![\"La](\"https:\/\/itconnect.lat\/portal\/wp-content\/uploads\/2023\/06\/La-comision-Nacional-de-Valores-bajo-ataque-de-Medusa-e1686584870236.webp\" "\\"\\"")
<\/a>Este incidente subraya la importancia cr\u00edtica de la ciberseguridad en un mundo cada vez m\u00e1s interconectado. Las organizaciones tanto p\u00fablicas como privadas deben invertir en tecnolog\u00edas y recursos especializados para proteger sus sistemas y datos contra las crecientes amenazas cibern\u00e9ticas.<\/p>\n
A medida que evolucionan las t\u00e1cticas de los delincuentes cibern\u00e9ticos, se vuelve fundamental para las entidades financieras y organizaciones en general mantenerse a la vanguardia de las mejores pr\u00e1cticas de ciberseguridad. Esto implica implementar medidas proactivas, como auditor\u00edas regulares de seguridad, pruebas de penetraci\u00f3n y capacitaci\u00f3n constante del personal en la identificaci\u00f3n de amenazas.<\/p>\n
Adem\u00e1s, es crucial contar con planes de respuesta a incidentes bien definidos y actualizados.<\/p>\n
Estos planes deben incluir procedimientos claros para el aislamiento y contenci\u00f3n de ataques, as\u00ed como la restauraci\u00f3n de sistemas y la comunicaci\u00f3n efectiva con las partes involucradas, incluidos los clientes y las autoridades reguladoras.<\/p>\n
A nivel gubernamental, este incidente resalta la necesidad de una mayor cooperaci\u00f3n y coordinaci\u00f3n entre las agencias encargadas de la seguridad cibern\u00e9tica y las instituciones financieras.<\/p>\n
La colaboraci\u00f3n activa, el intercambio de informaci\u00f3n y la implementaci\u00f3n de medidas de seguridad estandarizadas pueden ayudar a mitigar los riesgos y fortalecer la resiliencia del sector financiero frente a las amenazas digitales.<\/p>\n
En \u00faltima instancia, la protecci\u00f3n contra ataques de ransomware y otras formas de ciberdelincuencia requiere un enfoque integral que combine tecnolog\u00eda avanzada, capacitaci\u00f3n del personal, buenas pr\u00e1cticas de seguridad y una cultura de ciberseguridad s\u00f3lida en toda la organizaci\u00f3n.<\/p>\n
Solo a trav\u00e9s de esfuerzos colectivos y una vigilancia constante se podr\u00e1 enfrentar de manera efectiva el panorama en constante evoluci\u00f3n de la ciberdelincuencia y proteger los activos cr\u00edticos de las instituciones financieras y la confianza de sus clientes.<\/p>\n
Cu\u00e1l es la importancia de seguir las normativas de seguridad en una entidad como la Comisi\u00f3n Nacional de Valores?<\/h3>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n\n\n\n\n\n\nEl cumplimiento de las normativas de seguridad cibern\u00e9tica en una entidad como la Comisi\u00f3n Nacional de Valores (CNV) es de vital importancia por varias razones:<\/p>\n
\n- Protecci\u00f3n de datos confidenciales: La CNV maneja y almacena una gran cantidad de datos sensibles y confidenciales relacionados con el mercado financiero, las instituciones y los inversores. Cumplir con las normativas de seguridad ayuda a garantizar la integridad y confidencialidad de estos datos, protegi\u00e9ndolos de accesos no autorizados y posibles filtraciones.<\/li>\n
- Mantener la confianza del p\u00fablico: La CNV es responsable de regular y supervisar el mercado de valores, lo que implica mantener la confianza del p\u00fablico y los inversores en la integridad y seguridad del sistema financiero. El incumplimiento de las normativas de seguridad podr\u00eda socavar esta confianza y tener un impacto negativo en la reputaci\u00f3n de la CNV y en la percepci\u00f3n de la seguridad del mercado.<\/li>\n
- Prevenir ataques y ciberdelincuencia: El cumplimiento de las normativas de seguridad ayuda a mitigar el riesgo de ataques cibern\u00e9ticos, como el ransomware, las violaciones de datos y otras formas de ciberdelincuencia. Al implementar controles de seguridad adecuados, se reducen las vulnerabilidades y se dificulta el acceso no autorizado a los sistemas de la CNV.<\/li>\n
- Cumplimiento legal y regulatorio: Las entidades financieras, incluida la CNV, est\u00e1n sujetas a una serie de leyes y regulaciones relacionadas con la protecci\u00f3n de datos y la seguridad cibern\u00e9tica. Cumplir con estas normativas es un requisito legal y regulatorio, y el incumplimiento puede tener consecuencias legales y sanciones financieras significativas.<\/li>\n
- Resiliencia y continuidad del negocio: Las normativas de seguridad tambi\u00e9n se enfocan en la planificaci\u00f3n de la continuidad del negocio y la capacidad de respuesta ante incidentes de seguridad. Establecer medidas de seguridad adecuadas y contar con planes de respuesta a incidentes ayuda a garantizar la resiliencia de la CNV frente a posibles interrupciones y permite una recuperaci\u00f3n r\u00e1pida y efectiva en caso de un incidente de seguridad.<\/li>\n<\/ol>\n
Seguir las normativas de seguridad en una entidad como la CNV es fundamental para proteger la confidencialidad, integridad y disponibilidad de los datos, mantener la confianza del p\u00fablico y los inversores, prevenir ataques cibern\u00e9ticos y cumplir con las obligaciones legales y regulatorias. Adem\u00e1s, contribuye a la resiliencia y continuidad del negocio frente a posibles amenazas y garantiza la estabilidad del mercado financiero.<\/p>\n
Si un organismo como la CNV mantiene todas sus claves en formato digital en el mismo ambientes en el que procesa sus operaciones \u00bfC\u00f3mo deber\u00edan valorar la gesti\u00f3n operativa a nivel tecnol\u00f3gico y cu\u00e1l ser\u00eda su nivel de respeto hacia los inversores que les conf\u00edan datos cr\u00edticos?<\/h3>\n![\"Comisi\u00f3n](\"https:\/\/itconnect.lat\/portal\/wp-content\/uploads\/2023\/06\/Comision-Nacional-de-Valores-Filtracion-preliminar-del-Grupo-Medusa-e1686584325448.webp\" "\\"\\"")
<\/a>Comisi\u00f3n Nacional de Valores – Filtraci\u00f3n preliminar del Grupo Medusa<\/figcaption><\/figure>\nSi un organismo como la CNV mantiene todas sus claves en formato digital en el mismo ambiente en el que procesa sus operaciones, esto plantea preocupaciones significativas desde una perspectiva de gesti\u00f3n operativa y seguridad tecnol\u00f3gica. Al evaluar esta situaci\u00f3n, es importante considerar los siguientes aspectos:<\/p>\n
\n- Gesti\u00f3n operativa: La gesti\u00f3n operativa de la CNV deber\u00eda valorar la implementaci\u00f3n de una estrategia de gesti\u00f3n de claves s\u00f3lida. Esto implica adoptar pr\u00e1cticas adecuadas de gesti\u00f3n de claves, como el almacenamiento seguro de las claves en una ubicaci\u00f3n separada y protegida, la implementaci\u00f3n de pol\u00edticas de rotaci\u00f3n y actualizaci\u00f3n regular de claves, y el acceso controlado y restringido a las claves.<\/li>\n
- Seguridad tecnol\u00f3gica: Mantener todas las claves en el mismo ambiente donde se procesan las operaciones puede aumentar el riesgo de compromiso de las claves y, por lo tanto, de acceso no autorizado a datos cr\u00edticos. La CNV deber\u00eda considerar una arquitectura de seguridad en capas, donde las claves se almacenen en entornos seguros y separados, y se implementen mecanismos de protecci\u00f3n adecuados, como cifrado robusto y autenticaci\u00f3n de m\u00faltiples factores.<\/li>\n
- Protecci\u00f3n de datos cr\u00edticos: Los inversores conf\u00edan en la CNV para proteger sus datos cr\u00edticos. Si la gesti\u00f3n de claves no se realiza adecuadamente, existe un riesgo considerable de que los datos puedan ser comprometidos y utilizados de manera fraudulenta. La falta de una gesti\u00f3n adecuada de claves podr\u00eda minar la confianza de los inversores en la CNV y en el sistema financiero en general.<\/li>\n
- Cumplimiento normativo: Adem\u00e1s de los aspectos t\u00e9cnicos y de seguridad, es importante tener en cuenta los requisitos normativos y regulatorios relacionados con la gesti\u00f3n de claves y la protecci\u00f3n de datos en el \u00e1mbito financiero. La CNV debe asegurarse de cumplir con todas las regulaciones y directrices aplicables, tanto en t\u00e9rminos de protecci\u00f3n de datos como de seguridad cibern\u00e9tica.<\/li>\n<\/ol>\n
En general, la falta de una adecuada gesti\u00f3n de claves en un entorno donde se procesan las operaciones puede ser considerada como una pr\u00e1ctica de seguridad deficiente y poco confiable. Esto puede generar dudas sobre la competencia y responsabilidad de la CNV para proteger los datos cr\u00edticos de los inversores y mantener la integridad del sistema financiero.<\/p>\n
Por lo tanto, es esencial que la CNV valore y priorice una gesti\u00f3n adecuada de claves y demuestre un alto nivel de respeto hacia los inversores mediante la implementaci\u00f3n de medidas s\u00f3lidas de seguridad tecnol\u00f3gica y operativa.<\/p>\n
Tomando en cuenta la Resoluci\u00f3n General 704-E\/2017 Normas (N.T. 2013 y mod.). Modificaci\u00f3n. Ciudad de Buenos Aires, 24\/08\/2017 \u00bfQu\u00e9 deber\u00eda hacer el gobierno para corregir estos problemas?<\/h3>\n
La Resoluci\u00f3n General 704-E\/2017 establece normas relacionadas con la gesti\u00f3n de claves y la protecci\u00f3n de datos en el \u00e1mbito financiero en Argentina. Si el gobierno identifica que la Comisi\u00f3n Nacional de Valores (CNV) no cumple con estas normas y presenta problemas en su gesti\u00f3n de claves, puede tomar diversas medidas para corregir la situaci\u00f3n. Algunas acciones que el gobierno podr\u00eda considerar son las siguientes:<\/p>\n
\n- Auditor\u00eda y evaluaci\u00f3n: El gobierno podr\u00eda llevar a cabo una auditor\u00eda exhaustiva de los sistemas y procesos de la CNV para evaluar la situaci\u00f3n actual en t\u00e9rminos de gesti\u00f3n de claves y protecci\u00f3n de datos. Esta evaluaci\u00f3n permitir\u00eda identificar las \u00e1reas problem\u00e1ticas y los posibles riesgos asociados.<\/li>\n
- Capacitaci\u00f3n y concientizaci\u00f3n: Es importante que el gobierno brinde capacitaci\u00f3n y concientizaci\u00f3n a la CNV y a su personal sobre las mejores pr\u00e1cticas de gesti\u00f3n de claves y seguridad cibern\u00e9tica. Esto puede incluir programas de formaci\u00f3n en seguridad, actualizaci\u00f3n sobre las regulaciones y directrices aplicables, y la promoci\u00f3n de una cultura de seguridad dentro de la organizaci\u00f3n.<\/li>\n
- Implementaci\u00f3n de medidas de seguridad: El gobierno puede requerir que la CNV implemente medidas espec\u00edficas de seguridad para corregir los problemas identificados. Esto puede incluir la adopci\u00f3n de soluciones de gesti\u00f3n de claves robustas, la mejora de la arquitectura de seguridad en capas, la implementaci\u00f3n de controles de acceso adecuados y el fortalecimiento de las pol\u00edticas y procedimientos de seguridad en general.<\/li>\n
- Supervisi\u00f3n y cumplimiento: El gobierno debe establecer un mecanismo de supervisi\u00f3n continuo para asegurar que la CNV cumpla con las normas establecidas en la Resoluci\u00f3n General 704-E\/2017 y otras regulaciones aplicables. Esto puede incluir inspecciones regulares, informes de cumplimiento y sanciones en caso de incumplimiento.<\/li>\n
- Cooperaci\u00f3n y colaboraci\u00f3n: El gobierno puede fomentar la cooperaci\u00f3n y colaboraci\u00f3n entre las entidades regulatorias, las agencias de seguridad cibern\u00e9tica y la CNV para abordar los problemas de gesti\u00f3n de claves y protecci\u00f3n de datos de manera m\u00e1s efectiva. Esto implica el intercambio de informaci\u00f3n y mejores pr\u00e1cticas, la colaboraci\u00f3n en investigaciones y la promoci\u00f3n de est\u00e1ndares de seguridad comunes.<\/li>\n<\/ol>\n
En resumen, para corregir los problemas identificados en la gesti\u00f3n de claves de la CNV, el gobierno debe tomar medidas que incluyan auditor\u00edas, capacitaci\u00f3n, implementaci\u00f3n de medidas de seguridad, supervisi\u00f3n y cumplimiento, y fomentar la cooperaci\u00f3n y colaboraci\u00f3n.<\/p>\n
Estas acciones ayudar\u00e1n a garantizar que la CNV cumpla con las normas establecidas y proteja de manera efectiva los datos cr\u00edticos de los inversores.<\/p>\n
Recomendaciones del Editor<\/h3>\n
Este informe detalla el an\u00e1lisis realizado el grupo de An\u00e1lisis de IT CONNECT LATAM sobre la filtraci\u00f3n de datos ocurrida en la Comisi\u00f3n Nacional de Valores (CNV) de Argentina.<\/p>\n
A trav\u00e9s de un examen exhaustivo del filetree (\u00e1rbol de ficheros) publicado por el actor de ransomware, se identificaron vol\u00famenes que abarcaban informaci\u00f3n confidencial y cr\u00edtica para el organismo.<\/p>\n
Adem\u00e1s, se detectaron pr\u00e1cticas de seguridad inform\u00e1tica inadecuadas, como el almacenamiento de contrase\u00f1as en archivos de texto plano.<\/p>\n
Estos hallazgos resaltan la necesidad de mejorar la gesti\u00f3n de la seguridad y proteger los datos sensibles en entidades gubernamentales y financieras.<\/p>\n
Descripci\u00f3n del incidente:<\/strong> Analizando el filetree, se identificaron ocho vol\u00famenes de informaci\u00f3n filtrada. Uno de ellos, denominado “CNS_MAIN”, contiene directorios y archivos que abarcan informaci\u00f3n financiera, de recursos humanos, escaneos de documentos y planos en formato CAD.<\/p>\nLos vol\u00famenes etiquetados como “SQL” revelaron bases de datos relacionadas con varios aspectos de la CNV, como el BackOffice de Prensa, Bolsa de Reportes, CAFirmantes, Calificadoras, Fideicomisos, Fondos Comunes, Invertir, RRHH, Registro, RESOL, CNV y CNVWeb, todos ellos identificados como entornos de producci\u00f3n.<\/p>\n
En otros vol\u00famenes, se encontraron directorios que mencionan Informes de la DyEMC, Intranet de la CNV, Comit\u00e9 de Seguridad,<\/p>\n![\"Cuenta](\"https:\/\/itconnect.lat\/portal\/wp-content\/uploads\/2023\/06\/Cuenta-Regresiva-para-la-Comision-Nacional-de-Valores.webp\" "\\"\\"")
<\/a>Cuenta Regresiva para la Comisi\u00f3n Nacional de Valores<\/figcaption><\/figure>\nComunicaci\u00f3n Interna, Denuncias, Directorio de Prensa, Fichas de Sociedades, GDE <\/strong>(habr\u00eda comprometido en cierta forma la infraestructura del Sistema de Expedientes de Gobierno), mesa Fintech, Mercosur e incluso informaci\u00f3n sobre CEDEARS.<\/p>\nEs importante destacar que uno de los vol\u00famenes contiene informaci\u00f3n cr\u00edtica de seguridad relacionada con la infraestructura, incluyendo logs de firewalls y proxies, con menci\u00f3n espec\u00edfica a uno ubicado en la DMZ de ARSAT.<\/p>\n
Adem\u00e1s, se descubri\u00f3 una carpeta denominada “hola” que conten\u00eda archivos en formato de texto plano (DOC, PDF, Excel) que albergaban contrase\u00f1as del organismo. Esta pr\u00e1ctica representa una grave falta de seguridad inform\u00e1tica y pone en riesgo la integridad de los sistemas y la confidencialidad de los datos.<\/p>\n
En base a los hallazgos mencionados, recomiendo encarecidamente a la CNV y al gobierno argentino que tomen las siguientes medidas para corregir los problemas identificados y mejorar la seguridad de los datos:<\/p>\n
\n- Auditor\u00eda de seguridad:<\/strong> Realizar una auditor\u00eda exhaustiva de los sistemas de la CNV para evaluar la magnitud del incidente y determinar el alcance de la filtraci\u00f3n de datos.<\/li>\n
- Mejora de la gesti\u00f3n de claves:<\/strong> Implementar una estrategia s\u00f3lida de gesti\u00f3n de claves que cumpla con las mejores pr\u00e1cticas de seguridad. Esto implica almacenar las claves en entornos seguros y separados, realizar rotaciones peri\u00f3dicas de claves, y aplicar pol\u00edticas de acceso y control estrictas.<\/li>\n
- Reforzamiento de la seguridad de la infraestructura:<\/strong> Evaluar y fortalecer las medidas de seguridad en la infraestructura de la CNV. Esto incluye implementar firewalls robustos, sistemas de detecci\u00f3n de intrusiones, protecci\u00f3n contra malware y soluciones de monitoreo de red para identificar y prevenir ataques cibern\u00e9ticos.<\/li>\n
- Educaci\u00f3n y concientizaci\u00f3n sobre seguridad:<\/strong> Brindar capacitaci\u00f3n y concientizaci\u00f3n a todo el personal de la CNV sobre las mejores pr\u00e1cticas de seguridad cibern\u00e9tica. Esto incluye la importancia de utilizar contrase\u00f1as fuertes, no almacenarlas en archivos de texto plano y estar alerta ante posibles amenazas de phishing y malware.<\/li>\n
- Evaluaci\u00f3n de proveedores y terceros:<\/strong> Realizar una evaluaci\u00f3n exhaustiva de los proveedores y terceros que tienen acceso a la infraestructura y los sistemas de la CNV. Asegurarse de que sigan pr\u00e1cticas s\u00f3lidas de seguridad y cumplimiento normativo.<\/li>\n
- Implementaci\u00f3n de controles de acceso y autenticaci\u00f3n s\u00f3lidos:<\/strong> Establecer pol\u00edticas de acceso y autenticaci\u00f3n que requieran la utilizaci\u00f3n de autenticaci\u00f3n de m\u00faltiples factores, contrase\u00f1as robustas y control de privilegios para limitar el acceso a informaci\u00f3n sensible y sistemas cr\u00edticos.<\/li>\n
- Monitoreo y detecci\u00f3n de amenazas:<\/strong> Implementar soluciones de monitoreo y detecci\u00f3n de amenazas en tiempo real para identificar patrones y comportamientos an\u00f3malos en los sistemas y la red de la CNV. Esto permitir\u00e1 una respuesta r\u00e1pida ante posibles ataques y minimizar el tiempo de exposici\u00f3n a las amenazas.<\/li>\n
- Continuidad del negocio y planes de recuperaci\u00f3n ante desastres:<\/strong> Desarrollar y probar regularmente planes de continuidad del negocio y recuperaci\u00f3n ante desastres para garantizar que la CNV pueda recuperarse de manera r\u00e1pida y efectiva en caso de un incidente de seguridad o interrupci\u00f3n del servicio.<\/li>\n
- Estas recomendaciones ayudar\u00e1n a la CNV a fortalecer su postura de seguridad, proteger los datos cr\u00edticos de los inversores y mejorar la confianza en el sistema financiero. Es esencial que el gobierno argentino y la CNV aborden estos problemas de manera prioritaria y asignen los recursos necesarios para implementar medidas de seguridad s\u00f3lidas y efectivas.<\/li>\n<\/ol>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n
Haz lo que yo digo, pero no lo que yo hago! Aquello que la CVN<\/a> propone y NO CUMPLE!<\/h3>\n<\/h5>\nCOMISI\u00d3N NACIONAL DE VALORES
\nResoluci\u00f3n General 704-E\/2017
\nNormas (N.T. 2013 y mod.). Modificaci\u00f3n.
