia, op. cit., p.34.
70 Superintendencia Financiera de Colombia, op. cit., p.34.
71 Superintendencia Financiera de Colombia, op. cit., p.34.
39
La siguiente Ilustración muestra un resumen los elementos del SCI propuesto por la Circular 014.
ILUSTRACIÓN 18: ELEMENTOS DEL SCI EN LA CIRCULAR 14 (ORACLE, 2009)
1.5.2. COSO Y LA CIRCULAR 014. Con el paso de los años se ha presentado un interés sobre la importancia del control interno como
elemento fundamental de las grandes organizaciones y así mismo se han generado una serie de
herramientas que ayudan a las directivas de las entidades a ejercer dicha función de una manera
más fácil y efectiva. Es por esto que existe una estructura bien conceptualizada sobre el control
interno junto con varios enfoques teóricos disponibles.
40
“Desde septiembre de 1992 el control interno ha constituido un fenómeno mundial y su aceptación
ha ido creciendo en todos los sectores vinculados con los negocios.” (Grupo Inversión, financiación
y control Universidad Icesi, 2010)72
Con la emisión de la ley SravaneOxley de 2001, las grandes organizaciones y entidades auditoras
adoptaron el enfoque propuesto por el modelo COSO para así cumplir con esta regulación y es a
partir de esta donde se generan herramientas orientadas para su implantación. Gracias a esto, los
empresarios se vieron en la necesidad de establecer ciertos elementos que garantizarán un mínimo
de control dentro de la organización.
De esta forma, debieron transcurrir casi 20 años para que la Superintendencia Financiera de
Colombia tuviera en consideración aquellos estándares de carácter internacional referentes al
control interno como un requisito indispensable de cumplimiento de las organizaciones que están
bajo su supervisión y control.
Y para mayo de 2009, se promulga la Circular Externa 014 de 2009, circular que hace alusión al
compromiso en el que se encuentran las organizaciones que están supeditadas al control y vigilancia
de la Superintendencia Financiera. Dicho compromiso se entiende como la especificación de
políticas y diseño de una serie de procedimientos de control interno que deberán ser implementados
dentro de la entidad, esto con el fin de permitir, mejorar y garantizar el cumplimiento de sus
objetivos de negocio. En esta circular se “compila toda la normatividad dispersa sobre control
interno y estructura un documento formal y completo sobre el tema de aplicación forzosa en
Colombia para empresas emisoras de títulos valores.” (Grupo Inversión, financiación y control
Universidad Icesi, 2010)73
El hecho de haberse emitido la Circular Externa, indica que se ha iniciado un proceso de
verificación, estandarización y encuentro de los modelos de control interno, y es la
Superintendencia Financiera quien sugiere la utilización de la guía de COSO(Committe Sponsoring
Organization of theTreadway) como apoyo a dicho proceso de implantación. A continuación se
explicará el porqué de la Circular Externa 014, sus antecedentes y la importancia de esta más allá
del entorno regulatorio que la rodea.
72 Grupo Inversión, financiación y control Universidad Icesi. (Enero de 2010). Universidad ICESI.
Recuperado el 15 de Agosto de 2010, de
http://www.icesi.edu.co/departamentos/finanzas_contabilidad/images/proyectos/control_interno.pdf 73
Ibíd., p. 40.
41
1.5.3. ISO 27001 Y LA CIRCULAR 014. Tanto en la Circular 014 como en la norma ISO27001, la palabra control se refiere a una serie de
acciones, a documentación, adopción de medidas, procedimientos y técnicas de medición. Tanto
para Circular 014 como para la ISO27001 un control “es lo que permite garantizar que cada
aspecto que se valoró con un cierto riesgo, queda cubierto y auditable” (Estrada, 2006)74
En este sentido la Circular 014 y la ISO 27001 buscan establecer una “definición común del
control interno” (Mantilla, 2005)75
, es decir que ambas proponen un marco de referencia con el fin
de proporcionar un cierto grado de seguridad para la consecución de objetivos.
Así que sobre un Activo de Información previamente identificado fruto de los lineamientos de la
ISO27001 se llevará a cabo la aplicación de los cinco componentes básicos del sistema de control
interno en el que se basa la Circular 014 (Explicados con anterioridad):
ILUSTRACIÓN 19 SCI Y LOS ACTIVOS DE LA INFORMACIÓN
74 Estrada, A. (2006). ISO27001: Los Controles.
75 Mantilla, S. A. (2005). Auditoría del control interno.
42
De manera análoga “Se trata de ejercer el control interno sobre nuestros principales activos
mediante un ciclo de mejora continua” (Security, 2010)76
como se muestra a continuación:
ILUSTRACIÓN 20 CICLO DE MEJORA CONTINUA - ACTIVOS DE INFORMACIÓN
Plan: Definir la política de seguridad basada en los activos identificados, definir el alcance del
Sistema de Gestión de la Seguridad, realizar el análisis de riesgos correspondiente para los activos
identificados, selección de controles para la mitigación de los riesgos identificados.
Do: Implantación del Plan de Gestión de Riesgos .Implantación de controles.
Check: Revisión interna del Sistema de Gestión de Seguridad por medio de auditorías.
Act: Aplicación de las Acciones Correctivas y Preventivas.
76 Security, E. (2010). ISO 27001 • Certificación de la Gestión de la Seguridad de la Información •
Implantación SGSI.
43
De esta forma se observa la relación que tiene el SCI propuesto en la Circular 14 junto con el
proceso de mejora continua que se llevaría cabo por la ISO 27001 contra los activos de la
información identificados en la organización.
1.5.4. CIRCULAR 014 Y LOS CONTROLES TECNOLÓGICOS. A continuación se presentan los controles tecnológicos de la Circular 014 con los cuales se
trabajarán más adelante para realizar una matriz de alineación entre los diferentes frameworks
explicados en este Trabajo de Grado y su relación con esta normativa colombiana.
• Plan estratégico de tecnología.
• Infraestructura de tecnología.
• Relaciones con proveedores.
• Cumplimiento de requerimientos legales para derechos de autor, privacidad y comercio
electrónico.
• Administración de proyectos de sistemas.
• Administración de la calidad.
• Adquisición de tecnología.
• Adquisición y mantenimiento de software de aplicación.
• Instalación y acreditación de sistemas.
• Administración de cambios.
• Administración de servicios con terceros.
• Administración, desempeño, capacidad y disponibilidad de la infraestructura
tecnológica.
• Continuidad del negocio.
• Seguridad de los sistemas.
• Educación y entrenamiento de usuarios.
• Administración de los datos.
• Administración de instalaciones.
• Administración de operaciones de tecnología.
• Documentación.
44
1.6. ALINEACIÓN CIRCULAR 014 DE 2009, ISO 27001:2005 ANEXO A, COBIT Y COSO
Circular 014 2009 de la
Superintendencia Financiera ISO/IEC 27001:2005 Anexo A CobiT COSO
7.6.2 Normas de Control Interno para
la gestión de la Tecnología
I Plan estratégico de tecnología.
i. Análisis de cómo soporta
la tecnología los objetivos del
negocio.
• A.7.1.1 Inventario de Activos
• A.10.5.1 Back-up o respaldo de la
información
• A.10.6.1 Controles de red
• A.10.6.2 Seguridad de servicios de
red
• A.10.7.1 Gestión de Medio
removibles.
• A.10.7.4 Seguridad de
Documentación del Sistema
• A.10.8.3 Medio Físicos en
Tránsito
• A.10.8.4 Mensajes electrónicos.
• A.10.9.1 Comercio Electrónico.
• A.10.9.2 Transacciones en línea.
• A.10.9.3 Información Disponible
Públicamente
• A.11.4.2 Autenticación de usuario
para conexiones externas
• A.11.4.6 Control conexión de
redes.
• A.11.4.7 Control de Routing de
redes.
• PO1 Definir un Plan
Estratégico de TI.
• PO2 Definir la Arquitectura
de la Información.
• PO3 Determinar la
Dirección Tecnológica.
• PO4 Definir los Procesos,
Organización y Relaciones de
TI.
• PO5 Administrar la
Inversión TI.
• PO6 Comunicar las
Aspiraciones y la Dirección
de la Gerencia.
• A.7.1.1
Inventario de
Activos
45
Circular 014 2009 de la
Superintendencia Financiera ISO/IEC 27001:2005 Anexo A CobiT COSO
ii. Evaluación de la
tecnología actual. • A.7.1.1 Inventario de Activos.
• PO1 Definir un Plan
Estratégico de TI.
• PO3 Determinar la
Dirección Tecnológica.
• PO2 Definir la Arquitectura
de la Información.
• PO5 Administrar la
Inversión TI.
• PO6 Comunicar las
Aspiraciones y la Dirección
de la Gerencia.
iii. Estudios de mercado y
factibilidad de alternativas
tecnológicas que respondan a las
necesidades de la entidad.
• A.6.1.6 Contacto con autoridades
• A.6.1.7 Contacto con grupos de
interés especial
• A.14.1.1 Incluir seguridad de la
información en el proceso de
gestión de continuidad comercial.
• A.14.1.3 Desarrollar e
implementar planes de continuidad
incluyendo seguridad de la
información
• PO1 Definir un Plan
Estratégico de TI.
• PO2 Definir la Arquitectura
de la Información.
• PO3 Determinar la
Dirección Tecnológica.
• PO6 Comunicar las
Aspiraciones y la Dirección
de la Gerencia.
46
Circular 014 2009 de la
Superintendencia Financiera ISO/IEC 27001:2005 Anexo A CobiT COSO
iv. Planes operacionales
estableciendo metas claras y
concretas.
• A.5.1.1 Documentar Política de
seguridad de la información.
• A.5.1.2 Revisión de la política de
seguridad de la información.
• A.6.1.2 Coordinación de la
seguridad de la información.
• A.6.1.3 Asignación de
responsabilidades de la seguridad de
la información.
• A.6.1.8 Revisión independiente de
la seguridad de la información.
• A.7.2.2 Etiquetado y manejo de la
información.
• A8.1.1 Roles y Responsabilidades.
• A.10.3.1 Gestión de Capacidad.
• A.13.2.1 Responsabilidades y
procedimientos.
• A.14.1.3 Desarrollar e
implementar planes de continuidad
incluyendo seguridad de la
información.
• PO6 Comunicar las
Aspiraciones y la Dirección
de la Gerencia.
• PO8 Administrar la Calidad.
• PO9 Evaluar y Administrar
los Riesgos de TI.
• PO10 Administrar
Proyectos.
47
Circular 014 2009 de la
Superintendencia Financiera ISO/IEC 27001:2005 Anexo A CobiT COSO
II Infraestructura de tecnología.
• A.7.1.1 Inventarios de Activos.
• A.9.1.1 Perímetro de Seguridad
Física.
• A.9.1.2 Controles de entrada
físicos.
• A.9.1.3 Seguridad de oficinas,
habitaciones y medios.
• A.9.1.4 Protección contra
amenazas externas y ambientales.
• A.9.1.5 Trabajo en áreas seguras.
• A.9.2.1 Ubicación y protección del
equipo.
• A.9.2.2 Servicios Públicos.
• A.9.2.3 Seguridad en el cableado.
• PO1 Definir un Plan
Estratégico de TI.
• PO2 Definir la Arquitectura
de la Información.
• PO3 Determinar la
Dirección Tecnológica.
• PO4 Definir los Procesos,
Organización y Relaciones de
TI.
• PO5 Administrar la
Inversión TI.
• 5.3.4
Mecanismos de
control. • 5.3.5
Control sobre los
sistemas de
procesamiento
electrónico de
datos. • 5.3.6
Controles sobre
las aplicaciones.
• 5.5.1
Supervisión
Continua.
III
Cumplimiento de requerimientos
legales para derechos de autor,
privacidad y comercio
electrónico.
• A.15.1.1 Identificación de
legislación aplicable.
• A.15.1.2 Derechos de propiedad
intelectual.
• A.15.1.3 Protección de los
registros organizacionales.
• A.15.1.4 Protección de data y
privacidad de información personal.
• A.15.1.6 Regulación de controles
criptográficos.
• PO1 Definir un Plan
Estratégico de TI.
• PO3 Determinar la
Dirección de Tecnología.
• PO9 Evaluar y Administrar
los riesgos de TI.
48
Circular 014 2009 de la
Superintendencia Financiera ISO/IEC 27001:2005 Anexo A CobiT COSO
IV Administración de proyectos de
sistemas.
• A.10.3 Planeación y Aceptación
del Sistema.
• A.10.6 Gestión de seguridad de
redes.
• A.10.7 Gestión de medios.
• A.11.2 Gestión del acceso del
usuario.
• A.12.6 Gestión de vulnerabilidad
técnica.
• A.13 Gestión de incidentes en la
seguridad de la información.
• A.14 Gestión de la continuidad
comercial.
• PO10 Administrar Proyectos
V Administración de la calidad, • PO8 Administrar la calidad.
• 5.3
ACTIVIDADES
DE CONTROL.
• 5.4.1
Información. •
5.4.2
Comunicación.•
5.5.1
Supervisión
Continua
49
Circular 014 2009 de la
Superintendencia Financiera ISO/IEC 27001:2005 Anexo A CobiT COSO
i. Programas para establecer
una cultura de calidad de la
tecnología en toda la entidad.
• A.5.1.1 Documentar Política de
seguridad de la información.
• A.5.1.2 Revisión de la política de
seguridad de la información.
• A.6.1.1 Compromiso de la
Gerencia con la seguridad de la
información.
• A.6.1.2 Coordinación de la
seguridad de la información.
• A.6.1.3 Asignación de
responsabilidades de la seguridad de
la información.
• A.8.2.2 Capacitación y educación
en seguridad de la información.
• A.10.1.1 Procedimientos de
operación documentados.
• A.15.2.1 Cumplimiento con las
políticas y estándares de seguridad.
• PO3 Determinar la
Dirección Tecnológica.
• PO4 Definir los Procesos,
Organización y Relaciones de
TI.
• PO8 Administrar la calidad.
• 5.4.1
Información. •
5.4.2
Comunicación.
ii. Planes concretos de
calidad de la tecnología.
• A.14.1.1 Incluir seguridad de la
información en el proceso de
gestión de continuidad comercial.
• A.14.1.2 Continuidad comercial y
evaluación del riesgo.
• A.14.1.3 Desarrollar e
implementar planes de continuidad
incluyendo seguridad de la
información.
• A.14.1.4 Marco referencial para la
planeación de la continuidad
comercial.
• A.14.1.5 Prueba, mantenimiento y
• PO3 Determinar la
Dirección Tecnológica.
• PO8 Administrar la calidad.
• PO9 Evaluar y Administrar
los Riesgos de TI
50
Circular 014 2009 de la
Superintendencia Financiera ISO/IEC 27001:2005 Anexo A CobiT COSO
re-evaluación de planes de
continuidad comerciales.
iii. Responsables por el
aseguramiento de la calidad.
• A.8.1.1 Roles y
Responsabilidades.
• A.13.2.1 Responsabilidades y
Procedimientos.
• PO4 Definir los Procesos,
Organización y Relaciones de
TI.
• PO6 Comunicar las
Aspiraciones y la Dirección
de la Gerencia.
• PO7 Administrar los
recursos humanos de TI.
• PO8 Administrar la calidad.
• 5.3.2 Quiénes
deben llevar a
cabo las
actividades de
control
51
Circular 014 2009 de la
Superintendencia Financiera ISO/IEC 27001:2005 Anexo A CobiT COSO
iv. Prácticas de control de
calidad.
• A.14.1.1 Incluir seguridad de la
información en el proceso de
gestión de continuidad comercial.
• A.14.1.2 Continuidad comercial y
evaluación del riesgo.
• A.14.1.3 Desarrollar e
implementar planes de continuidad
incluyendo seguridad de la
información.
• A.14.1.4 Marco referencial para la
planeación de la continuidad
comercial.
• A.14.1.5 Prueba, mantenimiento y
re-evaluación de planes de
continuidad comerciales.
• A.10.1.1 Procedimientos de
operación documentados.
• A.15.3.1 Controles de auditoría de
sistemas de información.
• A.15.2.2 Chequeo de
cumplimiento técnico.
• PO3 Determinar la
Dirección Tecnológica.
• PO4 Definir los Procesos,
Organización y Relaciones de
TI.
• PO6 Comunicar las
Aspiraciones y la Dirección
de la Gerencia.
• PO8 Administrar la calidad.
• PO9 Evaluar y Administrar
los Riesgos de TI.
• 5.5.1
Supervisión
Continua
v. Metodología para el ciclo
de vida de desarrollo de sistemas. • PO8 Administrar la calidad.
52
Circular 014 2009 de la
Superintendencia Financiera ISO/IEC 27001:2005 Anexo A CobiT COSO
vi. Metodología de prueba y
documentación de programas y
sistemas.
• A.10.3.2 Aceptación del Sistema.
• A.12.4.2 Protección de la data de
prueba del sistema.
• A.14.1.2 Continuidad comercial y
evaluación del riesgo.
• A.14.1.3 Desarrollar e
implementar planes de continuidad
incluyendo seguridad de la
información.
• A.14.1.4 Marco referencial para la
planeación de la continuidad
comercial.
• A.14.1.5 Prueba, mantenimiento y
re-evaluación de planes de
continuidad comerciales.
• PO8 Administrar la calidad.
• PO10 Administrar
Proyectos.
• 5.3.4
Mecanismos de
control
vii. Diseño de informes de
aseguramiento de la calidad.
• A.5.1.1 Documentar Política de
seguridad de la información.
• A.10.1.1 Procedimientos de
operación documentados.
• A.10.10.1 Registro de auditoría.
• A.13.2.2 Aprendizaje de los
incidentes de la seguridad de la
información.
• A.13.2.3 Recolección de
Evidencia.
• PO8 Administrar la calidad.
• PO10 Administrar
Proyectos.
• 5.3.4
Mecanismos de
control
viii. Capacitación de usuarios
finales y del personal de
aseguramiento de la calidad.
• A.8.2.1 Gestión de
Responsabilidades.
• A.8.2.2 Capacitación y educación
en la seguridad de la información.
• PO4 Definir los Procesos,
Organización y Relaciones de
TI.
• PO8 Administrar la calidad.
• 5.4.1
Información. •
5.4.2
Comunicación.
ix. Desarrollo de una base de • PO8 Administrar la calidad.
53
Circular 014 2009 de la
Superintendencia Financiera ISO/IEC 27001:2005 Anexo A CobiT COSO
conocimiento de aseguramiento
de la calidad.
VI Adquisición de tecnología.
• A.7.1.1 Inventario de Activos.
• A.9.1.1 Perímetro de Seguridad
Física.
• A.9.1.2 Controles de entrada
físicos.
• A.9.1.3 Seguridad de oficinas,
habitaciones y medios.
• A.9.1.4 Protección contra
amenazas externas y ambientales.
• A.9.1.5 Trabajo en áreas seguras.
• A.9.2.1 Ubicación y protección del
equipo.
• A.9.2.2 Servicios Públicos.
• A.9.2.3 Seguridad en el cableado.
• A.9.2.5 Seguridad del equipo fuera
del local.
• A.9.2.6 Eliminación seguro o re-
uso del equipo.
• A.10.5.1 Back-up o respaldo de la
información.
• A.10.6.1 Controles de red.
• A.10.6.2 Seguridad de servicios de
red.
• A.10.7.1 Gestión de Medio
removibles.
• A.10.7.4 Seguridad de
Documentación del Sistema.
• A.10.8.3 Medio Físicos en
Tránsito.
• PO1 Definir un Plan
Estratégico de TI.
• PO2 Definir la Arquitectura
de la Información.
• PO3 Determinar la
Dirección Tecnológica.
• PO4 Definir los Procesos,
Organización y Relaciones de
TI.
• PO5 Administrar la
Inversión TI.
• 5.4.1
Información. •
5.4.2
Comunicación. •
5.1.1 Integridad
y valores éticos.
• 5.1.2
Competencia
profesional. •
5.1.3 Filosofía y
estilo de la
Dirección. •
5.1.4 Estructura
y plan
organizacional. •
5.1.5 Políticas y
prácticas de los
RRHH. • 5.1.6
Comité de
Administración
o Comité de
Auditoría.
54
Circular 014 2009 de la
Superintendencia Financiera ISO/IEC 27001:2005 Anexo A CobiT COSO
• A.10.8.4 Mensajes electrónicos.
• A.10.9.1 Comercio Electrónico.
• A.10.9.2 Transacciones en línea.
• A.10.9.3 Información Disponible
Públicamente.
• A.11.4.2 Autenticación de usuario
para conexiones externas.
• A.11.4.6 Control conexión de
redes.
• A.11.4.7 Control de Routing de
redes.
VII Adquisición y mantenimiento de
software de aplicación.
• A.12 Adquisición, desarrollo y
mantenimiento de los sistemas de
información.
• PO1 Definir un Plan
Estratégico de TI.
• PO2 Definir la Arquitectura
de la Información.
• PO3 Determinar la
Dirección Tecnológica.
• PO4 Definir los Procesos,
Organización y Relaciones de
TI.
• PO5 Administrar la
Inversión TI.
