Informe Comunicacion A 4609 Banco Central
Páginas: 16 (3777 palabras)
Publicado: 10 de junio de 2014
¿A quiénes afecta?
A Entidades Financieras, únicamente. Las Cámaras Electrónicas de Compensación continúan siendo regidas por la Comunicación A 3198.
Sección 1
El Directorio o Auditoria equivalente de la entidad (Consejo de administración en el caso de entidades financieras, y Funcionarios en el caso de entidades financieras extranjeras). Son los responsables del Área de Gestión deAdministración, procesamiento de datos.
Los procedimientos que deben llevarse a cabo para el control de las áreas se Sistemas de Información son:
Eficacia
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Cumplimiento
Confiabilidad
Estas tareas involucran al Directorio, Consejo de Administración, Gerencia General, Gerencia de Sistemas de Información y Personal de Identidad.
Sección 2Rol activo y responsabilidad de la Alta Gerencia en la gestión de riesgos de seguridad de la información.
1. Comité de Tecnología Informática
Integración y funciones
Nivel de los integrantes
Responsabilidades
2. Políticas y procedimientos para administrar el riesgo relacionado a los sistemas de información y la tecnología
3. Análisis de Riesgos: El Directorio, o autoridad equivalente, seráresponsable de la existencia de mecanismos de control del grado de exposición a potenciales riesgos.
4. Dependencia del área de Tecnología Informática y Sistemas: dentro de la estructura de la entidad financiera, de un lugar tal que no genere dependencia funcional de áreas usuarias de su gestión.
5. Gestión de Tecnología Informática y Sistemas: Alineación con los planes estratégicos de laEntidad Financiera
6. Segregación de funciones: deberá presentar una clara delimitación de tareas entre los sectores que estén bajo su dependencia.
7. Incompatibilidades: entre las funciones de un sector específico, con respecto a las actividades desempeñadas por otras áreas o sectores.
Sección 3
1. Gestión de Seguridad
1.1. Dependencia del área responsable
Las Entidades Financieras debenconsiderar en su estructura organizacional un área para la protección de los activos de información.
La ubicación jerárquica del área deberá garantizar, en forma directa, su independencia funcional y operativa de las áreas de tecnología y el resto.
Deben definirse misiones y funciones, responsabilidades, habilidadesnecesarias para cubrir los puestos.
1.2 Estrategia de seguridad de acceso
Lasentidades financieras deben definir una estrategia de protección de activos de información.
La estrategia debe considerar las amenazas y las vulnerabilidades asociadas a cada entorno tecnológico.
La estrategia deberá contemplar el establecimiento de mecanismos de control para la detección, registro, análisis, comunicación, corrección, clasificación y cuantificación de los incidentes.
1.3 Planeamientode los recursos
De acuerdo con los riesgos identificados en las metas y planes estratégicos, se deben elaborar planes operativos.
En los nuevos proyectos informáticos se deben contemplar los requerimientos de seguridad desde sus etapas iniciales.
1.4 Política de protección
Las entidades financieras deben desarrollar una política de protección de los activos de información.
El Directorio,deberá establecer una dirección política clara, mediante la formulación, aprobación formal y difusión de la misma.
Se establecen los requisitos mínimos de contenido.
•Contraseñas fuertes
•Prevención, comunicación y manejo de incidentes
•Usuarios de emergencia
•Control de cambios
•Uso de correo Electrónico e Internet
•Detección/protección de intrusos
•Seguridad en la adquisición de nuevosrecursos
Deberá estar sujeta a revisiones periódicas, de acuerdo a la evaluación de riesgo.
Deberá ser implementada y comunicada a todo el personal y servir como base para el desarrollo de las normas, los manuales, los estándares, los procedimientos y las prácticas.
1.4.1 Clasificación de los activos de información - Niveles de acceso a los datos:
Las entidades financieras deben clasificar sus...
A Entidades Financieras, únicamente. Las Cámaras Electrónicas de Compensación continúan siendo regidas por la Comunicación A 3198.
Sección 1
El Directorio o Auditoria equivalente de la entidad (Consejo de administración en el caso de entidades financieras, y Funcionarios en el caso de entidades financieras extranjeras). Son los responsables del Área de Gestión deAdministración, procesamiento de datos.
Los procedimientos que deben llevarse a cabo para el control de las áreas se Sistemas de Información son:
Eficacia
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Cumplimiento
Confiabilidad
Estas tareas involucran al Directorio, Consejo de Administración, Gerencia General, Gerencia de Sistemas de Información y Personal de Identidad.
Sección 2Rol activo y responsabilidad de la Alta Gerencia en la gestión de riesgos de seguridad de la información.
1. Comité de Tecnología Informática
Integración y funciones
Nivel de los integrantes
Responsabilidades
2. Políticas y procedimientos para administrar el riesgo relacionado a los sistemas de información y la tecnología
3. Análisis de Riesgos: El Directorio, o autoridad equivalente, seráresponsable de la existencia de mecanismos de control del grado de exposición a potenciales riesgos.
4. Dependencia del área de Tecnología Informática y Sistemas: dentro de la estructura de la entidad financiera, de un lugar tal que no genere dependencia funcional de áreas usuarias de su gestión.
5. Gestión de Tecnología Informática y Sistemas: Alineación con los planes estratégicos de laEntidad Financiera
6. Segregación de funciones: deberá presentar una clara delimitación de tareas entre los sectores que estén bajo su dependencia.
7. Incompatibilidades: entre las funciones de un sector específico, con respecto a las actividades desempeñadas por otras áreas o sectores.
Sección 3
1. Gestión de Seguridad
1.1. Dependencia del área responsable
Las Entidades Financieras debenconsiderar en su estructura organizacional un área para la protección de los activos de información.
La ubicación jerárquica del área deberá garantizar, en forma directa, su independencia funcional y operativa de las áreas de tecnología y el resto.
Deben definirse misiones y funciones, responsabilidades, habilidadesnecesarias para cubrir los puestos.
1.2 Estrategia de seguridad de acceso
Lasentidades financieras deben definir una estrategia de protección de activos de información.
La estrategia debe considerar las amenazas y las vulnerabilidades asociadas a cada entorno tecnológico.
La estrategia deberá contemplar el establecimiento de mecanismos de control para la detección, registro, análisis, comunicación, corrección, clasificación y cuantificación de los incidentes.
1.3 Planeamientode los recursos
De acuerdo con los riesgos identificados en las metas y planes estratégicos, se deben elaborar planes operativos.
En los nuevos proyectos informáticos se deben contemplar los requerimientos de seguridad desde sus etapas iniciales.
1.4 Política de protección
Las entidades financieras deben desarrollar una política de protección de los activos de información.
El Directorio,deberá establecer una dirección política clara, mediante la formulación, aprobación formal y difusión de la misma.
Se establecen los requisitos mínimos de contenido.
•Contraseñas fuertes
•Prevención, comunicación y manejo de incidentes
•Usuarios de emergencia
•Control de cambios
•Uso de correo Electrónico e Internet
•Detección/protección de intrusos
•Seguridad en la adquisición de nuevosrecursos
Deberá estar sujeta a revisiones periódicas, de acuerdo a la evaluación de riesgo.
Deberá ser implementada y comunicada a todo el personal y servir como base para el desarrollo de las normas, los manuales, los estándares, los procedimientos y las prácticas.
1.4.1 Clasificación de los activos de información - Niveles de acceso a los datos:
Las entidades financieras deben clasificar sus...
Leer documento completo
Regístrate para leer el documento completo.