\nCiudad de Buenos Aires, 24\/08\/2017<\/h5>\n
<\/p>\n
VISTO el Expediente N\u00ba 1657\/2017 caratulado \u201cPROYECTO DE RG S\/ CIBERSEGURIDAD Y RESILIENCIA CIBERN\u00c9TICA\u201d del registro de la COMISI\u00d3N NACIONAL DE VALORES, lo dictaminado por la Gerencia de Servicios Centrales, la Subgerencia de Verificaciones de Agentes y Mercados, la Subgerencia de Agentes y Calificadoras de Riesgo, la Gerencia de Agentes y Mercados, la Gerencia General de Mercados, la Subgerencia de Asesoramiento Legal, la Gerencia de Asuntos Jur\u00eddicos y la Gerencia General de Asuntos Jur\u00eddicos, y<\/p>\n
CONSIDERANDO:<\/p>\n
Que de acuerdo a las atribuciones otorgadas por el art\u00edculo 19 inciso g) de la Ley N\u00ba 26.831, la COMISI\u00d3N NACIONAL DE VALORES se encuentra facultada para dictar las normas a las cuales deben ajustarse los Mercados, los Agentes registrados y las dem\u00e1s personas f\u00edsicas y\/o jur\u00eddicas que por sus actividades vinculadas al Mercado de Capitales, y a criterio de la Comisi\u00f3n Nacional de Valores queden comprendidas bajo su competencia.<\/p>\n
Que resulta conveniente adoptar est\u00e1ndares internacionales con respecto a la seguridad inform\u00e1tica y atender a las recomendaciones de la ORGANIZACI\u00d3N INTERNACIONAL DE COMISIONES DE VALORES (IOSCO, por sus siglas en ingl\u00e9s) sobre los principios de ciberseguridad y resiliencia cibern\u00e9tica.<\/p>\n
Que el Comit\u00e9 de Sistemas de Pago y Liquidaci\u00f3n (CPSS) del Banco de Pagos Internacionales (BIS) y el Comit\u00e9 T\u00e9cnico de IOSCO establecen a trav\u00e9s de los \u201cPrincipios B\u00e1sicos para Infraestructuras de Mercado Financiero\u201d que las \u201cInfraestructuras de Mercado Financiero\u201d cumplen un rol cr\u00edtico en el sistema financiero y en la econom\u00eda en general.<\/p>\n
Que los principios mencionados enumeran las principales categor\u00edas de riesgos identificados y proporcionan orientaci\u00f3n a las \u201cInfraestructuras de Mercado Financiero\u201d y a las autoridades competentes sobre la identificaci\u00f3n, monitoreo, mitigaci\u00f3n y administraci\u00f3n de estos riesgos.<\/p>\n
Que asimismo, definen los riesgos operacionales como la posibilidad de que deficiencias en los sistemas de informaci\u00f3n y en los procesos internos, errores humanos y\/o fallas por eventos externos, resulten en la reducci\u00f3n, deterioro o interrupci\u00f3n de los servicios proporcionados por una \u201cInfraestructura de Mercado Financiero\u201d.<\/p>\n
Que la interoperabilidad de las infraestructuras cr\u00edticas del Mercado de Capitales posibilitar\u00eda la propagaci\u00f3n y ampliaci\u00f3n de los efectos de los ciberataques, as\u00ed como las v\u00edas de acceso de amenazas, aumentando el riesgo sist\u00e9mico.<\/p>\n
Que al respecto, el Comit\u00e9 de Pagos e Infraestructuras de Mercado (CPMI \u2013 ex CPSS) del BIS junto con el Directorio de IOSCO elaboraron una \u201cGu\u00eda sobre la Resiliencia Cibern\u00e9tica para las Infraestructuras de Mercado Financiero\u201d, con la finalidad de proporcionar orientaci\u00f3n a las \u201cInfraestructuras de Mercado Financiero\u201d para mejorar su gesti\u00f3n sobre los riesgos cibern\u00e9ticos, destacando que el nivel de respuesta a los incidentes de seguridad contribuye a conservar su capacidad operativa.<\/p>\n
Que el mencionado documento proporciona recomendaciones tendientes a ampliar la capacidad de resiliencia cibern\u00e9tica de las \u201cInfraestructuras de Mercado Financiero\u201d, alineadas con los controles y buenas pr\u00e1cticas definidas por el est\u00e1ndar de la familia ISO 27000, como estrategias utilizadas internacionalmente para mitigar los riesgos relativos a la ciberseguridad.<\/p>\n
Que, adicionalmente, el desarrollo asim\u00e9trico respecto a las tecnolog\u00edas de la informaci\u00f3n de los distintos actores del Mercado de Capitales, torna necesario un plan de implementaci\u00f3n diferenciado seg\u00fan el grado de madurez de los mismos.<\/p>\n
Que la presente Resoluci\u00f3n General se dicta en ejercicio de las atribuciones conferidas por el art\u00edculo 19 inciso g) de la Ley N\u00b0 26.831.<\/p>\n
Por ello,<\/p>\n
LA COMISI\u00d3N NACIONAL DE VALORES<\/p>\n
RESUELVE:<\/p>\n
ART\u00cdCULO 1\u00b0.- Incorporar como Secci\u00f3n VII del Cap\u00edtulo III del T\u00edtulo VI de las NORMAS (N.T. 2013 y mod.), el siguiente texto:<\/p>\n
\u201cSECCI\u00d3N VII.<\/p>\n
CIBERSEGURIDAD Y CIBERRESILIENCIA CR\u00cdTICAS DEL MERCADO DE CAPITALES.<\/p>\n
ART\u00cdCULO 20.- El \u00f3rgano de administraci\u00f3n de los Mercados, Agentes de Dep\u00f3sito Colectivo, C\u00e1maras Compensadoras y Agentes de Custodia, Registro y Pago, deber\u00e1, antes del 1\u00b0 de enero de 2018, aprobar las \u201cPol\u00edticas de Seguridad de la Informaci\u00f3n\u201d elaboradas conforme los lineamientos de la norma ISO 27000, seg\u00fan el Anexo del presente Cap\u00edtulo, titulado \u201cCiberseguridad y Ciberresiliencia de las Infraestructuras Cr\u00edticas del Mercado de Capitales\u201d.<\/p>\n
ART\u00cdCULO 21.- Dentro de los DOS (2) meses de aprobadas, por el \u00f3rgano de administraci\u00f3n, las \u201cPol\u00edticas de Seguridad de la Informaci\u00f3n\u201d, los sujetos mencionados en el art\u00edculo anterior deber\u00e1n elaborar un \u201cPlan de Implementaci\u00f3n de las Pol\u00edticas de Seguridad de la Informaci\u00f3n del Mercado de Capitales\u201d a trav\u00e9s de procedimientos que incorporen un criterio de mejora continua.<\/p>\n
ART\u00cdCULO 22.- Las \u201cPol\u00edticas de Seguridad de la Informaci\u00f3n\u201d deber\u00e1n aplicarse a los activos inform\u00e1ticos y a los procesos relacionados a la prestaci\u00f3n de servicios esenciales.<\/p>\n
ART\u00cdCULO 23.- Los sujetos mencionados en el art\u00edculo 20 deber\u00e1n antes del 1\u00b0 de marzo de 2018, adoptar medidas, de resiliencia cibern\u00e9tica, siguiendo los lineamientos de la \u201cGu\u00eda sobre la Resiliencia Cibern\u00e9tica para las Infraestructuras de Mercado Financiero\u201d de la CPSS – IOSCO.<\/p>\n
ART\u00cdCULO 24.- El informe de auditor\u00eda externa anual de sistemas que deben remitir los sujetos mencionados en el art\u00edculo 20, adicionalmente deber\u00e1 contener la opini\u00f3n del auditor respecto del \u201cPlan de Implementaci\u00f3n de las Pol\u00edticas de Seguridad de la Informaci\u00f3n del Mercado de Capitales\u201d, incluyendo el grado de avance en el desarrollo del mismo y de cumplimiento de los objetivos de control requeridos en el Anexo titulado \u201cCiberseguridad y Ciberresiliencia de las Infraestrucuturas cr\u00edticas del Mercado de Capitales\u201d.<\/p>\n
ART\u00cdCULO 2\u00b0.- Incorporar como Anexo del Cap\u00edtulo III del T\u00edtulo VI de las NORMAS (N.T. 2013 y mod.), el siguiente texto:<\/p>\n
\u201cANEXO<\/p>\n
Ciberseguridad y Ciberresiliencia de las Infraestructuras cr\u00edticas del Mercado de Capitales.<\/p>\n
CONTENIDO.<\/p>\n
SECCI\u00d3N I<\/p>\n
Pol\u00edticas de tecnolog\u00eda de la informaci\u00f3n, comunicaciones y seguridad.<\/p>\n
Orientaci\u00f3n de la Direcci\u00f3n para la seguridad de la informaci\u00f3n.<\/p>\n
Pol\u00edticas de seguridad y gesti\u00f3n de la informaci\u00f3n.<\/p>\n
Revisi\u00f3n de las pol\u00edticas.<\/p>\n
Comit\u00e9 de tecnolog\u00eda\/seguridad con participaci\u00f3n del Directorio.<\/p>\n
Plan y presupuesto de seguridad y ti.<\/p>\n
SECCI\u00d3N II<\/p>\n
Roles y responsabilidades.<\/p>\n
Responsabilidad de la Direcci\u00f3n.<\/p>\n
Roles y responsabilidades de seguridad de la informaci\u00f3n.<\/p>\n
Segregaci\u00f3n de funciones.<\/p>\n
Contacto con las autoridades.<\/p>\n
Contacto con grupos de inter\u00e9s especial.<\/p>\n
Seguridad de la informaci\u00f3n en la gesti\u00f3n de proyectos.<\/p>\n
SECCI\u00d3N III<\/p>\n
Capital Humano.<\/p>\n
Evaluaci\u00f3n previa al ingreso.<\/p>\n
15.1. Investigaci\u00f3n de antecedentes.<\/p>\n
15.2. T\u00e9rminos y condiciones de empleo.<\/p>\n
Seguimiento de la relaci\u00f3n laboral.<\/p>\n
16.1. Responsabilidades de la Direcci\u00f3n.<\/p>\n
16.2. Concientizaci\u00f3n, educaci\u00f3n y capacitaci\u00f3n en seguridad de la informaci\u00f3n.<\/p>\n
Finalizaci\u00f3n del v\u00ednculo laboral.<\/p>\n
17.1 Responsabilidades en la desvinculaci\u00f3n o cambio de puesto.<\/p>\n
SECCI\u00d3N IV<\/p>\n
Activos de la informaci\u00f3n.<\/p>\n
Identificaci\u00f3n.<\/p>\n
Inventario de los activos.<\/p>\n
Propiedad de los activos.<\/p>\n
Uso aceptable de los activos.<\/p>\n
Retorno de los activos.<\/p>\n
Clasificaci\u00f3n de la informaci\u00f3n.<\/p>\n
Metodolog\u00eda para el an\u00e1lisis de riesgos inform\u00e1ticos.<\/p>\n
Manipulaci\u00f3n de los activos.<\/p>\n
SECCI\u00d3N V<\/p>\n
Usuarios de la informaci\u00f3n.<\/p>\n
Pol\u00edtica de control de accesos.<\/p>\n
Requisitos del negocio para el control de accesos a los sistemas y las aplicaciones.<\/p>\n
Acceso a las redes y a los servicios de red.<\/p>\n
Gesti\u00f3n de accesos del usuario.<\/p>\n
Alta y baja de registros de usuario.<\/p>\n
Gesti\u00f3n de los derechos de acceso privilegiado.<\/p>\n
Revisi\u00f3n de los derechos de acceso del usuario.<\/p>\n
Remoci\u00f3n o ajuste de los derechos de acceso.<\/p>\n
Procedimientos seguros de inicio de sesi\u00f3n.<\/p>\n
Sistema de gesti\u00f3n de autenticaci\u00f3n.<\/p>\n
SECCI\u00d3N VI<\/p>\n
Seguridad de la infraestructura.<\/p>\n
\u00c1reas Seguras.<\/p>\n
38.1. Per\u00edmetro de seguridad f\u00edsica.<\/p>\n
38.2. Controles f\u00edsicos.<\/p>\n
38.3. Aseguramiento de oficinas, recintos e instalaciones.<\/p>\n
38.4. Protecci\u00f3n contra amenazas externas y del entorno.<\/p>\n
Equipamiento.<\/p>\n
39.1. Ubicaci\u00f3n y protecci\u00f3n del equipamiento.<\/p>\n
39.2. Mantenimiento del equipamiento.<\/p>\n
39.3. Retiro de activos.<\/p>\n
39.4. Disposici\u00f3n final segura o reutilizaci\u00f3n del equipamiento.<\/p>\n
Dispositivos m\u00f3viles y teletrabajo.<\/p>\n
40.1. Pol\u00edtica de dispositivo m\u00f3vil.<\/p>\n
40.2. Teletrabajo.<\/p>\n
SECCI\u00d3N VII<\/p>\n
Gesti\u00f3n de operaciones.<\/p>\n
Procedimientos operativos documentados.<\/p>\n
Gesti\u00f3n de la capacidad.<\/p>\n
Controles contra c\u00f3digo malicioso.<\/p>\n
Resguardo de la informaci\u00f3n.<\/p>\n
Registro de eventos.<\/p>\n
Protecci\u00f3n de la informaci\u00f3n de los registros.<\/p>\n
Control de las vulnerabilidades t\u00e9cnicas.<\/p>\n
SECCI\u00d3N VIII<\/p>\n
Gesti\u00f3n de comunicaciones.<\/p>\n
Gesti\u00f3n de la seguridad de la red.<\/p>\n
52.1. Controles de red.<\/p>\n
52.2. Seguridad de los servicios de red.<\/p>\n
52.3. Segregaci\u00f3n en redes.<\/p>\n
SECCI\u00d3N IX<\/p>\n
Gesti\u00f3n de plataformas productivas.<\/p>\n
Generalidades.<\/p>\n
Gesti\u00f3n de requerimientos y requisitos de seguridad\/controles.<\/p>\n
Desarrollo seguro.<\/p>\n
Separaci\u00f3n de entornos de desarrollo, prueba y producci\u00f3n.<\/p>\n
Pruebas.<\/p>\n
Paquetes de software y desarrollo tercerizado.<\/p>\n
SECCI\u00d3N X<\/p>\n
Relaciones con proveedores.<\/p>\n
Seguridad de la informaci\u00f3n en las relaciones con los proveedores.<\/p>\n
Pol\u00edtica de seguridad de la informaci\u00f3n para las relaciones con los proveedores.<\/p>\n
Tratamiento de la seguridad en los acuerdos con los proveedores.<\/p>\n
Cadena de suministro de las tecnolog\u00edas de la informaci\u00f3n y las comunicaciones.<\/p>\n
Gesti\u00f3n de la entrega de servicios prestados por los proveedores.<\/p>\n
Seguimiento y revisi\u00f3n de los servicios prestados por los proveedores.<\/p>\n
SECCI\u00d3N XI<\/p>\n
Monitoreo.<\/p>\n
Responsabilidades y procedimientos.<\/p>\n
Presentaci\u00f3n de informes sobre los eventos de seguridad de la informaci\u00f3n.<\/p>\n
Presentaci\u00f3n de informes sobre las vulnerabilidades de seguridad de la informaci\u00f3n.<\/p>\n
Evaluaci\u00f3n y decisi\u00f3n sobre los eventos de seguridad de la informaci\u00f3n.<\/p>\n
Respuesta a los incidentes de seguridad de la informaci\u00f3n.<\/p>\n
Aprendizaje a partir de los incidentes de seguridad de la informaci\u00f3n.<\/p>\n
Recolecci\u00f3n de la evidencia.<\/p>\n
SECCI\u00d3N XII<\/p>\n
Gesti\u00f3n de continuidad del negocio<\/p>\n
Gesti\u00f3n de la continuidad.<\/p>\n
Planificaci\u00f3n de la continuidad del negocio.<\/p>\n
Implementaci\u00f3n de plan de contingencia.<\/p>\n
Implementaci\u00f3n de la continuidad del negocio.<\/p>\n
Prueba del plan de continuidad.<\/p>\n
Verificaci\u00f3n, revisi\u00f3n y valoraci\u00f3n de la continuidad del negocio.<\/p>\n
Redundancias.<\/p>\n
SECCI\u00d3N XIII<\/p>\n
Relaci\u00f3n con otras partes interesadas.<\/p>\n
Ecosistema.<\/p>\n
Canal de contacto.<\/p>\n
Documentaci\u00f3n de interconexiones.<\/p>\n
Identificaci\u00f3n de riesgos.<\/p>\n
Pruebas conjuntas.<\/p>\n
Ambiente de pruebas.<\/p>\n
Control de cambios.<\/p>\n
Acuerdos de intercambio de informaci\u00f3n.<\/p>\n
Detecci\u00f3n de vulnerabilidades.<\/p>\n
Respuestas ante incidentes.<\/p>\n
Sincronizaci\u00f3n de relojes.<\/p>\n
SECCI\u00d3N I<\/p>\n
POL\u00cdTICAS DE TECNOLOG\u00cdA DE LA INFORMACI\u00d3N, COMUNICACIONES Y SEGURIDAD.<\/p>\n
ORIENTACI\u00d3N DE LA DIRECCI\u00d3N PARA LA SEGURIDAD DE LA INFORMACI\u00d3N.<\/p>\n
ART\u00cdCULO 1\u00ba.- La Direcci\u00f3n debe establecer el marco de gobierno de resiliencia de ciberseguridad en el que se establezcan los lineamientos para la gesti\u00f3n de la tecnolog\u00eda, las comunicaciones y la seguridad de la informaci\u00f3n, con el objetivo de asegurar el negocio y la continuidad de operaciones de los Mercados, Agentes de Dep\u00f3sito Colectivo, C\u00e1maras Compensadoras, y Agentes de Custodia, Registro y Pago (CMI \u201ccapital market integration\u201d).<\/p>\n
ART\u00cdCULO 2\u00ba.- El marco de resiliencia de la ciberseguridad debe estar alineado con los requisitos del negocio y orientado a formalizar el apoyo de parte de la Direcci\u00f3n. Este apoyo debe ser tomado como referencia por todo el personal involucrado en el dise\u00f1o, implementaci\u00f3n y revisi\u00f3n del proceso.<\/p>\n
La Direcci\u00f3n debe definir la tolerancia de riesgo y es responsable de aprobar peri\u00f3dicamente el marco de resiliencia de la ciberseguridad, para asegurar que el riesgo definido es consistente con los objetivos de negocio.<\/p>\n
POL\u00cdTICAS DE SEGURIDAD Y GESTI\u00d3N DE LA INFORMACI\u00d3N<\/p>\n
ART\u00cdCULO 3\u00ba.- Se debe contar con pol\u00edticas de seguridad y gesti\u00f3n de la informaci\u00f3n aprobada por la Direcci\u00f3n.<\/p>\n
Las pol\u00edticas deben ser publicadas y conocidas por todos los miembros de la organizaci\u00f3n; y deben definir y asignar claramente las responsabilidades de los distintos sectores sobre los activos inform\u00e1ticos, considerando las siguientes premisas:<\/p>\n
– Los requisitos de negocio y funcionales de los sistemas de informaci\u00f3n ser\u00e1n definidos por los usuarios propietarios de los datos.<\/p>\n
– La gesti\u00f3n de los activos tecnol\u00f3gicos que soportan la automatizaci\u00f3n de los procesos cr\u00edticos ser\u00e1 de exclusiva responsabilidad de las \u00e1reas de TI:<\/p>\n
Activos f\u00edsicos: equipos de procesamiento, comunicaciones y almacenamiento de la informaci\u00f3n, y su infraestructura relacionada.<\/p>\n
Activos de software de base: sistemas operativos, motores de bases de datos, herramientas de desarrollo, etc.<\/p>\n
ART\u00cdCULO 4\u00ba.- El responsable de Seguridad de la Informaci\u00f3n debe tener suficiente autoridad, independencia, recursos y acceso al Directorio. Dicho ejecutivo debe poseer la experiencia y los conocimientos necesarios para planificar y ejecutar las iniciativas de resiliencia de ciberseguridad, de manera competente, adicionalmente ser\u00e1 responsable de la gesti\u00f3n de los activos relacionados con su funci\u00f3n.<\/p>\n
ART\u00cdCULO 5\u00ba.- Para la implementaci\u00f3n de cualquier nuevo aplicativo, las \u00e1reas usuarias y t\u00e9cnicas (TI y Seguridad Inform\u00e1tica) deber\u00e1n trabajar coordinadamente para encontrar la soluci\u00f3n adecuada (ya sea un paquete de software de terceros o una aplicaci\u00f3n desarrollada internamente) que satisfaga los requisitos de negocio definidos por los usuarios y cumpla simult\u00e1neamente los est\u00e1ndares tecnol\u00f3gicos y de seguridad determinados por los responsables t\u00e9cnicos.<\/p>\n
REVISI\u00d3N DE LAS POL\u00cdTICAS<\/p>\n
ART\u00cdCULO 6\u00ba.- Las pol\u00edticas de seguridad de la informaci\u00f3n deben ser revisadas al menos una vez por a\u00f1o (o antes si ocurren cambios significativos) para validar que contin\u00faan siendo apropiadas, adecuadas y eficaces en relaci\u00f3n a los objetivos del negocio.<\/p>\n
COMIT\u00c9 DE TECNOLOG\u00cdA\/SEGURIDAD CON PARTICIPACI\u00d3N DEL DIRECTORIO<\/p>\n
ART\u00cdCULO 7\u00ba.- Se debe conformar un comit\u00e9 de tecnolog\u00eda\/seguridad en el cual la Direcci\u00f3n sea responsable de establecer, aprobar y velar por la actualizaci\u00f3n de un marco para fortalecer la ciberseguridad, incluyendo la responsabilidad por la toma de decisiones para la gesti\u00f3n de riesgos cibern\u00e9ticos, incluso en situaciones de emergencia y de crisis.<\/p>\n
La alta gerencia debe supervisar estrechamente la aplicaci\u00f3n de su marco de resiliencia de la ciberseguridad como as\u00ed tambi\u00e9n las pol\u00edticas, procedimientos y controles que lo soportan.<\/p>\n
PLAN Y PRESUPUESTO DE SEGURIDAD Y TI.<\/p>\n
ART\u00cdCULO 8\u00ba.- De acuerdo con las metas y planes estrat\u00e9gicos, se deben elaborar planes operativos que contemplen los factores cr\u00edticos para un efectivo control sobre los sistemas y la seguridad de la informaci\u00f3n, junto con las actividades del negocio que respaldan. Dichos planes tendr\u00e1n en cuenta las tareas a realizar con su correspondiente asignaci\u00f3n de tiempos y recursos, los presupuestos, las prioridades y la precedencia de cada una de ellas.<\/p>\n
SECCI\u00d3N II<\/p>\n
ROLES Y RESPONSABILIDADES.<\/p>\n
RESPONSABILIDAD DE LA DIRECCI\u00d3N.<\/p>\n
ART\u00cdCULO 9\u00ba.- La Direcci\u00f3n es responsable de promover una adecuada administraci\u00f3n de la seguridad de la informaci\u00f3n y establecer un marco gerencial para iniciar y controlar su implementaci\u00f3n, as\u00ed como para la distribuci\u00f3n de funciones y responsabilidades.<\/p>\n
ROLES Y RESPONSABILIDADES DE SEGURIDAD DE LA INFORMACI\u00d3N.<\/p>\n
ART\u00cdCULO 10.- Se deben definir y asignar claramente las responsabilidades relativas a la seguridad de la informaci\u00f3n.<\/p>\n
SEGREGACI\u00d3N DE FUNCIONES.<\/p>\n
ART\u00cdCULO 11.- Las funcionalidades y responsabilidades en conflicto deben estar separadas con el fin de reducir los riesgos de modificaciones no intencionales o no autorizadas, o el mal uso de activos de informaci\u00f3n.<\/p>\n
CONTACTO CON LAS AUTORIDADES.<\/p>\n
ART\u00cdCULO 12.- Se deben mantener los contactos apropiados con las autoridades pertinentes. CONTACTO CON GRUPOS DE INTER\u00c9S ESPECIAL.<\/p>\n
ART\u00cdCULO 13.- Se deben mantener contactos apropiados con los grupos de inter\u00e9s especial u otros foros de seguridad especializados y asociaciones profesionales.<\/p>\n
SEGURIDAD DE LA INFORMACI\u00d3N EN LA GESTI\u00d3N DE PROYECTOS.<\/p>\n
ART\u00cdCULO 14.- La seguridad de la informaci\u00f3n se contempla en la direcci\u00f3n de proyectos, independientemente del tipo de proyecto.<\/p>\n
SECCI\u00d3N III CAPITAL HUMANO.<\/p>\n
EVALUACI\u00d3N PREVIA AL INGRESO.<\/p>\n
ART\u00cdCULO 15.- Se debe asegurar que los empleados y contratados entiendan sus responsabilidades y sean id\u00f3neos para los roles para los cuales se los contrata.<\/p>\n
15.1. INVESTIGACI\u00d3N DE ANTECEDENTES.<\/p>\n
Se debe realizar la verificaci\u00f3n de antecedentes de todos los candidatos para el empleo de acuerdo con las leyes, regulaciones y reglas \u00e9ticas pertinentes. Dicha verificaci\u00f3n debe ser proporcional a los requisitos de seguridad de la organizaci\u00f3n, a la clasificaci\u00f3n de la informaci\u00f3n a ser accedida y a los riesgos potenciales percibidos.<\/p>\n
15.2. T\u00c9RMINOS Y CONDICIONES DE EMPLEO.<\/p>\n
Los contratos con empleados y contratados deben establecer sus responsabilidades y las de la organizaci\u00f3n para con la seguridad de la informaci\u00f3n.<\/p>\n
SEGUIMIENTO DE LA RELACI\u00d3N LABORAL.<\/p>\n
ART\u00cdCULO 16.- Se debe asegurar que los empleados y contratados sean conscientes de sus responsabilidades con respecto a la seguridad de la informaci\u00f3n y las cumplan. Los recursos humanos deben mantenerse t\u00e9cnicamente capacitados e informados conforme a la evoluci\u00f3n de los requerimientos, normas y tecnolog\u00edas de los sistemas de seguridad adoptados por las organizaciones.<\/p>\n
16.1. RESPONSABILIDADES DE LA DIRECCI\u00d3N.<\/p>\n
La Direcci\u00f3n y las gerencias deben requerir a todos los empleados y contratados que apliquen la seguridad de la informaci\u00f3n de acuerdo con las pol\u00edticas y procedimientos establecidos por la organizaci\u00f3n.<\/p>\n
16.2. CONCIENTIZACI\u00d3N, EDUCACI\u00d3N Y CAPACITACI\u00d3N EN SEGURIDAD DE LA INFORMACI\u00d3N.<\/p>\n
Todos los empleados de la organizaci\u00f3n y, cuando sea pertinente los proveedores, deben recibir una concientizaci\u00f3n, educaci\u00f3n y capacitaci\u00f3n apropiada como as\u00ed tambi\u00e9n actualizaciones regulares sobre las pol\u00edticas y procedimientos organizacionales relativos a su tarea.<\/p>\n
FINALIZACI\u00d3N DEL V\u00cdNCULO LABORAL.<\/p>\n
ART\u00cdCULO 17.- Se deben proteger los intereses de la organizaci\u00f3n como parte del proceso de desvinculaci\u00f3n o cambio de puesto.<\/p>\n
17.1 RESPONSABILIDADES EN LA DESVINCULACI\u00d3N O CAMBIO DE PUESTO.<\/p>\n
Se deben definir, comunicar y hacer cumplir, al empleado o contratado, las responsabilidades y obligaciones relativas a la seguridad de la informaci\u00f3n que contin\u00faen vigentes luego de la desvinculaci\u00f3n o cambio de puesto. Se debe verificar que las asignaciones, atribuciones y accesos a la informaci\u00f3n se actualicen debidamente ante cambios de funciones o desvinculaciones.<\/p>\n
SECCI\u00d3N IV<\/p>\n
ACTIVOS DE LA INFORMACI\u00d3N. IDENTIFICACI\u00d3N.<\/p>\n
ART\u00cdCULO 18.- La organizaci\u00f3n debe tener un conocimiento preciso sobre los activos que posee, logrando y manteniendo una apropiada protecci\u00f3n de los mismos.<\/p>\n
Se define como activo a la informaci\u00f3n cr\u00edtica de negocio y todas aquellas plataformas que procesan, almacenan y transmiten dicha informaci\u00f3n.<\/p>\n
INVENTARIO DE LOS ACTIVOS.<\/p>\n
ART\u00cdCULO 19.- La organizaci\u00f3n debe identificar los activos relevantes en el ciclo de vida de la informaci\u00f3n e inventariarlos para su control. El inventario deber\u00e1 ser actualizado ante cualquier modificaci\u00f3n de la informaci\u00f3n registrada y revisado con una periodicidad al menos anual.<\/p>\n
PROPIEDAD DE LOS ACTIVOS.<\/p>\n
ART\u00cdCULO 20.- Se debe implementar un proceso para la asignaci\u00f3n de un propietario de los activos organizacionales. La propiedad debe ser asignada ante la creaci\u00f3n, desarrollo o adquisici\u00f3n de los mismos. El propietario debe ser responsable de la gesti\u00f3n adecuada de un activo durante todo su ciclo de vida y responsable de su clasificaci\u00f3n.<\/p>\n
USO ACEPTABLE DE LOS ACTIVOS.<\/p>\n
ART\u00cdCULO 21.- La autoridad relevante deber\u00e1 identificar, documentar e implementar reglas para el uso aceptable de la informaci\u00f3n y los activos asociados.<\/p>\n
Los empleados y usuarios externos que utilicen o tengan acceso a los activos de la organizaci\u00f3n deber\u00e1n estar informados de los requisitos de seguridad de la informaci\u00f3n, de los activos de la organizaci\u00f3n asociados con las instalaciones, recursos y procesamiento de informaci\u00f3n.<\/p>\n
RETORNO DE LOS ACTIVOS.<\/p>\n