• 5.3.4
Mecanismos de
control. • 5.3.5
Control sobre los
sistemas de
procesamiento
electrónico de
datos. • 5.3.6
Controles sobre
las aplicaciones
VIII Instalación y acreditación de
sistemas.
• A.10.3.2 Aceptación del sistema.
• A.12.4.1 Control Software
Operacional.
• PO10 Administrar Proyectos
• 5.3.4
Mecanismos de
control. • 5.3.5
Control sobre los
sistemas de
procesamiento
electrónico de
datos. 5.3.6
Controles sobre
55
Circular 014 2009 de la
Superintendencia Financiera ISO/IEC 27001:2005 Anexo A CobiT COSO
las aplicaciones
IX Administración de cambios.
i. Identificación clara del
cambio a realizar en la
infraestructura.
• A.10.1.2 Gestión de Cambio.
• A.10.2.3 Manejar los cambios en
los servicios de terceros.
• A.12.5.1 Procedimientos de
control de cambio.
• PO3 Determinar la
Dirección Tecnológica.
• PO5 Administrar la
inversión TI.
ii. Categorización,
priorización y procedimientos de
emergencia a llevar a cabo
durante el cambio.
• A.12.5.1 Procedimientos de
Control de Cambio.
• A.12.3.1 Políticas sobre el uso de
controles criptográficos.
• A.12.3.2 Gestión Clave.
• PO4 Definir los Procesos,
Organización y Relaciones de
TI
• 5.2.1
Identificación de
riesgos. • 5.2.2
Objetivos de
control de
riesgos.
iii. Evaluación del impacto
que ocasiona el cambio en la
infraestructura.
• A.6.1.8 Revisión independiente de
la seguridad de la información.
• A.12.5.2 Revisión Técnica de las
Aplicaciones después de cambios en
el sistema operativo.
• PO3 Determinar la
Dirección Tecnológica
• 5.2.1
Identificación de
riesgos. • 5.2.3
Condiciones
previas para la
evaluación del
riesgo. • 5.2.4
Medición y
evaluación de
riesgos.
56
Circular 014 2009 de la
Superintendencia Financiera ISO/IEC 27001:2005 Anexo A CobiT COSO
iv. Procedimiento de
autorización de los cambios.
• A.10.1.2 Gestión del Cambio
• A.12.5.3 Restricciones sobre los
cambios en los paquetes software.
• A.12.4.1 Control de Software
Operacional.
• A.12.4.2 Protección de la data de
prueba del sistema.
• A.12.4.3 Control de acceso al
código fuente del programa.
• A.10.1.3 Segregación de deberes
• PO2 Definir la Arquitectura
de la Información.
• PO4 Definir los Procesos,
Organización y Relaciones de
TI.
• 5.3.5 Control
sobre los
sistemas de
procesamiento
electrónico de
datos
v. Procedimiento de
administración de versiones. • A.10.3.2 Aceptación del Sistema
• 5.3.4
Mecanismos de
control
vi. Políticas de distribución
del software.
• 5.3.4
Mecanismos de
control. 5.3.6
Controles sobre
las aplicaciones
vii. Obtención de herramientas
automatizadas para realizar los
cambios.
• A.12.2.2 Control de
Procesamiento Interno.
• A.12.2.3 Integridad del Mensaje.
• A.12.2.4 Validación de data de
output.
• A.12.5.1 Procedimientos de
control de cambio.
• A.12.5.3 Restricciones sobre los
cambios en los paquetes de
software.
• PO1 Definir un Plan
Estratégico de TI.
• PO2 Definir la Arquitectura
de la Información.
• PO3 Determinar la
Dirección Tecnológica.
• PO4 Definir los Procesos,
Organización y Relaciones de
TI.
• PO5 Administrar la
Inversión TI.
• 5.3.6 Controles
sobre las
aplicaciones
57
Circular 014 2009 de la
Superintendencia Financiera ISO/IEC 27001:2005 Anexo A CobiT COSO
viii. Procedimientos para la
administración de la
configuración.
• 5.3.4
Mecanismos de
control. • 5.3.5
Control sobre los
sistemas de
procesamiento
electrónico de
datos
ix. Rediseño de los procesos
del negocio que se vean
impactados por el cambio en la
infraestructura.
• PO4 Definir los Procesos,
Organización y Relaciones de
TI.
X Administración de servicios con
terceros.
• A.8.1.1 Roles y
Responsabilidades.
• A.8.1.3 Términos y condiciones
de empleo.
• A.8.2.1 Gestión de
responsabilidades.
• A.8.2.2 Capacitación y educación
en seguridad de la información.
• A.8.3.2 Devolución de Activos.
• A.8.3.3 Eliminación de derechos
de acceso.
• A.10.2.1 Entrega del servicio.
• A.10.2.2 Monitoreo y Revisión de
los servicios de terceros.
• A.10.2.3 Manejar los cambios en
los servicios de terceros
• PO4 Definir los Procesos,
Organización y Relaciones de
TI.
• PO8 Administración de la
calidad.
• 5.3.4
Mecanismos de
control. • 5.3.5
Control sobre los
sistemas de
procesamiento
electrónico de
datos. 5.3.6
Controles sobre
las aplicaciones
58
Circular 014 2009 de la
Superintendencia Financiera ISO/IEC 27001:2005 Anexo A CobiT COSO
XI
Administración, desempeño,
capacidad y disponibilidad de la
infraestructura tecnológica.
• 10.3.1 Gestión de la capacidad.
• 10.3.2 Aceptación del sistema.
PO1.3 Evaluación del
desempeño y la capacidad
actual.
DS3.1 Planeación del
Desempeño y la Capacidad
DS3.2 Capacidad y
Desempeño Actual
DS3.3 Capacidad y
Desempeño Futuros
DS3.4 Disponibilidad de
Recursos de TI
DS3.5 Monitoreo y Reporte
• 5.3.4.10
Indicadores de
desempeño
XII Continuidad del negocio.
• 14.1.1 Incluir la seguridad de la
información en el proceso de
gestión de continuidad del negocio
• 14.1.2 Continuidad del negocio y
evaluación del riesgo
• 14.1.3 Desarrollar e implementar
los planes de continuidad
incluyendo la seguridad de la
información
• A.5.1 Política de seguridad de la
información.
10.5 Respaldo o Back-Up
PO3.1 Planeación de la
dirección tecnológica.
DS4.1 Marco de Trabajo de
Continuidad de TI
DS4.2 Planes de Continuidad
de TI
DS4.3 Recursos Críticos de
TI
DS4.4 Mantenimiento del
Plan de Continuidad de TI
DS4.5 Pruebas del Plan de
Continuidad de TI
DS4.6 Entrenamiento del Plan
de Continuidad de TI
DS4.7 Distribución del Plan
de Continuidad de TI
DS4.8 Recuperación y
Reanudación de los Servicios
de TI
• 5.3.5.4 Normas
sobre
continuidad del
procesamiento
59
Circular 014 2009 de la
Superintendencia Financiera ISO/IEC 27001:2005 Anexo A CobiT COSO
DS4.9 Almacenamiento de
Respaldos Fuera de las
Instalaciones
DS4.10 Revisión Post
Reanudación
XIII Seguridad de los sistemas.
i. Autorización,
autenticación y control de acceso.
• A.11.1.1 Política de control del
acceso.
• 8.3.3 Retiro de los derechos de
acceso.
• 11.5.1 Procedimientos para un
registro seguro
• 11.5.2 Identificación y
autenticación del usuario
• 11.5.3 Sistema de gestión de
claves secretas
• 11.5.4 Uso de las utilidades del
sistema
• 11.5.5Cierre de una sesión por
inactividad
• 11.5.6 Limitación del tiempo de
conexión
• 11.6.1 Restricción del acceso a la
información
• 11.6.2 Aislar el sistema
confidencial
• 11.7.1 Computación y
comunicaciones móviles
• 11.7.2 Tele-trabajo
DS5.3 Administración de
Identidad
5.3.4.4
Definición de
niveles de
autorización
60
Circular 014 2009 de la
Superintendencia Financiera ISO/IEC 27001:2005 Anexo A CobiT COSO
ii. Identificación de usuarios
y perfiles de autorización los
cuales deberán ser otorgados de
acuerdo con la necesidad de tener
y necesidad de conocer.
• 11.2.1 Registro del usuario
• 11.2.2 Gestión de privilegios
• 11.2.3 Gestión de las claves
secretas de los usuarios
• 11.2.4 Revisión de los derechos de
acceso del usuario
• 11.1.1 Política de control del
acceso
PO7.3 Asignación de Roles
PO7.2 Competencias del
Personal
DS5.4 Administración de
Cuentas del Usuario
5.3.4.6 Acceso
restringido a los
recursos, activos
y registros
iii. Manejo de incidentes,
información y seguimiento.
• 13.1.1 Reporte de eventos en la
seguridad de la información
• 13.1.2 Reporte de las debilidades
en la seguridad
• 13.2.1 Responsabilidades y
procedimientos
• 13.2.2 Aprender de los incidentes
en la seguridad de la información
• 13.2.3 Recolección de evidencia
DS5.6 Definición de
Incidente de Seguridad
DS8.3 Escalamiento de
Incidentes
DS8.4 Cierre de Incidentes
5.5.1
Supervisión
continua
iv. Prevención y detección de
código malicioso, virus, entre
otros.
• 10.4.1 Controles contra códigos
maliciosos
• 10.4.2 Controles contra códigos
móviles
DS5.9 Prevención, Detección
y Corrección de Software
Malicioso
5.3.4
Mecanismos de
control. 5.3.5
Control sobre los
sistemas de
procesamiento
electrónico de
datos. 5.3.6
Controles sobre
las aplicaciones
61
Circular 014 2009 de la
Superintendencia Financiera ISO/IEC 27001:2005 Anexo A CobiT COSO
v. Entrenamiento de usuarios.
• A8.2.2 Conocimiento, educación y
capacitación en seguridad de la
información.
• 11.3.1 Uso de claves secretas.
• 11.3.2 Equipo del usuario
desatendido.
• 11.3.3 Política de escritorio y
pantalla limpios.
DS7.1 Identificación de
Necesidades de
Entrenamiento y Educación
DS7.2 Impartición de
Entrenamiento y Educación
DS7.3 Evaluación del
Entrenamiento Recibido
5.3.5.4 Normas
sobre
continuidad del
procesamiento
(sub-ítem
educación)
vi. Administración
centralizada de la seguridad.
• 10.2 Gestión de la entrega del
servicio de terceros
• A.10.4. Protección contra el
código malicioso y móvil.
• A.10.5 Respaldo o Back-up.
DS5.1 Administración de la
Seguridad de TI
DS5.5 Pruebas, Vigilancia y
Monitoreo de la Seguridad
5.3.5.7 Controles
sobre la
seguridad lógica
XIV Educación y entrenamiento de
usuarios.
• A8.2.2 Conocimiento, educación y
capacitación en seguridad de la
información
PO7.4 Entrenamiento del
Personal de TI
DS7.1 Identificación de
Necesidades de
Entrenamiento y Educación
DS7.2 Impartición de
Entrenamiento y Educación
DS7.3 Evaluación del
Entrenamiento Recibido
AI7.1 Entrenamiento
DS4.6 Entrenamiento del Plan
de Continuidad de TI
5.3.5.4 Normas
sobre
continuidad del
procesamiento
(sub ítem
educación)
XV Administración de los datos.
62
Circular 014 2009 de la
Superintendencia Financiera ISO/IEC 27001:2005 Anexo A CobiT COSO
i. Establecer controles de
entrada, procesamiento y salida
para garantizar la autenticidad e
integridad de los datos.
• 12.2.1 Validación de la input data.
• 12.2.4 Validación de la output
data.
• 12.2.3 Integridad del mensaje.
PO2.4 Administración de
integridad.
PO10.7 Plan Integrado del
Proyecto
DS11.1 Requerimientos del
Negocio para Administración
de Datos
ii. Verificar la exactitud,
suficiencia y validez de los datos
de transacciones que sean
capturados para su procesamiento
(generados por personas, por
sistemas o entradas de interface).
• 12.2.2 Control del procesamiento
interno.
AC6 Autenticación e
Integridad de Transacciones
iii. Preservar la segregación
de funciones en el procesamiento
de datos y la verificación
rutinaria del trabajo realizado.
Los procedimientos deberán
incluir controles de actualización
adecuados, como totales de
control "corrida a corrida" y
controles de actualización de
archivos maestros.
• A.6.1.3 Asignación de las
responsabilidades de la seguridad de
la información
• A.10.7.4 Seguridad de la
documentación del sistema
• 10.1.3 Segregación de los deberes
PO10.11 Control de Cambios
del Proyecto
AI6 Administrar cambios.
PO4.11 Segregación de
Funciones
5.3.5.2 Controles
sobre las
operaciones del
centro de
procesamiento
de datos
iv. Establecer procedimientos
para que la validación,
autenticación y edición de los
datos sean llevadas a cabo tan
cerca del punto de origen como
sea posible.
• A11.6 Control de acceso a la
aplicación y la información
63
Circular 014 2009 de la
Superintendencia Financiera ISO/IEC 27001:2005 Anexo A CobiT COSO
v. Definir e implementar
procedimientos para prevenir el
acceso a la información y
software sensitivos de
computadores, discos y otros
equipos o medios, cuando hayan
sido sustituidos o se les haya
dado otro uso. Tales
procedimientos deberán
garantizar que los datos marcados
como eliminados no puedan ser
recuperados por cualquier
individuo interno o tercero ajeno
a la entidad.
• 9.2.6 Seguridad de la eliminación
o re-uso del equipo
• 9.2.7 Retiro de propiedad
DS11.4 Eliminación
vi. Establecer los mecanismos
necesarios para garantizar la
integridad continua de los datos
almacenados.
• A.10.7.3 Procedimientos para el
manejo de información
• 12.4.2 Protección de la data del
sistema
PO2.4 Administración de
integridad.
DS11.6 Requerimientos de
Seguridad para la
Administración de Datos
DS13.1 Procedimientos e
Instrucciones de Operación
vii. Definir e implementar
procedimientos apropiados y
prácticas para transacciones
electrónicas que sean sensitivas y
críticas para la organización,
velando por su integridad y
autenticidad.
• 10.9.1 Comercio electrónico
• 10.9.2 Transacciones en-línea
• 10.9.3 Información públicamente
disponible
PO6.2 Riesgo Corporativo y
Marco de Referencia de
Control Interno de TI.
DS5.11 Intercambio de Datos
Sensitivos.
5.3.5.2 Controles
sobre las
operaciones del
centro de
procesamiento
de datos
viii. Establecer controles para
garantizar la integración y
DS9.3 Revisión de Integridad
de la Configuración
64
Circular 014 2009 de la
Superintendencia Financiera ISO/IEC 27001:2005 Anexo A CobiT COSO
consistencia entre plataformas.
XVI Administración de instalaciones. DS12 Administrar el
ambiente físico
i. Acceso a las instalaciones. • 9.1.2 Controles de ingreso físico DS12.3 Acceso Físico
ii. Identificación clara del
sitio.
• 9.1.1 Perímetro de seguridad
física.
• 9.2.1 Ubicación y protección del
equipo.
DS12.1 Selección y Diseño
del Centro de Datos
iii. Controles de seguridad
física.
• 9.1.3 Asegurar las oficinas,
habitaciones y medios.
• 9.1.6 Áreas de acceso público,
entrega y carga.
DS12.2 Medidas de
Seguridad Física
iv. Definición de políticas de
inspección y escalamiento de
problemas.
DS13.2 Programación de
Tareas
v. Planeamiento de
continuidad del negocio y
administración de crisis.
• 14.1.1 Incluir la seguridad de la
información en el proceso de
gestión de continuidad del negocio
• 14.1.2 Continuidad del negocio y
evaluación del riesgo
• 14.1.3 Desarrollar e implementar
los planes de continuidad
incluyendo la seguridad de la
información
vi. Salud y seguridad del
personal.
vii. Políticas de
mantenimiento preventivo. • 9.2.4 Mantenimiento de equipo.
DS13.5 Mantenimiento
Preventivo del Hardware
65
Circular 014 2009 de la
Superintendencia Financiera ISO/IEC 27001:2005 Anexo A CobiT COSO
viii. Protección contra
amenazas ambientales.
• 9.1.4 Protección contra amenazas
externas e internas
DS12.4 Protección Contra
Factores Ambientales
ix. Monitoreo automatizado.
• 10.10.1 Registro de auditoría
• 10.10.2 Uso del sistema de
monitoreo
• 10.10.3 Protección del registro de
información
• 10.10 4 Registros del
administrador y operador
• 10.10.5 Registro de fallas
• 10.10.6 Sincronización de relojes
DS13.3 Monitoreo de la
Infraestructura de TI
XVII Administración de operaciones
de tecnología.
• A.10 Administración de las
comunicaciones y operaciones
• 10.1.2 Gestión del cambio
• 10.1.4 Separación de los medios
de desarrollo, prueba y operación
DS12.5 Administración de
Instalaciones Físicas
XVIII Documentación.
• 12.1.1 Análisis y especificación de
los requerimientos de seguridad
• 10.1.1 Procedimientos de
operación documentados
5.3.4.3
Documentación
66
2. SOLUCIONES TECNOLÓGICAS
En la presente sección se expondrá los requerimientos que deberían cumplir aquellas herramientas
tecnológicas que puedan apoyar el proceso de cumplimiento de los objetivos de control analizados
con anterioridad, pertenecientes a la Circular 014 y al Anexo A de la norma ISO 27001. Para este
capítulo se busca ser lo más genérico posible, para evaluar de manera imparcial las necesidades que
deberán suplir las soluciones tecnológicas a elegir.
2.1. NECESIDADES TÉCNICAS GENERALES A CUMPLIR EN LA
CIRCULAR 14… SECCIÓN 7.6
2.1.1. CIFRADO Y ENMASCARAMIENTO. A nivel mundial existen una serie de requerimientos de seguridad que se aplican en diferentes
países como lo son PCI-DSS, HIPAA y la ley 201 CMR 17.00 orientados a la protección de la
información sensible. Y debido a esto es necesario contar con soluciones que permitan realizar
cifrado en los datos de las Bases de Datos con las que cuentan las organizaciones, para que de esta
forma se controle y proteja el acceso a ellos a través del sistema operativo o a través de los backups.
Dichas soluciones deben permitir cifrar datos y campos específicos y no interferir con otras
aplicaciones, así como que estas no necesiten cambios para su interoperabilidad. El proceso de
cifrado y des-cifrado debe ser transparente después de que un usuario se ha autenticado con éxito.
De esta forma se garantiza la protección de las comunicaciones desde y hacia la Base de Datos.
De manera similar, los backups generados de la base de datos, deben ser protegidos a través de
medios de cifrado al vuelo en caso de ser extraviados o robados. Para esto es necesario contar con
una infraestructura tecnológica que permita la administración de una manera centralizada de los
respaldos realizados, ya sean de la base de datos, del sistema operativo y de los NAS con los que se
cuenten. Esta infraestructura debe ser rápida y de consumo razonable de recursos de procesamiento.
Con el fin de cumplir a cabalidad con las normas de protección y privacidad de los datos, aquella
información sensible con la cual se requiera trabajar en un ambiente de pruebas, desarrollo o que
sea necesario compartirla, esta debe ser remplazada con un valores ficticios pero funcionales que
permitan trabajar de una manera simulada, como si de datos reales se tratara.
67
2.1.2. CONTROL DE ACCESO. El control de acceso además de ser implementado a nivel de aplicación debe serlo a nivel de capa de
datos, esto debido a que las “organizaciones se mueven hacia la consolidación de datos, la
tercerización y la computación en la nube” (ORACLE, 2010)77
y porque las regulaciones y leyes de
privacidad así lo requieren. Siguiendo esta visión, con una protección a nivel de datos provee una
seguridad adicional cuando existe un uso inadecuado de los privilegios o cuando estos han sido
obtenidos por individuos ajenos a la organización.
Para esto, se requiere contar con herramientas que detengan el acceso a los datos de las aplicaciones
sensibles por parte de aquellos usuarios con privilegios, es decir que incluso un DBA no pudiera
acceder a ciertos datos confidenciales. Estos bloqueos deben ser transparentes para todas las
aplicaciones que pertenezcan al dominio de ese control de acceso, ofreciendo un control de
seguridad fuerte sin realizar cambios en el código fuente de las aplicaciones.
La idea del control de acceso es presentar un limitante que permitirá establecer quién, cuando,
donde y como serán accedidos los datos y también las aplicaciones. De ser posible se desearía
contar con controles dependientes de la dirección IP, hora, fecha, etc.
2.1.3. MONITOREO Y AUDITORÍA. La dinámica y movimiento en el que las empresas se encuentran inmersas hoy en día, como
resultado de la competencia que se hace cada vez mayor, debido a los procesos de globalización
derivan en una mayor exigencia de control y calidad de las tecnologías que intervienen en los
sistemas productivos de la empresa, en consecuencia es necesario la captación, almacenamiento y
comunicación de los cambios en el entorno, que permitirán aplicar las estrategias correctivas para
cada caso.
La solución debe brindar la capacidad de analizar, seguir y administrar de manera centralizada y en
tiempo real toda la información relevante de los recursos de software y hardware de la empresa,
para así facilitar el diagnóstico y solución de problemas, la generación de reportes de auditoría y la
configuración de estos recursos, adicionalmente debe proveer alertas automáticas de fallo y
preventivas frente a eventos del sistema.
Es necesario que permita consolidar la información de auditoría de todos los activos involucrados
en los sistemas productivos de la empresa de manera que genere una visión global y unificada de
las acciones realizadas por el usuario, para lograr la emisión de un juicio objetivo, también debe
identificar debilidades y fortalezas de los diferentes entorno, realizar correlación de eventos y
análisis.
77 ORACLE. (2010). Conceptos de Seguridad.
68
2.1.4. CONTINUIDAD DEL NEGOCIO. Los sistemas de información en las empresas día a día se convierten en un elemento críticos, debido
a la necesidad de acceso a sus datos desde cualquier lugar y en cualquier momento, lo que hace que
sea indispensable que exista un servicio ininterrumpido de los mismos para el mantenimiento de las
actividades del negocio sin ningún tipo de perdida.
Esta herramienta debe proporcionar una disponibilidad interrumpida y la seguridad apropiada para
el acceso a las bases de datos, se debe tener en cuenta que incluso las soluciones más confiables
fallan ya sea por un error humano, desastre natural o una falla ocasional, por ello las herramienta
debe contar con un robusto sistema de respaldo que de manera automática este sincronizado con el
ambiente de producción y que remplace en el momento que sea necesario el ambiente principal para
que los clientes de los sistemas de información no se percaten del fallo.
Para garantizar la continuidad del negocia la herramientas debe permitir realizar pruebas parciales
y totales de las unidades tecnológicas del negocio, así como la entrada en contingencia real, lo cual
permitirá medir el grado de madures de la empresa para afrontar los diferentes siniestros que se
puedan presentar a lo largo de la vida de la misma.
2.1.5. GESTIÓN DOCUMENTAL. Contar con un buen sistema de gestión documental que permita la recepción, distribución, consulta,
organización, y recuperación de los documentos es de vital importancia para las empresas, ya que
dinamizan los procesos informativos, la toma de decisiones basadas en antecedentes, por otra parte
la regulación Colombiana exige la gestión documental como lo dicta “La Ley 594 de 2000 - Ley
General de Archivos, reguló en su Título V: Gestión de documentos, la obligación que tienen las
entidades públicas y privadas que cumplen funciones públicas, en elaborar programas de gestión de
documentos, independientemente del soporte en que produzcan la información para el
cumplimiento de su cometido estatal, o del objeto social para el que fueron creadas” (Archivo
General de la Nacion, 2010)78
La herramienta de gestión documenta debe ser capaz de soportar la estructura documental de la
empresa, un rápido acceso a la información contenida en los documentos, almacenaje, seguridad,
indexación, relación y eliminación de los mismos, adicionalmente esta debe contar con
mecanismos que faciliten su divulgación, así como la privacidad para los documentos sensibles, que
deben ser protegidos de amenazas internas y externas.
78 Archivo General de la Nacion. (29 de 10 de 2010). Programa de Gestión Documental (PGD). Recuperado
el 30 de Octubre de 2010, de Archivo General de la Nacion:
http://www.archivogeneral.gov.co/index.php?idcategoria=1232
69
Es indispensable que los documentos puedan ser actualizados directamente y remotamente por los
responsables para que la documentación vigente de la empresa esté disponible en los puntos de uso,
y debe brindar las herramientas necesarias para contingencia y continuidad del negocio.
2.2. COMPONENTES ORACLE Ya entendiendo las necesidades tecnológicas que apoyarán el cumplimiento de controles, se
muestra en este capítulo el mapeo de dichas necesidades a soluciones bajo plataforma ORACLE.
Como base de todos los componentes Oracle se debe contar con la base de datos Oracle Database
Enterprise Edition u Oracle Database Standard Edition.
2.2.1. CIFRADO Y ENMASCARAMIENTO.
Oracle Data Masking Pack.
Las Organizaciones precisan compartir datos de producción con usuarios internos y externos con
diferentes propósitos, como el de realizar pruebas a las aplicaciones, en muchos casos estos datos
contienen información sensible que queda expuesta y pude ser usado con fines maliciosos. Con
Oracle Data Masking es posible suplir esta necesidad de compartir estos datos con entidades
internas y externas pero garantizando que los datos no sean revelados, pero que de igual manera
sean válidos para las pruebas y otros usos que se le den.
Proteger los datos sensibles que son usados del ambiente de producción en otras áreas es una
necesidad para las empresas, esto gracias a las regulaciones que existen a nivel mundial, para el
caso de Colombia existe la LEY 1266 de 2008 llamada “Ley Habeas Data.”
Es una solución que sustituye los datos de producción con valores anónimos, protegiendo datos
sensibles de una exposición innecesaria en ambientes de prueba y desarrollo.
Data Masking provee una variedad de técnicas sofisticadas de enmascaramiento para cumplir con
los requerimientos de aplicación mientras asegura la privacidad de los datos. Estas técnicas
aseguran que las aplicaciones continúen operando sin errores después del enmascaramiento.
Data Masking provee adicionalmente una librería centralizada de formatos de máscaras para tipos
comunes de datos sensibles, como números de tarjetas de crédito, números telefónicos. Reglas de
privacidad de datos pueden ser aplicadas a datos sensibles en todas las bases de datos de la
organización desde un solo origen.
70
Los datos a usar pueden ser sensibles por varias razones, por ejemplo la confidencialidad (salario de
los empleados), el ambiente regulatorio (Sarbanes-Oxley) o prácticas de negocio establecidas.
Usando las capacidades de búsqueda que integra el producto Oracle Data Masking Pack los
administradores de la seguridad de la información pueden rápidamente identificar datos sensibles
en la base de datos. En algunas aplicaciones, los mismos datos sensibles son almacenados en
múltiples tablas relacionadas como por ejemplo el ID del empleado en una aplicación de Recursos
Humanos, el Data Masking Pack descubre esas relaciones y marca automáticamente todos los
elementos relacionados.
Con este producto se obtienen diversas técnicas de enmascaramiento para cumplir con los
requerimientos de la aplicación al tiempo que se asegura la privacidad de los datos. Dichas técnicas
son:
Enmascaramiento Basado en condiciones: esta técnica hace posible aplicar diferentes formatos de
enmascaramiento al mismo conjunto de datos.
Enmascaramiento Compuesto: esta técnica asegura que un conjunto de columnas relacionadas
están enmascaradas como un grupo para asegurar que estos datos retienen la misma relación, como
por ejemplo: ciudad, estado y el código postal son valores que deber se consistentes después de
realizar el enmascaramiento.
Enmascaramiento Determinístico: esta técnica asegura que existan valores enmascarados
repetidos después de aplicar el enmascaramiento. Las empresas pueden usar esta opción para
garantizar que varios valores como un ID de cliente sea enmascarado al mismo valor en todas las
bases de datos.
Oracle Advanced Security Option.
Oracle Advanced Security ofrece una solución completa y fácil de implementar para la protección
de las comunicaciones hacia y desde la base de datos.
Advanced Security ofrece cifrado para resguardar datos sensibles y cumplir con las regulaciones
existentes. Este cifrado se incorpora directamente en la base de datos. Los datos se cifran de
manera automática para todos los usuarios de la base de datos.
A nivel de backups, Advanced Security Option los protege usando cifrado Transparente de Datos.
Es posible proteger los datos sensibles ante un acceso no autorizado al sistema operativo o al
eventual robo del componente hardware. Con un “alter table” el administrador puede cifrar datos
sensibles de una tabla, como números de tarjeta de crédito, números de seguro social, etc.
Este cifrado es transparente para todas las aplicaciones y no requiere de ningún cambio en ellas. El
cifrado de datos se realiza directamente en el disco, y se descifran para un usuario que se haya
71
identificado exitosamente. Adicionalmente se cuenta con el cifrado por red como SSL, y se ofrece
soporte para el protocolo TLS. De esta forma la base de datos puede configurarse para que no
acepte conexiones cuyos clientes tengan el cifrado inactivo o permitir conexiones no cifradas.
También se encuentra soporte para servicio de autenticación como Kerberos, PKI, RADIUS.
2.2.2. CONTROL DE ACCESO.
Oracle Database Vault.
Con Database Vault se protege la información sensible para que no sea vista por el administrador de
la base de datos. Información sensible como datos relacionados con los ciudadanos, socios,
empleados y clientes. La intención de Database Vault es impedir que los DBA accedan a
aplicaciones y tareas que están fuera de sus responsabilidades. Se incluyen restricciones a las base
de datos según roles, estas restricciones son totalmente flexibles y adaptables según se requiera.
De esta forma se puede restringir el acceso del DBA y de otros usuarios privilegiados a los datos de
las aplicaciones, evitar que el DBA manipule otras aplicaciones y mejores controles sobre quién,
dónde y cuándo puede acceder a una aplicación.
Oracle Identity Management.
Identity Management permite a las empresas administrar el ciclo de vida de la identidad de los
usuarios a través de todos los recursos de la empresa dentro y más allá de los firewall. De esta
forma puede hacerse un deploy de aplicaciones rápido y posteriormente aplicar una protección
granular a los recursos.
Identity Management provee seguridad integrada y unificada además de servicios de identidad
para administrar a los usuarios, proveerles accesos seguros a los recursos. Está diseñado para
administrar usuarios de intranet y extranet. Para estos últimos permite el soporte de millones de
clientes que acceden a los recursos de la compañía usando clientes tradiciones como los
navegadores o smart phones.
Con Oracle Identity Management se cuenta con una serie de servicios categorizados de la siguiente
forma:
Administración de la identidad:
Gestión del Ciclo de Vida de la identidad
Gestión de contraseñas
Gestión de roles en el sistema
72
Administración del Acceso:
Inicio de sesión único
Autenticación fuerte
Autorización basada en Riesgos
Servicio de Directorio:
Almacenamiento de identidad
Virtualización de identidad
Integración de Directorio
Oracle Virtual Private Database (VD).
Oracle Virtual Private Database es una característica de seguridad de Oracle Database Enterprise
Edition que permite aplicar políticas de seguridad y enmascaramiento sobre tablas y vistas de las
bases de datos. Estas políticas son invocadas cuando una sentencia SQL se ejecuta sobre el objeto
asociado a la política, esto permite que sin importar como acceda el usuario a los datos la política
sea ejecutada.
Los acceso directo o indirectos s los objetos asociados con las políticas hacer que se ejecute una
función que agrega a la sentencia SQL enviada por el usuario una clausula “WHERE” que
condiciona dinámicamente el acceso a los datos. Entre los usos que se les puede dar están: Mostrar
filas o columnas de un tabal según el rol del usuario o restringir el acceso a los datos durante
determinadas horas.
2.2.3. MONITOREO Y AUDITORÍA.
Oracle Enterprise Manager y Oracle Enterprise Manager Grid
Control.
Oracle Enterprise Manager permite la administración de las plataformas de despliegue de Oracle,
Microsoft NET, Microsoft SQL Server, archivadores NetApp, BEA Weblogic y otros. Los
administradores pueden personalizar los análisis realizados con los módulos de administración y
agrupar los datos específicos de rendimiento de los sistemas
Oracle Enterprise Manager provee herramientas que permiten administrar todas las piezas que hacer
parte del sistema y del ambiente hardware. Es posible administrar comerciales, servicios para el
73
usuario final y la infraestructura grid de manera sencilla desde una sola máquina y con las
aplicaciones que están creadas de manera tal que parece una sola.
Es posible administrar los siguientes componentes:
Base de Datos
o Analizar el rendimiento de sentencias SQL
o Verificar la salud de la base de datos.
o Verificar si existen parches que son necesarios aplicar a la base de datos.
o Monitorizar bases de datos en Cluster.
Servidor de Aplicaciones Oracle
o Identificar los componentes de un servidor de aplicaciones y su estado.
o Monitorear en tiempo real el rendimiento del servidor de aplicaciones.
o Verificar si existen parches necesarios para aplicarle al servidor de aplicaciones.
Oracle Collaboration Suite
Host (Solaris, Linux, Windows)
o Analizas los procesos más importantes que más consumen CPU y memoria RAM
en el host elegido.
o Mantener un rastreo del inventario software y hardware.
o Estudiar los problemas más importantes de rendimiento del host elegido.
* Oracle Enterprise Manager Grid Control tiene la misma funcionalidad del Oracle Enterprise
Manager, la diferencia radica que en la capacidad de manejo de grillas.
Oracle Audit Vault.
Audit Vault es un motor de auditoría que busca detectar, monitorear, consolidar y generar alertas y
reportes de los datos de auditoría de todos los sistemas con los que se cuente incluso si no son
productos Oracle. Con Audit Vault se puede consolidar los registros de auditoría y llevarlos a un
formato único, asegurar todos los datos de auditoría del sistema, centralizar el manejo de políticas
de auditoría, facilita el análisis de la información de auditoría proveyendo la detección de
violaciones, facilita el cumplimiento de la normatividad y estándares internacionales.
Con Audit Vault es posible generar notificaciones de actividad sospechosa en la compañía.
Constantemente monitorea los datos de auditoría contra las condiciones de alerta. Las alertas
pueden ser asociadas con cualquier evento auditable incluyen eventos del sistema como cambios a
las tabla de una aplicación, autorización de roles y creación de usuarios con privilegios.
Audit Vaul protege datos de auditoria de SQL Server, IMB DB2 y Sybase usando seguridad fuerte.
Es posible a su vez, generar reportes que incluyen usuarios con privilegios, gestión de cuentas, roles
74
y privilegios. También los reportes pueden incluir la actividad de inicio de sesión a través de
múltiples sistemas en periodos específicos, como fines de semana.
Oracle Database Firewall.
Con Database Firewall es la primeria línea de defensa, el cual provee un monitoreo en tiempo real
de la actividad de la base de datos en la red. Con este firewall es posible bloquear transacciones no
autorizadas ayudando a prevenir ataques internos y externos, antes de que alcancen la base de datos.
Con Database Firewall es posible:
Monitorear y bloquear trafico SQL en la red, incluyendo listas blancas y negras con
políticas de excepción.
Protege amenazas de SQL Injection.
Reporta actividad en la base de saros para SOX y otras regulaciones.
Protege base de datos Oracle, Sybase, SQL Server.
Oracle Database Firewall crea un perímetro defensivo que monitorea y hace cumplir el
comportamiento normal de una aplicación, ayudando a prevenir casos de SQL injection y otras
actividades malignas que buscarían llegar a la base de datos. Analiza todas las sentencias SQL que
están siendo enviadas a la base de datos, analizando su significado y determinando la política de
seguridad adecuada para ser aplicada. Las políticas pueden llegar a configurarse basado en
atributos que incluyen categorías de SQL, hora del día, aplicación, usuario y dirección IP.
Constantemente realiza logs y alertas, bloquea y sustituye las sentencias SQL que llegan con unas
inofensivas según sea el caso. Contiene reportes listos para ser usados, alrededor de 100 para que
fácilmente sean configurados para las regulaciones como SOX, Payment Card Industry
Oracle Diagnostic Pack.
Oracle Diagnostic Pack es un motor de diagnóstico automático dentro de la base de datos. Este
producto permite analizar problemas de desempeño en la base de datos liberando de trabajo
adicional a los administradores. Entre sus características principales encontramos:
Reportes automáticos sobre rendimiento.
Almacenamiento del historial de carga presentado en el sistema para un posterior análisis
del rendimiento.
75
Uso de métricas
Notificación de eventos.
El motor de diagnóstico examina automáticamente el estado de la base de datos identificando
cuellos de botella y recomendando acciones correctivas, que serán guías paso a paso para ser
ejecutadas por los administradores. Dicho motor inicia analizando las actividades en la que la base
de datos gasta la mayor cantidad de tiempo, identificando problemas relacionados uso de
procesador, pobre gestión de la conexión, sentencias SQL intensivas y bloqueos de conexión.
Oracle Configuration Management Pack (CMP).
Oracle Configuration Management Pack permite el manejo centralizado de la configuración.
Capturando la información del Hardware y software de la empresa, lo cual facilita el diagnostico de
problemas y la automatización de procesos basados en regulaciones y estándares aplicables a la
empresa. El análisis y monitoreo permite la evaluación de las practicas establecidas y facilitar su
mejoramiento continuo.
Sus principales beneficios son:
• La rápida resolución de problemas, porque detecta, documenta, alerta y mantiene la
configuración de los sistemas. Minimiza los riesgos en los cambios de configuración al
medir el impacto de sobre los sistemas y permite el rastreo de las causas de la falla.
• Administración de configuraciones de software complejas, ya que el análisis en tiempo real
de los elementos asociados posibilita la generación de informes de procesos de cambios con
el análisis y reporte de las configuraciones que son usadas.
• Inventario centralizado, al ofrecer una visión completa y centralizada de los componentes.
• Búsqueda de configuraciones, permite la busque da de parámetros de valores de
configuración.
• Comparación de configuraciones, al brindar herramientas que permiten la realización de
esta tarea con todos los sistemas de la empresa lo cual facilita la tarea del administrador
para detectar cualquier diferencia que pueda genera una falla.
• Manejo de historiales de configuración.
• Administración de políticas basadas en estándares y regulaciones, ya que cuanta con más de
200 políticas relacionadas con la seguridad, configuración y almacenamiento que permiten
el análisis de las vulnerabilidades de seguridad críticas.
• Aplicación de actualizaciones, alertando al administrador sobre la aparición de
actualizaciones críticas del sistema y dando la facilidad del modo fuera de línea para los
sistemas sin conexión a internet.
76
2.2.4. CONTINUIDAD DEL NEGOCIO.
Oracle Real Application Clusters (RAC).
Oracle Real Application Clusters permite que varias terminales puedan ejecutar software de una
base de datos Oracle mientras se accede a una base de datos individual, esto es conocido como una
base de datos en clúster. Permitiendo que dos o más computadores accedan de forma concurrente a
una base de datos individual, permitiendo que un usuario e incluso una aplicación se conecte a
alguno de esos computadores y obtenga acceso a los mismos datos.
Con RAC, puede ejecutarse una única base de datos en varios servidores proporcionando tolerancia
a fallos y mejorando el rendimiento y la capacidad de escalabilidad. Los administradores de la base
de datos cuentan con un solo sitio de instalación y administración del RAC ya sea a través de una
interfaz gráfica o por línea de comandos. También incluye herramientas procesos de recuperación,
fallas, y bloqueos, permitiendo identificar las aplicaciones instaladas y monitorearlas, reasignarlas o
reiniciarlas.
Al distribuir la ejecución de la base de datos a través de RAC se garantiza una alta disponibilidad de
la misma, si un nodo del clúster falla, los demás nodos continuaran ofreciendo la disponibilidad de
la base de datos. De esta forma si un nodo está en mantenimiento, los usuarios pueden continuar
haciendo unos de la base de datos a través de los demás nodos del clúster.
Dentro de las ventajas de contar con RAC se encuentra la posibilidad de que cada una de las cargas
de trabajo que generan las aplicaciones se definirán como servicios, permitiendo así su
administración y control de manera individual, generando un balance de carga.
Oracle Data Guard (DG) y Oracle Active Data Guard (ADG).
Con Oracle Data Guard se asegura alta disponibilidad, protección de datos y recuperación del
desastre para los datos de las empresas. Data Guard provee un conjunto de servicios para crear,
mantener, administrar y monitorear una o más bases de datos para soportar desastres y corrupción
de datos.
Con Data Guard las bases de datos que están en standby se mantienen como copias transaccionales
consistentes de la base de datos de producción. De esta forma si la base de datos de producción
llega a no estar disponible ya sea planeado o no, Data Guard puede cambiar la base de datos de
standby a rol de producción, minimizando el tiempo de baja del servicio. Dichas bases de datos
standby pueden ubicarse a miles de kilómetros de las de producción. De esta forma Data Guard
consiste de una base de datos de producción llamada Primaria y una o más bases de datos de
StandBy. Como las transacciones ocurren en la base de datos primaria, estas son almacenadas y
transferidas a cada una de las base de datos replicas manteniendo la sincronía con la base de datos
77
principal. Esto permite realizar un cambio de la primaria a las secundarias relativamente rápido
minimizando el tiempo de caída.
Haciendo uso de Data Guard se obtienen los siguientes beneficios:
Alta Disponibilidad y Recuperación del Desastre:
o Provee una administración sencilla del cambio entre de bases de datos primaria a
secundarias minimizando el tiempo de caída, bajo condiciones previamente
planeadas o improvistas.
Protección Completa de Datos:
o Se asegura una ausencia de pérdida de datos, las bases de datos secundarias proveen
un seguro contra la corrupción de datos o errores de usuario. Corrupciones físicas
de los datos de la base de datos primaria no son propagado a las base de datos
secundarias. Esto permite que si un usuario realiza una corrupción total de la base
de datos primaria esto pueda resolverse fácilmente.
Utilización eficiente de los recursos del sistema:
o Los sitios alternos pueden ser usados para otras tareas como backups, generación de
reportes, y queries, reduciendo la carga de trabajo en la base de datos primaria.
Oracle Golden Gate.
Oracle Golden Gate fue diseñada para proveer soluciones de integración de datos en tiempo real
con una sobrecarga mínima de la infraestructura de TI, una de sus características más notables es su
capacidad de configuración, la cual le permite realizar integraciones heterogéneas entre diferentes
bases de datos, sistemas operativos y servidores de manera bidireccional.