ART\u00cdCULO 22.- Todos los empleados y usuarios externos deben devolver todos los activos de la organizaci\u00f3n en su poder al finalizar su empleo, contrato o acuerdo. El proceso de terminaci\u00f3n debe formalizarse para incluir la devoluci\u00f3n de todos los activos f\u00edsicos y electr\u00f3nicos pertenecientes a la organizaci\u00f3n.<\/p>\n
CLASIFICACI\u00d3N DE LA INFORMACI\u00d3N.<\/p>\n
ART\u00cdCULO 23.- Con el objetivo de asegurar que la informaci\u00f3n reciba un nivel de protecci\u00f3n apropiado, la misma debe ser clasificada para indicar la necesidad, prioridades y grado de protecci\u00f3n esperado en su gesti\u00f3n.<\/p>\n
Las clasificaciones y los controles de protecci\u00f3n asociados a la informaci\u00f3n deben tener en cuenta las necesidades del negocio de compartirla o restringirla, as\u00ed como los requisitos legales.<\/p>\n
Los resultados de la clasificaci\u00f3n deben ser actualizados de acuerdo con los cambios de su valor, sensibilidad y criticidad a trav\u00e9s de su ciclo de vida.<\/p>\n
ART\u00cdCULO 24.- Para clasificar un activo de informaci\u00f3n, se deben evaluar las tres caracter\u00edsticas de la informaci\u00f3n en las cuales se basa la seguridad: confidencialidad, integridad y disponibilidad.<\/p>\n
Se considera cr\u00edticos como m\u00ednimo a aquellos activos de la informaci\u00f3n relacionados con las operaciones, saldos, movimientos, cuentas, comitentes y garant\u00edas de sus Mercados como as\u00ed tambi\u00e9n de otros Mercados.<\/p>\n
METODOLOG\u00cdA PARA EL AN\u00c1LISIS DE RIESGOS INFORM\u00c1TICOS.<\/p>\n
ART\u00cdCULO 25.- Se debe evidenciar la existencia de an\u00e1lisis de riesgos formalmente realizados y documentados sobre los sistemas de informaci\u00f3n, la tecnolog\u00eda inform\u00e1tica y sus recursos asociados.<\/p>\n
Los resultados de los an\u00e1lisis mencionados y sus actualizaciones peri\u00f3dicas deben ser formalmente reportados al Comit\u00e9 de Tecnolog\u00eda\/Seguridad, que ser\u00e1 el responsable primario de darle tratamiento a las debilidades que expongan a los CMI a un riesgo mayor al aceptable.<\/p>\n
MANIPULACI\u00d3N DE LOS ACTIVOS.<\/p>\n
ART\u00cdCULO 26.- Para cada uno de los niveles de clasificaci\u00f3n, se deben definir los procedimientos de manejo seguro, incluyendo las actividades de procesamiento, almacenamiento, transmisi\u00f3n, clasificaci\u00f3n y destrucci\u00f3n.<\/p>\n
SECCI\u00d3N V<\/p>\n
USUARIOS DE LA INFORMACI\u00d3N.<\/p>\n
POL\u00cdTICA DE CONTROL DE ACCESOS.<\/p>\n
ART\u00cdCULO 27.- Se debe formalizar una pol\u00edtica de control de accesos alineada a los requisitos del negocio acorde a la clasificaci\u00f3n de activos definida en los ART\u00cdCULOS 23 y 24.<\/p>\n
REQUISITOS DEL NEGOCIO PARA EL CONTROL DE ACCESOS A LOS SISTEMAS Y LAS APLICACIONES.<\/p>\n
ART\u00cdCULO 28.- La organizaci\u00f3n debe basar las restricciones de acceso a la informaci\u00f3n en los requisitos de las aplicaciones individuales y de acuerdo con la pol\u00edtica de control de acceso.<\/p>\n
Con el objetivo de proteger la informaci\u00f3n relativa al negocio, se debe limitar al m\u00ednimo el acceso a la informaci\u00f3n cr\u00edtica.<\/p>\n
ACCESO A LAS REDES Y A LOS SERVICIOS DE RED.<\/p>\n
ART\u00cdCULO 29.- Se debe permitir el acceso solamente a aquellos usuarios que cuenten con la debida autorizaci\u00f3n y hayan sido apropiadamente capacitados. La autorizaci\u00f3n debe ser acorde al rol desempe\u00f1ado en el negocio.<\/p>\n
GESTI\u00d3N DE ACCESOS DEL USUARIO.<\/p>\n
ART\u00cdCULO 30.- Se debe asegurar el acceso solamente a los usuarios autorizados, teniendo en cuenta las funciones de desarrollo, procesamiento y operaci\u00f3n de los sistemas afectados, manteniendo siempre los principios de confidencialidad, integridad y disponibilidad.<\/p>\n
ALTA Y BAJA DE REGISTROS DE USUARIO.<\/p>\n
ART\u00cdCULO 31.- Se debe implementar un proceso formal de alta, baja y modificaci\u00f3n de roles y permisos del usuario, formalizando el proceso de asignaci\u00f3n de accesos. En la medida de lo posible, se debe establecer una l\u00ednea base de configuraci\u00f3n de seguridad y forzarla en todos los sistemas cr\u00edticos.<\/p>\n
GESTI\u00d3N DE LOS DERECHOS DE ACCESO PRIVILEGIADO.<\/p>\n
ART\u00cdCULO 32.- Se deben identificar los grupos de usuarios con permisos elevados en los diferentes dispositivos y sistemas cr\u00edticos, para luego controlar la asignaci\u00f3n y utilizaci\u00f3n de sus derechos de acceso sobre los mismos.<\/p>\n
ART\u00cdCULO 33.- Debe restringirse, controlarse rigurosamente y segregarse adecuadamente el uso de herramientas con privilegios que podr\u00edan ser capaces de anular los controles en los sistemas, o que permitan el alta, baja o modificaci\u00f3n de datos operativos por fuera de las aplicaciones.<\/p>\n
REVISI\u00d3N DE LOS DERECHOS DE ACCESO DEL USUARIO.<\/p>\n
ART\u00cdCULO 34.- Se debe establecer un proceso de revisi\u00f3n peri\u00f3dica de los accesos otorgados a los usuarios para los dispositivos, herramientas y sistemas cr\u00edticos, en el cual deben participar los propietarios de los activos y responsables del negocio. Este proceso debe realizarse como m\u00ednimo una vez por a\u00f1o, o antes si existiera alguna situaci\u00f3n que lo justifique.<\/p>\n
REMOCI\u00d3N O AJUSTE DE LOS DERECHOS DE ACCESO.<\/p>\n
ART\u00cdCULO 35.- En el caso de cambio de roles o desvinculaci\u00f3n de usuarios, se deben revisar y ajustar los derechos de acceso a los servicios y sistemas a los cuales ten\u00eda acceso, y luego aplicar los cambios que sean necesarios. Este proceso debe estar validado por los propietarios de activos o responsables del negocio.<\/p>\n
PROCEDIMIENTOS SEGUROS DE INICIO DE SESI\u00d3N.<\/p>\n
ART\u00cdCULO 36.- El procedimiento para iniciar sesi\u00f3n en un sistema o aplicaci\u00f3n debe ser dise\u00f1ado para reducir al m\u00ednimo la oportunidad de que ocurra un acceso no autorizado, incluyendo la selecci\u00f3n de t\u00e9cnicas de autenticaci\u00f3n adecuadas para demostrar la identidad alegada de un usuario. La cantidad y fortaleza de los m\u00e9todos de autenticaci\u00f3n empleados debe ser acorde con el tipo de informaci\u00f3n a proteger y los riesgos identificados. En particular, las organizaciones deben establecer fuertes controles sobre accesos privilegiados mediante su limitaci\u00f3n y supervisi\u00f3n estricta.<\/p>\n
Cuando el nivel de riesgo lo amerite, se analizar\u00e1 el empleo de m\u00e1s de un m\u00e9todo de autenticaci\u00f3n como contrase\u00f1as, tarjetas inteligentes, tokens o medios de reconocimiento biom\u00e9tricos.<\/p>\n
Para los accesos iniciados desde ubicaciones externas a la infraestructura de la organizaci\u00f3n, ya sean propias o contratadas a un tercero, se deber\u00e1 considerar m\u00e1s de un mecanismo de autenticaci\u00f3n para el inicio de sesi\u00f3n.<\/p>\n
SISTEMA DE GESTI\u00d3N DE AUTENTICACI\u00d3N.<\/p>\n
ART\u00cdCULO 37.- La administraci\u00f3n de la informaci\u00f3n para la autenticaci\u00f3n debe considerar los siguientes aspectos:<\/p>\n
– Cambiar los datos de autenticaci\u00f3n por defecto de todos los productos instalados.<\/p>\n
– Evitar el uso de cuentas gen\u00e9ricas, imponiendo identificadores de usuario y datos de autenticaci\u00f3n individuales con el objetivo de posibilitar la rendici\u00f3n de cuentas y los an\u00e1lisis forenses.<\/p>\n
– Proteger el almacenamiento y la transmisi\u00f3n de los datos de autenticaci\u00f3n a trav\u00e9s de algoritmos criptogr\u00e1ficos reconocidos internacionalmente.<\/p>\n
– Solicitar a los usuarios su autenticaci\u00f3n luego de 15 minutos de inactividad.<\/p>\n
– En caso de extrav\u00edo del medio de autenticaci\u00f3n debe existir un proceso de bloqueo del utilizado y validaci\u00f3n para la entrega del nuevo medio.<\/p>\n
Adicionalmente, si el medio de autenticaci\u00f3n utilizado es a trav\u00e9s de contrase\u00f1as se deben considerar los siguientes aspectos:<\/p>\n
– Obligar a los usuarios a cambiar sus contrase\u00f1as en la primera conexi\u00f3n.<\/p>\n
– Permitir a los usuarios seleccionar y cambiar sus propias contrase\u00f1as, considerando las siguientes caracter\u00edsticas: longitud m\u00ednima de 8 caracteres cuya composici\u00f3n debe incluir caracteres num\u00e9ricos, alfanum\u00e9ricos y especiales, evitando la reutilizaci\u00f3n de las \u00faltimas 12 contrase\u00f1as.<\/p>\n
– Forzar cambios peri\u00f3dicos de contrase\u00f1a como m\u00ednimo cada 90 d\u00edas.<\/p>\n
– Implementar medidas t\u00e9cnicas para mitigar ataques del tipo \u201cdiccionario\u201d o \u201cfuerza bruta\u201d tales como bloqueo de cuenta luego de una cierta cantidad de intentos fallidos de inicio de sesi\u00f3n, captchas, delays o requerimiento de autenticaci\u00f3n de 2 factores.<\/p>\n
SECCI\u00d3N VI<\/p>\n
SEGURIDAD DE LA INFRAESTRUCTURA.<\/p>\n
\u00c1REAS SEGURAS<\/p>\n
ART\u00cdCULO 38.- Se deben proteger las instalaciones e infraestructuras de procesamiento contra da\u00f1os y accesos no autorizados.<\/p>\n
38.1. PER\u00cdMETRO DE SEGURIDAD F\u00cdSICA.<\/p>\n
Se deben utilizar per\u00edmetros de seguridad para proteger \u00e1reas que contengan informaci\u00f3n e instalaciones de procesamiento de informaci\u00f3n sensibles o cr\u00edticas. El Directorio o autoridad equivalente, es el responsable primario por la existencia de distintos niveles de seguridad f\u00edsica en correspondencia con el valor, confidencialidad y criticidad de los recursos a proteger y los riesgos identificados.<\/p>\n
38.2. CONTROLES F\u00cdSICOS.<\/p>\n
Deber\u00e1n protegerse las \u00e1reas seguras mediante controles apropiados, por lo que se deben considerar, entre otras, las siguientes medidas de prevenci\u00f3n y control:<\/p>\n
– Instalaciones para equipamientos de apoyo, tales como equipos de aire acondicionado, grupos generadores, llaves de transferencia autom\u00e1tica, UPS, bater\u00edas, estabilizadores y tableros de distribuci\u00f3n de energ\u00eda y de telecomunicaciones.<\/p>\n
– Instalaciones de montaje apropiadas para los sistemas de telecomunicaciones.<\/p>\n
– Instalaciones de montaje apropiadas para los sistemas de suministro el\u00e9ctrico, tanto primario como secundario.<\/p>\n
– Iluminaci\u00f3n de emergencia.<\/p>\n
– Sistemas de monitoreo y control de las utilidades cr\u00edticas del centro de procesamiento de datos.<\/p>\n
– Controles de acceso, por medio de los cuales se permita s\u00f3lo el ingreso al \u00e1rea de procesamiento de datos a personal autorizado.<\/p>\n
Todos los accesos, de rutina o de excepci\u00f3n, deben ser registrados por mecanismos que permitan la posterior revisi\u00f3n de al menos los siguientes datos: nombre completo, relaci\u00f3n (interno o externo), en caso de ser externo deber\u00e1 constar qui\u00e9n ha autorizado el acceso, motivo, hora de ingreso y hora de egreso.<\/p>\n
Los sistemas de prevenci\u00f3n contra incendios en los ambientes de procesamiento de datos deben posibilitar alarmas preventivas, que tengan la capacidad de ser disparadas autom\u00e1ticamente ante la presencia de part\u00edculas caracter\u00edsticas en el recalentamiento de materiales el\u00e9ctricos y otros materiales combustibles presentes en las instalaciones.<\/p>\n
Los materiales combustibles deben ser minimizados dentro del \u00e1rea del centro de procesamiento de datos. La mamposter\u00eda, muebles y \u00fatiles deben ser constructivamente no inflamables, y preferentemente ign\u00edfugos.<\/p>\n
Para el caso de que este servicio sea provisto por terceros se deber\u00e1 solicitar al proveedor cumplir con lo exigido en la secci\u00f3n X.<\/p>\n
38.3. ASEGURAMIENTO DE OFICINAS, RECINTOS E INSTALACIONES.<\/p>\n
Deben dise\u00f1arse y aplicarse controles de seguridad f\u00edsica para oficinas, recintos e instalaciones, proporcionales a su criticidad y a los riesgos identificados.<\/p>\n
38.4. PROTECCI\u00d3N CONTRA AMENAZAS EXTERNAS Y DEL ENTORNO.<\/p>\n
Se deben dise\u00f1ar y aplicar medidas de protecci\u00f3n f\u00edsica contra desastres naturales, ataques intencionales o accidentes.<\/p>\n
EQUIPAMIENTO.<\/p>\n
ART\u00cdCULO 39.- Se debe proteger el equipamiento (de procesamiento de la informaci\u00f3n y de soporte) de la organizaci\u00f3n contra da\u00f1o, p\u00e9rdida o robo.<\/p>\n
39.1. UBICACI\u00d3N Y PROTECCI\u00d3N DEL EQUIPAMIENTO.<\/p>\n
Se debe proteger el equipamiento de manera tal que se reduzcan los riesgos por amenazas y peligros del entorno, y las oportunidades de acceso no autorizado.<\/p>\n
Dicho equipamiento se debe proteger de fallas causadas por el suministro el\u00e9ctrico o de otras interrupciones ocasionadas por fallas en elementos de soporte.<\/p>\n
39.2. MANTENIMIENTO DEL EQUIPAMIENTO.<\/p>\n
El equipamiento debe recibir un mantenimiento correcto y oportuno para asegurar su continua disponibilidad e integridad.<\/p>\n
39.3. RETIRO DE ACTIVOS.<\/p>\n
Debe evitarse el retiro sin previa autorizaci\u00f3n del equipamiento o informaci\u00f3n en diferentes medios, tanto digitales como f\u00edsicos, utilizados en las oficinas como en los centros de procesamiento. En caso de tratarse de datacenters de terceros el personal autorizado a retirar equipamiento deber\u00e1 registrarlo para su posterior control.<\/p>\n
Se deben aplicar medidas de seguridad a los activos en tr\u00e1nsito o fuera de la organizaci\u00f3n, considerando los diversos riesgos de operar fuera de sus instalaciones.<\/p>\n
39.4. DISPOSICI\u00d3N FINAL SEGURA O REUTILIZACI\u00d3N DEL EQUIPAMIENTO.<\/p>\n
Se deben verificar todos los componentes del equipamiento que contengan medios de almacenamiento para asegurar que, antes de su disposici\u00f3n final o reutilizaci\u00f3n, se haya eliminado o sobrescrito de manera segura cualquier dato sensible y software licenciado.<\/p>\n
DISPOSITIVOS M\u00d3VILES Y TELETRABAJO.<\/p>\n
ART\u00cdCULO 40.- Se deben considerar los riesgos espec\u00edficos del teletrabajo y la utilizaci\u00f3n de dispositivos m\u00f3viles.<\/p>\n
40.1. POL\u00cdTICA DE DISPOSITIVO M\u00d3VIL.<\/p>\n
Se debe adoptar una pol\u00edtica de soporte y medidas de seguridad para gestionar los riesgos introducidos mediante el uso de dispositivos m\u00f3viles.<\/p>\n
40.2. TELETRABAJO.<\/p>\n
Se debe adoptar una pol\u00edtica de soporte y medidas de seguridad destinadas a proteger la informaci\u00f3n accedida, transferida o almacenada en los sitios de teletrabajo.<\/p>\n
SECCI\u00d3N VII<\/p>\n
GESTI\u00d3N DE OPERACIONES.<\/p>\n
PROCEDIMIENTOS OPERATIVOS DOCUMENTADOS.<\/p>\n
ART\u00cdCULO 41.- Se debe contar con procedimientos operativos documentados, autorizados y comunicados a todos los usuarios que los necesiten. Los procedimientos deben incluir los procesos a ejecutar, los controles a realizar, la modalidad de registraci\u00f3n de las actividades tanto satisfactorias como fallidas y los mecanismos de escalamiento de problemas.<\/p>\n
GESTI\u00d3N DE LA CAPACIDAD.<\/p>\n
ART\u00cdCULO 42.- Previa consideraci\u00f3n de la criticidad de los activos inform\u00e1ticos, se debe desarrollar un informe de an\u00e1lisis de capacidad de los activos m\u00e1s importantes, y luego efectuar un monitoreo peri\u00f3dico para evaluar el grado de cumplimiento del citado informe.<\/p>\n
CONTROLES CONTRA C\u00d3DIGO MALICIOSO<\/h3>\n
ART\u00cdCULO 43.- Se deben implementar mecanismos de protecci\u00f3n contra c\u00f3digo malicioso para prevenir, detectar, responder, contener y recuperarse r\u00e1pidamente de cualquier incidente. Se debe restringir la instalaci\u00f3n de software no autorizado y promover actividades peri\u00f3dicas de capacitaci\u00f3n para las \u00e1reas t\u00e9cnicas y de concientizaci\u00f3n a los usuarios.<\/p>\n
Se deben controlar los archivos intercambiados a trav\u00e9s del correo electr\u00f3nico o cualquier otro medio.<\/p>\n
Los controles deber\u00e1n implementarse en todos los ambientes de procesamiento y en las copias de resguardo; y deber\u00e1 prestarse especial atenci\u00f3n a las soluciones de alta disponibilidad que, si bien contribuyen a la recuperaci\u00f3n de las operaciones en caso de contingencia, tambi\u00e9n se convierten en un medio de propagaci\u00f3n de software malicioso y\/o datos da\u00f1ados.<\/p>\n
Las herramientas utilizadas para detectar y eliminar c\u00f3digo malicioso deben mantenerse actualizadas contra nuevas amenazas. En caso de contagio deben mantenerse informadas todas las partes interesadas, tal como se determina en la Secci\u00f3n XIII.<\/p>\n
RESGUARDO DE LA INFORMACI\u00d3N<\/h3>\n
ART\u00cdCULO 44.- Debe desarrollarse una estrategia de resguardo y recuperaci\u00f3n de informaci\u00f3n que permita hacer frente a los requisitos de disponibilidad de la misma, considerando las necesidades del negocio y las disposiciones legales, reglamentarias y\/o contractuales aplicables.<\/p>\n
Se debe contar con procedimientos formalmente documentados, autorizados y comunicados que describan los aspectos salientes de dicha estrategia. Se deben definir claramente las responsabilidades de los involucrados, tanto de los propietarios de los datos como de las \u00e1reas t\u00e9cnicas.<\/p>\n
ART\u00cdCULO 45.- Deben resguardarse datos, programas, sistemas operativos y todo activo de informaci\u00f3n que se considere relevante. La organizaci\u00f3n debe mantener inventarios permanentemente actualizados de los resguardos y dem\u00e1s registros de utilidad para su control y eventual restauraci\u00f3n.<\/p>\n
ART\u00cdCULO 46.- A partir de un an\u00e1lisis de riesgo, se deben determinar las estrategias y las prioridades de resguardo, el tipo de soporte a utilizar (por ejemplo: resguardo en medios de almacenamiento magn\u00e9ticos\/ \u00f3pticos, esquemas de alta disponibilidad con redundancia de datos, etc.).<\/p>\n
La cantidad de copias a mantener, la ubicaci\u00f3n f\u00edsica de los resguardos (se deber\u00e1 demostrar que la ubicaci\u00f3n del servicio de contingencia o resguardo de la informaci\u00f3n no ser\u00e1 alcanzado por los mismos riesgos en forma simult\u00e1nea), los per\u00edodos de retenci\u00f3n, y la frecuencia y modalidad de las pruebas de restauraci\u00f3n.<\/p>\n
Las copias de resguardo de los datos deben contar con medidas de seguridad equivalentes a las de los datos originales.<\/p>\n
El per\u00edodo de retenci\u00f3n no podr\u00e1 ser inferior a lo requerido por legislaci\u00f3n y reglamentaci\u00f3n vigente. Al menos se deber\u00e1 contar con un juego de resguardos fuera del lugar donde la CMI procesa la informaci\u00f3n.<\/p>\n
REGISTRO DE EVENTOS.<\/h3>\n
ART\u00cdCULO 47.- Se deben producir, conservar y revisar peri\u00f3dicamente los registros de eventos en los cuales se registren las actividades de los usuarios, las excepciones, los errores y los eventos de seguridad de la informaci\u00f3n, prestando especial atenci\u00f3n al registro y revisi\u00f3n de las actividades ejecutadas por los titulares de las cuentas de usuarios privilegiados, usuarios de emergencia y con accesos especiales.<\/p>\n
ART\u00cdCULO 48.- A partir de los registros de eventos, se deben conducir investigaciones forenses de incidentes cibern\u00e9ticos y producir informaci\u00f3n de utilidad para el esclarecimiento de los hechos y la prevenci\u00f3n de ataques futuros.<\/p>\n
PROTECCI\u00d3N DE LA INFORMACI\u00d3N DE LOS REGISTROS.<\/h3>\n
ART\u00cdCULO 49.- Los registros de eventos deben ser protegidos contra accesos no autorizados, borrado y manipulaci\u00f3n. Deben contar con una estrategia de resguardo que los preserve en caso de contingencia y garantice su disponibilidad durante los plazos exigibles.<\/p>\n
CONTROL DE LAS VULNERABILIDADES T\u00c9CNICAS<\/h3>\n
ART\u00cdCULO 50.- Se deben conocer las vulnerabilidades t\u00e9cnicas de los activos inform\u00e1ticos, evaluar la exposici\u00f3n a las vulnerabilidades y tomar las medidas apropiadas para mitigar los riesgos asociados.<\/p>\n
Partiendo de un inventario completo y actualizado de los activos, se deben implementar mecanismos eficaces de gesti\u00f3n de las vulnerabilidades de seguridad con el objetivo de prevenir su explotaci\u00f3n externa y\/o interna.<\/p>\n
Para la detecci\u00f3n temprana de las vulnerabilidades se pueden emplear diferentes t\u00e9cnicas como por ejemplo los test de intrusi\u00f3n que, simulando un ataque real, ayudan a identificar vulnerabilidades en las redes, los sistemas, los procesos o en el comportamiento de las personas.<\/p>\n
ART\u00cdCULO 51.- Una vez identificadas vulnerabilidades de seguridad que afecten los sistemas y que puedan estar siendo explotadas, deben probarse y aplicarse los parches cr\u00edticos, o tomar otras medidas de protecci\u00f3n, tan r\u00e1pida y extensamente como sea posible.<\/p>\n
Se debe establecer un proceso para priorizar y solucionar los problemas identificados y realizar una validaci\u00f3n posterior para evaluar si se han abordado completamente las brechas de seguridad.<\/p>\n
SECCI\u00d3N VIII<\/p>\n
GESTI\u00d3N DE COMUNICACIONES. GESTI\u00d3N DE LA SEGURIDAD DE LA RED.<\/p>\n
ART\u00cdCULO 52.- Se debe asegurar la protecci\u00f3n de la informaci\u00f3n cr\u00edtica en las redes y sus instalaciones de procesamiento de informaci\u00f3n.<\/p>\n
52.1. CONTROLES DE RED.<\/p>\n
Se deben implementar controles para garantizar la seguridad de la informaci\u00f3n en las redes y la protecci\u00f3n de los servicios conectados contra el acceso no autorizado.<\/p>\n
52.2. SEGURIDAD DE LOS SERVICIOS DE RED.<\/p>\n
Los mecanismos de seguridad, los niveles de servicio y los requisitos de gesti\u00f3n de los servicios de red deben identificarse y ser formalizados en acuerdos de servicios.<\/p>\n
Se deben contemplar los servicios provistos desde redes internas, que son consumidos por usuarios internos y externos.<\/p>\n
52.3. SEGREGACI\u00d3N EN REDES.<\/p>\n
Los grupos de servicios, usuarios y sistemas de informaci\u00f3n cr\u00edtica deben ser segregados en redes.<\/p>\n
El acceso entre redes est\u00e1 permitido, pero debe ser controlado en el per\u00edmetro. Los criterios para la segregaci\u00f3n de redes y el acceso permitido deben basarse en una evaluaci\u00f3n de los requisitos de seguridad de acceso a la informaci\u00f3n cr\u00edtica.<\/p>\n
SECCI\u00d3N IX<\/p>\n
GESTI\u00d3N DE PLATAFORMAS PRODUCTIVAS.<\/p>\n
GENERALIDADES.<\/p>\n
ART\u00cdCULO 53.- Se debe contar con procedimientos documentados y comunicados de gesti\u00f3n del cambio en la infraestructura, software de base y aplicaciones, que regulen el proceso de cambio o instalaci\u00f3n de nuevos elementos desde los entornos de desarrollo hasta la puesta en producci\u00f3n.<\/p>\n
Se deben asignar claras responsabilidades para todos los intervinientes en el proceso y se contar\u00e1 con mecanismos de registro y control de los cambios efectuados.<\/p>\n
ART\u00cdCULO 54.- Las modificaciones deben realizarse a partir de una justificaci\u00f3n t\u00e9cnica o de negocio v\u00e1lida y deben contar con su respectiva autorizaci\u00f3n.<\/p>\n
Cualquier cambio debe considerar la evaluaci\u00f3n de los impactos potenciales, incluyendo los impactos en la seguridad de la informaci\u00f3n y los riesgos cibern\u00e9ticos.<\/p>\n
ART\u00cdCULO 55.- Tanto para el desarrollo de nuevos aplicativos como para el mantenimiento de los existentes, debe definirse el ciclo de vida del proceso de desarrollo considerando aspectos como la separaci\u00f3n de ambientes; la segregaci\u00f3n de funciones entre los distintos responsables del proceso; el estricto control de versiones de programas y de la correspondencia entre los programas fuente y los ejecutables.<\/p>\n
Los procedimientos deben contemplar pruebas, controles y validaciones tanto para los desarrollos propios como para los tercerizados.<\/p>\n
ART\u00cdCULO 56.- Se debe disponer de procedimientos planificados de vuelta atr\u00e1s para la recuperaci\u00f3n de la situaci\u00f3n ante situaciones imprevistas o cambios que resulten fallidos.<\/p>\n
ART\u00cdCULO 57.- Se debe contar con procedimientos de cambio de emergencia para permitir la aplicaci\u00f3n r\u00e1pida y controlada de los cambios necesarios para resolver un incidente.<\/p>\n