Adicionalmente cuenta con la habilidad de mantener la integridad de las transacciones, además,
utiliza un módulo de check-pointing, para subsanar interrupciones y cortes de servicio, para
mantener la continuidad de la operación, reduciendo de esta manera las interrupciones del servicio.
Los beneficios que Golden Gate ofrece son:
Alto Desempeño: Envío de datos en segundos, ya que solo se transmiten los datos
cambiados a través del log de transacciones.
78
Confiabilidad: Integridad de transacciones con un envío y recepción de datos contante y
garantizada, reduciendo la pérdida de datos.
Heterogeneidad: Soporta gran variedad de sistemas de bases de datos permitiendo la
integridad de diferentes plataformas.
2.2.5. GESTIÓN DOCUMENTAL.
Oracle Enterprise Content Management (ECM).
Oracle Content Management provee una solución para todos los tipos de contenido que la
administración necesita. Desde un servidor de archivos hasta la administración de contenido web
Esta tecnología “ayuda a las empresas a administrar el contenido no estructurado a través de todas
las etapas del ciclo de vida del contenido aplicando funcionalidad y control” (ORACLE, 2010)79
de
acuerdo a las necesidades. Con esta suite se incluyen administración de documentos e imágenes y
procesos, “administración de contenido web, administración de activos digitales y administración
de registros todo en una sola plataforma fácil de usar” (ORACLE, 2010)80
.
Con ECM de Oracle es posible realizar:
• Captura de Documentos
• Creación de un repositorio
• Indexación
• Versionamiento
• Flujos de Trabajo
• Role de usuario y seguridad
Oracle Information Rights Management (IRM).
Oracle IRM permite implantar Políticas Corporativas de Seguridad Documental, con IRM es
posible:
79 ORACLE. (2010). Conceptos de Seguridad.
80 ORACLE. (2010). Conceptos de Seguridad.
79
Especificar los usuarios (destinatarios) o grupos de usuarios de un documento, sean internos
(empleados) o externos (terceros).
• Permitir o no la impresión de un documento
• Permitir o no una captura de la imagen de un documento en pantalla
• Establecer la vida de un documento (desde cuando sea vigente hasta su retirada de
circulación)
• Establecer el tiempo de uso de un documento
• por el usuario desde la primera vez que se abra
• Establecer franjas de horario para la utilización de un documento
• Permitir o no la utilización “offline” de un documento
• Especificar lo que puede hacer cada destinatario con un documento (leerlo, editarlo,
copiarlo sin cifrar, re-cifrar otro grupo de usuarios, etc.)
2.3. ALINEACIÓN DE LA CIRCULAR 014 DE 2009 DE LA SUPERINTENDENCIA
FINANCIERA Y LAS ISO27001 CON LOS PRODUCTOS ORACLE
SELECCIONADOS.
El propósito de esta sección es presentar de manera lógica y ordenada los controles tecnológicos de
la Circular 014 de la Superintendencia Financiera y los objetivos de control relacionado del Anexo
A de la norma ISO 27001, sumándole a esto se sugiere un producto Oracle que apoyará el
cumplimiento de los controles respectivos.
La tabla está organizada de la siguiente manera:
La primera columna contiene los controles tecnológicos de la Circular 014, la segunda columna
contiene los objetivos de control del Anexo A de la norma ISO 27001 que están relacionado con la
Circular 014, y la tercer y última columna presenta el producto que apoyara el cumplimiento de los
controles analizados en la fila de consulta.
80
TABLA 5: CONTROLES Y PRODUCTOS ASOCIADOS
Circular 014 2009 de la Superintendencia
Financiera ISO/IEC 27001:2005 Anexo A Soluciones Oracle
7.6.2 Normas de Control Interno para la gestión de la
Tecnología
I Plan estratégico de tecnología.
i. Análisis de cómo soporta la tecnología
los objetivos del negocio.
• A.7.1.1 Inventario de Activos
• A.10.5.1 Back-up o respaldo de la
información
• A.10.6.1 Controles de red
• A.10.6.2 Seguridad de servicios de red
• A.10.7.1 Gestión de Medio
removibles.
• A.10.7.4 Seguridad de Documentación
del Sistema
• A.10.8.3 Medio Físicos en Tránsito
• A.10.8.4 Mensajes electrónicos.
• A.10.9.1 Comercio Electrónico.
• A.10.9.2 Transacciones en línea.
• A.10.9.3 Información Disponible
Públicamente
• A.11.4.2 Autenticación de usuario
para conexiones externas
• A.11.4.6 Control conexión de redes.
• A.11.4.7 Control de Routing de redes.
ii. Evaluación de la tecnología actual. • A.7.1.1 Inventario de Activos.
• Oracle Enterprise Manager
(EM).
• Oracle Diagnostic Pack (DP).
81
Circular 014 2009 de la Superintendencia
Financiera ISO/IEC 27001:2005 Anexo A Soluciones Oracle
iii. Estudios de mercado y factibilidad de
alternativas tecnológicas que respondan a las
necesidades de la entidad.
• A.6.1.6 Contacto con autoridades
• A.6.1.7 Contacto con grupos de interés
especial
• A.14.1.1 Incluir seguridad de la
información en el proceso de gestión de
continuidad comercial.
• A.14.1.3 Desarrollar e implementar
planes de continuidad incluyendo
seguridad de la información
iv. Planes operacionales estableciendo metas
claras y concretas.
• A.5.1.1 Documentar Política de
seguridad de la información.
• A.5.1.2 Revisión de la política de
seguridad de la información.
• A.6.1.2 Coordinación de la seguridad
de la información.
• A.6.1.3 Asignación de
responsabilidades de la seguridad de la
información.
• A.6.1.8 Revisión independiente de la
seguridad de la información.
• A.7.2.2 Etiquetado y manejo de la
información.
• A8.1.1 Roles y Responsabilidades.
• A.10.3.1 Gestión de Capacidad.
• A.13.2.1 Responsabilidades y
procedimientos.
• A.14.1.3 Desarrollar e implementar
planes de continuidad incluyendo
seguridad de la información.
82
Circular 014 2009 de la Superintendencia
Financiera ISO/IEC 27001:2005 Anexo A Soluciones Oracle
II Infraestructura de tecnología.
• A.7.1.1 Inventarios de Activos.
• A.9.1.1 Perímetro de Seguridad Física.
• A.9.1.2 Controles de entrada físicos.
• A.9.1.3 Seguridad de oficinas,
habitaciones y medios.
• A.9.1.4 Protección contra amenazas
externas y ambientales.
• A.9.1.5 Trabajo en áreas seguras.
• A.9.2.1 Ubicación y protección del
equipo.
• A.9.2.2 Servicios Públicos.
• A.9.2.3 Seguridad en el cableado.
• Oracle Enterprise Manager
(EM).
• Oracle Audit Vault (AV).
III
Cumplimiento de requerimientos legales para
derechos de autor, privacidad y comercio
electrónico.
• A.15.1.1 Identificación de legislación
aplicable.
• A.15.1.2 Derechos de propiedad
intelectual.
• A.15.1.3 Protección de los registros
organizacionales.
• A.15.1.4 Protección de data y
privacidad de información personal.
• A.15.1.6 Regulación de controles
criptográficos.
• Oracle Enterprise Content
Management (ECM).
• Oracle Information Rights
Management (IRM).
83
Circular 014 2009 de la Superintendencia
Financiera ISO/IEC 27001:2005 Anexo A Soluciones Oracle
IV Administración de proyectos de sistemas.
• A.10.3 Planeación y Aceptación del
Sistema.
• A.10.6 Gestión de seguridad de redes.
• A.10.7 Gestión de medios.
• A.11.2 Gestión del acceso del usuario.
• A.12.6 Gestión de vulnerabilidad
técnica.
• A.13 Gestión de incidentes en la
seguridad de la información.
• A.14 Gestión de la continuidad
comercial.
V Administración de la calidad,
i. Programas para establecer una cultura de
calidad de la tecnología en toda la entidad.
• A.5.1.1 Documentar Política de
seguridad de la información.
• A.5.1.2 Revisión de la política de
seguridad de la información.
• A.6.1.1 Compromiso de la Gerencia
con la seguridad de la información.
• A.6.1.2 Coordinación de la seguridad
de la información.
• A.6.1.3 Asignación de
responsabilidades de la seguridad de la
información.
• A.8.2.2 Capacitación y educación en
seguridad de la información.
• A.10.1.1 Procedimientos de operación
documentados.
• A.15.2.1 Cumplimiento con las
políticas y estándares de seguridad.
• Oracle Enterprise Content
Management (ECM)
• Oracle Information Rights
Management (IRM)
84
Circular 014 2009 de la Superintendencia
Financiera ISO/IEC 27001:2005 Anexo A Soluciones Oracle
ii. Planes concretos de calidad de la
tecnología.
• A.14.1.1 Incluir seguridad de la
información en el proceso de gestión de
continuidad comercial.
• A.14.1.2 Continuidad comercial y
evaluación del riesgo.
• A.14.1.3 Desarrollar e implementar
planes de continuidad incluyendo
seguridad de la información.
• A.14.1.4 Marco referencial para la
planeación de la continuidad comercial.
• A.14.1.5 Prueba, mantenimiento y re-
evaluación de planes de continuidad
comerciales.
• Oracle Real Application
Clusters (RAC)
• Oracle Data Guard (DG)
• Oracle Golden Gate (GG)
iii. Responsables por el aseguramiento de la
calidad.
• A.8.1.1 Roles y Responsabilidades.
• A.13.2.1 Responsabilidades y
Procedimientos.
• Oracle Database Vault (DV).
• Oracle Identity Management
(IDM).
iv. Prácticas de control de calidad.
• A.14.1.1 Incluir seguridad de la
información en el proceso de gestión de
continuidad comercial.
• A.14.1.2 Continuidad comercial y
evaluación del riesgo.
• A.14.1.3 Desarrollar e implementar
planes de continuidad incluyendo
seguridad de la información.
• A.14.1.4 Marco referencial para la
planeación de la continuidad comercial.
• A.14.1.5 Prueba, mantenimiento y re-
evaluación de planes de continuidad
comerciales.
• Oracle Enterprise Content
Management (ECM)
• Oracle Enterprise Manager
(EM).
85
Circular 014 2009 de la Superintendencia
Financiera ISO/IEC 27001:2005 Anexo A Soluciones Oracle
• A.10.1.1 Procedimientos de operación
documentados.
• A.15.3.1 Controles de auditoría de
sistemas de información.
• A.15.2.2 Chequeo de cumplimiento
técnico.
v. Metodología para el ciclo de vida de
desarrollo de sistemas.
vi. Metodología de prueba y documentación
de programas y sistemas.
• A.10.3.2 Aceptación del Sistema.
• A.12.4.2 Protección de la data de
prueba del sistema.
• A.14.1.2 Continuidad comercial y
evaluación del riesgo.
• A.14.1.3 Desarrollar e implementar
planes de continuidad incluyendo
seguridad de la información.
• A.14.1.4 Marco referencial para la
planeación de la continuidad comercial.
• A.14.1.5 Prueba, mantenimiento y re-
evaluación de planes de continuidad
comerciales.
• Oracle Data Masking Pack
(DMP).
• Oracle Advanced Security
(AS).
• Oracle Enterprise Content
Management (ECM) ,
86
Circular 014 2009 de la Superintendencia
Financiera ISO/IEC 27001:2005 Anexo A Soluciones Oracle
vii. Diseño de informes de aseguramiento de
la calidad.
• A.5.1.1 Documentar Política de
seguridad de la información.
• A.10.1.1 Procedimientos de operación
documentados.
• A.10.10.1 Registro de auditoría.
• A.13.2.2 Aprendizaje de los incidentes
de la seguridad de la información.
• A.13.2.3 Recolección de Evidencia.
• Oracle Enterprise Content
Management (ECM)
• Oracle Enterprise Manager
Grid Control (EMGC)
viii. Capacitación de usuarios finales y del
personal de aseguramiento de la calidad.
• A.8.2.1 Gestión de Responsabilidades.
• A.8.2.2 Capacitación y educación en
la seguridad de la información.
ix. Desarrollo de una base de conocimiento
de aseguramiento de la calidad.
• Oracle Enterprise Content
Management (ECM)
VI Adquisición de tecnología.
• A.7.1.1 Inventario de Activos.
• A.9.1.1 Perímetro de Seguridad Física.
• A.9.1.2 Controles de entrada físicos.
• A.9.1.3 Seguridad de oficinas,
habitaciones y medios.
• A.9.1.4 Protección contra amenazas
externas y ambientales.
• A.9.1.5 Trabajo en áreas seguras.
• A.9.2.1 Ubicación y protección del
equipo.
• A.9.2.2 Servicios Públicos.
• A.9.2.3 Seguridad en el cableado.
• A.9.2.5 Seguridad del equipo fuera del
local.
87
Circular 014 2009 de la Superintendencia
Financiera ISO/IEC 27001:2005 Anexo A Soluciones Oracle
• A.9.2.6 Eliminación seguro o re-uso
del equipo.
• A.10.5.1 Back-up o respaldo de la
información.
• A.10.6.1 Controles de red.
• A.10.6.2 Seguridad de servicios de
red.
• A.10.7.1 Gestión de Medio
removibles.
• A.10.7.4 Seguridad de Documentación
del Sistema.
• A.10.8.3 Medio Físicos en Tránsito.
• A.10.8.4 Mensajes electrónicos.
• A.10.9.1 Comercio Electrónico.
• A.10.9.2 Transacciones en línea.
• A.10.9.3 Información Disponible
Públicamente.
• A.11.4.2 Autenticación de usuario
para conexiones externas.
• A.11.4.6 Control conexión de redes.
• A.11.4.7 Control de Routing de redes.
VII Adquisición y mantenimiento de software de
aplicación.
• A.12 Adquisición, desarrollo y
mantenimiento de los sistemas de
información.
VIII Instalación y acreditación de sistemas.
• A.10.3.2 Aceptación del sistema.
• A.12.4.1 Control Software
Operacional.
• Oracle Enterprise Manager
Grid Control (EMGC)
• Oracle Diagnostic Pack (DP).
IX Administración de cambios.
88
Circular 014 2009 de la Superintendencia
Financiera ISO/IEC 27001:2005 Anexo A Soluciones Oracle
i. Identificación clara del cambio a realizar
en la infraestructura.
• A.10.1.2 Gestión de Cambio.
• A.10.2.3 Manejar los cambios en los
servicios de terceros.
• A.12.5.1 Procedimientos de control de
cambio.
• Oracle Enterprise Manager
Grid Control (EMGC)
• Oracle Diagnostic Pack (DP).
• Oracle Configuration
Management Pack (CMP).
ii. Categorización, priorización y
procedimientos de emergencia a llevar a cabo
durante el cambio.
• A.12.5.1 Procedimientos de Control
de Cambio.
• A.12.3.1 Políticas sobre el uso de
controles criptográficos.
• A.12.3.2 Gestión Clave.
• Oracle Enterprise Manager
Grid Control (EMGC)
• Oracle Diagnostic Pack (DP).
• Oracle Configuration
Management Pack (CMP).
iii. Evaluación del impacto que ocasiona el
cambio en la infraestructura.
• A.6.1.8 Revisión independiente de la
seguridad de la información.
• A.12.5.2 Revisión Técnica de las
Aplicaciones después de cambios en el
sistema operativo.
• Oracle Configuration
Management Pack (CMP).
iv. Procedimiento de autorización de los
cambios.
• A.10.1.2 Gestión del Cambio
• A.12.5.3 Restricciones sobre los
cambios en los paquetes software.
• A.12.4.1 Control de Software
Operacional.
• A.12.4.2 Protección de la data de
prueba del sistema.
• A.12.4.3 Control de acceso al código
fuente del programa.
• A.10.1.3 Segregación de deberes
• Oracle Data Masking Pack
(DMP).
• Oracle Advanced Security
(AS).
• Oracle Identity Management
(IDM).
v. Procedimiento de administración de
versiones. • A.10.3.2 Aceptación del Sistema
• Oracle Enterprise Content
Management (ECM)
vi. Políticas de distribución del software.
89
Circular 014 2009 de la Superintendencia
Financiera ISO/IEC 27001:2005 Anexo A Soluciones Oracle
vii. Obtención de herramientas
automatizadas para realizar los cambios.
• A.12.2.2 Control de Procesamiento
Interno.
• A.12.2.3 Integridad del Mensaje.
• A.12.2.4 Validación de data de output.
• A.12.5.1 Procedimientos de control de
cambio.
• A.12.5.3 Restricciones sobre los
cambios en los paquetes de software.
• Oracle Enterprise Content
Management (ECM)
• Oracle Advanced Security
(AS).
viii. Procedimientos para la administración de
la configuración.
• Oracle Configuration
Management Pack (CMP).
• Oracle Audit Vault (AV).
• Oracle Enterprise Manager
Grid Control (EMGC)
ix. Rediseño de los procesos del negocio que
se vean impactados por el cambio en la
infraestructura.
X Administración de servicios con terceros.
• A.8.1.1 Roles y Responsabilidades.
• A.8.1.3 Términos y condiciones de
empleo.
• A.8.2.1 Gestión de responsabilidades.
• A.8.2.2 Capacitación y educación en
seguridad de la información.
• A.8.3.2 Devolución de Activos.
• A.8.3.3 Eliminación de derechos de
acceso.
• A.10.2.1 Entrega del servicio.
• A.10.2.2 Monitoreo y Revisión de los
servicios de terceros.
• A.10.2.3 Manejar los cambios en los
• Oracle Identity Management
(IDM).
90
Circular 014 2009 de la Superintendencia
Financiera ISO/IEC 27001:2005 Anexo A Soluciones Oracle
servicios de terceros
XI Administración, desempeño, capacidad y
disponibilidad de la infraestructura tecnológica.
• 10.3.1 Gestión de la capacidad.
• 10.3.2 Aceptación del sistema.
• Oracle Enterprise Manager
(EM).
• Oracle Audit Vault (AV).
XII Continuidad del negocio.
• 14.1.1 Incluir la seguridad de la
información en el proceso de gestión de
continuidad del negocio
• 14.1.2 Continuidad del negocio y
evaluación del riesgo
• 14.1.3 Desarrollar e implementar los
planes de continuidad incluyendo la
seguridad de la información
• A.5.1 Política de seguridad de la
información.
10.5 Respaldo o Back-Up
• Oracle Real Application
Clusters (RAC).
• Oracle Data Guard (DG)
• Oracle Active Data Guard
(ADG)
• Oracle Golden Gate (GG)
XIII Seguridad de los sistemas.
91
Circular 014 2009 de la Superintendencia
Financiera ISO/IEC 27001:2005 Anexo A Soluciones Oracle
i. Autorización, autenticación y control de
acceso.
• A.11.1.1 Política de control del
acceso.
• 8.3.3 Retiro de los derechos de acceso.
• 11.5.1 Procedimientos para un registro
seguro
• 11.5.2 Identificación y autenticación
del usuario
• 11.5.3 Sistema de gestión de claves
secretas
• 11.5.4 Uso de las utilidades del
sistema
• 11.5.5Cierre de una sesión por
inactividad
• 11.5.6 Limitación del tiempo de
conexión
• 11.6.1 Restricción del acceso a la
información
• 11.6.2 Aislar el sistema confidencial
• 11.7.1 Computación y
comunicaciones móviles
• 11.7.2 Tele-trabajo
• Oracle Identity Management
(IDM).
ii. Identificación de usuarios y perfiles de
autorización los cuales deberán ser otorgados de
acuerdo con la necesidad de tener y necesidad
de conocer.
• 11.2.1 Registro del usuario
• 11.2.2 Gestión de privilegios
• 11.2.3 Gestión de las claves secretas
de los usuarios
• 11.2.4 Revisión de los derechos de
acceso del usuario
• 11.1.1 Política de control del acceso
• Oracle Identity Management
(IDM).
92
Circular 014 2009 de la Superintendencia
Financiera ISO/IEC 27001:2005 Anexo A Soluciones Oracle
iii. Manejo de incidentes, información y
seguimiento.
• 13.1.1 Reporte de eventos en la
seguridad de la información
• 13.1.2 Reporte de las debilidades en la
seguridad
• 13.2.1 Responsabilidades y
procedimientos
• 13.2.2 Aprender de los incidentes en la
seguridad de la información
• 13.2.3 Recolección de evidencia
• Oracle Audit Vault (AV).
• Oracle Enterprise Manager
(EM).
iv. Prevención y detección de código
malicioso, virus, entre otros.
• 10.4.1 Controles contra códigos
maliciosos
• 10.4.2 Controles contra códigos
móviles
• Oracle Database Firewall
(DF)
v. Entrenamiento de usuarios.
• A8.2.2 Conocimiento, educación y
capacitación en seguridad de la
información.
• 11.3.1 Uso de claves secretas.
• 11.3.2 Equipo del usuario desatendido.
• 11.3.3 Política de escritorio y pantalla
limpios.
vi. Administración centralizada de la
seguridad.
• 10.2 Gestión de la entrega del servicio
de terceros
• A.10.4. Protección contra el código
malicioso y móvil.
• A.10.5 Respaldo o Back-up.
• Oracle Audit Vault (AV).
XIV Educación y entrenamiento de usuarios.
• A8.2.2 Conocimiento, educación y
capacitación en seguridad de la
información
93
Circular 014 2009 de la Superintendencia
Financiera ISO/IEC 27001:2005 Anexo A Soluciones Oracle
XV Administración de los datos.
i. Establecer controles de entrada,
procesamiento y salida para garantizar la
autenticidad e integridad de los datos.
• 12.2.1 Validación de la input data.
• 12.2.4 Validación de la output data.
• 12.2.3 Integridad del mensaje.
• Oracle Database Firewall
(DF).
• Oracle Advanced Security
(AS).
ii. Verificar la exactitud, suficiencia y
validez de los datos de transacciones que sean
capturados para su procesamiento (generados
por personas, por sistemas o entradas de
interface).
• 12.2.2 Control del procesamiento
interno.
• Oracle Database Firewall
(DF).
• Oracle Advanced Security
(AS).
iii. Preservar la segregación de funciones en
el procesamiento de datos y la verificación
rutinaria del trabajo realizado. Los
procedimientos deberán incluir controles de
actualización adecuados, como totales de
control "corrida a corrida" y controles de
actualización de archivos maestros.
• A.6.1.3 Asignación de las
responsabilidades de la seguridad de la
información
• A.10.7.4 Seguridad de la
documentación del sistema
• 10.1.3 Segregación de los deberes
• Oracle Audit Vault (AV).
• Oracle Database Vault (DV).
iv. Establecer procedimientos para que la
validación, autenticación y edición de los datos
sean llevadas a cabo tan cerca del punto de
origen como sea posible.
• A11.6 Control de acceso a la
aplicación y la información
• Oracle Database Vault (DV).
• Oracle Identity Management
(IDM).
94
Circular 014 2009 de la Superintendencia
Financiera ISO/IEC 27001:2005 Anexo A Soluciones Oracle
v. Definir e implementar procedimientos
para prevenir el acceso a la información y
software sensitivos de computadores, discos y
otros equipos o medios, cuando hayan sido
sustituidos o se les haya dado otro uso. Tales
procedimientos deberán garantizar que los datos
marcados como eliminados no puedan ser
recuperados por cualquier individuo interno o
tercero ajeno a la entidad.
• 9.2.6 Seguridad de la eliminación o re-
uso del equipo
• 9.2.7 Retiro de propiedad
• Oracle Virtual Private
Database (VD).
• Oracle Information Rights
Management (IRM)
vi. Establecer los mecanismos necesarios
para garantizar la integridad continua de los
datos almacenados.
• A.10.7.3 Procedimientos para el
manejo de información
• 12.4.2 Protección de la data del
sistema
• Oracle Real Application
Clusters (RAC).
• Oracle Data Guard (DG)
• Oracle Active Data Guard
(ADG)
• Oracle Golden Gate (GG)
vii. Definir e implementar procedimientos
apropiados y prácticas para transacciones
electrónicas que sean sensitivas y críticas para la
organización, velando por su integridad y
autenticidad.
• 10.9.1 Comercio electrónico
• 10.9.2 Transacciones en-línea
• 10.9.3 Información públicamente
disponible
• Oracle Database Firewall
(DF).
• Oracle Data Masking Pack
(DMP).
• Oracle Database Vault (DV).
• Oracle Audit Vault (AV).
• Oracle Identity Management
(IDM).
• Oracle Advanced Security
(AS).
• Oracle Virtual Private
Database (VD).
95
Circular 014 2009 de la Superintendencia
Financiera ISO/IEC 27001:2005 Anexo A Soluciones Oracle
viii. Establecer controles para garantizar la
integración y consistencia entre plataformas. • Oracle Golden Gate (GG)
XVI Administración de instalaciones.
i. Acceso a las instalaciones. • 9.1.2 Controles de ingreso físico • Oracle Identity Management
(IDM).
ii. Identificación clara del sitio.
• 9.1.1 Perímetro de seguridad física.
• 9.2.1 Ubicación y protección del
equipo.
iii. Controles de seguridad física.
• 9.1.3 Asegurar las oficinas,
habitaciones y medios.
• 9.1.6 Áreas de acceso público, entrega
y carga.
• Oracle Identity Management
(IDM).
iv. Definición de políticas de inspección y
escalamiento de problemas.
• Oracle Enterprise Manager
Grid Control (EMGC)
• Oracle Audit Vault (AV).
• Oracle Configuration
Management Pack (CMP).
• Oracle Diagnostic Pack (DP).
v. Planeamiento de continuidad del negocio
y administración de crisis.
• 14.1.1 Incluir la seguridad de la
información en el proceso de gestión de
continuidad del negocio
• 14.1.2 Continuidad del negocio y
evaluación del riesgo
• 14.1.3 Desarrollar e implementar los
planes de continuidad incluyendo la
seguridad de la información
• Oracle Real Application
Clusters (RAC)
• Oracle Data Guard (DG)
• Oracle Active Data Guard
(ADG)
• Oracle Golden Gate (GG)
vi. Salud y seguridad del personal.
96
Circular 014 2009 de la Superintendencia
Financiera ISO/IEC 27001:2005 Anexo A Soluciones Oracle
vii. Políticas de mantenimiento preventivo. • 9.2.4 Mantenimiento de equipo.
• Oracle Database Firewall
(DF).
• Oracle Database Vault (DV).
• Oracle Golden Gate (GG)
• Oracle Diagnostic Pack (DP).
viii. Protección contra amenazas ambientales. • 9.1.4 Protección contra amenazas
externas e internas
• Oracle Real Application
Clusters (RAC)
• Oracle Golden Gate (GG)
• Oracle Data Guard (DG) y
Oracle Active Data Guard
(ADG)
ix. Monitoreo automatizado.
• 10.10.1 Registro de auditoría
• 10.10.2 Uso del sistema de monitoreo
• 10.10.3 Protección del registro de
información
• 10.10 4 Registros del administrador y
operador
• 10.10.5 Registro de fallas
• 10.10.6 Sincronización de relojes
• Oracle Enterprise Manager
(EM).
• Oracle Audit Vault (AV).
• Oracle Identity Management
(IDM).
97
Circular 014 2009 de la Superintendencia
Financiera ISO/IEC 27001:2005 Anexo A Soluciones Oracle
XVII Administración de operaciones de tecnología.
• A.10 Administración de las
comunicaciones y operaciones
• 10.1.2 Gestión del cambio
• 10.1.4 Separación de los medios de
desarrollo, prueba y operación
• Oracle Enterprise Manager
(EM).
• Oracle Enterprise Content
Management (ECM)
• Oracle Data Masking Pack
(DMP).
• Oracle Database Vault (DV).
• Oracle Identity Management
(IDM).
• Oracle Enterprise Manager
(EM).
• Oracle Audit Vault (AV).
• Oracle Database Firewall
(DF).
• Oracle Diagnostic Pack (DP).
• Oracle Real Application
Clusters (RAC)
• Oracle Data Guard (DG) y
Oracle Active Data Guard
(ADG)
• Oracle Golden Gate (GG)
• Oracle Information Rights
Management (IRM)
• Oracle Enterprise Manager
Grid Control (EMGC)
• Oracle Configuration
Management Pack (CMP).
• Oracle Advanced Security
(AS).
98
Circular 014 2009 de la Superintendencia
Financiera ISO/IEC 27001:2005 Anexo A Soluciones Oracle
• Oracle Virtual Private
Database (VD).
XVIII Documentación.
• 12.1.1 Análisis y especificación de los
requerimientos de seguridad
• 10.1.1 Procedimientos de operación
documentados
• Oracle Enterprise Content
Management (ECM)
• Oracle Information Rights
Management (IRM).
99
3. ARQUITECTURAS PROPUESTAS
Esta sección presenta una descripción de varias arquitecturas genéricas para medianas y grandes
empresas con el objetivo de transmitir una visión global de un conjunto de ambientes y soluciones
de software de la manera más estructurada posible que buscan acercar a las empresas al
cumplimiento de los requerimientos tecnológicos de la Circular 014 de 2009 de la Superintendencia
Financiera de Colombia y los objetivos de control del Anexo A de la norma ISO27001.
Con las arquitecturas propuestas las empresas lograrán automatizar muchos de los procesos que en
el mejor de los casos se hace manualmente, como copias de seguridad y conservación de la
información, procesos que son vitales para la continuidad del negocio.
Al establecer diferentes niveles de seguridad como la protección de acceso, cifrado de datos, gestión
de identidad y gestión documental, se mitigarán los riesgos de un fallo total del sistema.
“Para ampliar el alcance de las arquitecturas se decidió diseñarlas y agruparlas de acuerdo al
tamaño de las empresas objetivo, es decir para medias y grandes empresas. Partiendo de que “las
medianas empresas tienen la misma necesidad de proteger sus datos tanto como las grandes; la
única diferencia es que cuentan con menos recursos para hacerlo”, afirma Mike Karp, analista jefe
de Ptak, Noel & Associates. En cualquier empresa, si los datos están comprometidos o son
inaccesibles por alguna razón, su actividad se detendrá en poco tiempo. “El interrogante es cuánto
tiempo puede funcionar sin tener acceso a los datos” y de esto dependerá el tipo de arquitectura a
elegir.” (Alan, 2010)81
De manera adicional, se cuentan con algunos consolidados orientados a ofrecer una mayor
información respecto al alcance de cada una de las arquitecturas. Es por esto que se incluye:
Tabla de apoyo al cumplimiento: Muestra cada uno de los controles de la Circular 014 y
del Anexo A de la ISO27001 que la arquitectura propuesta apoyará para el proceso de su
cumplimiento (los controles).
Cifras de apoyo al cumplimiento: Por cada arquitectura se presentan dos tipos de gráficos
que muestran en términos porcentuales la capacidad con la que cuenta la arquitectura en el
proceso de apoyo del cumplimento de los controles tecnológicos de la Circular 014 y del
Anexo A de la norma ISO27001.
81 Alan, R. (2010). Guía paso a paso: protección de datos. Recuperado el 20 de 11 de 2010, de
http://i.dell.com/sites/content/business/smb/sb360/es/Documents/0910-mx-catalyst-4.pdf
100
3.1. 3.1 ARQUITECTURAS PARA MEDIANA EMPRESA
La adopción de tecnologías por parte de la pequeñas y medianas empresas para lograr el
cumplimiento de la leyes Colombianas esta dictaminada por muchos factores, entre ellos está la
viabilidad económica, que en algunos casos por buscar un ahorro puede llevar a la adopción de
tecnologías riesgosas (no probadas o con muy poco tiempo en el mercado) o poco efectiva o
eficiente que implican una mayor probabilidad de fallo.
Teniendo en cuenta esto las arquitecturas propuestas para la mediana empresa cuenta con
soluciones inteligentes y asequibles de Oracle, que poseen la misma funcionalidad, rendimiento y
seguridad de sistemas de mayor magnitud, cuenta con tecnologías innovadoras, las mejores
prácticas de la industria y la suficiente madurez y confiabilidad en el mercado, adicionalmente
estudios realizados mundialmente como vemos en la siguiente tabla indican que Oracle es el líder
mundial desde el 2006 en RDBMS con una cuota del mercado en el 2009 de 48%, lo cual nos
indica que un enorme porcentaje del as empresa que aplicaran la circular 014 contaran con las Bases
de datos ORACLE, las cuales son la base de las arquitecturas propuestas.
TABLA 6: REPORTE DE CUOTA DEL MERCADO DE RDBMS A NIVEL MUNDIAL
Año Cuota del Mercado
2006 47.1%
2007 48.6%
2008 48.9%
2009* 48.0%
Tomado de Busika.com (ThanosTP, 2009)
*Tomado de (Oracle, 2010)82
82 Oracle. (2010). Oracle is #1 in the RDBMS market for 2009. Recuperado el 20 de 11 de 2010, de Oracle:
http://www.oracle.com/us/products/database/number-one-database-069037.html
101
3.1.1. ARQUITECTURA ORIENTADA A LA CONTINUIDAD DEL
NEGOCIO
La arquitectura de continuidad de negocio está dirigida a pequeñas y medianas empresas que
cuentas o planean adquirir las versiones más básicas de aplicaciones Oracle, partiendo de las base
de datos Standard Edition. Con esta arquitectura se busca mantener la funcionalidad de la
organización en un nivel mínimo considerable, contando con medidas preventivas y de
recuperación ante los posibles riesgos a los que la compañía este expuesta.
De esta forma se incluye Real Application Cluster (RAC) para ejecutarse una única base de datos en
varios servidores proporcionando tolerancia a fallos y mejorando el rendimiento y la capacidad de
escalabilidad. Se incluye Golden Gate para realizar integraciones heterogéneas entre diferentes
bases de datos, ya sean SQL Server, Informix, FileSystem y sistemas operativos y servidores. Y
adicionalmente se propone el uso de herramientas de gestión documental como Oracle Enterprise
Content Management (ECM) y Oracle Information Rights Management (IRM) para la
administración de documentos e imágenes y procesos y también para el establecimiento de
permisos de acceso, lectura, impresión, etc., respectivamente. Obteniéndose alta disponibilidad,
replicación con sitio alterno.
Tabla de Apoyo al Cumplimiento
La aplicación de la arquitectura base para la continuidad de negocio apoya al cumplimiento del
siguiente listado de controles de la circular 014 de 2009 y de la ISO 27001:2005.
TABLA 7: CONTROLES APOYADOS CON LA ARQUITECTURA BÁSICA DE CONTINUIDAD
Circular 014 2009 de la
Superintendencia Financiera ISO/IEC 27001:2005 Anexo A
7.6.2 Normas de Control Interno para la gestión
de la Tecnología
102
Circular 014 2009 de la
Superintendencia Financiera ISO/IEC 27001:2005 Anexo A
III
Cumplimiento de requerimientos legales
para derechos de autor, privacidad y
comercio electrónico.
• A.15.1.1 Identificación de legislación
aplicable.
• A.15.1.2 Derechos de propiedad intelectual.
• A.15.1.3 Protección de los registros
organizacionales.
• A.15.1.4 Protección de data y privacidad de
información personal.
• A.15.1.6 Regulación de controles
criptográficos.
V Administración de la calidad,
i. Programas para establecer una
cultura de calidad de la tecnología en toda
la entidad.
• A.5.1.1 Documentar Política de seguridad
de la información.
• A.5.1.2 Revisión de la política de seguridad
de la información.
• A.6.1.1 Compromiso de la Gerencia con la
seguridad de la información.
• A.6.1.2 Coordinación de la seguridad de la
información.
• A.6.1.3 Asignación de responsabilidades de
la seguridad de la información.
• A.8.2.2 Capacitación y educación en
seguridad de la información.
• A.10.1.1 Procedimientos de operación
documentados.
• A.15.2.1 Cumplimiento con las políticas y
estándares de seguridad.
ii. Planes concretos de calidad de la
tecnología.
• A.14.1.1 Incluir seguridad de la información
en el proceso de gestión de continuidad
comercial.
• A.14.1.2 Continuidad comercial y
evaluación del riesgo.
• A.14.1.3 Desarrollar e implementar planes
de continuidad incluyendo seguridad de la
información.
• A.14.1.4 Marco referencial para la
planeación de la continuidad comercial.
• A.14.1.5 Prueba, mantenimiento y re-
evaluación de planes de continuidad
comerciales.
103
Circular 014 2009 de la
Superintendencia Financiera ISO/IEC 27001:2005 Anexo A
iv. Prácticas de control de calidad.
• A.14.1.1 Incluir seguridad de la información
en el proceso de gestión de continuidad
comercial.
• A.14.1.2 Continuidad comercial y
evaluación del riesgo.
• A.14.1.3 Desarrollar e implementar planes
de continuidad incluyendo seguridad de la
información.
• A.14.1.4 Marco referencial para la
planeación de la continuidad comercial.
• A.14.1.5 Prueba, mantenimiento y re-
evaluación de planes de continuidad
comerciales.
• A.10.1.1 Procedimientos de operación
documentados.
• A.15.3.1 Controles de auditoría de sistemas
de información.
• A.15.2.2 Chequeo de cumplimiento técnico.
vii. Diseño de informes de
aseguramiento de la calidad.
• A.5.1.1 Documentar Política de seguridad
de la información.
• A.10.1.1 Procedimientos de operación
documentados.
• A.10.10.1 Registro de auditoría.
• A.13.2.2 Aprendizaje de los incidentes de la
seguridad de la información.
• A.13.2.3 Recolección de Evidencia.
ix. Desarrollo de una base de
conocimiento de aseguramiento de la
calidad.
IX Administración de cambios.
v. Procedimiento de administración de
versiones. • A.10.3.2 Aceptación del Sistema
104
Circular 014 2009 de la
Superintendencia Financiera ISO/IEC 27001:2005 Anexo A
vii. Obtención de herramientas
automatizadas para realizar los cambios.
• A.12.2.2 Control de Procesamiento Interno.
• A.12.2.3 Integridad del Mensaje.
• A.12.2.4 Validación de data de output.
• A.12.5.1 Procedimientos de control de
cambio.
• A.12.5.3 Restricciones sobre los cambios
en los paquetes de software.
XII Continuidad del negocio.
• 14.1.1 Incluir la seguridad de la información
en el proceso de gestión de continuidad del
negocio
• 14.1.2 Continuidad del negocio y
evaluación del riesgo
• 14.1.3 Desarrollar e implementar los planes
de continuidad incluyendo la seguridad de la
información
• A.5.1 Política de seguridad de la
información.
10.5 Respaldo o Back-Up
XV Administración de los datos.
vi. Establecer los mecanismos
necesarios para garantizar la integridad
continua de los datos almacenados.
• A.10.7.3 Procedimientos para el manejo de
información
• 12.4.2 Protección de la data del sistema
viii. Establecer controles para
garantizar la integración y consistencia
entre plataformas.
XVI Administración de instalaciones.
v. Planeamiento de continuidad del
negocio y administración de crisis.
• 14.1.1 Incluir la seguridad de la información
en el proceso de gestión de continuidad del
negocio
• 14.1.2 Continuidad del negocio y
evaluación del riesgo
• 14.1.3 Desarrollar e implementar los planes
de continuidad incluyendo la seguridad de la
información
viii. Protección contra amenazas
ambientales.
• 9.1.4 Protección contra amenazas externas e
internas
105
Circular 014 2009 de la
Superintendencia Financiera ISO/IEC 27001:2005 Anexo A
XVIII Documentación.
• 12.1.1 Análisis y especificación de los
requerimientos de seguridad
• 10.1.1 Procedimientos de operación
documentados
Teniendo en cuenta la anterior tabla podemos extrapolar las siguientes cifras, de las cuales
obtenemos a nivel porcentual los controles que la arquitectura básica orientada a la continuidad del
negocio apoyará a cumplir (los controles). Divididas en el porcentaje de apoyo al cumplimiento de
los controles tecnológicos de la Circular 014 y los objetivos de control de la norma ISO27001.
Junto con el porcentaje de aquellos controles que la arquitectura actual por su diseño no apoyará su
cumplimiento.
ILUSTRACIÓN 21: CIRCULAR 14 ARQUITECTURA BASE CONTROLES APOYADOS VERSUS NO APOYADOS
106
ILUSTRACIÓN 22: ISO 27001 ARQUITECTURA BASE CONTROLES APOYADOS VERSUS NO APOYADOS
Lista de productos asociados a la arquitectura
• Oracle Database Enterprise Edition
• Oracle Enterprise Content Management (ECM)
• Oracle Golden Gate (GG)
• Oracle Information Rights Management (IRM).
• Oracle Real Application Clusters (RAC)
108
3.1.2. ARQUITECTURA ORIENTADA A LA SEGURIDAD Con la arquitectura orientada a seguridad se busca enfrentar y reducir riesgos provenientes de
agentes internos y externos, ya sean fallos en el paso de información a través de la red, pérdida o
robo de datos, robo o pérdida de infraestructura tecnológica. Pero con la arquitectura orientada a
seguridad no solo se busca apoyar este procedo sino también agilizar su ejecución y manejo.
En esta arquitectura se continúa partiendo de la base de datos Oracle Standard Edition, la cual
incluye internamente opciones de seguridad que pueden habilitarse, entre ellos un paquete de
cifrado de datos y de auditoría. Aquí se incluye protección perimetral a través de DataBase Firewall
y Audit Vault para monitorear la información que cruza por la red y monitorear bases de datos
Oracle y de otros fabricantes y logs de bases de datos respectivamente, bloqueando sentencias SQL
e incluso reemplazándolas. El monitoreo llegar incluso a ser directamente sobre los servidores.
Agregándole Oracle Identity Management para la gestión adecuada de identidad.
Tabla de Apoyo al Cumplimiento
La aplicación de la arquitectura base para la continuidad de negocio apoya el cumplimiento del
siguiente listado de controles de la circular 014 de 2009 y de la ISO 27001:2005.
TABLA 8: CONTROLES APOYADOS CON LA ARQUITECTURA BÁSICA DE SEGURIDAD
Circular 014 2009 de la
Superintendencia Financiera ISO/IEC 27001:2005 Anexo A
7.6.2 Normas de Control Interno para la gestión
de la Tecnología
109
Circular 014 2009 de la
Superintendencia Financiera ISO/IEC 27001:2005 Anexo A
II Infraestructura de tecnología.