En estos procedimientos se debe detallar el mecanismo de obtenci\u00f3n y modificaci\u00f3n del c\u00f3digo fuente, y los controles detectivos a realizar con posterioridad al cambio por parte de personal independiente.<\/p>\n
GESTI\u00d3N DE REQUERIMIENTOS Y REQUISITOS DE SEGURIDAD\/CONTROLES<\/h4>\n
ART\u00cdCULO 58.- Los requisitos legales, reglamentarios, contractuales y de negocio deben contemplarse desde el inicio de las tareas de adquisici\u00f3n, desarrollo o mantenimiento de los sistemas de informaci\u00f3n, considerando los riesgos inherentes y las necesidades de protecci\u00f3n de los activos de informaci\u00f3n, incluyendo su integridad, disponibilidad y confidencialidad.<\/p>\n
ART\u00cdCULO 59.- Los requerimientos de seguridad deben evaluarse desde la misma fase de dise\u00f1o, ya que la incorporaci\u00f3n temprana de medidas de seguridad y controles en las aplicaciones, reduce el riesgo de introducci\u00f3n involuntaria o malintencionada de vulnerabilidades en el entorno productivo.<\/p>\n
Los aspectos relativos a la ciberseguridad deben tambi\u00e9n considerarse en etapas tempranas del desarrollo de los sistemas, aplicando medidas de protecci\u00f3n contra las amenazas m\u00e1s frecuentes y dise\u00f1ando controles detectivos y correctivos que faciliten la respuesta a incidentes y permitan restablecer las operaciones cr\u00edticas en caso de ataque, preservando la integridad de las transacciones y los datos.<\/p>\n
Dado el car\u00e1cter interconectado del mercado de capitales, deben establecerse oportunamente los requisitos de resiliencia frente a ciberataques, que aseguren la disponibilidad de las interconexiones necesarias para la prestaci\u00f3n de los servicios cr\u00edticos.<\/p>\n
ART\u00cdCULO 60.- En cuanto a los requerimientos funcionales de los aplicativos nuevos o modificados, se deber\u00e1n adoptar las mejores pr\u00e1cticas en materia de control interno.<\/p>\n
Incorporando desde el inicio validaciones y controles automatizados que reduzcan hasta un nivel aceptable para el negocio los riesgos de errores, duplicaciones, faltantes o alteraciones en el ingreso, procesamiento, transmisi\u00f3n, almacenamiento y conciliaci\u00f3n de los datos.<\/p>\n
ART\u00cdCULO 61.- Debe existir una clara y documentada vinculaci\u00f3n entre las nuevas versiones de los elementos desarrollados y los requerimientos que le dieron origen.<\/p>\n
ART\u00cdCULO 62.- Cuando las aplicaciones a adquirir o desarrollar trascienden los l\u00edmites de las redes locales y atraviesen redes p\u00fablicas, se deben tomar medidas adicionales de protecci\u00f3n acordes con el nivel de los riesgos identificados y documentados.<\/p>\n
Entre los controles a considerar, se valorar\u00e1 el cifrado de la informaci\u00f3n transmitida; la implementaci\u00f3n de m\u00e9todos de autenticaci\u00f3n seguros; la utilizaci\u00f3n de tecnolog\u00edas que garanticen la integridad, confidencialidad y no repudio de la informaci\u00f3n compartida (por ejemplo, a trav\u00e9s del uso de criptograf\u00eda de clave p\u00fablica y firmas digitales).<\/p>\n
ART\u00cdCULO 63.- Se deben establecer los acuerdos de nivel de servicio entre los participantes, especialmente en lo referido a la autorizaci\u00f3n de las transacciones que atraviesan redes p\u00fablicas con el objetivo de minimizar el riesgo de litigios entre las partes.<\/p>\n
DESARROLLO SEGURO.<\/p>\n
ART\u00cdCULO 64.- Deben incorporarse pr\u00e1cticas de codificaci\u00f3n segura que resulten pertinentes a la infraestructura tecnol\u00f3gica utilizada, debiendo mantenerse las mismas actualizadas para incluir oportunamente medidas que mitiguen las nuevas amenazas.<\/p>\n
Los desarrolladores y los testers deben recibir capacitaci\u00f3n continua sobre las vulnerabilidades conocidas a cada momento y sobre las pr\u00e1cticas de codificaci\u00f3n segura que la industria vaya publicando y promoviendo (por ejemplo: OWASP Guide, Cert Secure Coding Standard, etc.).<\/p>\n
Estas pr\u00e1cticas aplican tanto para las tareas de desarrollo internas como para las realizadas por terceros.<\/p>\n
SEPARACI\u00d3N DE ENTORNOS DE DESARROLLO, PRUEBA Y PRODUCCI\u00d3N.<\/p>\n
ART\u00cdCULO 65.- Se deben separar los entornos de producci\u00f3n de los de desarrollo y pruebas, de forma tal que los productivos sean totalmente independientes de los restantes; promoviendo una adecuada segregaci\u00f3n de funciones entre el personal dedicado al desarrollo\/mantenimiento de los sistemas y los responsables de la operaci\u00f3n de los mismos.<\/p>\n
Los encargados de los despliegues en el ambiente productivo deben ser independientes de las \u00e1reas a cargo del desarrollo.<\/p>\n
Para reforzar la separaci\u00f3n, se deben establecer controles de acceso espec\u00edficos (f\u00edsicos y\/o l\u00f3gicos) para cada ambiente, en funci\u00f3n de las actividades a cargo de los distintos responsables del proceso (desarrolladores, testers, implementadores, administradores, operadores, usuarios, proveedores, etc.)<\/p>\n
PRUEBAS.<\/p>\n
ART\u00cdCULO 66.- Los sistemas de informaci\u00f3n nuevos y sus modificaciones, tanto para los desarrollos propios como para los productos de terceros, deben ser probados en un ambiente de prueba en forma previa a su pasaje al entorno de producci\u00f3n.<\/p>\n
Las pruebas deben dise\u00f1arse para determinar que el sistema funcione como se espera y cumple con los requisitos funcionales, de integraci\u00f3n con otros sistemas y de seguridad que dieron origen al desarrollo\/mantenimiento.<\/p>\n
La naturaleza y alcance de las pruebas debe quedar documentado en base a la evaluaci\u00f3n realizada por el \u00e1rea de desarrollo y el usuario aprobador del requerimiento.<\/p>\n
Se valorar\u00e1 que las pruebas consideren aspectos tales como funcionalidad, usabilidad, integraci\u00f3n con otras piezas de software y ciberseguridad.<\/p>\n
ART\u00cdCULO 67.- Las pruebas deben realizarse en entornos destinados a tal fin y que representen razonablemente los entornos productivos. Deben tomarse los recaudos para evitar que los datos personales y\/o confidenciales (tanto datos maestros como informaci\u00f3n que agregada resulte cr\u00edtica) sean utilizados en ambientes distintos al entorno de producci\u00f3n.<\/p>\n
Si fuera necesario utilizar informaci\u00f3n personal o de car\u00e1cter confidencial para prop\u00f3sitos de prueba, todos los datos sensibles deber\u00e1n ser protegidos mediante su enmascaramiento u otras medidas de protecci\u00f3n que impidan su divulgaci\u00f3n a personal distinto al estrictamente autorizado en los ambientes productivos.<\/p>\n
ART\u00cdCULO 68.- Las pruebas, especialmente las que abarcan los aspectos de ciberseguridad, deben ser llevadas a cabo por personal t\u00e9cnico con la capacitaci\u00f3n adecuada y actualizada.<\/p>\n
Los propietarios de los datos deben participar en las pruebas de aceptaci\u00f3n final, con el objetivo de validar que los sistemas cumplen con los requerimientos de negocio que motivaron el desarrollo.<\/p>\n
PAQUETES DE SOFTWARE Y DESARROLLO TERCERIZADO.<\/p>\n
ART\u00cdCULO 69.- En el caso de utilizar paquetes de software de terceros para operaciones definidas cr\u00edticas para el negocio, se deben contemplar procedimientos para el acceso a los programas fuentes en caso de que el proveedor no pueda responder a las exigencias locales.<\/p>\n
En la medida de lo posible, los sistemas de terceros deben utilizarse tal como son provistos por su fabricante.<\/p>\n
Se deben definir contractualmente los derechos y obligaciones de cada parte en lo relativo al mantenimiento del sistema, tomando los recaudos contractuales pertinentes para asegurar el sostenimiento del paquete de software en caso de que el fabricante se vea imposibilitado de dar el soporte necesario.<\/p>\n
Los cambios propuestos por el fabricante deben ser probados en un ambiente de prueba y homologados por la organizaci\u00f3n en forma previa a su implementaci\u00f3n.<\/p>\n
ART\u00cdCULO 70.- En los casos en que se decida delegar en terceros las actividades de desarrollo de los sistemas, las organizaciones mantienen la responsabilidad por el producto final, tanto en lo relativo al cumplimiento de los requisitos de negocio, contractual y legal, como en lo referido a las medidas de seguridad, controles adoptados y documentaci\u00f3n de los aplicativos.<\/p>\n
ART\u00cdCULO 71.- Las organizaciones y sus proveedores de servicios de desarrollo de software deben establecer contratos que determinen al menos:<\/p>\n
– Los derechos de propiedad intelectual de los aplicativos.<\/p>\n
– La propiedad del c\u00f3digo fuente.<\/p>\n
– Las garant\u00edas para el cumplimiento del contrato y las penalidades en caso de incumplimiento.<\/p>\n
– Los criterios de aceptaci\u00f3n de los entregables.<\/p>\n
– Los requisitos de documentaci\u00f3n.<\/p>\n
– El derecho de la organizaci\u00f3n y de sus entes de contralor para realizar auditor\u00edas sobre los procesos de construcci\u00f3n\/prueba de software del proveedor.<\/p>\n
– La obligatoriedad del proveedor de software de comunicar en forma fehaciente, con al menos 3 (tres) a\u00f1os de anticipaci\u00f3n, la fecha prevista de caducidad de la versi\u00f3n instalada y\/o sus servicios de soporte.<\/p>\n
– La obligatoriedad del proveedor\/propietario del software de comunicar en forma fehaciente, con al menos 5 (cinco) a\u00f1os de anticipaci\u00f3n, la decisi\u00f3n de discontinuar el producto, otorgando en dicha circunstancia la posibilidad de entregar a la organizaci\u00f3n los programas fuente, sin derecho de comercializaci\u00f3n.<\/p>\n
– La obligatoriedad del proveedor de adherir a las pr\u00e1cticas de desarrollo seguro, las metodolog\u00edas de prueba y las medidas adoptadas en materia de ciberseguridad por la organizaci\u00f3n, someti\u00e9ndose a las revisiones y validaciones que la organizaci\u00f3n considere pertinentes para controlar el cumplimiento de lo requerido y la calidad del software.<\/p>\n
ART\u00cdCULO 72.- Las organizaciones deber\u00e1n monitorear las medidas de protecci\u00f3n utilizadas por el proveedor contra las vulnerabilidades conocidas y realizar pruebas del software en forma previa a su pasaje al ambiente de producci\u00f3n.<\/p>\n
SECCI\u00d3N X<\/p>\n
RELACIONES CON PROVEEDORES.<\/p>\n
ART\u00cdCULO 73.- Un CMI podr\u00e1 tercerizar el desarrollo, la homologaci\u00f3n, el procesamiento y la explotaci\u00f3n de la totalidad o una parte de sus plataformas productivas, como as\u00ed tambi\u00e9n la totalidad o parte de la infraestructura principal o de contingencia.<\/p>\n
La estrategia de tercerizaci\u00f3n de la CMI deber\u00e1 estar contemplada en el marco de resiliencia de seguridad, de manera tal que los riesgos derivados de dicha tercerizaci\u00f3n se encuentren en los niveles aceptados por la Direcci\u00f3n.<\/p>\n
El CMI deber\u00e1 solicitar al proveedor del servicio un informe de cumplimiento sobre lo requerido por el presente documento por parte de un profesional independiente, tales como ISAE del tipo II o SOC del tipo II, o permitir el acceso del auditor de la CMI para una revisi\u00f3n in situ.<\/p>\n
SEGURIDAD DE LA INFORMACI\u00d3N EN LAS RELACIONES CON LOS PROVEEDORES.<\/p>\n
ART\u00cdCULO 74.- Se deben asegurar aquellos activos de la organizaci\u00f3n que son accedidos por proveedores y externos.<\/p>\n
Es de suma importancia que todos los participantes comprendan los objetivos de recuperaci\u00f3n y que puedan tomar acciones preventivas, ya que un incidente puede afectar a todo el ecosistema.<\/p>\n
POL\u00cdTICA DE SEGURIDAD DE LA INFORMACI\u00d3N PARA LAS RELACIONES CON LOS PROVEEDORES.<\/p>\n
ART\u00cdCULO 75.- Se deben acordar con los proveedores y formalizar los requisitos relativos a la seguridad de la informaci\u00f3n, detallando los posibles riesgos y sus respectivas medidas mitigantes.<\/p>\n
TRATAMIENTO DE LA SEGURIDAD EN LOS ACUERDOS CON LOS PROVEEDORES.<\/p>\n
ART\u00cdCULO 76.- Acuerdos de confidencialidad.<\/p>\n
Se deben formalizar las condiciones y obligaciones de parte de los proveedores en relaci\u00f3n al tratamiento de la informaci\u00f3n de los clientes. Los acuerdos deben detallar los m\u00e9todos de recuperaci\u00f3n en caso de que un incidente comprometa la confidencialidad o integridad, para asegurar que la informaci\u00f3n pueda ser recuperada en tiempo y forma, acorde a los plazos definidos.<\/p>\n
En caso de transmitir, procesar o almacenar por medios l\u00f3gicos o f\u00edsicos compartidos con terceros, el proveedor deber\u00e1 demostrar las medidas aplicadas para asegurar la confidencialidad de la informaci\u00f3n.<\/p>\n
CADENA DE SUMINISTRO DE LAS TECNOLOG\u00cdAS DE LA INFORMACI\u00d3N Y LAS COMUNICACIONES.<\/p>\n
ART\u00cdCULO 77.- Los acuerdos con los proveedores deben incluir requisitos para tratar los riesgos asociados al suministro de tecnolog\u00edas y comunicaciones, considerando (pero no limit\u00e1ndose) a los procesos de otros mercados, c\u00e1maras compensadoras, proveedores de energ\u00eda, etc.<\/p>\n
ART\u00cdCULO 78.- Se debe solicitar que cada participante establezca su tiempo de recuperaci\u00f3n ante incidentes, para poder medir el impacto en la propia infraestructura.<\/p>\n
Si los tiempos de recuperaci\u00f3n fueran mayores a los propios, se deben establecer medidas mitigantes o exigir al participante que establezca un tiempo -como m\u00ednimo- igual o menor al de la propia organizaci\u00f3n.<\/p>\n
Los acuerdos deben asegurar que todos los interesados puedan tener acceso a la informaci\u00f3n necesaria para tratar el riesgo de cada participante.<\/p>\n
GESTI\u00d3N DE LA ENTREGA DE SERVICIOS PRESTADOS POR LOS PROVEEDORES.<\/p>\n
ART\u00cdCULO 79.- Las CMI deben asegurarse que la prestaci\u00f3n de servicios de los proveedores que resulten cr\u00edticos se realice en los t\u00e9rminos y condiciones pactados.<\/p>\n
La revisi\u00f3n de los servicios de los proveedores debe asegurar que se respeten y mantengan vigentes los t\u00e9rminos y condiciones de los acuerdos asumidos a lo largo de la contrataci\u00f3n.<\/p>\n
Para lo cual se debe requerir la documentaci\u00f3n actualizada solicitada al momento de la contrataci\u00f3n y si se necesitara adquirir nuevos servicios para una nueva funcionalidad, documentaci\u00f3n que compruebe la capacidad del proveedor para dar dicho servicio.<\/p>\n
SEGUIMIENTO Y REVISI\u00d3N DE LOS SERVICIOS PRESTADOS POR LOS PROVEEDORES.<\/p>\n
ART\u00cdCULO 80.- Las CMI deben revisar y auditar peri\u00f3dicamente la prestaci\u00f3n de servicios de los proveedores que resulten cr\u00edticos.<\/p>\n
Deber\u00e1 solicitar al proveedor del servicio un informe de cumplimiento sobre lo requerido por el presente documento por parte de un profesional independiente, tales como ISAE del tipo II o SOC del tipo II, o permitir el acceso del auditor de la CMI para una revisi\u00f3n in situ.<\/p>\n
SECCI\u00d3N XI<\/p>\n
MONITOREO.<\/p>\n
ART\u00cdCULO 81.- La Direcci\u00f3n debe promover un enfoque coherente y eficaz para la gesti\u00f3n de incidentes de seguridad de la informaci\u00f3n, incluida la comunicaci\u00f3n sobre debilidades, eventos de seguridad y su temprana detecci\u00f3n;<\/p>\n
Manteniendo una actividad proactiva mediante un adecuado monitoreo de las condiciones de seguridad que permitan montar contramedidas oportunas y apropiadas ante los incidentes.<\/p>\n
RESPONSABILIDADES Y PROCEDIMIENTOS.<\/p>\n
ART\u00cdCULO 82.- Se deben establecer las responsabilidades y los procedimientos para asegurar una respuesta r\u00e1pida, eficaz y ordenada a los incidentes de seguridad de la informaci\u00f3n.<\/p>\n
PRESENTACI\u00d3N DE INFORMES SOBRE LOS EVENTOS DE SEGURIDAD DE LA INFORMACI\u00d3N.<\/p>\n
ART\u00cdCULO 83.- Los eventos de seguridad de la informaci\u00f3n se deben informar a trav\u00e9s de los canales apropiados, tan pronto como sea posible.<\/p>\n
PRESENTACI\u00d3N DE INFORMES SOBRE LAS VULNERABILIDADES DE SEGURIDAD DE LA INFORMACI\u00d3N.<\/p>\n
ART\u00cdCULO 84.- Se debe requerir a los empleados y contratistas usuarios de los sistemas de informaci\u00f3n de la organizaci\u00f3n, que informen cualquier vulnerabilidad de seguridad de la informaci\u00f3n observada o sospechada en sistemas o servicios.<\/p>\n
Se deben realizar an\u00e1lisis exhaustivos para determinar la naturaleza y extensi\u00f3n de los incidentes as\u00ed como el da\u00f1o infligido.<\/p>\n
Mientras la investigaci\u00f3n est\u00e1 en curso, se deben tomar medidas inmediatas para contener la situaci\u00f3n con el objetivo de prevenir da\u00f1os adicionales y comenzar los esfuerzos de recuperaci\u00f3n para restaurar las operaciones basadas en su planificaci\u00f3n de respuesta.<\/p>\n
EVALUACI\u00d3N Y DECISI\u00d3N SOBRE LOS EVENTOS DE SEGURIDAD DE LA INFORMACI\u00d3N.<\/p>\n
ART\u00cdCULO 85.- Se deben evaluar los eventos de seguridad de la informaci\u00f3n y decidir si se los debe clasificar como incidentes de seguridad de la informaci\u00f3n y asegurar la recolecci\u00f3n de informaci\u00f3n para el proceso de investigaci\u00f3n forense.<\/p>\n
RESPUESTA A LOS INCIDENTES DE SEGURIDAD DE LA INFORMACI\u00d3N.<\/p>\n
ART\u00cdCULO 86.- Se debe responder a los incidentes de seguridad de la informaci\u00f3n de acuerdo con procedimientos documentados.<\/p>\n
Al registrar los incidentes, se deben documentar como m\u00ednimo:<\/p>\n
\u2022 Equipo, usuario, servicio o aplicaci\u00f3n afectada<\/p>\n
\u2022 Ubicaci\u00f3n f\u00edsica, horario y d\u00eda<\/p>\n
\u2022 S\u00edntomas detectados<\/p>\n
\u2022 Acciones realizadas<\/p>\n
\u2022 Cualquier otra informaci\u00f3n que se considere de relevancia<\/p>\n
APRENDIZAJE A PARTIR DE LOS INCIDENTES DE SEGURIDAD DE LA INFORMACI\u00d3N.<\/p>\n
ART\u00cdCULO 87.- Se debe utilizar el conocimiento obtenido del an\u00e1lisis y resoluci\u00f3n de los incidentes de seguridad de la informaci\u00f3n para reducir la probabilidad o el impacto de incidentes futuros.<\/p>\n
Debe asegurarse de que todo el personal, ya sea permanente o temporal, reciba capacitaci\u00f3n para desarrollar y mantener una conciencia apropiada y las competencias necesarias para detectar y abordar los riesgos de seguridad.<\/p>\n
RECOLECCI\u00d3N DE LA EVIDENCIA.<\/p>\n
ART\u00cdCULO 88.- La organizaci\u00f3n debe definir y aplicar procedimientos para la identificaci\u00f3n, recolecci\u00f3n, adquisici\u00f3n y preservaci\u00f3n de la informaci\u00f3n que se pueda utilizar como evidencia.<\/p>\n
Y debe tener la capacidad de asistir o llevar a cabo investigaciones forenses de incidentes cibern\u00e9ticos y establecer pol\u00edticas de registro relevantes que incluyan los tipos de evidencias que se deben mantener y sus per\u00edodos de retenci\u00f3n.<\/p>\n
SECCI\u00d3N XII<\/p>\n
GESTI\u00d3N DE CONTINUIDAD DEL NEGOCIO.<\/p>\n
GESTI\u00d3N DE LA CONTINUIDAD.<\/p>\n
ART\u00cdCULO 89.- Se debe incorporar la continuidad del negocio como parte de los sistemas de gesti\u00f3n de la organizaci\u00f3n.<\/p>\n
El Directorio\/Comit\u00e9 es el responsable de aprobar la identificaci\u00f3n, la valorizaci\u00f3n, la gesti\u00f3n y el control de los riesgos relacionados con la continuidad del negocio.<\/p>\n
Debe asegurar la existencia y la provisi\u00f3n de los recursos necesarios para la creaci\u00f3n, mantenimiento y prueba de un plan de recuperaci\u00f3n del procesamiento de informaci\u00f3n autom\u00e1tica.<\/p>\n
La CMI debe asegurarse de que:<\/p>\n
a) Se defina una estructura de gesti\u00f3n del Plan de Continuidad del Negocio acorde con el detalle de sus funciones y responsabilidades relacionadas con esta gesti\u00f3n.<\/p>\n
b) Se identificar\u00e1n las diferentes tipolog\u00edas de incidentes que alcanzar\u00e1 a la infraestructura de la CMI.<\/p>\n
c) Se identifique el personal de respuesta a incidentes con la responsabilidad necesaria, autoridad y competencia para gestionar un incidente y mantener la seguridad de la informaci\u00f3n;<\/p>\n
d) los planes de procedimientos documentados, respuesta y recuperaci\u00f3n sean desarrollados y aprobados, que detallen c\u00f3mo la organizaci\u00f3n gestionar\u00e1 un evento perjudicial y mantendr\u00e1 su seguridad de la informaci\u00f3n a un nivel predeterminado.<\/p>\n
De acuerdo con los requisitos de continuidad seguridad de la informaci\u00f3n, la organizaci\u00f3n debe establecer, documentar, implementar y mantener controles de seguridad de la informaci\u00f3n dentro de los procesos de continuidad de negocio o de recuperaci\u00f3n de desastres.<\/p>\n
Se deben identificar toda la legislaci\u00f3n aplicable a su organizaci\u00f3n con el fin de cumplir con los requisitos para la CMI.<\/p>\n
PLANIFICACI\u00d3N DE LA CONTINUIDAD DEL NEGOCIO.<\/p>\n
ART\u00cdCULO 90.- La continuidad del procesamiento de datos autom\u00e1tico, que en definitiva posibilita la continuidad de los negocios, deber\u00e1 evidenciar que se han identificado los eventos que puedan ocasionar interrupciones en sus procesos cr\u00edticos.<\/p>\n
Es responsabilidad del Comit\u00e9\/Directorio aprobar la evaluaci\u00f3n de riesgos para determinar el impacto de distintos eventos, tanto en t\u00e9rminos de magnitud de da\u00f1o como del per\u00edodo de recuperaci\u00f3n y la vuelta a la normalidad.<\/p>\n
Estas actividades deben llevarse a cabo con la activa participaci\u00f3n de los propietarios de los procesos y recursos de negocio.<\/p>\n
La evaluaci\u00f3n considerar\u00e1 todos los procesos de negocio alcanzados por esta norma y no se limitar\u00e1 s\u00f3lo a las instalaciones de procesamiento de la informaci\u00f3n, sino tambi\u00e9n a todos los recursos relacionados.<\/p>\n
Los resultados de la evaluaci\u00f3n deben ser el soporte para la selecci\u00f3n de mecanismos alternativos de recuperaci\u00f3n y adopci\u00f3n de medidas preventivas para la confecci\u00f3n del plan de recuperaci\u00f3n y vuelta a la normalidad del procesamiento de datos.<\/p>\n
IMPLEMENTACI\u00d3N DE PLAN DE CONTINGENCIA.<\/p>\n
ART\u00cdCULO 91.- Las instalaciones alternativas de procesamiento de datos deben atender los requisitos m\u00ednimos establecidos por estas normas, pudiendo ser propias o de terceros.<\/p>\n
El equipamiento de las instalaciones de procesamiento alternativo debe contemplar la capacidad de administraci\u00f3n y gesti\u00f3n de todos los procesos de negocios clasificados como cr\u00edticos para asegurar mantener la actividad m\u00ednima definida por la CMI.<\/p>\n
La instalaci\u00f3n alternativa debe prever la existencia de equipamiento destinado a las telecomunicaciones para acceder al servicio m\u00ednimo que brinda.<\/p>\n
En caso de un siniestro o suceso contingente que torne inoperantes las instalaciones principales, la localizaci\u00f3n de las instalaciones alternativas deber\u00e1 ser tal que no sean alcanzadas por el mismo evento.<\/p>\n
Adem\u00e1s, deber\u00e1n tornarse totalmente operacionales en condiciones id\u00e9nticas, en una ventana de tiempo tal que no afecte la operaci\u00f3n.<\/p>\n
La selecci\u00f3n de la localizaci\u00f3n antes mencionada deber\u00e1 estar soportada por la evidencia documental de la existencia de un an\u00e1lisis de riesgo de eventos simult\u00e1neos, que est\u00e1n fehacientemente expresados en el mismo.<\/p>\n
IMPLEMENTACI\u00d3N DE LA CONTINUIDAD DEL NEGOCIO.<\/p>\n
ART\u00cdCULO 92 – Se debe evidenciar la existencia de un procedimiento escrito, aprobado formalmente, para atender a la continuidad del procesamiento actividades vinculadas, en el caso que se presenten contingencias o emergencias.<\/p>\n
El documento deber\u00e1 basarse en el mismo an\u00e1lisis de riesgo efectuado para determinar la localizaci\u00f3n de las instalaciones alternativas de procesamiento de datos, enunciando todos los posibles escenarios que har\u00edan que el plan entrar\u00e1 en funcionamiento.<\/p>\n
El mismo deber\u00e1, como m\u00ednimo, contener lo siguiente:<\/p>\n