• A.7.1.1 Inventarios de Activos.
• A.9.1.1 Perímetro de Seguridad Física.
• A.9.1.2 Controles de entrada físicos.
• A.9.1.3 Seguridad de oficinas, habitaciones y
medios.
• A.9.1.4 Protección contra amenazas externas
y ambientales.
• A.9.1.5 Trabajo en áreas seguras.
• A.9.2.1 Ubicación y protección del equipo.
• A.9.2.2 Servicios Públicos.
• A.9.2.3 Seguridad en el cableado.
V Administración de la calidad,
iii. Responsables por el aseguramiento
de la calidad.
• A.8.1.1 Roles y Responsabilidades.
• A.13.2.1 Responsabilidades y
Procedimientos.
vi. Metodología de prueba y
documentación de programas y sistemas.
• A.10.3.2 Aceptación del Sistema.
• A.12.4.2 Protección de la data de prueba del
sistema.
• A.14.1.2 Continuidad comercial y
evaluación del riesgo.
• A.14.1.3 Desarrollar e implementar planes
de continuidad incluyendo seguridad de la
información.
• A.14.1.4 Marco referencial para la
planeación de la continuidad comercial.
• A.14.1.5 Prueba, mantenimiento y re-
evaluación de planes de continuidad
comerciales.
VIII Instalación y acreditación de sistemas. • A.10.3.2 Aceptación del sistema.
• A.12.4.1 Control Software Operacional.
IX Administración de cambios.
110
Circular 014 2009 de la
Superintendencia Financiera ISO/IEC 27001:2005 Anexo A
iv. Procedimiento de autorización de
los cambios.
• A.10.1.2 Gestión del Cambio
• A.12.5.3 Restricciones sobre los cambios en
los paquetes software.
• A.12.4.1 Control de Software Operacional.
• A.12.4.2 Protección de la data de prueba del
sistema.
• A.12.4.3 Control de acceso al código fuente
del programa.
• A.10.1.3 Segregación de deberes
X Administración de servicios con terceros.
• A.8.1.1 Roles y Responsabilidades.
• A.8.1.3 Términos y condiciones de empleo.
• A.8.2.1 Gestión de responsabilidades.
• A.8.2.2 Capacitación y educación en
seguridad de la información.
• A.8.3.2 Devolución de Activos.
• A.8.3.3 Eliminación de derechos de acceso.
• A.10.2.1 Entrega del servicio.
• A.10.2.2 Monitoreo y Revisión de los
servicios de terceros.
• A.10.2.3 Manejar los cambios en los
servicios de terceros
XI
Administración, desempeño, capacidad y
disponibilidad de la infraestructura
tecnológica.
• 10.3.1 Gestión de la capacidad.
• 10.3.2 Aceptación del sistema.
XIII Seguridad de los sistemas.
111
Circular 014 2009 de la
Superintendencia Financiera ISO/IEC 27001:2005 Anexo A
i. Autorización, autenticación y
control de acceso.
• A.11.1.1 Política de control del acceso.
• 8.3.3 Retiro de los derechos de acceso.
• 11.5.1 Procedimientos para un registro
seguro
• 11.5.2 Identificación y autenticación del
usuario
• 11.5.3 Sistema de gestión de claves secretas
• 11.5.4 Uso de las utilidades del sistema
• 11.5.5Cierre de una sesión por inactividad
• 11.5.6 Limitación del tiempo de conexión
• 11.6.1 Restricción del acceso a la
información
• 11.6.2 Aislar el sistema confidencial
• 11.7.1 Computación y comunicaciones
móviles
• 11.7.2 Tele-trabajo
ii. Identificación de usuarios y perfiles
de autorización los cuales deberán ser
otorgados de acuerdo con la necesidad de
tener y necesidad de conocer.
• 11.2.1 Registro del usuario
• 11.2.2 Gestión de privilegios
• 11.2.3 Gestión de las claves secretas de los
usuarios
• 11.2.4 Revisión de los derechos de acceso
del usuario
• 11.1.1 Política de control del acceso
iii. Manejo de incidentes, información
y seguimiento.
• 13.1.1 Reporte de eventos en la seguridad de
la información
• 13.1.2 Reporte de las debilidades en la
seguridad
• 13.2.1 Responsabilidades y procedimientos
• 13.2.2 Aprender de los incidentes en la
seguridad de la información
• 13.2.3 Recolección de evidencia
iv. Prevención y detección de código
malicioso, virus, entre otros.
• 10.4.1 Controles contra códigos maliciosos
• 10.4.2 Controles contra códigos móviles
112
Circular 014 2009 de la
Superintendencia Financiera ISO/IEC 27001:2005 Anexo A
vi. Administración centralizada de la
seguridad.
• 10.2 Gestión de la entrega del servicio de
terceros
• A.10.4. Protección contra el código
malicioso y móvil.
• A.10.5 Respaldo o Back-up.
XV Administración de los datos.
i. Establecer controles de entrada,
procesamiento y salida para garantizar la
autenticidad e integridad de los datos.
• 12.2.1 Validación de la input data.
• 12.2.4 Validación de la output data.
• 12.2.3 Integridad del mensaje.
iii. Preservar la segregación de
funciones en el procesamiento de datos y la
verificación rutinaria del trabajo realizado.
Los procedimientos deberán incluir
controles de actualización adecuados,
como totales de control "corrida a corrida"
y controles de actualización de archivos
maestros.
• A.6.1.3 Asignación de las responsabilidades
de la seguridad de la información
• A.10.7.4 Seguridad de la documentación del
sistema
• 10.1.3 Segregación de los deberes
iv. Establecer procedimientos para que
la validación, autenticación y edición de
los datos sean llevadas a cabo tan cerca del
punto de origen como sea posible.
• A11.6 Control de acceso a la aplicación y la
información
v. Definir e implementar
procedimientos para prevenir el acceso a la
información y software sensitivos de
computadores, discos y otros equipos o
medios, cuando hayan sido sustituidos o se
les haya dado otro uso. Tales
procedimientos deberán garantizar que los
datos marcados como eliminados no
puedan ser recuperados por cualquier
individuo interno o tercero ajeno a la
entidad.
• 9.2.6 Seguridad de la eliminación o re-uso
del equipo
• 9.2.7 Retiro de propiedad
vii. Definir e implementar
procedimientos apropiados y prácticas para
transacciones electrónicas que sean
sensitivas y críticas para la organización,
• 10.9.1 Comercio electrónico
• 10.9.2 Transacciones en-línea
• 10.9.3 Información públicamente disponible
113
Circular 014 2009 de la
Superintendencia Financiera ISO/IEC 27001:2005 Anexo A
velando por su integridad y autenticidad.
XVI Administración de instalaciones.
i. Acceso a las instalaciones. • 9.1.2 Controles de ingreso físico
iii. Controles de seguridad física.
• 9.1.3 Asegurar las oficinas, habitaciones y
medios.
• 9.1.6 Áreas de acceso público, entrega y
carga.
vii. Políticas de mantenimiento
preventivo. • 9.2.4 Mantenimiento de equipo.
ix. Monitoreo automatizado.
• 10.10.1 Registro de auditoría
• 10.10.2 Uso del sistema de monitoreo
• 10.10.3 Protección del registro de
información
• 10.10 4 Registros del administrador y
operador
• 10.10.5 Registro de fallas
• 10.10.6 Sincronización de relojes
Teniendo en cuenta la anterior tabla podemos extrapolar las siguientes cifras, de las cuales
obtenemos a nivel porcentual los controles que la arquitectura básica orientada a la seguridad
apoyará a cumplir (los controles). Divididas en el porcentaje de apoyo al cumplimiento de los
controles tecnológicos de la Circular 014 y los objetivos de control de la norma ISO27001. Junto
con el porcentaje de aquellos controles que la arquitectura actual por su diseño no apoyará su
cumplimiento.
114
ILUSTRACIÓN 24: CIRCULAR 14 ARQUITECTURA BASE CONTROLES APOYADOS VERSUS NO APOYADOS
ILUSTRACIÓN 25:ISO 27001 ARQUITECTURA BASE CONTROLES APOYADOS VERSUS NO APOYADOS
115
Lista de productos asociados a la arquitectura
Los productos de la siguiente lista son los asociados a la arquitectura, los que se encuentran
subrayados son adicionales a la arquitectura anterior.
• Oracle Database Enterprise Edition
• Oracle Audit Vault (AV).
• Oracle Database Firewall (DF).
• Oracle Enterprise Content Management (ECM)
• Oracle Golden Gate (GG)
• Oracle Identity Management (IDM).
• Oracle Information Rights Management (IRM)
• Oracle Real Application Clusters (RAC)
116
Ilustración de la arquitectura ILUSTRACIÓN 26: ARQUITECTURA BASE SEGURIDAD
Arquitectura Base: SeguridadAcceso
Documentación
Ambiente de Producción
Oracle RAC
Oracle Audit Vault
Ambiente de contingencia Ambiente de Pruebas
Clientes
Estación de trabajo
de la empresa
Clientes de la empresa
Servidor externo
ClientesAmbiente de Desarrollo
Desarrollador
Tester
Servidor Servidor ServidorServidor
Oracle Database Standard Edition
Oracle DatabaseStandard Edition
Servidor
Oracle Database Standard Edition
Servidor
Oracle Database Standard Edition Servidor
Oracle Enterprise Content Management
Oracle Information Rights ManagementGestión Documental
Activación automática del
ambiente de contingencia
Mayor acceso simultaneo a una
Base de Datos
Oracle Database Firewall
Oracle Database Firewall
Actualizaciones sin tiempo fuera
de linea
Oracle Golden Gate
Sincronización
BD de IBM, Microsoft, Teradata, SyBase y otras
File System
Oracle Identity Management
117
3.1.3. ARQUITECTURA ORIENTADA A LA ADMINISTRACIÓN Y
MONITOREO Esta arquitectura completa incluye la integración de continuidad de negocio y seguridad, sin
embargo se busca darle un mayor alcance, permitiendo realizar tareas de administración y
monitoreo de los recursos TI con los que cuenta las compañías, de esta forma se incluye el
complemento de Oracle Enterprise Manager Grid Control el cual permitirá monitorear y
administrar el ciclo de vida de la infraestructura TI de Oracle como por ejemplo las bases de datos y
servidores de aplicaciones con que se cuenten.
Tabla de Apoyo al Cumplimiento
La aplicación de la arquitectura base para la continuidad de negocio apoya el cumplimiento del
siguiente listado de controles de la circular 014 de 2009 y de la ISO 27001:2005.
TABLA 9: CONTROLES APOYADOS CON LA ARQUITECTURA BÁSICA DE CONTINUIDAD
Circular 014 2009 de la
Superintendencia Financiera ISO/IEC 27001:2005 Anexo A
7.6.2 Normas de Control Interno para la gestión
de la Tecnología
IX Administración de cambios.
i. Identificación clara del cambio a
realizar en la infraestructura.
• A.10.1.2 Gestión de Cambio.
• A.10.2.3 Manejar los cambios en los
servicios de terceros.
• A.12.5.1 Procedimientos de control de
cambio.
ii. Categorización, priorización y
procedimientos de emergencia a llevar a
cabo durante el cambio.
• A.12.5.1 Procedimientos de Control de
Cambio.
• A.12.3.1 Políticas sobre el uso de controles
criptográficos.
• A.12.3.2 Gestión Clave.
118
Circular 014 2009 de la
Superintendencia Financiera ISO/IEC 27001:2005 Anexo A
iii. Evaluación del impacto que
ocasiona el cambio en la infraestructura.
• A.6.1.8 Revisión independiente de la
seguridad de la información.
• A.12.5.2 Revisión Técnica de las
Aplicaciones después de cambios en el
sistema operativo.
viii. Procedimientos para la
administración de la configuración.
XVII Administración de operaciones de
tecnología.
• A.10 Administración de las comunicaciones
y operaciones
• 10.1.2 Gestión del cambio
• 10.1.4 Separación de los medios de
desarrollo, prueba y operación
Teniendo en cuenta la anterior tabla podemos extrapolar las siguientes cifras, de las cuales
obtenemos a nivel porcentual los controles que la arquitectura básica orientada a la administración
y monitoreo apoyará a cumplir (los controles). Divididas en el porcentaje de apoyo al cumplimiento
de los controles tecnológicos de la Circular 014 y los objetivos de control de la norma ISO27001.
Junto con el porcentaje de aquellos controles que la arquitectura actual por su diseño no apoyará su
cumplimiento.
119
ILUSTRACIÓN 27: CIRCULAR 14 ARQUITECTURA BASE: CONTROLES APOYADOS VERSUS NO APOYADOS
ILUSTRACIÓN 28: ISO 27001 ARQUITECTURA BASE: CONTROLES APOYADOS VERSUS NO APOYADOS
120
Lista de productos asociados a la arquitectura
Los productos de la siguiente lista son los asociados a la arquitectura, los que se encuentran
subrayados son adicionales a la arquitectura anterior.
• Oracle Database Enterprise Edition
• Oracle Audit Vault (AV).
• Oracle Configuration Management Pack (CMP).
• Oracle Enterprise Manager (EM).
• Oracle Database Firewall (DF).
• Oracle Enterprise Content Management (ECM)
• Oracle Golden Gate (GG)
• Oracle Identity Management (IDM).
• Oracle Information Rights Management (IRM)
• Oracle Real Application Clusters (RAC)
122
3.2. ARQUITECTURAS PARA GRANDES EMPRESAS
Las arquitecturas para grandes empresas están pensadas para organizaciones que requieren un nivel
de protección y seguridad mayor, una arquitectura más robusta de continuidad del negocio y
menores tiempos de caída del sistema. Dichas arquitecturas al ser más completas y avanzadas
cuentan con las soluciones Oracle más complejas y efectivas a nivel empresarial contemplando
escalabilidad, seguridad, confiabilidad y ofreciendo diversas características para gestionar los
ambientes más demandantes.
3.2.1. ARQUITECTURA AVANZADA ORIENTADA A LA
CONTINUIDAD Con la arquitectura avanzada de continuidad de negocio, se busca garantizar un mayor tiempo de
funcionamiento de la infraestructura contemplando las posibles contingencias, reduciendo tiempos
de caída del sistema.
A diferencia de la básica, se parte a través de la base de datos Oracle Enterprise Edition. Con esta
versión de base de datos la integración con otros productos de Oracle tendrá mayores opciones y
complementos que harán a la arquitectura más compleja y variada. Se integra nuevamente con
Oracle RAC para proveer de alta disponibilidad con la diferencia de que ahora esta versión
soportará un número ilimitado de máquinas con distribución de ambientes, dando una mayor
flexibilidad.
La replicación se realizará con Data Guard de esta forma se asegura alta disponibilidad y protección
de datos y ofreciendo servicios para crear, mantener, administrar y monitorear bases de datos.
Directamente sobre el sitio alterno se establecerá Active Data Guard, permitiendo que las bases de
datos replicadas seas copias de la de producción, permitiendo esto en caso de falla, usar una de las
réplicas de forma automática, minimizando el tiempo de baja del servicio. Lo anterior permitirá que
desde los sitios alternos puedan realizarse backups, se ejecuten reportes y se hagan pruebas de
carga.
También se incluye un sitio alterno basado en otros productos como SQL Server, Informix,
FileSystem pero administrado y monitoreado a través de Oracle Golden Gate.
Tabla de Apoyo al Cumplimiento
La aplicación de la arquitectura base para la continuidad de negocio apoya el cumplimiento del
siguiente listado de controles de la circular 014 de 2009 y de la ISO 27001:2005.
123
TABLA 10: CONTROLES APOYADOS CON LA ARQUITECTURA AVANZADA DE CONTINUIDAD
Circular 014 2009 de la
Superintendencia Financiera ISO/IEC 27001:2005 Anexo A
7.6.2 Normas de Control Interno para la gestión
de la Tecnología
III
Cumplimiento de requerimientos legales
para derechos de autor, privacidad y
comercio electrónico.
• A.15.1.1 Identificación de legislación
aplicable.
• A.15.1.2 Derechos de propiedad intelectual.
• A.15.1.3 Protección de los registros
organizacionales.
• A.15.1.4 Protección de data y privacidad de
información personal.
• A.15.1.6 Regulación de controles
criptográficos.
V Administración de la calidad,
ii. Planes concretos de calidad de la
tecnología.
• A.14.1.1 Incluir seguridad de la información
en el proceso de gestión de continuidad
comercial.
• A.14.1.2 Continuidad comercial y
evaluación del riesgo.
• A.14.1.3 Desarrollar e implementar planes
de continuidad incluyendo seguridad de la
información.
• A.14.1.4 Marco referencial para la
planeación de la continuidad comercial.
• A.14.1.5 Prueba, mantenimiento y re-
evaluación de planes de continuidad
comerciales.
124
Circular 014 2009 de la
Superintendencia Financiera ISO/IEC 27001:2005 Anexo A
iv. Prácticas de control de calidad.
• A.14.1.1 Incluir seguridad de la información
en el proceso de gestión de continuidad
comercial.
• A.14.1.2 Continuidad comercial y
evaluación del riesgo.
• A.14.1.3 Desarrollar e implementar planes
de continuidad incluyendo seguridad de la
información.
• A.14.1.4 Marco referencial para la
planeación de la continuidad comercial.
• A.14.1.5 Prueba, mantenimiento y re-
evaluación de planes de continuidad
comerciales.
• A.10.1.1 Procedimientos de operación
documentados.
• A.15.3.1 Controles de auditoría de sistemas
de información.
• A.15.2.2 Chequeo de cumplimiento técnico.
IX Administración de cambios.
v. Procedimiento de administración de
versiones. • A.10.3.2 Aceptación del Sistema
XII Continuidad del negocio.
• 14.1.1 Incluir la seguridad de la información
en el proceso de gestión de continuidad del
negocio
• 14.1.2 Continuidad del negocio y
evaluación del riesgo
• 14.1.3 Desarrollar e implementar los planes
de continuidad incluyendo la seguridad de la
información
• A.5.1 Política de seguridad de la
información.
10.5 Respaldo o Back-Up
XIII Seguridad de los sistemas.
XV Administración de los datos.
vi. Establecer los mecanismos
necesarios para garantizar la integridad
continua de los datos almacenados.
• A.10.7.3 Procedimientos para el manejo de
información
• 12.4.2 Protección de la data del sistema
125
Circular 014 2009 de la
Superintendencia Financiera ISO/IEC 27001:2005 Anexo A
viii. Establecer controles para
garantizar la integración y consistencia
entre plataformas.
XVI Administración de instalaciones.
v. Planeamiento de continuidad del
negocio y administración de crisis.
• 14.1.1 Incluir la seguridad de la información
en el proceso de gestión de continuidad del
negocio
• 14.1.2 Continuidad del negocio y
evaluación del riesgo
• 14.1.3 Desarrollar e implementar los planes
de continuidad incluyendo la seguridad de la
información
vii. Políticas de mantenimiento
preventivo. • 9.2.4 Mantenimiento de equipo.
viii. Protección contra amenazas
ambientales.
• 9.1.4 Protección contra amenazas externas e
internas
XVIII Documentación.
• 12.1.1 Análisis y especificación de los
requerimientos de seguridad
• 10.1.1 Procedimientos de operación
documentados
Teniendo en cuenta la anterior tabla podemos extrapolar las siguientes cifras, de las cuales
obtenemos a nivel porcentual los controles que la arquitectura avanzada orientada a la continuidad
apoyará a cumplir (los controles). Divididas en el porcentaje de apoyo al cumplimiento de los
controles tecnológicos de la Circular 014 y los objetivos de control de la norma ISO27001. Junto
con el porcentaje de aquellos controles que la arquitectura actual por su diseño no apoyará su
cumplimiento.
126
ILUSTRACIÓN 30: CIRCULAR 14 ARQUITECTURA AVANZADA CONTINUIDAD: CONTROLES APOYADOS VERSUS
NO APOYADOS
ILUSTRACIÓN 31: ISO 27001 ARQUITECTURA AVANZADA CONTINUIDAD: CONTROLES APOYADOS VERSUS NO
APOYADOS
127
Lista de productos asociados a la arquitectura
• Oracle Database Enterprise Edition
• Oracle Data Guard (DG) y Oracle Active Data Guard (ADG)
• Oracle Enterprise Content Management (ECM)
• Oracle Golden Gate (GG)
• Oracle Information Rights Management (IRM)
• Oracle Real Application Clusters (RAC)
129
3.2.2. ARQUITECTURA AVANZADA ORIENTADA A LA
SEGURIDAD
Con la arquitectura orientada a seguridad se busca enfrentar y reducir riesgos provenientes de
agentes internos y externos, ya sean fallos en el paso de información a través de la red, pérdida o
robo de datos, robo o pérdida de infraestructura tecnológica.