\u2022 Procedimientos de emergencia que describan las acciones a emprender una vez ocurrido un incidente. Estos deben incluir disposiciones con respecto a la gesti\u00f3n de v\u00ednculos eficaces a establecer con las autoridades p\u00fablicas pertinentes, por ej.: entes reguladores, polic\u00eda, bomberos y otras autoridades.<\/p>\n
\u2022 Los datos de contacto del personal clave.<\/p>\n
\u2022 Las aplicaciones cr\u00edticas y su prioridad con respecto a los tiempos de recuperaci\u00f3n y regreso a la operaci\u00f3n normal.<\/p>\n
\u2022 El detalle de los proveedores de servicios involucrados en las acciones de contingencia \/ emergencia.<\/p>\n
\u2022 La informaci\u00f3n log\u00edstica de la localizaci\u00f3n de recursos claves, incluyendo: ubicaci\u00f3n de las instalaciones alternativas, de los resguardos de datos, de los sistemas operativos, de las aplicaciones, los archivos de datos, los manuales de operaci\u00f3n y documentaci\u00f3n de programas \/ sistemas \/ usuarios.<\/p>\n
PRUEBA DEL PLAN DE CONTINUIDAD.<\/p>\n
ART\u00cdCULO 93.- El plan de continuidad de procesamiento de datos debe ser probado peri\u00f3dicamente, como m\u00ednimo una vez al a\u00f1o.<\/p>\n
Las pruebas deben permitir asegurar la operatoria integral de todos los sistemas automatizados cr\u00edticos a efectos de verificar que el plan est\u00e1 actualizado y es eficaz.<\/p>\n
Las pruebas tambi\u00e9n deben garantizar que todos los miembros del equipo de recuperaci\u00f3n y dem\u00e1s personal relevante est\u00e9n al corriente del plan mencionado.<\/p>\n
Deber\u00e1 evidenciarse la existencia de un cronograma formal de pruebas que indicar\u00e1 c\u00f3mo debe probarse cada elemento del plan, y la fecha en la cual cada una de las pruebas deber\u00e1 ser efectuada.<\/p>\n
En las pruebas deben participar las \u00e1reas usuarias de los procesos de negocio, quienes deben verificar los resultados de las mismas.<\/p>\n
Se deber\u00e1 documentar formalmente su satisfacci\u00f3n con el resultado de la prueba como medio para asegurar la continuidad de los procesos de negocio en caso de que ocurra una contingencia.<\/p>\n
La auditor\u00eda interna de la entidad tambi\u00e9n deber\u00e1 conformar la satisfacci\u00f3n por el resultado de las mismas a tal efecto.<\/p>\n
El informe realizado por las \u00e1reas usuarias y de auditor\u00eda interna deber\u00e1 ser tomado en conocimiento por el Comit\u00e9\/Directorio.<\/p>\n
VERIFICACI\u00d3N, REVISI\u00d3N Y VALORACI\u00d3N DE LA CONTINUIDAD DEL NEGOCIO.<\/p>\n
ART\u00cdCULO 94.- Los cambios organizativos, t\u00e9cnicos, de procedimiento y de procesos, ya sea en un contexto operacional o de continuidad, pueden conducir a cambios en los requisitos de continuidad seguridad de la informaci\u00f3n. En tales casos, la continuidad de los procesos, procedimientos y controles para la seguridad de la informaci\u00f3n debe ser revisada en contra de estos requisitos que han cambiado.<\/p>\n
Las organizaciones deben verificar su informaci\u00f3n de gesti\u00f3n de la continuidad para la revisi\u00f3n de la validez y eficacia de las medidas de continuidad de seguridad de la informaci\u00f3n, cuando los sistemas de informaci\u00f3n, procesos de seguridad de la informaci\u00f3n, procedimientos y controles o procedimientos de gesti\u00f3n de recuperaci\u00f3n de gesti\u00f3n \/ desastre de continuidad de negocio y soluciones cambian.<\/p>\n
REDUNDANCIAS.<\/p>\n
ART\u00cdCULO 95.- Las organizaciones deben identificar los requisitos para la disponibilidad de los sistemas de informaci\u00f3n. Cuando la disponibilidad no puede ser garantizada mediante la arquitectura de los sistemas existentes, componentes o arquitecturas redundantes deben ser considerados.<\/p>\n
Los sistemas de informaci\u00f3n redundantes deben ser probados para asegurar la conmutaci\u00f3n por error de un componente a otro seg\u00fan lo previsto.<\/p>\n
SECCI\u00d3N XIII<\/p>\n
RELACI\u00d3N CON OTRAS PARTES INTERESADAS.<\/p>\n
ECOSISTEMA.<\/p>\n
ART\u00cdCULO 96.- Las partes interesadas (mercados, proveedores de servicio y cualquier otra organizaci\u00f3n asociada) conforman un ecosistema, con sistemas interconectados y objetivos en com\u00fan. Con esta premisa, los objetivos de negocio de cada una de las partes deben estar alineados a poder cumplir con los tiempos de recuperaci\u00f3n establecidos para el ecosistema en conjunto.<\/p>\n
CANAL DE CONTACTO.<\/p>\n
ART\u00cdCULO 97.- Las partes interesadas deben definir un canal de contacto que permita comunicar de forma fehaciente e inmediata cualquier mensaje que las mismas consideren de relevancia.<\/p>\n
DOCUMENTACI\u00d3N DE INTERCONEXIONES.<\/p>\n
ART\u00cdCULO 98.- Las partes interesadas deben identificar e inventariar todos los componentes, servicios y sistemas asociados a la plataforma de interconexi\u00f3n. Este inventario debe ser revisado y actualizado al menos una vez por a\u00f1o, o cada vez que la organizaci\u00f3n lo considere necesario.<\/p>\n
IDENTIFICACI\u00d3N DE RIESGOS.<\/p>\n
ART\u00cdCULO 99.- Las partes interesadas deben identificar los riesgos inherentes asociados a cada uno de los componentes que componen el inventario mencionado en el art\u00edculo anterior, o que puedan derivar de incidentes ocurridos en plataformas externas.<\/p>\n
PRUEBAS CONJUNTAS.<\/p>\n
ART\u00cdCULO 100.- Se deben realizar pruebas en conjunto, y si existiera conflicto de intereses, el ente regulador debe intervenir para arbitrar, supervisar o dar consistencia a los objetivos buscados.<\/p>\n
AMBIENTE DE PRUEBAS.<\/p>\n
ART\u00cdCULO 101.- Las partes interesadas deber\u00e1n tener disponibles ambientes de pruebas funcionalmente equivalentes a los ambientes productivos, que permitan validar el correcto funcionamiento de eventuales cambios en forma previa a la puesta en producci\u00f3n de los mismos.<\/p>\n
CONTROL DE CAMBIOS.<\/p>\n
ART\u00cdCULO 102.- En caso de que se planifique o detecte un cambio en las plataformas y servicios de uso compartido o asociadas a la interconexi\u00f3n, la organizaci\u00f3n responsable debe enviar un aviso a todo el ecosistema en tiempo y forma, a fin de permitirle al resto de las entidades realizar las adecuaciones y pruebas necesarias, utilizando el canal de contacto definido.<\/p>\n
ACUERDOS DE INTERCAMBIO DE INFORMACI\u00d3N.<\/p>\n
ART\u00cdCULO 103.- Todo sistema o servicio que represente una plataforma de interconexi\u00f3n debe estar respaldado por un acuerdo de intercambio de informaci\u00f3n que contemple las acciones a tomar en caso de incidentes que atenten contra la confidencialidad, integridad o disponibilidad de la informaci\u00f3n afectada.<\/p>\n
DETECCI\u00d3N DE VULNERABILIDADES.<\/p>\n
ART\u00cdCULO 104.- En el caso de que alguna de las partes interesadas detecte una amenaza o situaci\u00f3n que pueda afectar a la integridad, disponibilidad o confidencialidad de la informaci\u00f3n en la plataforma de interconexi\u00f3n, deber\u00e1 dar un aviso al ente regulador, utilizando el canal de contacto establecido anteriormente.<\/p>\n
RESPUESTAS ANTE INCIDENTES.<\/p>\n
ART\u00cdCULO 105.- En caso de ocurrencia de incidentes, las partes interesadas involucradas deben colaborar solidariamente brindando informaci\u00f3n que pueda servir para tareas forenses.<\/p>\n
SINCRONIZACI\u00d3N DE RELOJES.<\/p>\n
ART\u00cdCULO 106.- Se debe definir un servicio de sincronizaci\u00f3n de relojes, utilizando servidores NTP reconocidos en el mercado, a fin de lograr la sincronizaci\u00f3n exacta de todos tiempos y relojes cr\u00edticos utilizados para la interconexi\u00f3n\u201d.<\/p>\n
ART\u00cdCULO 3\u00b0.- La presente Resoluci\u00f3n General entrar\u00e1 en vigencia a partir del d\u00eda siguiente al de su publicaci\u00f3n en el Bolet\u00edn Oficial de la Rep\u00fablica Argentina.<\/p>\n
ART\u00cdCULO 4\u00b0.- Reg\u00edstrese, comun\u00edquese, publ\u00edquese, dese a la Direcci\u00f3n Nacional del Registro Oficial, incorp\u00f3rese al sitio web del Organismo en www.cnv.gob.ar, agr\u00e9guese al texto de las NORMAS (N.T. 2013 y mod.) y arch\u00edvese. \u2014 Patricia Noemi Boedo, Vicepresidenta. \u2014 Carlos Martin Hourbeigt, Director. \u2014 Martin Jose Gavito, Director.<\/p>\n
e. 29\/08\/2017 N\u00b0 62164\/17 v. 29\/08\/2017<\/p>\n
Fecha de publicaci\u00f3n 29\/08\/2017<\/p>\n
<\/p>\n
Por Marcelo Lozano – General Publisher IT CONNECT LATAM<\/p>\n
Lea m\u00e1s sobre Ciberseguridad en;<\/p>\n
Deepfakes: la amenaza creciente para las organizaciones del siglo 21<\/a><\/p>\nPyMEs 2023: as\u00ed cazan los estafadores a los emprendedores<\/a><\/p>\nTraceable AI anuncia la 1ra arquitectura de referencia de seguridad de API<\/a><\/p>\n
El cumplimiento de las normativas de seguridad cibern\u00e9tica en una entidad como la Comisi\u00f3n Nacional de Valores (CNV) es de vital importancia por varias razones:<\/p>\n
- \n
- Protecci\u00f3n de datos confidenciales: La CNV maneja y almacena una gran cantidad de datos sensibles y confidenciales relacionados con el mercado financiero, las instituciones y los inversores. Cumplir con las normativas de seguridad ayuda a garantizar la integridad y confidencialidad de estos datos, protegi\u00e9ndolos de accesos no autorizados y posibles filtraciones.<\/li>\n
- Mantener la confianza del p\u00fablico: La CNV es responsable de regular y supervisar el mercado de valores, lo que implica mantener la confianza del p\u00fablico y los inversores en la integridad y seguridad del sistema financiero. El incumplimiento de las normativas de seguridad podr\u00eda socavar esta confianza y tener un impacto negativo en la reputaci\u00f3n de la CNV y en la percepci\u00f3n de la seguridad del mercado.<\/li>\n
- Prevenir ataques y ciberdelincuencia: El cumplimiento de las normativas de seguridad ayuda a mitigar el riesgo de ataques cibern\u00e9ticos, como el ransomware, las violaciones de datos y otras formas de ciberdelincuencia. Al implementar controles de seguridad adecuados, se reducen las vulnerabilidades y se dificulta el acceso no autorizado a los sistemas de la CNV.<\/li>\n
- Cumplimiento legal y regulatorio: Las entidades financieras, incluida la CNV, est\u00e1n sujetas a una serie de leyes y regulaciones relacionadas con la protecci\u00f3n de datos y la seguridad cibern\u00e9tica. Cumplir con estas normativas es un requisito legal y regulatorio, y el incumplimiento puede tener consecuencias legales y sanciones financieras significativas.<\/li>\n
- Resiliencia y continuidad del negocio: Las normativas de seguridad tambi\u00e9n se enfocan en la planificaci\u00f3n de la continuidad del negocio y la capacidad de respuesta ante incidentes de seguridad. Establecer medidas de seguridad adecuadas y contar con planes de respuesta a incidentes ayuda a garantizar la resiliencia de la CNV frente a posibles interrupciones y permite una recuperaci\u00f3n r\u00e1pida y efectiva en caso de un incidente de seguridad.<\/li>\n<\/ol>\n
Seguir las normativas de seguridad en una entidad como la CNV es fundamental para proteger la confidencialidad, integridad y disponibilidad de los datos, mantener la confianza del p\u00fablico y los inversores, prevenir ataques cibern\u00e9ticos y cumplir con las obligaciones legales y regulatorias. Adem\u00e1s, contribuye a la resiliencia y continuidad del negocio frente a posibles amenazas y garantiza la estabilidad del mercado financiero.<\/p>\n
Si un organismo como la CNV mantiene todas sus claves en formato digital en el mismo ambientes en el que procesa sus operaciones \u00bfC\u00f3mo deber\u00edan valorar la gesti\u00f3n operativa a nivel tecnol\u00f3gico y cu\u00e1l ser\u00eda su nivel de respeto hacia los inversores que les conf\u00edan datos cr\u00edticos?<\/h3>\n
<\/a>Comisi\u00f3n Nacional de Valores – Filtraci\u00f3n preliminar del Grupo Medusa<\/figcaption><\/figure>\n Si un organismo como la CNV mantiene todas sus claves en formato digital en el mismo ambiente en el que procesa sus operaciones, esto plantea preocupaciones significativas desde una perspectiva de gesti\u00f3n operativa y seguridad tecnol\u00f3gica. Al evaluar esta situaci\u00f3n, es importante considerar los siguientes aspectos:<\/p>\n
- \n
- Gesti\u00f3n operativa: La gesti\u00f3n operativa de la CNV deber\u00eda valorar la implementaci\u00f3n de una estrategia de gesti\u00f3n de claves s\u00f3lida. Esto implica adoptar pr\u00e1cticas adecuadas de gesti\u00f3n de claves, como el almacenamiento seguro de las claves en una ubicaci\u00f3n separada y protegida, la implementaci\u00f3n de pol\u00edticas de rotaci\u00f3n y actualizaci\u00f3n regular de claves, y el acceso controlado y restringido a las claves.<\/li>\n
- Seguridad tecnol\u00f3gica: Mantener todas las claves en el mismo ambiente donde se procesan las operaciones puede aumentar el riesgo de compromiso de las claves y, por lo tanto, de acceso no autorizado a datos cr\u00edticos. La CNV deber\u00eda considerar una arquitectura de seguridad en capas, donde las claves se almacenen en entornos seguros y separados, y se implementen mecanismos de protecci\u00f3n adecuados, como cifrado robusto y autenticaci\u00f3n de m\u00faltiples factores.<\/li>\n
- Protecci\u00f3n de datos cr\u00edticos: Los inversores conf\u00edan en la CNV para proteger sus datos cr\u00edticos. Si la gesti\u00f3n de claves no se realiza adecuadamente, existe un riesgo considerable de que los datos puedan ser comprometidos y utilizados de manera fraudulenta. La falta de una gesti\u00f3n adecuada de claves podr\u00eda minar la confianza de los inversores en la CNV y en el sistema financiero en general.<\/li>\n
- Cumplimiento normativo: Adem\u00e1s de los aspectos t\u00e9cnicos y de seguridad, es importante tener en cuenta los requisitos normativos y regulatorios relacionados con la gesti\u00f3n de claves y la protecci\u00f3n de datos en el \u00e1mbito financiero. La CNV debe asegurarse de cumplir con todas las regulaciones y directrices aplicables, tanto en t\u00e9rminos de protecci\u00f3n de datos como de seguridad cibern\u00e9tica.<\/li>\n<\/ol>\n
En general, la falta de una adecuada gesti\u00f3n de claves en un entorno donde se procesan las operaciones puede ser considerada como una pr\u00e1ctica de seguridad deficiente y poco confiable. Esto puede generar dudas sobre la competencia y responsabilidad de la CNV para proteger los datos cr\u00edticos de los inversores y mantener la integridad del sistema financiero.<\/p>\n
Por lo tanto, es esencial que la CNV valore y priorice una gesti\u00f3n adecuada de claves y demuestre un alto nivel de respeto hacia los inversores mediante la implementaci\u00f3n de medidas s\u00f3lidas de seguridad tecnol\u00f3gica y operativa.<\/p>\n
Tomando en cuenta la Resoluci\u00f3n General 704-E\/2017 Normas (N.T. 2013 y mod.). Modificaci\u00f3n. Ciudad de Buenos Aires, 24\/08\/2017 \u00bfQu\u00e9 deber\u00eda hacer el gobierno para corregir estos problemas?<\/h3>\n
La Resoluci\u00f3n General 704-E\/2017 establece normas relacionadas con la gesti\u00f3n de claves y la protecci\u00f3n de datos en el \u00e1mbito financiero en Argentina. Si el gobierno identifica que la Comisi\u00f3n Nacional de Valores (CNV) no cumple con estas normas y presenta problemas en su gesti\u00f3n de claves, puede tomar diversas medidas para corregir la situaci\u00f3n. Algunas acciones que el gobierno podr\u00eda considerar son las siguientes:<\/p>\n
- \n
- Auditor\u00eda y evaluaci\u00f3n: El gobierno podr\u00eda llevar a cabo una auditor\u00eda exhaustiva de los sistemas y procesos de la CNV para evaluar la situaci\u00f3n actual en t\u00e9rminos de gesti\u00f3n de claves y protecci\u00f3n de datos. Esta evaluaci\u00f3n permitir\u00eda identificar las \u00e1reas problem\u00e1ticas y los posibles riesgos asociados.<\/li>\n
- Capacitaci\u00f3n y concientizaci\u00f3n: Es importante que el gobierno brinde capacitaci\u00f3n y concientizaci\u00f3n a la CNV y a su personal sobre las mejores pr\u00e1cticas de gesti\u00f3n de claves y seguridad cibern\u00e9tica. Esto puede incluir programas de formaci\u00f3n en seguridad, actualizaci\u00f3n sobre las regulaciones y directrices aplicables, y la promoci\u00f3n de una cultura de seguridad dentro de la organizaci\u00f3n.<\/li>\n
- Implementaci\u00f3n de medidas de seguridad: El gobierno puede requerir que la CNV implemente medidas espec\u00edficas de seguridad para corregir los problemas identificados. Esto puede incluir la adopci\u00f3n de soluciones de gesti\u00f3n de claves robustas, la mejora de la arquitectura de seguridad en capas, la implementaci\u00f3n de controles de acceso adecuados y el fortalecimiento de las pol\u00edticas y procedimientos de seguridad en general.<\/li>\n
- Supervisi\u00f3n y cumplimiento: El gobierno debe establecer un mecanismo de supervisi\u00f3n continuo para asegurar que la CNV cumpla con las normas establecidas en la Resoluci\u00f3n General 704-E\/2017 y otras regulaciones aplicables. Esto puede incluir inspecciones regulares, informes de cumplimiento y sanciones en caso de incumplimiento.<\/li>\n
- Cooperaci\u00f3n y colaboraci\u00f3n: El gobierno puede fomentar la cooperaci\u00f3n y colaboraci\u00f3n entre las entidades regulatorias, las agencias de seguridad cibern\u00e9tica y la CNV para abordar los problemas de gesti\u00f3n de claves y protecci\u00f3n de datos de manera m\u00e1s efectiva. Esto implica el intercambio de informaci\u00f3n y mejores pr\u00e1cticas, la colaboraci\u00f3n en investigaciones y la promoci\u00f3n de est\u00e1ndares de seguridad comunes.<\/li>\n<\/ol>\n
En resumen, para corregir los problemas identificados en la gesti\u00f3n de claves de la CNV, el gobierno debe tomar medidas que incluyan auditor\u00edas, capacitaci\u00f3n, implementaci\u00f3n de medidas de seguridad, supervisi\u00f3n y cumplimiento, y fomentar la cooperaci\u00f3n y colaboraci\u00f3n.<\/p>\n
Estas acciones ayudar\u00e1n a garantizar que la CNV cumpla con las normas establecidas y proteja de manera efectiva los datos cr\u00edticos de los inversores.<\/p>\n
Recomendaciones del Editor<\/h3>\n
Este informe detalla el an\u00e1lisis realizado el grupo de An\u00e1lisis de IT CONNECT LATAM sobre la filtraci\u00f3n de datos ocurrida en la Comisi\u00f3n Nacional de Valores (CNV) de Argentina.<\/p>\n
A trav\u00e9s de un examen exhaustivo del filetree (\u00e1rbol de ficheros) publicado por el actor de ransomware, se identificaron vol\u00famenes que abarcaban informaci\u00f3n confidencial y cr\u00edtica para el organismo.<\/p>\n
Adem\u00e1s, se detectaron pr\u00e1cticas de seguridad inform\u00e1tica inadecuadas, como el almacenamiento de contrase\u00f1as en archivos de texto plano.<\/p>\n
Estos hallazgos resaltan la necesidad de mejorar la gesti\u00f3n de la seguridad y proteger los datos sensibles en entidades gubernamentales y financieras.<\/p>\n
Descripci\u00f3n del incidente:<\/strong> Analizando el filetree, se identificaron ocho vol\u00famenes de informaci\u00f3n filtrada. Uno de ellos, denominado “CNS_MAIN”, contiene directorios y archivos que abarcan informaci\u00f3n financiera, de recursos humanos, escaneos de documentos y planos en formato CAD.<\/p>\n
Los vol\u00famenes etiquetados como “SQL” revelaron bases de datos relacionadas con varios aspectos de la CNV, como el BackOffice de Prensa, Bolsa de Reportes, CAFirmantes, Calificadoras, Fideicomisos, Fondos Comunes, Invertir, RRHH, Registro, RESOL, CNV y CNVWeb, todos ellos identificados como entornos de producci\u00f3n.<\/p>\n
En otros vol\u00famenes, se encontraron directorios que mencionan Informes de la DyEMC, Intranet de la CNV, Comit\u00e9 de Seguridad,<\/p>\n
<\/a>Cuenta Regresiva para la Comisi\u00f3n Nacional de Valores<\/figcaption><\/figure>\n Comunicaci\u00f3n Interna, Denuncias, Directorio de Prensa, Fichas de Sociedades, GDE <\/strong>(habr\u00eda comprometido en cierta forma la infraestructura del Sistema de Expedientes de Gobierno), mesa Fintech, Mercosur e incluso informaci\u00f3n sobre CEDEARS.<\/p>\n
Es importante destacar que uno de los vol\u00famenes contiene informaci\u00f3n cr\u00edtica de seguridad relacionada con la infraestructura, incluyendo logs de firewalls y proxies, con menci\u00f3n espec\u00edfica a uno ubicado en la DMZ de ARSAT.<\/p>\n
Adem\u00e1s, se descubri\u00f3 una carpeta denominada “hola” que conten\u00eda archivos en formato de texto plano (DOC, PDF, Excel) que albergaban contrase\u00f1as del organismo. Esta pr\u00e1ctica representa una grave falta de seguridad inform\u00e1tica y pone en riesgo la integridad de los sistemas y la confidencialidad de los datos.<\/p>\n
En base a los hallazgos mencionados, recomiendo encarecidamente a la CNV y al gobierno argentino que tomen las siguientes medidas para corregir los problemas identificados y mejorar la seguridad de los datos:<\/p>\n
- \n
- Auditor\u00eda de seguridad:<\/strong> Realizar una auditor\u00eda exhaustiva de los sistemas de la CNV para evaluar la magnitud del incidente y determinar el alcance de la filtraci\u00f3n de datos.<\/li>\n
- Mejora de la gesti\u00f3n de claves:<\/strong> Implementar una estrategia s\u00f3lida de gesti\u00f3n de claves que cumpla con las mejores pr\u00e1cticas de seguridad. Esto implica almacenar las claves en entornos seguros y separados, realizar rotaciones peri\u00f3dicas de claves, y aplicar pol\u00edticas de acceso y control estrictas.<\/li>\n
- Reforzamiento de la seguridad de la infraestructura:<\/strong> Evaluar y fortalecer las medidas de seguridad en la infraestructura de la CNV. Esto incluye implementar firewalls robustos, sistemas de detecci\u00f3n de intrusiones, protecci\u00f3n contra malware y soluciones de monitoreo de red para identificar y prevenir ataques cibern\u00e9ticos.<\/li>\n
- Educaci\u00f3n y concientizaci\u00f3n sobre seguridad:<\/strong> Brindar capacitaci\u00f3n y concientizaci\u00f3n a todo el personal de la CNV sobre las mejores pr\u00e1cticas de seguridad cibern\u00e9tica. Esto incluye la importancia de utilizar contrase\u00f1as fuertes, no almacenarlas en archivos de texto plano y estar alerta ante posibles amenazas de phishing y malware.<\/li>\n
- Evaluaci\u00f3n de proveedores y terceros:<\/strong> Realizar una evaluaci\u00f3n exhaustiva de los proveedores y terceros que tienen acceso a la infraestructura y los sistemas de la CNV. Asegurarse de que sigan pr\u00e1cticas s\u00f3lidas de seguridad y cumplimiento normativo.<\/li>\n
- Implementaci\u00f3n de controles de acceso y autenticaci\u00f3n s\u00f3lidos:<\/strong> Establecer pol\u00edticas de acceso y autenticaci\u00f3n que requieran la utilizaci\u00f3n de autenticaci\u00f3n de m\u00faltiples factores, contrase\u00f1as robustas y control de privilegios para limitar el acceso a informaci\u00f3n sensible y sistemas cr\u00edticos.<\/li>\n
- Monitoreo y detecci\u00f3n de amenazas:<\/strong> Implementar soluciones de monitoreo y detecci\u00f3n de amenazas en tiempo real para identificar patrones y comportamientos an\u00f3malos en los sistemas y la red de la CNV. Esto permitir\u00e1 una respuesta r\u00e1pida ante posibles ataques y minimizar el tiempo de exposici\u00f3n a las amenazas.<\/li>\n
- Continuidad del negocio y planes de recuperaci\u00f3n ante desastres:<\/strong> Desarrollar y probar regularmente planes de continuidad del negocio y recuperaci\u00f3n ante desastres para garantizar que la CNV pueda recuperarse de manera r\u00e1pida y efectiva en caso de un incidente de seguridad o interrupci\u00f3n del servicio.<\/li>\n
- Estas recomendaciones ayudar\u00e1n a la CNV a fortalecer su postura de seguridad, proteger los datos cr\u00edticos de los inversores y mejorar la confianza en el sistema financiero. Es esencial que el gobierno argentino y la CNV aborden estos problemas de manera prioritaria y asignen los recursos necesarios para implementar medidas de seguridad s\u00f3lidas y efectivas.<\/li>\n<\/ol>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n
Haz lo que yo digo, pero no lo que yo hago! Aquello que la CVN<\/a> propone y NO CUMPLE!<\/h3>\n
<\/h5>\n
COMISI\u00d3N NACIONAL DE VALORES
\nResoluci\u00f3n General 704-E\/2017
\nNormas (N.T. 2013 y mod.). Modificaci\u00f3n.