Esta arquitectura se basa en la arquitectura de continuidad pero se le incluye un fuerte aspecto de
seguridad con herramientas de integración que ahora son posibles incluirlas gracias al uso de las
base de datos Oracle Enterprise Edition. Se agrega Oracle Data Vault con el fin de impedir que los
DBA accedan a aplicaciones y tareas que están fuera de sus responsabilidades y se asignar
permisos de acuerdo a roles establecidos. La arquitectura cuenta también con el apoyo de Oracle
Advanced security ofreciendo criptografía en la base de datos y en la red, de esta forma se protege
toda comunicación hacia y desde la base de datos.
Se provee de un ambiente de desarrollo especializado a través de Oracle Data Masking el cual
permitirá sustituir datos de producción con valores similares y válidos para trabajar con ellos en este
ambiente.
Los clientes antes de ingresar al sistema tendrán que pasar a través de Oracle Database Firewall
para el monitoreo en tiempo real de la actividad de la base de datos en la red, esto con el apoyo de
Oracle Identity Management para la gestión de usuarios.
Tabla de Apoyo al Cumplimiento
La aplicación de la arquitectura base para la continuidad de negocio cumple con el siguiente listado
de controles de la circular 014 de 2009 y de la ISO 27001:2005.
130
TABLA 11: CONTROLES APOYADOS CON LA ARQUITECTURA AVANZADA DE SEGURIDAD
Circular 014 2009 de la
Superintendencia Financiera ISO/IEC 27001:2005 Anexo A
7.6.2 Normas de Control Interno para la gestión
de la Tecnología
II Infraestructura de tecnología.
• A.7.1.1 Inventarios de Activos.
• A.9.1.1 Perímetro de Seguridad Física.
• A.9.1.2 Controles de entrada físicos.
• A.9.1.3 Seguridad de oficinas, habitaciones y
medios.
• A.9.1.4 Protección contra amenazas externas
y ambientales.
• A.9.1.5 Trabajo en áreas seguras.
• A.9.2.1 Ubicación y protección del equipo.
• A.9.2.2 Servicios Públicos.
• A.9.2.3 Seguridad en el cableado.
V Administración de la calidad,
i. Programas para establecer una
cultura de calidad de la tecnología en toda
la entidad.
• A.5.1.1 Documentar Política de seguridad de
la información.
• A.5.1.2 Revisión de la política de seguridad
de la información.
• A.6.1.1 Compromiso de la Gerencia con la
seguridad de la información.
• A.6.1.2 Coordinación de la seguridad de la
información.
• A.6.1.3 Asignación de responsabilidades de
la seguridad de la información.
• A.8.2.2 Capacitación y educación en
seguridad de la información.
• A.10.1.1 Procedimientos de operación
documentados.
• A.15.2.1 Cumplimiento con las políticas y
estándares de seguridad.
131
Circular 014 2009 de la
Superintendencia Financiera ISO/IEC 27001:2005 Anexo A
iii. Responsables por el aseguramiento
de la calidad.
• A.8.1.1 Roles y Responsabilidades.
• A.13.2.1 Responsabilidades y
Procedimientos.
vi. Metodología de prueba y
documentación de programas y sistemas.
• A.10.3.2 Aceptación del Sistema.
• A.12.4.2 Protección de la data de prueba del
sistema.
• A.14.1.2 Continuidad comercial y
evaluación del riesgo.
• A.14.1.3 Desarrollar e implementar planes
de continuidad incluyendo seguridad de la
información.
• A.14.1.4 Marco referencial para la
planeación de la continuidad comercial.
• A.14.1.5 Prueba, mantenimiento y re-
evaluación de planes de continuidad
comerciales.
VIII Instalación y acreditación de sistemas. • A.10.3.2 Aceptación del sistema.
• A.12.4.1 Control Software Operacional.
IX Administración de cambios.
iv. Procedimiento de autorización de
los cambios.
• A.10.1.2 Gestión del Cambio
• A.12.5.3 Restricciones sobre los cambios en
los paquetes software.
• A.12.4.1 Control de Software Operacional.
• A.12.4.2 Protección de la data de prueba del
sistema.
• A.12.4.3 Control de acceso al código fuente
del programa.
• A.10.1.3 Segregación de deberes
132
Circular 014 2009 de la
Superintendencia Financiera ISO/IEC 27001:2005 Anexo A
X Administración de servicios con terceros.
• A.8.1.1 Roles y Responsabilidades.
• A.8.1.3 Términos y condiciones de empleo.
• A.8.2.1 Gestión de responsabilidades.
• A.8.2.2 Capacitación y educación en
seguridad de la información.
• A.8.3.2 Devolución de Activos.
• A.8.3.3 Eliminación de derechos de acceso.
• A.10.2.1 Entrega del servicio.
• A.10.2.2 Monitoreo y Revisión de los
servicios de terceros.
• A.10.2.3 Manejar los cambios en los
servicios de terceros
XI
Administración, desempeño, capacidad y
disponibilidad de la infraestructura
tecnológica.
• 10.3.1 Gestión de la capacidad.
• 10.3.2 Aceptación del sistema.
XIII Seguridad de los sistemas.
i. Autorización, autenticación y
control de acceso.
• A.11.1.1 Política de control del acceso.
• 8.3.3 Retiro de los derechos de acceso.
• 11.5.1 Procedimientos para un registro
seguro
• 11.5.2 Identificación y autenticación del
usuario
• 11.5.3 Sistema de gestión de claves secretas
• 11.5.4 Uso de las utilidades del sistema
• 11.5.5Cierre de una sesión por inactividad
• 11.5.6 Limitación del tiempo de conexión
• 11.6.1 Restricción del acceso a la
información
• 11.6.2 Aislar el sistema confidencial
• 11.7.1 Computación y comunicaciones
móviles
• 11.7.2 Tele-trabajo
133
Circular 014 2009 de la
Superintendencia Financiera ISO/IEC 27001:2005 Anexo A
ii. Identificación de usuarios y perfiles
de autorización los cuales deberán ser
otorgados de acuerdo con la necesidad de
tener y necesidad de conocer.
• 11.2.1 Registro del usuario
• 11.2.2 Gestión de privilegios
• 11.2.3 Gestión de las claves secretas de los
usuarios
• 11.2.4 Revisión de los derechos de acceso
del usuario
• 11.1.1 Política de control del acceso
iii. Manejo de incidentes, información
y seguimiento.
• 13.1.1 Reporte de eventos en la seguridad de
la información
• 13.1.2 Reporte de las debilidades en la
seguridad
• 13.2.1 Responsabilidades y procedimientos
• 13.2.2 Aprender de los incidentes en la
seguridad de la información
• 13.2.3 Recolección de evidencia
iv. Prevención y detección de código
malicioso, virus, entre otros.
• 10.4.1 Controles contra códigos maliciosos
• 10.4.2 Controles contra códigos móviles
vi. Administración centralizada de la
seguridad.
• 10.2 Gestión de la entrega del servicio de
terceros
• A.10.4. Protección contra el código
malicioso y móvil.
• A.10.5 Respaldo o Back-up.
XV Administración de los datos.
i. Establecer controles de entrada,
procesamiento y salida para garantizar la
autenticidad e integridad de los datos.
• 12.2.1 Validación de la input data.
• 12.2.4 Validación de la output data.
• 12.2.3 Integridad del mensaje.
ii. Verificar la exactitud, suficiencia y
validez de los datos de transacciones que
sean capturados para su procesamiento
(generados por personas, por sistemas o
entradas de interface).
• 12.2.2 Control del procesamiento interno.
134
Circular 014 2009 de la
Superintendencia Financiera ISO/IEC 27001:2005 Anexo A
iii. Preservar la segregación de
funciones en el procesamiento de datos y
la verificación rutinaria del trabajo
realizado. Los procedimientos deberán
incluir controles de actualización
adecuados, como totales de control
"corrida a corrida" y controles de
actualización de archivos maestros.
• A.6.1.3 Asignación de las responsabilidades
de la seguridad de la información
• A.10.7.4 Seguridad de la documentación del
sistema
• 10.1.3 Segregación de los deberes
iv. Establecer procedimientos para que
la validación, autenticación y edición de
los datos sean llevadas a cabo tan cerca del
punto de origen como sea posible.
• A11.6 Control de acceso a la aplicación y la
información
v. Definir e implementar
procedimientos para prevenir el acceso a la
información y software sensitivos de
computadores, discos y otros equipos o
medios, cuando hayan sido sustituidos o se
les haya dado otro uso. Tales
procedimientos deberán garantizar que los
datos marcados como eliminados no
puedan ser recuperados por cualquier
individuo interno o tercero ajeno a la
entidad.
• 9.2.6 Seguridad de la eliminación o re-uso
del equipo
• 9.2.7 Retiro de propiedad
vii. Definir e implementar
procedimientos apropiados y prácticas para
transacciones electrónicas que sean
sensitivas y críticas para la organización,
velando por su integridad y autenticidad.
• 10.9.1 Comercio electrónico
• 10.9.2 Transacciones en-línea
• 10.9.3 Información públicamente disponible
XVI Administración de instalaciones.
i. Acceso a las instalaciones. • 9.1.2 Controles de ingreso físico
iii. Controles de seguridad física.
• 9.1.3 Asegurar las oficinas, habitaciones y
medios.
• 9.1.6 Áreas de acceso público, entrega y
carga.
iv. Definición de políticas de
inspección y escalamiento de problemas.
135
Circular 014 2009 de la
Superintendencia Financiera ISO/IEC 27001:2005 Anexo A
ix. Monitoreo automatizado.
• 10.10.1 Registro de auditoría
• 10.10.2 Uso del sistema de monitoreo
• 10.10.3 Protección del registro de
información
• 10.10 4 Registros del administrador y
operador
• 10.10.5 Registro de fallas
• 10.10.6 Sincronización de relojes
Teniendo en cuenta la anterior tabla podemos extrapolar las siguientes cifras, de las cuales
obtenemos a nivel porcentual los controles que la arquitectura avanzada orientada a la seguridad
apoyará a cumplir (los controles). Divididas en el porcentaje de apoyo al cumplimiento de los
controles tecnológicos de la Circular 014 y los objetivos de control de la norma ISO27001. Junto
con el porcentaje de aquellos controles que la arquitectura actual por su diseño no apoyará su
cumplimiento.
ILUSTRACIÓN 33: CIRCULAR 14 ARQUITECTURA AVANZADA SEGURIDAD: CONTROLES APOYADOS VERSUS NO
APOYADOS
136
ILUSTRACIÓN 34: ISO 27001 ARQUITECTURA AVANZADA SEGURIDAD: CONTROLES APOYADOS VERSUS NO
APOYADOS
Lista de productos asociados a la arquitectura
Los productos de la siguiente lista son los asociados a la arquitectura, los que se encuentran
subrayados son adicionales a la arquitectura anterior.
• Oracle Database Enterprise Edition
• Oracle Advanced Security (AS).
• Oracle Audit Vault (AV).
• Oracle Data Guard (DG) y Oracle Active Data Guard (ADG)
• Oracle Data Masking Pack (DMP).
• Oracle Database Firewall (DF).
• Oracle Database Vault (DV).
• Oracle Diagnostic Pack (DP).
• Oracle Enterprise Content Management (ECM)
• Oracle Golden Gate (GG)
• Oracle Identity Management (IDM).
• Oracle Information Rights Management (IRM)
• Oracle Real Application Clusters (RAC)
• Oracle Virtual Private Database (VD).
138
3.2.3. ARQUITECTURA AVANZADA ORIENTADA A LA
ADMINISTRACIÓN Y MONITOREO
Esta arquitectura incluye la integración de continuidad de negocio avanzada y seguridad avanzada,
pero se busca darle un componente adicional con el fin de ejercer un mayor control sobre la
infraestructura dándole un mayor poder a través de herramientas de Administración y Monitoreo. Es
por esto que se incluye Oracle Diagnostic Pack el cual hará labores de diagnóstico en busca de
problemas de rendimiento, métricas, notificación de eventos e historial de carga.
Tabla de Apoyo al Cumplimiento
La aplicación de la arquitectura base para la continuidad de negocio apoya el cumplimiento del
siguiente listado de controles de la circular 014 de 2009 y de la ISO 27001:2005.
TABLA 12: CONTROLES APOYADOS CON LA ARQUITECTURA AVANZADA DE ADMINISTRACIÓN Y MONITOREO
Circular 014 2009 de la Superintendencia
Financiera ISO/IEC 27001:2005 Anexo A
7.6.2 Normas de Control Interno para la gestión de la
Tecnología
I Plan estratégico de tecnología.
ii. Evaluación de la tecnología actual. • A.7.1.1 Inventario de Activos.
V Administración de la calidad,
vii. Diseño de informes de aseguramiento de
la calidad.
• A.5.1.1 Documentar Política de
seguridad de la información.
• A.10.1.1 Procedimientos de operación
documentados.
• A.10.10.1 Registro de auditoría.
• A.13.2.2 Aprendizaje de los incidentes
de la seguridad de la información.
• A.13.2.3 Recolección de Evidencia.
ix. Desarrollo de una base de conocimiento
de aseguramiento de la calidad.
139
Circular 014 2009 de la Superintendencia
Financiera ISO/IEC 27001:2005 Anexo A
IX Administración de cambios.
i. Identificación clara del cambio a realizar
en la infraestructura.
• A.10.1.2 Gestión de Cambio.
• A.10.2.3 Manejar los cambios en los
servicios de terceros.
• A.12.5.1 Procedimientos de control de
cambio.
ii. Categorización, priorización y
procedimientos de emergencia a llevar a cabo
durante el cambio.
• A.12.5.1 Procedimientos de Control de
Cambio.
• A.12.3.1 Políticas sobre el uso de
controles criptográficos.
• A.12.3.2 Gestión Clave.
iii. Evaluación del impacto que ocasiona el
cambio en la infraestructura.
• A.6.1.8 Revisión independiente de la
seguridad de la información.
• A.12.5.2 Revisión Técnica de las
Aplicaciones después de cambios en el
sistema operativo.
vii. Obtención de herramientas
automatizadas para realizar los cambios.
• A.12.2.2 Control de Procesamiento
Interno.
• A.12.2.3 Integridad del Mensaje.
• A.12.2.4 Validación de data de output.
• A.12.5.1 Procedimientos de control de
cambio.
• A.12.5.3 Restricciones sobre los
cambios en los paquetes de software.
viii. Procedimientos para la administración de
la configuración.
XVII Administración de operaciones de tecnología.
• A.10 Administración de las
comunicaciones y operaciones
• 10.1.2 Gestión del cambio
• 10.1.4 Separación de los medios de
desarrollo, prueba y operación
Teniendo en cuenta la anterior tabla podemos extrapolar las siguientes cifras, de las cuales
obtenemos a nivel porcentual los controles que la arquitectura avanzada orientada a la
140
administración y monitoreo apoyará a cumplir (los controles). Divididas en el porcentaje de apoyo
al cumplimiento de los controles tecnológicos de la Circular 014 y los objetivos de control de la
norma ISO27001. Junto con el porcentaje de aquellos controles que la arquitectura actual por su
diseño no apoyará su cumplimiento.
ILUSTRACIÓN 36: CIRCULAR 14 ARQUITECTURA AVANZADA ADMINISTRACIÓN Y MONITOREO: CONTROLES
APOYADOS VERSUS NO APOYADOS
ILUSTRACIÓN 37: ISO 27001 ARQUITECTURA AVANZADA ADMINISTRACIÓN Y MONITOREO: CONTROLES
APOYADOS VERSUS NO APOYADOS
141
Lista de productos asociados a la arquitectura
Los productos de la siguiente lista son los asociados a la arquitectura, los que se encuentran
subrayados son adicionales a la arquitectura anterior.
• Oracle Database Enterprise Edition
• Oracle Advanced Security (AS).
• Oracle Audit Vault (AV).
• Oracle Configuration Management Pack (CMP).
• Oracle Data Guard (DG) y Oracle Active Data Guard (ADG)
• Oracle Data Masking Pack (DMP).
• Oracle Database Firewall (DF).
• Oracle Database Vault (DV).
• Oracle Diagnostic Pack (DP).
• Oracle Enterprise Content Management (ECM)
• Oracle Enterprise Manager Grid Control (EMGC)
• Oracle Golden Gate (GG)
• Oracle Identity Management (IDM).
• Oracle Information Rights Management (IRM)
• Oracle Real Application Clusters (RAC)
• Oracle Virtual Private Database (VD).
142
Ilustración de la arquitectura ILUSTRACIÓN 38: ARQUITECTURA AVANZADA: ADMINISTRACIÓN Y MONITOREO
143
3.3. ESTADÍSTICAS DE CUMPLIMIENTO
Las arquitecturas propuestas tienen como meta el cumplimiento de los controles tecnológicos de la
Circular 014 de 2009 y de la norma ISO 27001:2005 anexo A, para lograr cubrir la mayor cantidad
de estos controles tanto la mediana y gran empresa debe de aplicar la arquitectura orientada de
Administración y monitoreo la cual recoge los productos y los controles cumplidos de seguridad y
continuidad de negocio, también debemos tener en cuenta que las soluciones Oracle cuenta con
tecnologías y aplicaciones escalables, por lo cual es posible arrancar con una solución muy reducida
e ir agregando componentes cuando la empresa lo considere necesario.
En los siguientes gráficos circulares podemos observar el aporte para el cumplimiento que da cada
una de las arquitecturas, se puede afirmar que el grado de cumplimiento de la arquitectura básica
con relación a los controles tecnológicos de la circular 014 de 2009 de la Superintendencia
Financiera alcanza un 70.18% de cumplimiento, y la ISO 27001:2005 logra un 96.17%.
ILUSTRACIÓN 39: PORCENTAJES DE APOYO EN LA CIRCULAR 014 CON LA ARQUITECTURA BÁSICA
144
ILUSTRACIÓN 40: PORCENTAJES DE CONTROLES APOYADOS DE LA ISO 27001 CON LA ARQUITECTURA
BÁSICA
Por otra parte la Arquitectura avanzada logra mejores cifras como se puede observar en las
siguientes gráficas, en el caso del cumplimiento de la circular 014 de la Superintendencia
Financiera se logra un nivel de cumplimiento de 75.44% y con la ISO 27001:2005 Anexo A es de
97.72%, también podemos observar que la arquitectura que más aporta es la de seguridad con un
ostentoso 37% y 52% en la Circular 014 y la ISO 27001:2005 Anexo A respectivamente.
ILUSTRACIÓN 41: PORCENTAJES DE CONTROLES APOYADOS DE LA CIRCULAR 014 CON LA ARQUITECTURA
AVANZADA
146
4. LA CIRCULAR 014 ENMARCADA BAJO EL
MODELO PROPUESTO DE LA NORMA ISO27001
El ejercicio desarrollado busca facilitar a las organizaciones el abordar procesos de Gobierno, riesgo
y cumplimiento unificados, de manera que la implementación de cada nueva regulación,
framework, o cualquier tipo de medición sobre la efectividad de operación del negocio, pueda ser
visualizado de manera centralizada. A continuación se plantea la manera en que es posible
aprovechar la implementación de la Circular 14, para agilizar y facilitar la implementación de la
ISO 27001, centralizando tareas, reutilizando controles y consolidando los documentos y diferentes
entregables exigidos, buscando la implementación de un programa integrado de GRC (Gobierno,
Riesgo y Cumplimento), evitando tener una visión monolítica de cumplimiento y llevando a un
proceso de cumplimiento unificado.
La norma ISO 27001 propone un ciclo de implementación del Sistema de Gestión de Seguridad de
la Información que se puede resumir en las fases que se muestran en la siguiente imagen:
ILUSTRACIÓN 43: CICLO DE IMPLEMENTACIÓN DEL SISTEMA DE GESTIÓN DE SEGURIDAD
147
Tomado de www.iso27000.es
Los requerimientos establecidos en cada una de las fases se encuentran debidamente detallados en
la sección 4.2 de la norma ISO27001 llamada “Establecer y Manejar el SGSI”.
A continuación se buscar establecer un mecanismo para facilitar la implementación de la Circular
14 ,basados en el alcance de este documento que corresponde a los controles técnicos de las
sección 7.6.2 , partiendo del enfoque propuesto por la ISO27001, de manera que sea posible
estructurar un proceso integrado de Cumplimiento de la Circular y la Norma permitiendo a las
organizaciones una integración a nivel regulatorio, reduciendo tiempos en reportes de auditoría y
evitando rehacer tareas cada vez que se requiera implementar un nuevo componente regulatorio.
A continuación se establecen posibles parámetros para alinear los requerimientos técnicos exigidos
en la circular 14 y que en paralelo facilite la implementación de la ISO 27001, ya que las dos
establecen requerimientos similares en su implementación.
ISO27001 Circular 014 alcance
Definición de política,
Objetivos y Alcance
7.2. Ámbito de Aplicación
7.3 Definición y Objetivo
del Sistema de Control
Interno
El proceso inicial para la norma es el
establecimiento de la política,
objetivos, procesos y procedimientos
que para la Circular 014 deben
orientarse a los sistemas que
148
7.4 Principios Del Sistema
De Control Interno
contienen información sensitiva
financiera, de manera que el alcance
de la implementación de la Circular
014, corresponda al alcance y límites
de la Norma .
El ámbito de Aplicación para la
Circular 014 y en general todos los
elementos que corresponden a las
secciones 7.2 - 7.3 y 7.4 de la
Circular, deber estar enmarcados en
los requerimientos necesarios para la
definición de la Política del SGSI.
Análisis de Riesgos 7.5.2 Gestión de Riesgos
Las organizaciones deben contar con
su metodología de evaluación,
definición y tratamiento de riesgos.
Ni la Circular 014 ni la norma
ISO27001 cuenta con una propia.
Adicionalmente la metodología
adoptada debería ser usada para los
dos procesos, de manera que al dar
tratamiento a un riesgo, se asegure
su cumplimiento para las dos
certificaciones.
Tratamiento de Riesgos 7.5.2 Gestión de Riesgos
(Ver anterior)
A manera de ejemplo. Es posible
usar el modelo planteado por la
norma ISO27005 para establecer el
tratamiento de riesgos facilitando el
cumplimiento de los 11 ítems de la
sección 7.5.2
Implantación y Operación
del SGSI
7.5 Elementos Del Sistema
De Control Interno
7.6 Áreas Especiales
Dentro Del Sistema De
Control Interno
El alcance del ejercicio corresponde
a la sección 7.6.2. Por otro lado la
implementación estará basada en los
modelos de arquitectura propuestos,
que se definieron de acuerdo al
tamaño y características de cada
empresa.
Al implementar la solución
propuesta, deberá remitirse al
capítulo 2.3. Alineación de la
Circular 014 de 2009 de la
Superintendencia Financiera y las
ISO27001 con los productos
149
ORACLE seleccionados. , donde se
encontrará la manera en la que los
controles técnicos de la Circular 014
se homologan con los controles
técnicos del anexo A de la norma
ISO27001.
Para cada organización debe
definirse cuáles son sus criterios de
cumplimiento de estos controles de
acuerdo con sus características
técnicas y de operación y pueden ser
monitoreados en línea con los
componentes incluidos en cada
arquitectura.
De manera adicional de acuerdo a la
sección 7.7 de la Circular 014, cada
entidad financiera deberá asignar los
responsables y mecanismos de
gestión y operación.
Monitorización y Revisión
del SGSI
7.7 Responsabilidades
Dentro Del Sistema De
Control
Las plataformas propuestas proveen
mecanismos automáticos que
permiten el monitoreo en línea de los
controles definidos. Se cuenta con
controles (Oracle) tanto preventivos
como de detección y serán
habilitados acorde con las
necesidades de cada entidad.
Los responsables asignados para el
monitoreo de la circular contarán
con herramientas que facilitan su
labor e inclusive, recibirán
recomendaciones de cómo ir
alineando la solución acorde con la
evolución y cambios en los sistemas.
Mantenimiento y Mejora del
SGSI
7.8 Productos Que Deben
Presentarse A La Sfc
Cualquier actividad de cumplimiento
regulatorio exige generar reportes y
documentos soporte al proceso, así
como las acciones y gestión de
riesgos definidos.
La solución busca minimizar las
tareas manuales para la generación
de estos documentos, incluyendo
reportes asociados a cumplimiento y
parametrizando los documentos de
150
acuerdo con las diferentes
regulaciones.
Los Puntos “Análisis de Riesgos” y” Tratamiento de Riesgos” son abordados con más detalle en la
ISO/IEC 27005 que trata de la gestión de riesgos en seguridad de la información.
151
5. CONCLUSIONES
• Durante la ejecución del proyecto se observó que la circular 014 de la Superintendencia
financiera, presenta sus controles de manera genérica, lo cual posibilita llegar a su
cumplimiento desde diferentes aproximaciones, pero esto también puede hacer que las
empresas no tengan claro cómo abordar la circular.
• La alineación de las circular 014 con la ISO 27001 muestra que hay muchos puntos en
común lo cual permite los métodos ya utilizadas para el cumplimiento de la ISO 27001
sean de gran apoyo para el cumplimiento de la Circular 014.
• Se ha concluido que es posible homologar aspectos tanto de la Circular 014 como la norma
ISO27001 para así agilizar el proceso de certificación. Con esto, adicionalmente se busca
que las tareas realizadas, los requerimientos asociados y el tiempo invertido en el
cumplimiento de la Circular 014 pueda usarse como apoyo al proceso de adopción de la
norma ISO27001.
• El análisis de las aplicaciones propuestas para la solución deja ver que muchas de estas
soluciones ya están pensadas para ayudar a cumplir con normativas, regulaciones y buenas
prácticas que se encuentran a nivel mundial y debido a que la Circular 014 tiene como
fuente muchas de estas regulaciones y estándares, el apoyo que estas le brindan es amplio.
• Propagar la adopción de la filosofía GRC (Governance, Risk management, and
Compliance) para las organizaciones que aborden esta propuesta de manera que estén
alineados con las tendencias actuales de evolución a nivel de cumplimiento regulatorio.
• Las organizaciones actuales y en especial las entidades financieras deben cumplir con un
gran número de frameworks internacionales como lo son COSO, SOX, COBIT entre otros
y unas regulaciones nacionales como la Circular 052, Circular 014 y Circular 38, y dichas
organizaciones no cuentan con una estrategia clara y estructurada de cómo hacerlo, lo cual
conlleva a grandes costos y esfuerzos.
• Es de gran importancia conocer las tendencias tecnológicas que se encuentran en el
mercado ya que estas podrán apoyar, facilitar e incluso agilizar el proceso de cumplimiento
de controles.
152
• Las organizaciones de hoy en día deben conocer, entender y gestionar los riesgos a los que
están expuestas con base en su actividad económica, y apuntar a estrategias y modelos
basados en GRC.
• Es importante contar con una muestra que permita realizar un análisis porcentual del uso
de bases de datos Oracle a nivel nacional, esto con el fin de dar un mayor peso al proyecto
presentado, ya que las cifras internacionales no necesariamente reflejan la realidad nacional.
• Evaluar si las entidades financieras tienen conocimiento de la existencia de herramientas
tecnológicas Oracle que apoyen el proceso de cumplimiento y que tan dispuestas están al
proceso de adopción de las mismas, considerando sus características y costos.
153
6. BIBLIOGRAFÍA
INSTITUTO COLOMBIANO DE NORMAS TÉCNICAS Y CERTIFICACIÓN. “Compendio tesis
y otros trabajos de grado”. Bogotá: Legis S.A, 2006.
154
7. TRABAJOS CITADOS ACIS. (2010). II Encuesta Latinoamericana de Seguridad de la información. Recuperado el 13 de
Septiembre de 2010, de ACIS:
http://www.acis.org.co/fileadmin/Base_de_Conocimiento/XJNSI/IIELSI-2010.pdf
Alan, R. (2010). Guía paso a paso: protección de datos. Recuperado el 20 de 11 de 2010, de
http://i.dell.com/sites/content/business/smb/sb360/es/Documents/0910-mx-catalyst-4.pdf
Archivo General de la Nacion. (29 de 10 de 2010). Programa de Gestión Documental (PGD).
Recuperado el 30 de Octubre de 2010, de Archivo General de la Nacion:
http://www.archivogeneral.gov.co/index.php?idcategoria=1232
Bae, B. (2003). Internal Control Issues: The Case of Changes to Information Processes.
BDO. (2010). Adoptando los Modelos de Control Interno COSO y COBIT.
Bueno, L. A. (2010).
Cano, J. (2009). Seguridad de la Información en Latinoamerica Tendencias.
Colombia, R. d. (2005). MODELO ESTANDAR DE CONTROL INTERNO PARA EL ESTADO
COLOMBIANO. Bogotá.
Colombiahosting.com. (2010). La Seguridad de la Información.
Deloitte. (2010). 2010 Financial Services Global Security Study: The faceless threat. Recuperado el
Agosto de 29 de 2010, de deloitte: http://www.deloitte.com/assets/Dcom-
Global/Local%20Assets/Documents/Financial%20Services/dtt_fsi_2010%20Global%20FS
%20Security%20Survey_20100603.pdf
Deloitte. (2010). 2010 Financial Services Global Security Study: The faceless threat. Recuperado el
Agosto de 29 de 2010, de Deloitte: http://www.deloitte.com/assets/Dcom-
Global/Local%20Assets/Documents/Financial%20Services/dtt_fsi_2010%20Global%20FS
%20Security%20Survey_20100603.pdf
Deloitte. (2010). 2010 Financial Services Global Security Study: The faceless threat. Recuperado el
Agosto de 29 de 2010, de Deloitte: http://www.deloitte.com/assets/Dcom-
Global/Local%20Assets/Documents/Financial%20Services/dtt_fsi_2010%20Global%20FS
%20Security%20Survey_20100603.pdf
Deloitte. (2010). Alineando Procesos de Negocio con la ISO27001.
155
Dutra, E. G. (24 de febreo de 2006). Seguridadit Blogspot. Recuperado el 16 de Agosto de 2010, de
http://seguridadit.blogspot.com/2006/02/mas-sobre-iso-1779927001.html
Estrada, A. (2006). ISO27001: Los Controles.
Grupo Inversión, financiación y control Universidad Icesi. (Enero de 2010). Universidad ICESI.
Recuperado el 15 de Agosto de 2010, de
http://www.icesi.edu.co/departamentos/finanzas_contabilidad/images/proyectos/control_int
erno.pdf
ICONTEC. (2010). Certificación ISO 27001. Recuperado el 1 de Septiembre de 2010, de
icontec.com:
http://www.icontec.org/BancoConocimiento/C/certificacion_iso_27001/certificacion_iso_2
7001.asp?CodIdioma=ESP
Institute, M. T. (2009). CISO Information Security Survey.
ISO. (2005). International Standards for Business. Recuperado el 16 de Agosto de 2010, de
http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.htm?csnumber=42103
IT Governance Institute. (2007). cobiT4.1. Recuperado el 12 de Septiembre de 2010, de isaca:
http://www.isaca.org/Knowledge-Center/cobit/Documents/cobiT4.1spanish.pdf
ITGI. (2005). itgovernance. Recuperado el 15 de Agosto de 2010, de
http://www.itgovernance.co.uk/files/ITIL-COBiT-ISO17799JointFramework.pdf
López Neira, A. (2005). iso27000.es el Portal de ISO 27001 en español. Recuperado el 16 de
Agosto de 2010, de http://www.iso27000.es/sgsi.html
López Neira, A. (s.f.). Otros Estandares. Recuperado el 14 de Septiembre de 2010, de iso27000.es:
http://www.iso27000.es/download/doc_otros_estandar_all.pdf
Machines, L. (2002). Information Security Survey on Internal Threats.
Mantilla, S. A. (2005). Auditoría del control interno.
Meyer, C. O. (2010). Seguridad Informatica vs Seguridad de la Información.
Oracle. (2009). Enfoque Tecnico Oracle Circular 14 V5. Bogota.
ORACLE. (2010). Conceptos de Seguridad.
Oracle. (2010). Oracle is #1 in the RDBMS market for 2009. Recuperado el 20 de 11 de 2010, de
Oracle: http://www.oracle.com/us/products/database/number-one-database-069037.html
156
Prieto, J. L. (2010). Acerca del término hacker. Obtenido de Centro Virtual Cervantes.
Radding, A. (2010). Guía paso a paso: Proteccion de Datos.
Radding, A. (s.f.). Guía paso a paso: protección de datos.
Security, E. (2010). ISO 27001 · Certificación de la Gestión de la Seguridad de la Información ·
Implantación SGSI.
Singleton, T. (2007). The COSO Model: How IT Auditors Can Use It to Evaluate the Effectiveness
of Internal Controls.
Solla, J. L. (2009). Gestión del Ciclo de Vida de la Información.
Superintendencia Financiera de Colombia. (19 de Mayo de 2009). Normativa. Recuperado el 16 de
Agosto de 2010, de Superintendencia Financiera de Colombia:
http://www.superfinanciera.gov.co/NormativaFinanciera/Archivos/ance014_09.doc
Superintendencia Financiera de Colombia. (2009). superfinanciera. Recuperado el 16 de Agosto de
2010, de
http://www.superfinanciera.gov.co/NormativaFinanciera/Archivos/ance038_09.doc
ThanosTP. (4 de Septiembre de 2009). Gartner RDBMS Market Share. Recuperado el 20 de 11 de
2010, de Bukisa: http://www.bukisa.com/articles/143366_gartner-rdbms-market-share
WHITE HOUSE. (29 de Mayo de 2009). REMARKS BY THE PRESIDENT. Recuperado el 2010 de
Septiembre de 5, de whitehouse: http://www.whitehouse.gov/the_press_office/Remarks-by-
the-President-on-Securing-Our-Nations-Cyber-Infrastructure/
157
8. ANEXOS
ANEXO CIRCULAR 014 DE 2009 DE LA SUPERINTENDENCIA FINANCIERA
SECCIÓN 7.6.2
“7.6.2. NORMAS DE CONTROL INTERNO PARA LA GESTIÓN DE LA
TECNOLOGÍA
La tecnología es imprescindible para el cumplimiento de los objetivos y la prestación de servicios
de las entidades a sus diferentes grupos de interés, en condiciones de seguridad, calidad y
efectividad. Por lo tanto, se tendrá que velar porque el diseño del SCI para la gestión de la
tecnología responda a las políticas, necesidades y expectativas de la entidad, así como a las
exigencias normativas sobre la materia. De otra parte, el sistema deberá ser objeto de evaluación y
el mejoramiento continuo con el propósito de contribuir al logro de los objetivos institucionales y a
la prestación de los servicios en las condiciones señaladas.
Las entidades deben establecer, desarrollar, documentar y comunicar políticas de tecnología y
definir los recursos, procesos, procedimientos, metodologías y controles necesarios para asegurar su
cumplimiento.
Las políticas deberán ser revisadas por lo menos una vez al año o al momento de presentarse
cambios significativos en el ambiente operacional o del negocio, para lo cual la administración
deberá contar con estándares, políticas, directrices y procedimientos debidamente aprobados,
orientados a cubrir los siguientes aspectos:
i. Plan estratégico de tecnología.
ii. Infraestructura de tecnología.
iii. Relaciones con proveedores.
iv. Cumplimiento de requerimientos legales para derechos de autor, privacidad y comercio
electrónico.
v. Administración de proyectos de sistemas.
158
vi. Administración de la calidad.
vii. Adquisición de tecnología.
viii. Adquisición y mantenimiento de software de aplicación.
ix. Instalación y acreditación de sistemas.
x. Administración de cambios.
xi. Administración de servicios con terceros.
xii. Administración, desempeño, capacidad y disponibilidad de la infraestructura
tecnológica.
xiii. Continuidad del negocio.
xiv. Seguridad de los sistemas.
xv. Educación y entrenamiento de usuarios.
xvi. Administración de los datos.
xvii. Administración de instalaciones.
xviii. Administración de operaciones de tecnología.
xix. Documentación.
En el caso de las entidades vigiladas, lo dispuesto en el presente numeral y sus subdivisiones se
entiende sin perjuicio del cumplimiento de las instrucciones especiales impartidas por esta
Superintendencia en materia de riesgo operativo –SARO y de seguridad y calidad en el manejo de
información a través de medios y canales de distribución de productos y servicios para clientes y
usuarios, las cuales deberán cumplirse dentro de los plazos y condiciones específicos establecidos
para el efecto.
Por la relevancia que representan algunas de las políticas previamente identificadas, conviene a
continuación señalar en forma particular algunas de ellas.
7.6.2.1 PLAN ESTRATÉGICO DE TECNOLOGÍA.
Las entidades deberán realizar un proceso de planeación estratégica de tecnología, a intervalos de
tiempo regulares, con el propósito de lograr el cumplimiento de los objetivos de la organización a
través de las oportunidades que brinda la tecnología a su alcance.
El plan estratégico de tecnología deberá estar alineado con el plan estratégico institucional y en él se
deberán contemplar adicionalmente, al menos, los siguientes aspectos:
159
i. Análisis de cómo soporta la tecnología los objetivos del negocio.
ii. Evaluación de la tecnología actual.
iii. Estudios de mercado y factibilidad de alternativas tecnológicas que respondan a las
necesidades de la entidad.
iv. Planes operacionales estableciendo metas claras y concretas.
7.6.2.2 ADMINISTRACIÓN DE LA CALIDAD.
Con el objeto de satisfacer las necesidades de sus clientes (internos y externos), las entidades
deberán llevar a cabo la planeación, implementación y mantenimiento de estándares y sistemas de
administración de calidad de la tecnología que contengan:
i. Programas para establecer una cultura de calidad de la tecnología en toda la entidad.
ii. Planes concretos de calidad de la tecnología.
iii. Responsables por el aseguramiento de la calidad.
iv. Prácticas de control de calidad.
v. Metodología para el ciclo de vida de desarrollo de sistemas.
vi. Metodología de prueba y documentación de programas y sistemas.
vii. Diseño de informes de aseguramiento de la calidad.
viii. Capacitación de usuarios finales y del personal de aseguramiento de la calidad.
ix. Desarrollo de una base de conocimiento de aseguramiento de la calidad.
El sistema de administración de la calidad deberá ser objeto de evaluaciones periódicas para
ajustarlo a las necesidades de la entidad.
7.6.2.3 ADMINISTRACIÓN DE CAMBIOS.
Con el fin de minimizar la probabilidad de interrupciones, alteraciones no autorizadas y errores, se
deberá diseñar un sistema de administración que permita el análisis, implementación y seguimiento
de los cambios requeridos y llevados a cabo a la infraestructura de tecnología que posea la entidad.
Como mínimo se tendrán que contemplar los siguientes aspectos:
i. Identificación clara del cambio a realizar en la infraestructura.
160
ii. Categorización, priorización y procedimientos de emergencia a llevar a cabo durante el
cambio.
iii. Evaluación del impacto que ocasiona el cambio en la infraestructura.
iv. Procedimiento de autorización de los cambios.
v. Procedimiento de administración de versiones.
vi. Políticas de distribución del software.
vii. Obtención de herramientas automatizadas para realizar los cambios.
viii. Procedimientos para la administración de la configuración.
ix. Rediseño de los procesos del negocio que se vean impactados por el cambio en la
infraestructura.
7.6.2.4 SEGURIDAD DE LOS SISTEMAS.
Con el objeto de salvaguardar la información contra usos no autorizados, divulgación,
modificación, daño o pérdida, le corresponderá a las entidades supervisadas establecer controles de
acceso lógico que aseguren que los sistemas, datos y programas están restringidos exclusivamente a
usuarios autorizados para lo cual se deberá contar con procedimientos y recursos sobre los
siguientes aspectos:
i. Autorización, autenticación y control de acceso.
ii. Identificación de usuarios y perfiles de autorización los cuales deberán ser otorgados de
acuerdo con la necesidad de tener y necesidad de conocer.
iii. Manejo de incidentes, información y seguimiento.
iv. Prevención y detección de código malicioso, virus, entre otros.
v. Entrenamiento de usuarios.
vi. Administración centralizada de la seguridad.
7.6.2.5 ADMINISTRACIÓN DE LOS DATOS.
Para que los datos permanezcan completos, precisos y válidos durante su entrada, actualización y
almacenamiento en los sistemas de información, las entidades tendrán que establecer controles
generales y de aplicación sobre la operación de la tecnología, adicionales a los establecidos en el
numeral 7.5.4.1, atendiendo como mínimo los siguientes aspectos:
i. Establecer controles de entrada, procesamiento y salida para garantizar la autenticidad e
integridad de los datos.
161
ii. Verificar la exactitud, suficiencia y validez de los datos de transacciones que sean
capturados para su procesamiento (generados por personas, por sistemas o entradas de
interface).
iii. Preservar la segregación de funciones en el procesamiento de datos y la verificación
rutinaria del trabajo realizado. Los procedimientos deberán incluir controles de
actualización adecuados, como totales de control "corrida a corrida" y controles de
actualización de archivos maestros.
iv. Establecer procedimientos para que la validación, autenticación y edición de los datos
sean llevadas a cabo tan cerca del punto de origen como sea posible.
v. Definir e implementar procedimientos para prevenir el acceso a la información y
software sensitivos de computadores, discos y otros equipos o medios, cuando hayan
sido sustituidos o se les haya dado otro uso. Tales procedimientos deberán garantizar
que los datos marcados como eliminados no puedan ser recuperados por cualquier
individuo interno o tercero ajeno a la entidad.
vi. Establecer los mecanismos necesarios para garantizar la integridad continua de los
datos almacenados.
vii. Definir e implementar procedimientos apropiados y prácticas para transacciones
electrónicas que sean sensitivas y críticas para la organización, velando por su
integridad y autenticidad.
viii. Establecer controles para garantizar la integración y consistencia entre plataformas.
7.6.2.6 ADMINISTRACIÓN DE LAS INSTALACIONES.
Con el objeto de proporcionar un ambiente físico conveniente que proteja los equipos y el personal
de tecnología contra peligros naturales o fallas humanas, las entidades deberán instalar controles
físicos y ambientales adecuados que sean revisados regularmente para garantizar su buen
funcionamiento teniendo en cuenta, entre otros, los siguientes aspectos:
i. Acceso a las instalaciones.
ii. Identificación clara del sitio.
iii. Controles de seguridad física.
iv. Definición de políticas de inspección y escalamiento de problemas.
v. Planeamiento de continuidad del negocio y administración de crisis.
vi. Salud y seguridad del personal.
vii. Políticas de mantenimiento preventivo.
viii. Protección contra amenazas ambientales.
Monitoreo automatizado.