\nCiudad de Buenos Aires, 24\/08\/2017<\/h5>\n<\/p>\n
VISTO el Expediente N\u00ba 1657\/2017 caratulado \u201cPROYECTO DE RG S\/ CIBERSEGURIDAD Y RESILIENCIA CIBERN\u00c9TICA\u201d del registro de la COMISI\u00d3N NACIONAL DE VALORES, lo dictaminado por la Gerencia de Servicios Centrales, la Subgerencia de Verificaciones de Agentes y Mercados, la Subgerencia de Agentes y Calificadoras de Riesgo, la Gerencia de Agentes y Mercados, la Gerencia General de Mercados, la Subgerencia de Asesoramiento Legal, la Gerencia de Asuntos Jur\u00eddicos y la Gerencia General de Asuntos Jur\u00eddicos, y<\/p>\n
CONSIDERANDO:<\/p>\n
Que de acuerdo a las atribuciones otorgadas por el art\u00edculo 19 inciso g) de la Ley N\u00ba 26.831, la COMISI\u00d3N NACIONAL DE VALORES se encuentra facultada para dictar las normas a las cuales deben ajustarse los Mercados, los Agentes registrados y las dem\u00e1s personas f\u00edsicas y\/o jur\u00eddicas que por sus actividades vinculadas al Mercado de Capitales, y a criterio de la Comisi\u00f3n Nacional de Valores queden comprendidas bajo su competencia.<\/p>\n
Que resulta conveniente adoptar est\u00e1ndares internacionales con respecto a la seguridad inform\u00e1tica y atender a las recomendaciones de la ORGANIZACI\u00d3N INTERNACIONAL DE COMISIONES DE VALORES (IOSCO, por sus siglas en ingl\u00e9s) sobre los principios de ciberseguridad y resiliencia cibern\u00e9tica.<\/p>\n
Que el Comit\u00e9 de Sistemas de Pago y Liquidaci\u00f3n (CPSS) del Banco de Pagos Internacionales (BIS) y el Comit\u00e9 T\u00e9cnico de IOSCO establecen a trav\u00e9s de los \u201cPrincipios B\u00e1sicos para Infraestructuras de Mercado Financiero\u201d que las \u201cInfraestructuras de Mercado Financiero\u201d cumplen un rol cr\u00edtico en el sistema financiero y en la econom\u00eda en general.<\/p>\n
Que los principios mencionados enumeran las principales categor\u00edas de riesgos identificados y proporcionan orientaci\u00f3n a las \u201cInfraestructuras de Mercado Financiero\u201d y a las autoridades competentes sobre la identificaci\u00f3n, monitoreo, mitigaci\u00f3n y administraci\u00f3n de estos riesgos.<\/p>\n
Que asimismo, definen los riesgos operacionales como la posibilidad de que deficiencias en los sistemas de informaci\u00f3n y en los procesos internos, errores humanos y\/o fallas por eventos externos, resulten en la reducci\u00f3n, deterioro o interrupci\u00f3n de los servicios proporcionados por una \u201cInfraestructura de Mercado Financiero\u201d.<\/p>\n
Que la interoperabilidad de las infraestructuras cr\u00edticas del Mercado de Capitales posibilitar\u00eda la propagaci\u00f3n y ampliaci\u00f3n de los efectos de los ciberataques, as\u00ed como las v\u00edas de acceso de amenazas, aumentando el riesgo sist\u00e9mico.<\/p>\n
Que al respecto, el Comit\u00e9 de Pagos e Infraestructuras de Mercado (CPMI \u2013 ex CPSS) del BIS junto con el Directorio de IOSCO elaboraron una \u201cGu\u00eda sobre la Resiliencia Cibern\u00e9tica para las Infraestructuras de Mercado Financiero\u201d, con la finalidad de proporcionar orientaci\u00f3n a las \u201cInfraestructuras de Mercado Financiero\u201d para mejorar su gesti\u00f3n sobre los riesgos cibern\u00e9ticos, destacando que el nivel de respuesta a los incidentes de seguridad contribuye a conservar su capacidad operativa.<\/p>\n
Que el mencionado documento proporciona recomendaciones tendientes a ampliar la capacidad de resiliencia cibern\u00e9tica de las \u201cInfraestructuras de Mercado Financiero\u201d, alineadas con los controles y buenas pr\u00e1cticas definidas por el est\u00e1ndar de la familia ISO 27000, como estrategias utilizadas internacionalmente para mitigar los riesgos relativos a la ciberseguridad.<\/p>\n
Que, adicionalmente, el desarrollo asim\u00e9trico respecto a las tecnolog\u00edas de la informaci\u00f3n de los distintos actores del Mercado de Capitales, torna necesario un plan de implementaci\u00f3n diferenciado seg\u00fan el grado de madurez de los mismos.<\/p>\n
Que la presente Resoluci\u00f3n General se dicta en ejercicio de las atribuciones conferidas por el art\u00edculo 19 inciso g) de la Ley N\u00b0 26.831.<\/p>\n
Por ello,<\/p>\n
LA COMISI\u00d3N NACIONAL DE VALORES<\/p>\n
RESUELVE:<\/p>\n
ART\u00cdCULO 1\u00b0.- Incorporar como Secci\u00f3n VII del Cap\u00edtulo III del T\u00edtulo VI de las NORMAS (N.T. 2013 y mod.), el siguiente texto:<\/p>\n
\u201cSECCI\u00d3N VII.<\/p>\n
CIBERSEGURIDAD Y CIBERRESILIENCIA CR\u00cdTICAS DEL MERCADO DE CAPITALES.<\/p>\n
ART\u00cdCULO 20.- El \u00f3rgano de administraci\u00f3n de los Mercados, Agentes de Dep\u00f3sito Colectivo, C\u00e1maras Compensadoras y Agentes de Custodia, Registro y Pago, deber\u00e1, antes del 1\u00b0 de enero de 2018, aprobar las \u201cPol\u00edticas de Seguridad de la Informaci\u00f3n\u201d elaboradas conforme los lineamientos de la norma ISO 27000, seg\u00fan el Anexo del presente Cap\u00edtulo, titulado \u201cCiberseguridad y Ciberresiliencia de las Infraestructuras Cr\u00edticas del Mercado de Capitales\u201d.<\/p>\n
ART\u00cdCULO 21.- Dentro de los DOS (2) meses de aprobadas, por el \u00f3rgano de administraci\u00f3n, las \u201cPol\u00edticas de Seguridad de la Informaci\u00f3n\u201d, los sujetos mencionados en el art\u00edculo anterior deber\u00e1n elaborar un \u201cPlan de Implementaci\u00f3n de las Pol\u00edticas de Seguridad de la Informaci\u00f3n del Mercado de Capitales\u201d a trav\u00e9s de procedimientos que incorporen un criterio de mejora continua.<\/p>\n
ART\u00cdCULO 22.- Las \u201cPol\u00edticas de Seguridad de la Informaci\u00f3n\u201d deber\u00e1n aplicarse a los activos inform\u00e1ticos y a los procesos relacionados a la prestaci\u00f3n de servicios esenciales.<\/p>\n
ART\u00cdCULO 23.- Los sujetos mencionados en el art\u00edculo 20 deber\u00e1n antes del 1\u00b0 de marzo de 2018, adoptar medidas, de resiliencia cibern\u00e9tica, siguiendo los lineamientos de la \u201cGu\u00eda sobre la Resiliencia Cibern\u00e9tica para las Infraestructuras de Mercado Financiero\u201d de la CPSS – IOSCO.<\/p>\n
ART\u00cdCULO 24.- El informe de auditor\u00eda externa anual de sistemas que deben remitir los sujetos mencionados en el art\u00edculo 20, adicionalmente deber\u00e1 contener la opini\u00f3n del auditor respecto del \u201cPlan de Implementaci\u00f3n de las Pol\u00edticas de Seguridad de la Informaci\u00f3n del Mercado de Capitales\u201d, incluyendo el grado de avance en el desarrollo del mismo y de cumplimiento de los objetivos de control requeridos en el Anexo titulado \u201cCiberseguridad y Ciberresiliencia de las Infraestrucuturas cr\u00edticas del Mercado de Capitales\u201d.<\/p>\n
ART\u00cdCULO 2\u00b0.- Incorporar como Anexo del Cap\u00edtulo III del T\u00edtulo VI de las NORMAS (N.T. 2013 y mod.), el siguiente texto:<\/p>\n
\u201cANEXO<\/p>\n
Ciberseguridad y Ciberresiliencia de las Infraestructuras cr\u00edticas del Mercado de Capitales.<\/p>\n
CONTENIDO.<\/p>\n
SECCI\u00d3N I<\/p>\n
Pol\u00edticas de tecnolog\u00eda de la informaci\u00f3n, comunicaciones y seguridad.<\/p>\n
Orientaci\u00f3n de la Direcci\u00f3n para la seguridad de la informaci\u00f3n.<\/p>\n
Pol\u00edticas de seguridad y gesti\u00f3n de la informaci\u00f3n.<\/p>\n
Revisi\u00f3n de las pol\u00edticas.<\/p>\n
Comit\u00e9 de tecnolog\u00eda\/seguridad con participaci\u00f3n del Directorio.<\/p>\n
Plan y presupuesto de seguridad y ti.<\/p>\n
SECCI\u00d3N II<\/p>\n
Roles y responsabilidades.<\/p>\n
Responsabilidad de la Direcci\u00f3n.<\/p>\n
Roles y responsabilidades de seguridad de la informaci\u00f3n.<\/p>\n
Segregaci\u00f3n de funciones.<\/p>\n
Contacto con las autoridades.<\/p>\n
Contacto con grupos de inter\u00e9s especial.<\/p>\n
Seguridad de la informaci\u00f3n en la gesti\u00f3n de proyectos.<\/p>\n
SECCI\u00d3N III<\/p>\n
Capital Humano.<\/p>\n
Evaluaci\u00f3n previa al ingreso.<\/p>\n
15.1. Investigaci\u00f3n de antecedentes.<\/p>\n
15.2. T\u00e9rminos y condiciones de empleo.<\/p>\n
Seguimiento de la relaci\u00f3n laboral.<\/p>\n
16.1. Responsabilidades de la Direcci\u00f3n.<\/p>\n
16.2. Concientizaci\u00f3n, educaci\u00f3n y capacitaci\u00f3n en seguridad de la informaci\u00f3n.<\/p>\n
Finalizaci\u00f3n del v\u00ednculo laboral.<\/p>\n
17.1 Responsabilidades en la desvinculaci\u00f3n o cambio de puesto.<\/p>\n
SECCI\u00d3N IV<\/p>\n
Activos de la informaci\u00f3n.<\/p>\n
Identificaci\u00f3n.<\/p>\n
Inventario de los activos.<\/p>\n
Propiedad de los activos.<\/p>\n
Uso aceptable de los activos.<\/p>\n
Retorno de los activos.<\/p>\n
Clasificaci\u00f3n de la informaci\u00f3n.<\/p>\n
Metodolog\u00eda para el an\u00e1lisis de riesgos inform\u00e1ticos.<\/p>\n
Manipulaci\u00f3n de los activos.<\/p>\n
SECCI\u00d3N V<\/p>\n
Usuarios de la informaci\u00f3n.<\/p>\n
Pol\u00edtica de control de accesos.<\/p>\n
Requisitos del negocio para el control de accesos a los sistemas y las aplicaciones.<\/p>\n
Acceso a las redes y a los servicios de red.<\/p>\n
Gesti\u00f3n de accesos del usuario.<\/p>\n
Alta y baja de registros de usuario.<\/p>\n
Gesti\u00f3n de los derechos de acceso privilegiado.<\/p>\n
Revisi\u00f3n de los derechos de acceso del usuario.<\/p>\n
Remoci\u00f3n o ajuste de los derechos de acceso.<\/p>\n
Procedimientos seguros de inicio de sesi\u00f3n.<\/p>\n
Sistema de gesti\u00f3n de autenticaci\u00f3n.<\/p>\n
SECCI\u00d3N VI<\/p>\n
Seguridad de la infraestructura.<\/p>\n
\u00c1reas Seguras.<\/p>\n
38.1. Per\u00edmetro de seguridad f\u00edsica.<\/p>\n
38.2. Controles f\u00edsicos.<\/p>\n
38.3. Aseguramiento de oficinas, recintos e instalaciones.<\/p>\n
38.4. Protecci\u00f3n contra amenazas externas y del entorno.<\/p>\n
Equipamiento.<\/p>\n
39.1. Ubicaci\u00f3n y protecci\u00f3n del equipamiento.<\/p>\n
39.2. Mantenimiento del equipamiento.<\/p>\n
39.3. Retiro de activos.<\/p>\n
39.4. Disposici\u00f3n final segura o reutilizaci\u00f3n del equipamiento.<\/p>\n
Dispositivos m\u00f3viles y teletrabajo.<\/p>\n
40.1. Pol\u00edtica de dispositivo m\u00f3vil.<\/p>\n
40.2. Teletrabajo.<\/p>\n
SECCI\u00d3N VII<\/p>\n
Gesti\u00f3n de operaciones.<\/p>\n
Procedimientos operativos documentados.<\/p>\n
Gesti\u00f3n de la capacidad.<\/p>\n
Controles contra c\u00f3digo malicioso.<\/p>\n
Resguardo de la informaci\u00f3n.<\/p>\n
Registro de eventos.<\/p>\n
Protecci\u00f3n de la informaci\u00f3n de los registros.<\/p>\n
Control de las vulnerabilidades t\u00e9cnicas.<\/p>\n
SECCI\u00d3N VIII<\/p>\n
Gesti\u00f3n de comunicaciones.<\/p>\n
Gesti\u00f3n de la seguridad de la red.<\/p>\n
52.1. Controles de red.<\/p>\n
52.2. Seguridad de los servicios de red.<\/p>\n
52.3. Segregaci\u00f3n en redes.<\/p>\n
SECCI\u00d3N IX<\/p>\n
Gesti\u00f3n de plataformas productivas.<\/p>\n
Generalidades.<\/p>\n
Gesti\u00f3n de requerimientos y requisitos de seguridad\/controles.<\/p>\n
Desarrollo seguro.<\/p>\n
Separaci\u00f3n de entornos de desarrollo, prueba y producci\u00f3n.<\/p>\n
Pruebas.<\/p>\n
Paquetes de software y desarrollo tercerizado.<\/p>\n
SECCI\u00d3N X<\/p>\n
Relaciones con proveedores.<\/p>\n
Seguridad de la informaci\u00f3n en las relaciones con los proveedores.<\/p>\n
Pol\u00edtica de seguridad de la informaci\u00f3n para las relaciones con los proveedores.<\/p>\n
Tratamiento de la seguridad en los acuerdos con los proveedores.<\/p>\n
Cadena de suministro de las tecnolog\u00edas de la informaci\u00f3n y las comunicaciones.<\/p>\n
Gesti\u00f3n de la entrega de servicios prestados por los proveedores.<\/p>\n
Seguimiento y revisi\u00f3n de los servicios prestados por los proveedores.<\/p>\n
SECCI\u00d3N XI<\/p>\n
Monitoreo.<\/p>\n
Responsabilidades y procedimientos.<\/p>\n
Presentaci\u00f3n de informes sobre los eventos de seguridad de la informaci\u00f3n.<\/p>\n
Presentaci\u00f3n de informes sobre las vulnerabilidades de seguridad de la informaci\u00f3n.<\/p>\n
Evaluaci\u00f3n y decisi\u00f3n sobre los eventos de seguridad de la informaci\u00f3n.<\/p>\n
Respuesta a los incidentes de seguridad de la informaci\u00f3n.<\/p>\n
Aprendizaje a partir de los incidentes de seguridad de la informaci\u00f3n.<\/p>\n
Recolecci\u00f3n de la evidencia.<\/p>\n
SECCI\u00d3N XII<\/p>\n
Gesti\u00f3n de continuidad del negocio<\/p>\n
Gesti\u00f3n de la continuidad.<\/p>\n
Planificaci\u00f3n de la continuidad del negocio.<\/p>\n
Implementaci\u00f3n de plan de contingencia.<\/p>\n
Implementaci\u00f3n de la continuidad del negocio.<\/p>\n
Prueba del plan de continuidad.<\/p>\n
Verificaci\u00f3n, revisi\u00f3n y valoraci\u00f3n de la continuidad del negocio.<\/p>\n
Redundancias.<\/p>\n
SECCI\u00d3N XIII<\/p>\n
Relaci\u00f3n con otras partes interesadas.<\/p>\n
Ecosistema.<\/p>\n
Canal de contacto.<\/p>\n
Documentaci\u00f3n de interconexiones.<\/p>\n
Identificaci\u00f3n de riesgos.<\/p>\n
Pruebas conjuntas.<\/p>\n
Ambiente de pruebas.<\/p>\n
Control de cambios.<\/p>\n
Acuerdos de intercambio de informaci\u00f3n.<\/p>\n
Detecci\u00f3n de vulnerabilidades.<\/p>\n
Respuestas ante incidentes.<\/p>\n
Sincronizaci\u00f3n de relojes.<\/p>\n
SECCI\u00d3N I<\/p>\n
POL\u00cdTICAS DE TECNOLOG\u00cdA DE LA INFORMACI\u00d3N, COMUNICACIONES Y SEGURIDAD.<\/p>\n
ORIENTACI\u00d3N DE LA DIRECCI\u00d3N PARA LA SEGURIDAD DE LA INFORMACI\u00d3N.<\/p>\n
ART\u00cdCULO 1\u00ba.- La Direcci\u00f3n debe establecer el marco de gobierno de resiliencia de ciberseguridad en el que se establezcan los lineamientos para la gesti\u00f3n de la tecnolog\u00eda, las comunicaciones y la seguridad de la informaci\u00f3n, con el objetivo de asegurar el negocio y la continuidad de operaciones de los Mercados, Agentes de Dep\u00f3sito Colectivo, C\u00e1maras Compensadoras, y Agentes de Custodia, Registro y Pago (CMI \u201ccapital market integration\u201d).<\/p>\n
ART\u00cdCULO 2\u00ba.- El marco de resiliencia de la ciberseguridad debe estar alineado con los requisitos del negocio y orientado a formalizar el apoyo de parte de la Direcci\u00f3n. Este apoyo debe ser tomado como referencia por todo el personal involucrado en el dise\u00f1o, implementaci\u00f3n y revisi\u00f3n del proceso.<\/p>\n
La Direcci\u00f3n debe definir la tolerancia de riesgo y es responsable de aprobar peri\u00f3dicamente el marco de resiliencia de la ciberseguridad, para asegurar que el riesgo definido es consistente con los objetivos de negocio.<\/p>\n
POL\u00cdTICAS DE SEGURIDAD Y GESTI\u00d3N DE LA INFORMACI\u00d3N<\/p>\n
ART\u00cdCULO 3\u00ba.- Se debe contar con pol\u00edticas de seguridad y gesti\u00f3n de la informaci\u00f3n aprobada por la Direcci\u00f3n.<\/p>\n
Las pol\u00edticas deben ser publicadas y conocidas por todos los miembros de la organizaci\u00f3n; y deben definir y asignar claramente las responsabilidades de los distintos sectores sobre los activos inform\u00e1ticos, considerando las siguientes premisas:<\/p>\n
– Los requisitos de negocio y funcionales de los sistemas de informaci\u00f3n ser\u00e1n definidos por los usuarios propietarios de los datos.<\/p>\n
– La gesti\u00f3n de los activos tecnol\u00f3gicos que soportan la automatizaci\u00f3n de los procesos cr\u00edticos ser\u00e1 de exclusiva responsabilidad de las \u00e1reas de TI:<\/p>\n
Activos f\u00edsicos: equipos de procesamiento, comunicaciones y almacenamiento de la informaci\u00f3n, y su infraestructura relacionada.<\/p>\n
Activos de software de base: sistemas operativos, motores de bases de datos, herramientas de desarrollo, etc.<\/p>\n
ART\u00cdCULO 4\u00ba.- El responsable de Seguridad de la Informaci\u00f3n debe tener suficiente autoridad, independencia, recursos y acceso al Directorio. Dicho ejecutivo debe poseer la experiencia y los conocimientos necesarios para planificar y ejecutar las iniciativas de resiliencia de ciberseguridad, de manera competente, adicionalmente ser\u00e1 responsable de la gesti\u00f3n de los activos relacionados con su funci\u00f3n.<\/p>\n
ART\u00cdCULO 5\u00ba.- Para la implementaci\u00f3n de cualquier nuevo aplicativo, las \u00e1reas usuarias y t\u00e9cnicas (TI y Seguridad Inform\u00e1tica) deber\u00e1n trabajar coordinadamente para encontrar la soluci\u00f3n adecuada (ya sea un paquete de software de terceros o una aplicaci\u00f3n desarrollada internamente) que satisfaga los requisitos de negocio definidos por los usuarios y cumpla simult\u00e1neamente los est\u00e1ndares tecnol\u00f3gicos y de seguridad determinados por los responsables t\u00e9cnicos.<\/p>\n
REVISI\u00d3N DE LAS POL\u00cdTICAS<\/p>\n
ART\u00cdCULO 6\u00ba.- Las pol\u00edticas de seguridad de la informaci\u00f3n deben ser revisadas al menos una vez por a\u00f1o (o antes si ocurren cambios significativos) para validar que contin\u00faan siendo apropiadas, adecuadas y eficaces en relaci\u00f3n a los objetivos del negocio.<\/p>\n
COMIT\u00c9 DE TECNOLOG\u00cdA\/SEGURIDAD CON PARTICIPACI\u00d3N DEL DIRECTORIO<\/p>\n
ART\u00cdCULO 7\u00ba.- Se debe conformar un comit\u00e9 de tecnolog\u00eda\/seguridad en el cual la Direcci\u00f3n sea responsable de establecer, aprobar y velar por la actualizaci\u00f3n de un marco para fortalecer la ciberseguridad, incluyendo la responsabilidad por la toma de decisiones para la gesti\u00f3n de riesgos cibern\u00e9ticos, incluso en situaciones de emergencia y de crisis.<\/p>\n
La alta gerencia debe supervisar estrechamente la aplicaci\u00f3n de su marco de resiliencia de la ciberseguridad como as\u00ed tambi\u00e9n las pol\u00edticas, procedimientos y controles que lo soportan.<\/p>\n
PLAN Y PRESUPUESTO DE SEGURIDAD Y TI.<\/p>\n
ART\u00cdCULO 8\u00ba.- De acuerdo con las metas y planes estrat\u00e9gicos, se deben elaborar planes operativos que contemplen los factores cr\u00edticos para un efectivo control sobre los sistemas y la seguridad de la informaci\u00f3n, junto con las actividades del negocio que respaldan. Dichos planes tendr\u00e1n en cuenta las tareas a realizar con su correspondiente asignaci\u00f3n de tiempos y recursos, los presupuestos, las prioridades y la precedencia de cada una de ellas.<\/p>\n
SECCI\u00d3N II<\/p>\n
ROLES Y RESPONSABILIDADES.<\/p>\n
RESPONSABILIDAD DE LA DIRECCI\u00d3N.<\/p>\n
ART\u00cdCULO 9\u00ba.- La Direcci\u00f3n es responsable de promover una adecuada administraci\u00f3n de la seguridad de la informaci\u00f3n y establecer un marco gerencial para iniciar y controlar su implementaci\u00f3n, as\u00ed como para la distribuci\u00f3n de funciones y responsabilidades.<\/p>\n
ROLES Y RESPONSABILIDADES DE SEGURIDAD DE LA INFORMACI\u00d3N.<\/p>\n
ART\u00cdCULO 10.- Se deben definir y asignar claramente las responsabilidades relativas a la seguridad de la informaci\u00f3n.<\/p>\n
SEGREGACI\u00d3N DE FUNCIONES.<\/p>\n
ART\u00cdCULO 11.- Las funcionalidades y responsabilidades en conflicto deben estar separadas con el fin de reducir los riesgos de modificaciones no intencionales o no autorizadas, o el mal uso de activos de informaci\u00f3n.<\/p>\n
CONTACTO CON LAS AUTORIDADES.<\/p>\n
ART\u00cdCULO 12.- Se deben mantener los contactos apropiados con las autoridades pertinentes. CONTACTO CON GRUPOS DE INTER\u00c9S ESPECIAL.<\/p>\n
ART\u00cdCULO 13.- Se deben mantener contactos apropiados con los grupos de inter\u00e9s especial u otros foros de seguridad especializados y asociaciones profesionales.<\/p>\n
SEGURIDAD DE LA INFORMACI\u00d3N EN LA GESTI\u00d3N DE PROYECTOS.<\/p>\n
ART\u00cdCULO 14.- La seguridad de la informaci\u00f3n se contempla en la direcci\u00f3n de proyectos, independientemente del tipo de proyecto.<\/p>\n
SECCI\u00d3N III CAPITAL HUMANO.<\/p>\n
EVALUACI\u00d3N PREVIA AL INGRESO.<\/p>\n
ART\u00cdCULO 15.- Se debe asegurar que los empleados y contratados entiendan sus responsabilidades y sean id\u00f3neos para los roles para los cuales se los contrata.<\/p>\n
15.1. INVESTIGACI\u00d3N DE ANTECEDENTES.<\/p>\n
Se debe realizar la verificaci\u00f3n de antecedentes de todos los candidatos para el empleo de acuerdo con las leyes, regulaciones y reglas \u00e9ticas pertinentes. Dicha verificaci\u00f3n debe ser proporcional a los requisitos de seguridad de la organizaci\u00f3n, a la clasificaci\u00f3n de la informaci\u00f3n a ser accedida y a los riesgos potenciales percibidos.<\/p>\n
15.2. T\u00c9RMINOS Y CONDICIONES DE EMPLEO.<\/p>\n
Los contratos con empleados y contratados deben establecer sus responsabilidades y las de la organizaci\u00f3n para con la seguridad de la informaci\u00f3n.<\/p>\n
SEGUIMIENTO DE LA RELACI\u00d3N LABORAL.<\/p>\n
ART\u00cdCULO 16.- Se debe asegurar que los empleados y contratados sean conscientes de sus responsabilidades con respecto a la seguridad de la informaci\u00f3n y las cumplan. Los recursos humanos deben mantenerse t\u00e9cnicamente capacitados e informados conforme a la evoluci\u00f3n de los requerimientos, normas y tecnolog\u00edas de los sistemas de seguridad adoptados por las organizaciones.<\/p>\n
16.1. RESPONSABILIDADES DE LA DIRECCI\u00d3N.<\/p>\n
La Direcci\u00f3n y las gerencias deben requerir a todos los empleados y contratados que apliquen la seguridad de la informaci\u00f3n de acuerdo con las pol\u00edticas y procedimientos establecidos por la organizaci\u00f3n.<\/p>\n
16.2. CONCIENTIZACI\u00d3N, EDUCACI\u00d3N Y CAPACITACI\u00d3N EN SEGURIDAD DE LA INFORMACI\u00d3N.<\/p>\n
Todos los empleados de la organizaci\u00f3n y, cuando sea pertinente los proveedores, deben recibir una concientizaci\u00f3n, educaci\u00f3n y capacitaci\u00f3n apropiada como as\u00ed tambi\u00e9n actualizaciones regulares sobre las pol\u00edticas y procedimientos organizacionales relativos a su tarea.<\/p>\n
FINALIZACI\u00d3N DEL V\u00cdNCULO LABORAL.<\/p>\n
ART\u00cdCULO 17.- Se deben proteger los intereses de la organizaci\u00f3n como parte del proceso de desvinculaci\u00f3n o cambio de puesto.<\/p>\n
17.1 RESPONSABILIDADES EN LA DESVINCULACI\u00d3N O CAMBIO DE PUESTO.<\/p>\n
Se deben definir, comunicar y hacer cumplir, al empleado o contratado, las responsabilidades y obligaciones relativas a la seguridad de la informaci\u00f3n que contin\u00faen vigentes luego de la desvinculaci\u00f3n o cambio de puesto. Se debe verificar que las asignaciones, atribuciones y accesos a la informaci\u00f3n se actualicen debidamente ante cambios de funciones o desvinculaciones.<\/p>\n
SECCI\u00d3N IV<\/p>\n
ACTIVOS DE LA INFORMACI\u00d3N. IDENTIFICACI\u00d3N.<\/p>\n
ART\u00cdCULO 18.- La organizaci\u00f3n debe tener un conocimiento preciso sobre los activos que posee, logrando y manteniendo una apropiada protecci\u00f3n de los mismos.<\/p>\n
Se define como activo a la informaci\u00f3n cr\u00edtica de negocio y todas aquellas plataformas que procesan, almacenan y transmiten dicha informaci\u00f3n.<\/p>\n
INVENTARIO DE LOS ACTIVOS.<\/p>\n
ART\u00cdCULO 19.- La organizaci\u00f3n debe identificar los activos relevantes en el ciclo de vida de la informaci\u00f3n e inventariarlos para su control. El inventario deber\u00e1 ser actualizado ante cualquier modificaci\u00f3n de la informaci\u00f3n registrada y revisado con una periodicidad al menos anual.<\/p>\n
PROPIEDAD DE LOS ACTIVOS.<\/p>\n
ART\u00cdCULO 20.- Se debe implementar un proceso para la asignaci\u00f3n de un propietario de los activos organizacionales. La propiedad debe ser asignada ante la creaci\u00f3n, desarrollo o adquisici\u00f3n de los mismos. El propietario debe ser responsable de la gesti\u00f3n adecuada de un activo durante todo su ciclo de vida y responsable de su clasificaci\u00f3n.<\/p>\n
USO ACEPTABLE DE LOS ACTIVOS.<\/p>\n
ART\u00cdCULO 21.- La autoridad relevante deber\u00e1 identificar, documentar e implementar reglas para el uso aceptable de la informaci\u00f3n y los activos asociados.<\/p>\n
Los empleados y usuarios externos que utilicen o tengan acceso a los activos de la organizaci\u00f3n deber\u00e1n estar informados de los requisitos de seguridad de la informaci\u00f3n, de los activos de la organizaci\u00f3n asociados con las instalaciones, recursos y procesamiento de informaci\u00f3n.<\/p>\n
RETORNO DE LOS ACTIVOS.<\/p>\n
ART\u00cdCULO 22.- Todos los empleados y usuarios externos deben devolver todos los activos de la organizaci\u00f3n en su poder al finalizar su empleo, contrato o acuerdo. El proceso de terminaci\u00f3n debe formalizarse para incluir la devoluci\u00f3n de todos los activos f\u00edsicos y electr\u00f3nicos pertenecientes a la organizaci\u00f3n.<\/p>\n
CLASIFICACI\u00d3N DE LA INFORMACI\u00d3N.<\/p>\n
ART\u00cdCULO 23.- Con el objetivo de asegurar que la informaci\u00f3n reciba un nivel de protecci\u00f3n apropiado, la misma debe ser clasificada para indicar la necesidad, prioridades y grado de protecci\u00f3n esperado en su gesti\u00f3n.<\/p>\n
Las clasificaciones y los controles de protecci\u00f3n asociados a la informaci\u00f3n deben tener en cuenta las necesidades del negocio de compartirla o restringirla, as\u00ed como los requisitos legales.<\/p>\n
Los resultados de la clasificaci\u00f3n deben ser actualizados de acuerdo con los cambios de su valor, sensibilidad y criticidad a trav\u00e9s de su ciclo de vida.<\/p>\n
ART\u00cdCULO 24.- Para clasificar un activo de informaci\u00f3n, se deben evaluar las tres caracter\u00edsticas de la informaci\u00f3n en las cuales se basa la seguridad: confidencialidad, integridad y disponibilidad.<\/p>\n
Se considera cr\u00edticos como m\u00ednimo a aquellos activos de la informaci\u00f3n relacionados con las operaciones, saldos, movimientos, cuentas, comitentes y garant\u00edas de sus Mercados como as\u00ed tambi\u00e9n de otros Mercados.<\/p>\n
METODOLOG\u00cdA PARA EL AN\u00c1LISIS DE RIESGOS INFORM\u00c1TICOS.<\/p>\n
ART\u00cdCULO 25.- Se debe evidenciar la existencia de an\u00e1lisis de riesgos formalmente realizados y documentados sobre los sistemas de informaci\u00f3n, la tecnolog\u00eda inform\u00e1tica y sus recursos asociados.<\/p>\n
Los resultados de los an\u00e1lisis mencionados y sus actualizaciones peri\u00f3dicas deben ser formalmente reportados al Comit\u00e9 de Tecnolog\u00eda\/Seguridad, que ser\u00e1 el responsable primario de darle tratamiento a las debilidades que expongan a los CMI a un riesgo mayor al aceptable.<\/p>\n
MANIPULACI\u00d3N DE LOS ACTIVOS.<\/p>\n
ART\u00cdCULO 26.- Para cada uno de los niveles de clasificaci\u00f3n, se deben definir los procedimientos de manejo seguro, incluyendo las actividades de procesamiento, almacenamiento, transmisi\u00f3n, clasificaci\u00f3n y destrucci\u00f3n.<\/p>\n
SECCI\u00d3N V<\/p>\n
USUARIOS DE LA INFORMACI\u00d3N.<\/p>\n
POL\u00cdTICA DE CONTROL DE ACCESOS.<\/p>\n
ART\u00cdCULO 27.- Se debe formalizar una pol\u00edtica de control de accesos alineada a los requisitos del negocio acorde a la clasificaci\u00f3n de activos definida en los ART\u00cdCULOS 23 y 24.<\/p>\n
REQUISITOS DEL NEGOCIO PARA EL CONTROL DE ACCESOS A LOS SISTEMAS Y LAS APLICACIONES.<\/p>\n
ART\u00cdCULO 28.- La organizaci\u00f3n debe basar las restricciones de acceso a la informaci\u00f3n en los requisitos de las aplicaciones individuales y de acuerdo con la pol\u00edtica de control de acceso.<\/p>\n
Con el objetivo de proteger la informaci\u00f3n relativa al negocio, se debe limitar al m\u00ednimo el acceso a la informaci\u00f3n cr\u00edtica.<\/p>\n
ACCESO A LAS REDES Y A LOS SERVICIOS DE RED.<\/p>\n
ART\u00cdCULO 29.- Se debe permitir el acceso solamente a aquellos usuarios que cuenten con la debida autorizaci\u00f3n y hayan sido apropiadamente capacitados. La autorizaci\u00f3n debe ser acorde al rol desempe\u00f1ado en el negocio.<\/p>\n
GESTI\u00d3N DE ACCESOS DEL USUARIO.<\/p>\n
ART\u00cdCULO 30.- Se debe asegurar el acceso solamente a los usuarios autorizados, teniendo en cuenta las funciones de desarrollo, procesamiento y operaci\u00f3n de los sistemas afectados, manteniendo siempre los principios de confidencialidad, integridad y disponibilidad.<\/p>\n
ALTA Y BAJA DE REGISTROS DE USUARIO.<\/p>\n
ART\u00cdCULO 31.- Se debe implementar un proceso formal de alta, baja y modificaci\u00f3n de roles y permisos del usuario, formalizando el proceso de asignaci\u00f3n de accesos. En la medida de lo posible, se debe establecer una l\u00ednea base de configuraci\u00f3n de seguridad y forzarla en todos los sistemas cr\u00edticos.<\/p>\n
GESTI\u00d3N DE LOS DERECHOS DE ACCESO PRIVILEGIADO.<\/p>\n
ART\u00cdCULO 32.- Se deben identificar los grupos de usuarios con permisos elevados en los diferentes dispositivos y sistemas cr\u00edticos, para luego controlar la asignaci\u00f3n y utilizaci\u00f3n de sus derechos de acceso sobre los mismos.<\/p>\n
ART\u00cdCULO 33.- Debe restringirse, controlarse rigurosamente y segregarse adecuadamente el uso de herramientas con privilegios que podr\u00edan ser capaces de anular los controles en los sistemas, o que permitan el alta, baja o modificaci\u00f3n de datos operativos por fuera de las aplicaciones.<\/p>\n
REVISI\u00d3N DE LOS DERECHOS DE ACCESO DEL USUARIO.<\/p>\n
ART\u00cdCULO 34.- Se debe establecer un proceso de revisi\u00f3n peri\u00f3dica de los accesos otorgados a los usuarios para los dispositivos, herramientas y sistemas cr\u00edticos, en el cual deben participar los propietarios de los activos y responsables del negocio. Este proceso debe realizarse como m\u00ednimo una vez por a\u00f1o, o antes si existiera alguna situaci\u00f3n que lo justifique.<\/p>\n
REMOCI\u00d3N O AJUSTE DE LOS DERECHOS DE ACCESO.<\/p>\n
ART\u00cdCULO 35.- En el caso de cambio de roles o desvinculaci\u00f3n de usuarios, se deben revisar y ajustar los derechos de acceso a los servicios y sistemas a los cuales ten\u00eda acceso, y luego aplicar los cambios que sean necesarios. Este proceso debe estar validado por los propietarios de activos o responsables del negocio.<\/p>\n
PROCEDIMIENTOS SEGUROS DE INICIO DE SESI\u00d3N.<\/p>\n
ART\u00cdCULO 36.- El procedimiento para iniciar sesi\u00f3n en un sistema o aplicaci\u00f3n debe ser dise\u00f1ado para reducir al m\u00ednimo la oportunidad de que ocurra un acceso no autorizado, incluyendo la selecci\u00f3n de t\u00e9cnicas de autenticaci\u00f3n adecuadas para demostrar la identidad alegada de un usuario. La cantidad y fortaleza de los m\u00e9todos de autenticaci\u00f3n empleados debe ser acorde con el tipo de informaci\u00f3n a proteger y los riesgos identificados. En particular, las organizaciones deben establecer fuertes controles sobre accesos privilegiados mediante su limitaci\u00f3n y supervisi\u00f3n estricta.<\/p>\n
Cuando el nivel de riesgo lo amerite, se analizar\u00e1 el empleo de m\u00e1s de un m\u00e9todo de autenticaci\u00f3n como contrase\u00f1as, tarjetas inteligentes, tokens o medios de reconocimiento biom\u00e9tricos.<\/p>\n
Para los accesos iniciados desde ubicaciones externas a la infraestructura de la organizaci\u00f3n, ya sean propias o contratadas a un tercero, se deber\u00e1 considerar m\u00e1s de un mecanismo de autenticaci\u00f3n para el inicio de sesi\u00f3n.<\/p>\n
SISTEMA DE GESTI\u00d3N DE AUTENTICACI\u00d3N.<\/p>\n
ART\u00cdCULO 37.- La administraci\u00f3n de la informaci\u00f3n para la autenticaci\u00f3n debe considerar los siguientes aspectos:<\/p>\n
– Cambiar los datos de autenticaci\u00f3n por defecto de todos los productos instalados.<\/p>\n
– Evitar el uso de cuentas gen\u00e9ricas, imponiendo identificadores de usuario y datos de autenticaci\u00f3n individuales con el objetivo de posibilitar la rendici\u00f3n de cuentas y los an\u00e1lisis forenses.<\/p>\n
– Proteger el almacenamiento y la transmisi\u00f3n de los datos de autenticaci\u00f3n a trav\u00e9s de algoritmos criptogr\u00e1ficos reconocidos internacionalmente.<\/p>\n
– Solicitar a los usuarios su autenticaci\u00f3n luego de 15 minutos de inactividad.<\/p>\n
– En caso de extrav\u00edo del medio de autenticaci\u00f3n debe existir un proceso de bloqueo del utilizado y validaci\u00f3n para la entrega del nuevo medio.<\/p>\n
Adicionalmente, si el medio de autenticaci\u00f3n utilizado es a trav\u00e9s de contrase\u00f1as se deben considerar los siguientes aspectos:<\/p>\n
– Obligar a los usuarios a cambiar sus contrase\u00f1as en la primera conexi\u00f3n.<\/p>\n
– Permitir a los usuarios seleccionar y cambiar sus propias contrase\u00f1as, considerando las siguientes caracter\u00edsticas: longitud m\u00ednima de 8 caracteres cuya composici\u00f3n debe incluir caracteres num\u00e9ricos, alfanum\u00e9ricos y especiales, evitando la reutilizaci\u00f3n de las \u00faltimas 12 contrase\u00f1as.<\/p>\n
– Forzar cambios peri\u00f3dicos de contrase\u00f1a como m\u00ednimo cada 90 d\u00edas.<\/p>\n
– Implementar medidas t\u00e9cnicas para mitigar ataques del tipo \u201cdiccionario\u201d o \u201cfuerza bruta\u201d tales como bloqueo de cuenta luego de una cierta cantidad de intentos fallidos de inicio de sesi\u00f3n, captchas, delays o requerimiento de autenticaci\u00f3n de 2 factores.<\/p>\n
SECCI\u00d3N VI<\/p>\n
SEGURIDAD DE LA INFRAESTRUCTURA.<\/p>\n
\u00c1REAS SEGURAS<\/p>\n
ART\u00cdCULO 38.- Se deben proteger las instalaciones e infraestructuras de procesamiento contra da\u00f1os y accesos no autorizados.<\/p>\n
38.1. PER\u00cdMETRO DE SEGURIDAD F\u00cdSICA.<\/p>\n
Se deben utilizar per\u00edmetros de seguridad para proteger \u00e1reas que contengan informaci\u00f3n e instalaciones de procesamiento de informaci\u00f3n sensibles o cr\u00edticas. El Directorio o autoridad equivalente, es el responsable primario por la existencia de distintos niveles de seguridad f\u00edsica en correspondencia con el valor, confidencialidad y criticidad de los recursos a proteger y los riesgos identificados.<\/p>\n
38.2. CONTROLES F\u00cdSICOS.<\/p>\n
Deber\u00e1n protegerse las \u00e1reas seguras mediante controles apropiados, por lo que se deben considerar, entre otras, las siguientes medidas de prevenci\u00f3n y control:<\/p>\n
– Instalaciones para equipamientos de apoyo, tales como equipos de aire acondicionado, grupos generadores, llaves de transferencia autom\u00e1tica, UPS, bater\u00edas, estabilizadores y tableros de distribuci\u00f3n de energ\u00eda y de telecomunicaciones.<\/p>\n
– Instalaciones de montaje apropiadas para los sistemas de telecomunicaciones.<\/p>\n
– Instalaciones de montaje apropiadas para los sistemas de suministro el\u00e9ctrico, tanto primario como secundario.<\/p>\n
– Iluminaci\u00f3n de emergencia.<\/p>\n
– Sistemas de monitoreo y control de las utilidades cr\u00edticas del centro de procesamiento de datos.<\/p>\n
– Controles de acceso, por medio de los cuales se permita s\u00f3lo el ingreso al \u00e1rea de procesamiento de datos a personal autorizado.<\/p>\n
Todos los accesos, de rutina o de excepci\u00f3n, deben ser registrados por mecanismos que permitan la posterior revisi\u00f3n de al menos los siguientes datos: nombre completo, relaci\u00f3n (interno o externo), en caso de ser externo deber\u00e1 constar qui\u00e9n ha autorizado el acceso, motivo, hora de ingreso y hora de egreso.<\/p>\n
Los sistemas de prevenci\u00f3n contra incendios en los ambientes de procesamiento de datos deben posibilitar alarmas preventivas, que tengan la capacidad de ser disparadas autom\u00e1ticamente ante la presencia de part\u00edculas caracter\u00edsticas en el recalentamiento de materiales el\u00e9ctricos y otros materiales combustibles presentes en las instalaciones.<\/p>\n
Los materiales combustibles deben ser minimizados dentro del \u00e1rea del centro de procesamiento de datos. La mamposter\u00eda, muebles y \u00fatiles deben ser constructivamente no inflamables, y preferentemente ign\u00edfugos.<\/p>\n
Para el caso de que este servicio sea provisto por terceros se deber\u00e1 solicitar al proveedor cumplir con lo exigido en la secci\u00f3n X.<\/p>\n
38.3. ASEGURAMIENTO DE OFICINAS, RECINTOS E INSTALACIONES.<\/p>\n
Deben dise\u00f1arse y aplicarse controles de seguridad f\u00edsica para oficinas, recintos e instalaciones, proporcionales a su criticidad y a los riesgos identificados.<\/p>\n
38.4. PROTECCI\u00d3N CONTRA AMENAZAS EXTERNAS Y DEL ENTORNO.<\/p>\n
Se deben dise\u00f1ar y aplicar medidas de protecci\u00f3n f\u00edsica contra desastres naturales, ataques intencionales o accidentes.<\/p>\n
EQUIPAMIENTO.<\/p>\n
ART\u00cdCULO 39.- Se debe proteger el equipamiento (de procesamiento de la informaci\u00f3n y de soporte) de la organizaci\u00f3n contra da\u00f1o, p\u00e9rdida o robo.<\/p>\n
39.1. UBICACI\u00d3N Y PROTECCI\u00d3N DEL EQUIPAMIENTO.<\/p>\n
Se debe proteger el equipamiento de manera tal que se reduzcan los riesgos por amenazas y peligros del entorno, y las oportunidades de acceso no autorizado.<\/p>\n
Dicho equipamiento se debe proteger de fallas causadas por el suministro el\u00e9ctrico o de otras interrupciones ocasionadas por fallas en elementos de soporte.<\/p>\n
39.2. MANTENIMIENTO DEL EQUIPAMIENTO.<\/p>\n
El equipamiento debe recibir un mantenimiento correcto y oportuno para asegurar su continua disponibilidad e integridad.<\/p>\n
39.3. RETIRO DE ACTIVOS.<\/p>\n
Debe evitarse el retiro sin previa autorizaci\u00f3n del equipamiento o informaci\u00f3n en diferentes medios, tanto digitales como f\u00edsicos, utilizados en las oficinas como en los centros de procesamiento. En caso de tratarse de datacenters de terceros el personal autorizado a retirar equipamiento deber\u00e1 registrarlo para su posterior control.<\/p>\n
Se deben aplicar medidas de seguridad a los activos en tr\u00e1nsito o fuera de la organizaci\u00f3n, considerando los diversos riesgos de operar fuera de sus instalaciones.<\/p>\n
39.4. DISPOSICI\u00d3N FINAL SEGURA O REUTILIZACI\u00d3N DEL EQUIPAMIENTO.<\/p>\n
Se deben verificar todos los componentes del equipamiento que contengan medios de almacenamiento para asegurar que, antes de su disposici\u00f3n final o reutilizaci\u00f3n, se haya eliminado o sobrescrito de manera segura cualquier dato sensible y software licenciado.<\/p>\n
DISPOSITIVOS M\u00d3VILES Y TELETRABAJO.<\/p>\n
ART\u00cdCULO 40.- Se deben considerar los riesgos espec\u00edficos del teletrabajo y la utilizaci\u00f3n de dispositivos m\u00f3viles.<\/p>\n
40.1. POL\u00cdTICA DE DISPOSITIVO M\u00d3VIL.<\/p>\n
Se debe adoptar una pol\u00edtica de soporte y medidas de seguridad para gestionar los riesgos introducidos mediante el uso de dispositivos m\u00f3viles.<\/p>\n
40.2. TELETRABAJO.<\/p>\n
Se debe adoptar una pol\u00edtica de soporte y medidas de seguridad destinadas a proteger la informaci\u00f3n accedida, transferida o almacenada en los sitios de teletrabajo.<\/p>\n
SECCI\u00d3N VII<\/p>\n
GESTI\u00d3N DE OPERACIONES.<\/p>\n
PROCEDIMIENTOS OPERATIVOS DOCUMENTADOS.<\/p>\n
ART\u00cdCULO 41.- Se debe contar con procedimientos operativos documentados, autorizados y comunicados a todos los usuarios que los necesiten. Los procedimientos deben incluir los procesos a ejecutar, los controles a realizar, la modalidad de registraci\u00f3n de las actividades tanto satisfactorias como fallidas y los mecanismos de escalamiento de problemas.<\/p>\n
GESTI\u00d3N DE LA CAPACIDAD.<\/p>\n
ART\u00cdCULO 42.- Previa consideraci\u00f3n de la criticidad de los activos inform\u00e1ticos, se debe desarrollar un informe de an\u00e1lisis de capacidad de los activos m\u00e1s importantes, y luego efectuar un monitoreo peri\u00f3dico para evaluar el grado de cumplimiento del citado informe.<\/p>\n
CONTROLES CONTRA C\u00d3DIGO MALICIOSO<\/h3>\n
ART\u00cdCULO 43.- Se deben implementar mecanismos de protecci\u00f3n contra c\u00f3digo malicioso para prevenir, detectar, responder, contener y recuperarse r\u00e1pidamente de cualquier incidente. Se debe restringir la instalaci\u00f3n de software no autorizado y promover actividades peri\u00f3dicas de capacitaci\u00f3n para las \u00e1reas t\u00e9cnicas y de concientizaci\u00f3n a los usuarios.<\/p>\n
Se deben controlar los archivos intercambiados a trav\u00e9s del correo electr\u00f3nico o cualquier otro medio.<\/p>\n
Los controles deber\u00e1n implementarse en todos los ambientes de procesamiento y en las copias de resguardo; y deber\u00e1 prestarse especial atenci\u00f3n a las soluciones de alta disponibilidad que, si bien contribuyen a la recuperaci\u00f3n de las operaciones en caso de contingencia, tambi\u00e9n se convierten en un medio de propagaci\u00f3n de software malicioso y\/o datos da\u00f1ados.<\/p>\n
Las herramientas utilizadas para detectar y eliminar c\u00f3digo malicioso deben mantenerse actualizadas contra nuevas amenazas. En caso de contagio deben mantenerse informadas todas las partes interesadas, tal como se determina en la Secci\u00f3n XIII.<\/p>\n
RESGUARDO DE LA INFORMACI\u00d3N<\/h3>\n
ART\u00cdCULO 44.- Debe desarrollarse una estrategia de resguardo y recuperaci\u00f3n de informaci\u00f3n que permita hacer frente a los requisitos de disponibilidad de la misma, considerando las necesidades del negocio y las disposiciones legales, reglamentarias y\/o contractuales aplicables.<\/p>\n
Se debe contar con procedimientos formalmente documentados, autorizados y comunicados que describan los aspectos salientes de dicha estrategia. Se deben definir claramente las responsabilidades de los involucrados, tanto de los propietarios de los datos como de las \u00e1reas t\u00e9cnicas.<\/p>\n
ART\u00cdCULO 45.- Deben resguardarse datos, programas, sistemas operativos y todo activo de informaci\u00f3n que se considere relevante. La organizaci\u00f3n debe mantener inventarios permanentemente actualizados de los resguardos y dem\u00e1s registros de utilidad para su control y eventual restauraci\u00f3n.<\/p>\n
ART\u00cdCULO 46.- A partir de un an\u00e1lisis de riesgo, se deben determinar las estrategias y las prioridades de resguardo, el tipo de soporte a utilizar (por ejemplo: resguardo en medios de almacenamiento magn\u00e9ticos\/ \u00f3pticos, esquemas de alta disponibilidad con redundancia de datos, etc.).<\/p>\n
La cantidad de copias a mantener, la ubicaci\u00f3n f\u00edsica de los resguardos (se deber\u00e1 demostrar que la ubicaci\u00f3n del servicio de contingencia o resguardo de la informaci\u00f3n no ser\u00e1 alcanzado por los mismos riesgos en forma simult\u00e1nea), los per\u00edodos de retenci\u00f3n, y la frecuencia y modalidad de las pruebas de restauraci\u00f3n.<\/p>\n
Las copias de resguardo de los datos deben contar con medidas de seguridad equivalentes a las de los datos originales.<\/p>\n
El per\u00edodo de retenci\u00f3n no podr\u00e1 ser inferior a lo requerido por legislaci\u00f3n y reglamentaci\u00f3n vigente. Al menos se deber\u00e1 contar con un juego de resguardos fuera del lugar donde la CMI procesa la informaci\u00f3n.<\/p>\n
REGISTRO DE EVENTOS.<\/h3>\n
ART\u00cdCULO 47.- Se deben producir, conservar y revisar peri\u00f3dicamente los registros de eventos en los cuales se registren las actividades de los usuarios, las excepciones, los errores y los eventos de seguridad de la informaci\u00f3n, prestando especial atenci\u00f3n al registro y revisi\u00f3n de las actividades ejecutadas por los titulares de las cuentas de usuarios privilegiados, usuarios de emergencia y con accesos especiales.<\/p>\n
ART\u00cdCULO 48.- A partir de los registros de eventos, se deben conducir investigaciones forenses de incidentes cibern\u00e9ticos y producir informaci\u00f3n de utilidad para el esclarecimiento de los hechos y la prevenci\u00f3n de ataques futuros.<\/p>\n
PROTECCI\u00d3N DE LA INFORMACI\u00d3N DE LOS REGISTROS.<\/h3>\n
ART\u00cdCULO 49.- Los registros de eventos deben ser protegidos contra accesos no autorizados, borrado y manipulaci\u00f3n. Deben contar con una estrategia de resguardo que los preserve en caso de contingencia y garantice su disponibilidad durante los plazos exigibles.<\/p>\n
CONTROL DE LAS VULNERABILIDADES T\u00c9CNICAS<\/h3>\n
ART\u00cdCULO 50.- Se deben conocer las vulnerabilidades t\u00e9cnicas de los activos inform\u00e1ticos, evaluar la exposici\u00f3n a las vulnerabilidades y tomar las medidas apropiadas para mitigar los riesgos asociados.<\/p>\n
Partiendo de un inventario completo y actualizado de los activos, se deben implementar mecanismos eficaces de gesti\u00f3n de las vulnerabilidades de seguridad con el objetivo de prevenir su explotaci\u00f3n externa y\/o interna.<\/p>\n
Para la detecci\u00f3n temprana de las vulnerabilidades se pueden emplear diferentes t\u00e9cnicas como por ejemplo los test de intrusi\u00f3n que, simulando un ataque real, ayudan a identificar vulnerabilidades en las redes, los sistemas, los procesos o en el comportamiento de las personas.<\/p>\n
ART\u00cdCULO 51.- Una vez identificadas vulnerabilidades de seguridad que afecten los sistemas y que puedan estar siendo explotadas, deben probarse y aplicarse los parches cr\u00edticos, o tomar otras medidas de protecci\u00f3n, tan r\u00e1pida y extensamente como sea posible.<\/p>\n
Se debe establecer un proceso para priorizar y solucionar los problemas identificados y realizar una validaci\u00f3n posterior para evaluar si se han abordado completamente las brechas de seguridad.<\/p>\n
SECCI\u00d3N VIII<\/p>\n
GESTI\u00d3N DE COMUNICACIONES. GESTI\u00d3N DE LA SEGURIDAD DE LA RED.<\/p>\n
ART\u00cdCULO 52.- Se debe asegurar la protecci\u00f3n de la informaci\u00f3n cr\u00edtica en las redes y sus instalaciones de procesamiento de informaci\u00f3n.<\/p>\n
52.1. CONTROLES DE RED.<\/p>\n
Se deben implementar controles para garantizar la seguridad de la informaci\u00f3n en las redes y la protecci\u00f3n de los servicios conectados contra el acceso no autorizado.<\/p>\n
52.2. SEGURIDAD DE LOS SERVICIOS DE RED.<\/p>\n
Los mecanismos de seguridad, los niveles de servicio y los requisitos de gesti\u00f3n de los servicios de red deben identificarse y ser formalizados en acuerdos de servicios.<\/p>\n
Se deben contemplar los servicios provistos desde redes internas, que son consumidos por usuarios internos y externos.<\/p>\n
52.3. SEGREGACI\u00d3N EN REDES.<\/p>\n
Los grupos de servicios, usuarios y sistemas de informaci\u00f3n cr\u00edtica deben ser segregados en redes.<\/p>\n
El acceso entre redes est\u00e1 permitido, pero debe ser controlado en el per\u00edmetro. Los criterios para la segregaci\u00f3n de redes y el acceso permitido deben basarse en una evaluaci\u00f3n de los requisitos de seguridad de acceso a la informaci\u00f3n cr\u00edtica.<\/p>\n
SECCI\u00d3N IX<\/p>\n
GESTI\u00d3N DE PLATAFORMAS PRODUCTIVAS.<\/p>\n
GENERALIDADES.<\/p>\n
ART\u00cdCULO 53.- Se debe contar con procedimientos documentados y comunicados de gesti\u00f3n del cambio en la infraestructura, software de base y aplicaciones, que regulen el proceso de cambio o instalaci\u00f3n de nuevos elementos desde los entornos de desarrollo hasta la puesta en producci\u00f3n.<\/p>\n
Se deben asignar claras responsabilidades para todos los intervinientes en el proceso y se contar\u00e1 con mecanismos de registro y control de los cambios efectuados.<\/p>\n
ART\u00cdCULO 54.- Las modificaciones deben realizarse a partir de una justificaci\u00f3n t\u00e9cnica o de negocio v\u00e1lida y deben contar con su respectiva autorizaci\u00f3n.<\/p>\n
Cualquier cambio debe considerar la evaluaci\u00f3n de los impactos potenciales, incluyendo los impactos en la seguridad de la informaci\u00f3n y los riesgos cibern\u00e9ticos.<\/p>\n
ART\u00cdCULO 55.- Tanto para el desarrollo de nuevos aplicativos como para el mantenimiento de los existentes, debe definirse el ciclo de vida del proceso de desarrollo considerando aspectos como la separaci\u00f3n de ambientes; la segregaci\u00f3n de funciones entre los distintos responsables del proceso; el estricto control de versiones de programas y de la correspondencia entre los programas fuente y los ejecutables.<\/p>\n
Los procedimientos deben contemplar pruebas, controles y validaciones tanto para los desarrollos propios como para los tercerizados.<\/p>\n
ART\u00cdCULO 56.- Se debe disponer de procedimientos planificados de vuelta atr\u00e1s para la recuperaci\u00f3n de la situaci\u00f3n ante situaciones imprevistas o cambios que resulten fallidos.<\/p>\n
ART\u00cdCULO 57.- Se debe contar con procedimientos de cambio de emergencia para permitir la aplicaci\u00f3n r\u00e1pida y controlada de los cambios necesarios para resolver un incidente.<\/p>\n
En estos procedimientos se debe detallar el mecanismo de obtenci\u00f3n y modificaci\u00f3n del c\u00f3digo fuente, y los controles detectivos a realizar con posterioridad al cambio por parte de personal independiente.<\/p>\n
GESTI\u00d3N DE REQUERIMIENTOS Y REQUISITOS DE SEGURIDAD\/CONTROLES<\/h4>\n
ART\u00cdCULO 58.- Los requisitos legales, reglamentarios, contractuales y de negocio deben contemplarse desde el inicio de las tareas de adquisici\u00f3n, desarrollo o mantenimiento de los sistemas de informaci\u00f3n, considerando los riesgos inherentes y las necesidades de protecci\u00f3n de los activos de informaci\u00f3n, incluyendo su integridad, disponibilidad y confidencialidad.<\/p>\n
ART\u00cdCULO 59.- Los requerimientos de seguridad deben evaluarse desde la misma fase de dise\u00f1o, ya que la incorporaci\u00f3n temprana de medidas de seguridad y controles en las aplicaciones, reduce el riesgo de introducci\u00f3n involuntaria o malintencionada de vulnerabilidades en el entorno productivo.<\/p>\n
Los aspectos relativos a la ciberseguridad deben tambi\u00e9n considerarse en etapas tempranas del desarrollo de los sistemas, aplicando medidas de protecci\u00f3n contra las amenazas m\u00e1s frecuentes y dise\u00f1ando controles detectivos y correctivos que faciliten la respuesta a incidentes y permitan restablecer las operaciones cr\u00edticas en caso de ataque, preservando la integridad de las transacciones y los datos.<\/p>\n
Dado el car\u00e1cter interconectado del mercado de capitales, deben establecerse oportunamente los requisitos de resiliencia frente a ciberataques, que aseguren la disponibilidad de las interconexiones necesarias para la prestaci\u00f3n de los servicios cr\u00edticos.<\/p>\n
ART\u00cdCULO 60.- En cuanto a los requerimientos funcionales de los aplicativos nuevos o modificados, se deber\u00e1n adoptar las mejores pr\u00e1cticas en materia de control interno.<\/p>\n
Incorporando desde el inicio validaciones y controles automatizados que reduzcan hasta un nivel aceptable para el negocio los riesgos de errores, duplicaciones, faltantes o alteraciones en el ingreso, procesamiento, transmisi\u00f3n, almacenamiento y conciliaci\u00f3n de los datos.<\/p>\n
ART\u00cdCULO 61.- Debe existir una clara y documentada vinculaci\u00f3n entre las nuevas versiones de los elementos desarrollados y los requerimientos que le dieron origen.<\/p>\n
ART\u00cdCULO 62.- Cuando las aplicaciones a adquirir o desarrollar trascienden los l\u00edmites de las redes locales y atraviesen redes p\u00fablicas, se deben tomar medidas adicionales de protecci\u00f3n acordes con el nivel de los riesgos identificados y documentados.<\/p>\n
Entre los controles a considerar, se valorar\u00e1 el cifrado de la informaci\u00f3n transmitida; la implementaci\u00f3n de m\u00e9todos de autenticaci\u00f3n seguros; la utilizaci\u00f3n de tecnolog\u00edas que garanticen la integridad, confidencialidad y no repudio de la informaci\u00f3n compartida (por ejemplo, a trav\u00e9s del uso de criptograf\u00eda de clave p\u00fablica y firmas digitales).<\/p>\n
ART\u00cdCULO 63.- Se deben establecer los acuerdos de nivel de servicio entre los participantes, especialmente en lo referido a la autorizaci\u00f3n de las transacciones que atraviesan redes p\u00fablicas con el objetivo de minimizar el riesgo de litigios entre las partes.<\/p>\n
DESARROLLO SEGURO.<\/p>\n
ART\u00cdCULO 64.- Deben incorporarse pr\u00e1cticas de codificaci\u00f3n segura que resulten pertinentes a la infraestructura tecnol\u00f3gica utilizada, debiendo mantenerse las mismas actualizadas para incluir oportunamente medidas que mitiguen las nuevas amenazas.<\/p>\n
Los desarrolladores y los testers deben recibir capacitaci\u00f3n continua sobre las vulnerabilidades conocidas a cada momento y sobre las pr\u00e1cticas de codificaci\u00f3n segura que la industria vaya publicando y promoviendo (por ejemplo: OWASP Guide, Cert Secure Coding Standard, etc.).<\/p>\n
Estas pr\u00e1cticas aplican tanto para las tareas de desarrollo internas como para las realizadas por terceros.<\/p>\n
SEPARACI\u00d3N DE ENTORNOS DE DESARROLLO, PRUEBA Y PRODUCCI\u00d3N.<\/p>\n
ART\u00cdCULO 65.- Se deben separar los entornos de producci\u00f3n de los de desarrollo y pruebas, de forma tal que los productivos sean totalmente independientes de los restantes; promoviendo una adecuada segregaci\u00f3n de funciones entre el personal dedicado al desarrollo\/mantenimiento de los sistemas y los responsables de la operaci\u00f3n de los mismos.<\/p>\n
Los encargados de los despliegues en el ambiente productivo deben ser independientes de las \u00e1reas a cargo del desarrollo.<\/p>\n
Para reforzar la separaci\u00f3n, se deben establecer controles de acceso espec\u00edficos (f\u00edsicos y\/o l\u00f3gicos) para cada ambiente, en funci\u00f3n de las actividades a cargo de los distintos responsables del proceso (desarrolladores, testers, implementadores, administradores, operadores, usuarios, proveedores, etc.)<\/p>\n
PRUEBAS.<\/p>\n
ART\u00cdCULO 66.- Los sistemas de informaci\u00f3n nuevos y sus modificaciones, tanto para los desarrollos propios como para los productos de terceros, deben ser probados en un ambiente de prueba en forma previa a su pasaje al entorno de producci\u00f3n.<\/p>\n
Las pruebas deben dise\u00f1arse para determinar que el sistema funcione como se espera y cumple con los requisitos funcionales, de integraci\u00f3n con otros sistemas y de seguridad que dieron origen al desarrollo\/mantenimiento.<\/p>\n
La naturaleza y alcance de las pruebas debe quedar documentado en base a la evaluaci\u00f3n realizada por el \u00e1rea de desarrollo y el usuario aprobador del requerimiento.<\/p>\n
Se valorar\u00e1 que las pruebas consideren aspectos tales como funcionalidad, usabilidad, integraci\u00f3n con otras piezas de software y ciberseguridad.<\/p>\n
ART\u00cdCULO 67.- Las pruebas deben realizarse en entornos destinados a tal fin y que representen razonablemente los entornos productivos. Deben tomarse los recaudos para evitar que los datos personales y\/o confidenciales (tanto datos maestros como informaci\u00f3n que agregada resulte cr\u00edtica) sean utilizados en ambientes distintos al entorno de producci\u00f3n.<\/p>\n
Si fuera necesario utilizar informaci\u00f3n personal o de car\u00e1cter confidencial para prop\u00f3sitos de prueba, todos los datos sensibles deber\u00e1n ser protegidos mediante su enmascaramiento u otras medidas de protecci\u00f3n que impidan su divulgaci\u00f3n a personal distinto al estrictamente autorizado en los ambientes productivos.<\/p>\n
ART\u00cdCULO 68.- Las pruebas, especialmente las que abarcan los aspectos de ciberseguridad, deben ser llevadas a cabo por personal t\u00e9cnico con la capacitaci\u00f3n adecuada y actualizada.<\/p>\n
Los propietarios de los datos deben participar en las pruebas de aceptaci\u00f3n final, con el objetivo de validar que los sistemas cumplen con los requerimientos de negocio que motivaron el desarrollo.<\/p>\n
PAQUETES DE SOFTWARE Y DESARROLLO TERCERIZADO.<\/p>\n
ART\u00cdCULO 69.- En el caso de utilizar paquetes de software de terceros para operaciones definidas cr\u00edticas para el negocio, se deben contemplar procedimientos para el acceso a los programas fuentes en caso de que el proveedor no pueda responder a las exigencias locales.<\/p>\n
En la medida de lo posible, los sistemas de terceros deben utilizarse tal como son provistos por su fabricante.<\/p>\n
Se deben definir contractualmente los derechos y obligaciones de cada parte en lo relativo al mantenimiento del sistema, tomando los recaudos contractuales pertinentes para asegurar el sostenimiento del paquete de software en caso de que el fabricante se vea imposibilitado de dar el soporte necesario.<\/p>\n
Los cambios propuestos por el fabricante deben ser probados en un ambiente de prueba y homologados por la organizaci\u00f3n en forma previa a su implementaci\u00f3n.<\/p>\n
ART\u00cdCULO 70.- En los casos en que se decida delegar en terceros las actividades de desarrollo de los sistemas, las organizaciones mantienen la responsabilidad por el producto final, tanto en lo relativo al cumplimiento de los requisitos de negocio, contractual y legal, como en lo referido a las medidas de seguridad, controles adoptados y documentaci\u00f3n de los aplicativos.<\/p>\n
ART\u00cdCULO 71.- Las organizaciones y sus proveedores de servicios de desarrollo de software deben establecer contratos que determinen al menos:<\/p>\n
– Los derechos de propiedad intelectual de los aplicativos.<\/p>\n
– La propiedad del c\u00f3digo fuente.<\/p>\n
– Las garant\u00edas para el cumplimiento del contrato y las penalidades en caso de incumplimiento.<\/p>\n
– Los criterios de aceptaci\u00f3n de los entregables.<\/p>\n
– Los requisitos de documentaci\u00f3n.<\/p>\n
– El derecho de la organizaci\u00f3n y de sus entes de contralor para realizar auditor\u00edas sobre los procesos de construcci\u00f3n\/prueba de software del proveedor.<\/p>\n
– La obligatoriedad del proveedor de software de comunicar en forma fehaciente, con al menos 3 (tres) a\u00f1os de anticipaci\u00f3n, la fecha prevista de caducidad de la versi\u00f3n instalada y\/o sus servicios de soporte.<\/p>\n
– La obligatoriedad del proveedor\/propietario del software de comunicar en forma fehaciente, con al menos 5 (cinco) a\u00f1os de anticipaci\u00f3n, la decisi\u00f3n de discontinuar el producto, otorgando en dicha circunstancia la posibilidad de entregar a la organizaci\u00f3n los programas fuente, sin derecho de comercializaci\u00f3n.<\/p>\n
– La obligatoriedad del proveedor de adherir a las pr\u00e1cticas de desarrollo seguro, las metodolog\u00edas de prueba y las medidas adoptadas en materia de ciberseguridad por la organizaci\u00f3n, someti\u00e9ndose a las revisiones y validaciones que la organizaci\u00f3n considere pertinentes para controlar el cumplimiento de lo requerido y la calidad del software.<\/p>\n
ART\u00cdCULO 72.- Las organizaciones deber\u00e1n monitorear las medidas de protecci\u00f3n utilizadas por el proveedor contra las vulnerabilidades conocidas y realizar pruebas del software en forma previa a su pasaje al ambiente de producci\u00f3n.<\/p>\n
SECCI\u00d3N X<\/p>\n
RELACIONES CON PROVEEDORES.<\/p>\n
ART\u00cdCULO 73.- Un CMI podr\u00e1 tercerizar el desarrollo, la homologaci\u00f3n, el procesamiento y la explotaci\u00f3n de la totalidad o una parte de sus plataformas productivas, como as\u00ed tambi\u00e9n la totalidad o parte de la infraestructura principal o de contingencia.<\/p>\n
La estrategia de tercerizaci\u00f3n de la CMI deber\u00e1 estar contemplada en el marco de resiliencia de seguridad, de manera tal que los riesgos derivados de dicha tercerizaci\u00f3n se encuentren en los niveles aceptados por la Direcci\u00f3n.<\/p>\n
El CMI deber\u00e1 solicitar al proveedor del servicio un informe de cumplimiento sobre lo requerido por el presente documento por parte de un profesional independiente, tales como ISAE del tipo II o SOC del tipo II, o permitir el acceso del auditor de la CMI para una revisi\u00f3n in situ.<\/p>\n
SEGURIDAD DE LA INFORMACI\u00d3N EN LAS RELACIONES CON LOS PROVEEDORES.<\/p>\n
ART\u00cdCULO 74.- Se deben asegurar aquellos activos de la organizaci\u00f3n que son accedidos por proveedores y externos.<\/p>\n
Es de suma importancia que todos los participantes comprendan los objetivos de recuperaci\u00f3n y que puedan tomar acciones preventivas, ya que un incidente puede afectar a todo el ecosistema.<\/p>\n
POL\u00cdTICA DE SEGURIDAD DE LA INFORMACI\u00d3N PARA LAS RELACIONES CON LOS PROVEEDORES.<\/p>\n
ART\u00cdCULO 75.- Se deben acordar con los proveedores y formalizar los requisitos relativos a la seguridad de la informaci\u00f3n, detallando los posibles riesgos y sus respectivas medidas mitigantes.<\/p>\n
TRATAMIENTO DE LA SEGURIDAD EN LOS ACUERDOS CON LOS PROVEEDORES.<\/p>\n
ART\u00cdCULO 76.- Acuerdos de confidencialidad.<\/p>\n
Se deben formalizar las condiciones y obligaciones de parte de los proveedores en relaci\u00f3n al tratamiento de la informaci\u00f3n de los clientes. Los acuerdos deben detallar los m\u00e9todos de recuperaci\u00f3n en caso de que un incidente comprometa la confidencialidad o integridad, para asegurar que la informaci\u00f3n pueda ser recuperada en tiempo y forma, acorde a los plazos definidos.<\/p>\n
En caso de transmitir, procesar o almacenar por medios l\u00f3gicos o f\u00edsicos compartidos con terceros, el proveedor deber\u00e1 demostrar las medidas aplicadas para asegurar la confidencialidad de la informaci\u00f3n.<\/p>\n
CADENA DE SUMINISTRO DE LAS TECNOLOG\u00cdAS DE LA INFORMACI\u00d3N Y LAS COMUNICACIONES.<\/p>\n
ART\u00cdCULO 77.- Los acuerdos con los proveedores deben incluir requisitos para tratar los riesgos asociados al suministro de tecnolog\u00edas y comunicaciones, considerando (pero no limit\u00e1ndose) a los procesos de otros mercados, c\u00e1maras compensadoras, proveedores de energ\u00eda, etc.<\/p>\n
ART\u00cdCULO 78.- Se debe solicitar que cada participante establezca su tiempo de recuperaci\u00f3n ante incidentes, para poder medir el impacto en la propia infraestructura.<\/p>\n
Si los tiempos de recuperaci\u00f3n fueran mayores a los propios, se deben establecer medidas mitigantes o exigir al participante que establezca un tiempo -como m\u00ednimo- igual o menor al de la propia organizaci\u00f3n.<\/p>\n
Los acuerdos deben asegurar que todos los interesados puedan tener acceso a la informaci\u00f3n necesaria para tratar el riesgo de cada participante.<\/p>\n
GESTI\u00d3N DE LA ENTREGA DE SERVICIOS PRESTADOS POR LOS PROVEEDORES.<\/p>\n
ART\u00cdCULO 79.- Las CMI deben asegurarse que la prestaci\u00f3n de servicios de los proveedores que resulten cr\u00edticos se realice en los t\u00e9rminos y condiciones pactados.<\/p>\n
La revisi\u00f3n de los servicios de los proveedores debe asegurar que se respeten y mantengan vigentes los t\u00e9rminos y condiciones de los acuerdos asumidos a lo largo de la contrataci\u00f3n.<\/p>\n
Para lo cual se debe requerir la documentaci\u00f3n actualizada solicitada al momento de la contrataci\u00f3n y si se necesitara adquirir nuevos servicios para una nueva funcionalidad, documentaci\u00f3n que compruebe la capacidad del proveedor para dar dicho servicio.<\/p>\n
SEGUIMIENTO Y REVISI\u00d3N DE LOS SERVICIOS PRESTADOS POR LOS PROVEEDORES.<\/p>\n
ART\u00cdCULO 80.- Las CMI deben revisar y auditar peri\u00f3dicamente la prestaci\u00f3n de servicios de los proveedores que resulten cr\u00edticos.<\/p>\n
Deber\u00e1 solicitar al proveedor del servicio un informe de cumplimiento sobre lo requerido por el presente documento por parte de un profesional independiente, tales como ISAE del tipo II o SOC del tipo II, o permitir el acceso del auditor de la CMI para una revisi\u00f3n in situ.<\/p>\n
SECCI\u00d3N XI<\/p>\n
MONITOREO.<\/p>\n
ART\u00cdCULO 81.- La Direcci\u00f3n debe promover un enfoque coherente y eficaz para la gesti\u00f3n de incidentes de seguridad de la informaci\u00f3n, incluida la comunicaci\u00f3n sobre debilidades, eventos de seguridad y su temprana detecci\u00f3n;<\/p>\n
Manteniendo una actividad proactiva mediante un adecuado monitoreo de las condiciones de seguridad que permitan montar contramedidas oportunas y apropiadas ante los incidentes.<\/p>\n
RESPONSABILIDADES Y PROCEDIMIENTOS.<\/p>\n
ART\u00cdCULO 82.- Se deben establecer las responsabilidades y los procedimientos para asegurar una respuesta r\u00e1pida, eficaz y ordenada a los incidentes de seguridad de la informaci\u00f3n.<\/p>\n
PRESENTACI\u00d3N DE INFORMES SOBRE LOS EVENTOS DE SEGURIDAD DE LA INFORMACI\u00d3N.<\/p>\n
ART\u00cdCULO 83.- Los eventos de seguridad de la informaci\u00f3n se deben informar a trav\u00e9s de los canales apropiados, tan pronto como sea posible.<\/p>\n
PRESENTACI\u00d3N DE INFORMES SOBRE LAS VULNERABILIDADES DE SEGURIDAD DE LA INFORMACI\u00d3N.<\/p>\n
ART\u00cdCULO 84.- Se debe requerir a los empleados y contratistas usuarios de los sistemas de informaci\u00f3n de la organizaci\u00f3n, que informen cualquier vulnerabilidad de seguridad de la informaci\u00f3n observada o sospechada en sistemas o servicios.<\/p>\n
Se deben realizar an\u00e1lisis exhaustivos para determinar la naturaleza y extensi\u00f3n de los incidentes as\u00ed como el da\u00f1o infligido.<\/p>\n
Mientras la investigaci\u00f3n est\u00e1 en curso, se deben tomar medidas inmediatas para contener la situaci\u00f3n con el objetivo de prevenir da\u00f1os adicionales y comenzar los esfuerzos de recuperaci\u00f3n para restaurar las operaciones basadas en su planificaci\u00f3n de respuesta.<\/p>\n
EVALUACI\u00d3N Y DECISI\u00d3N SOBRE LOS EVENTOS DE SEGURIDAD DE LA INFORMACI\u00d3N.<\/p>\n
ART\u00cdCULO 85.- Se deben evaluar los eventos de seguridad de la informaci\u00f3n y decidir si se los debe clasificar como incidentes de seguridad de la informaci\u00f3n y asegurar la recolecci\u00f3n de informaci\u00f3n para el proceso de investigaci\u00f3n forense.<\/p>\n
RESPUESTA A LOS INCIDENTES DE SEGURIDAD DE LA INFORMACI\u00d3N.<\/p>\n
ART\u00cdCULO 86.- Se debe responder a los incidentes de seguridad de la informaci\u00f3n de acuerdo con procedimientos documentados.<\/p>\n
Al registrar los incidentes, se deben documentar como m\u00ednimo:<\/p>\n
\u2022 Equipo, usuario, servicio o aplicaci\u00f3n afectada<\/p>\n
\u2022 Ubicaci\u00f3n f\u00edsica, horario y d\u00eda<\/p>\n
\u2022 S\u00edntomas detectados<\/p>\n
\u2022 Acciones realizadas<\/p>\n
\u2022 Cualquier otra informaci\u00f3n que se considere de relevancia<\/p>\n
APRENDIZAJE A PARTIR DE LOS INCIDENTES DE SEGURIDAD DE LA INFORMACI\u00d3N.<\/p>\n
ART\u00cdCULO 87.- Se debe utilizar el conocimiento obtenido del an\u00e1lisis y resoluci\u00f3n de los incidentes de seguridad de la informaci\u00f3n para reducir la probabilidad o el impacto de incidentes futuros.<\/p>\n
Debe asegurarse de que todo el personal, ya sea permanente o temporal, reciba capacitaci\u00f3n para desarrollar y mantener una conciencia apropiada y las competencias necesarias para detectar y abordar los riesgos de seguridad.<\/p>\n
RECOLECCI\u00d3N DE LA EVIDENCIA.<\/p>\n
ART\u00cdCULO 88.- La organizaci\u00f3n debe definir y aplicar procedimientos para la identificaci\u00f3n, recolecci\u00f3n, adquisici\u00f3n y preservaci\u00f3n de la informaci\u00f3n que se pueda utilizar como evidencia.<\/p>\n
Y debe tener la capacidad de asistir o llevar a cabo investigaciones forenses de incidentes cibern\u00e9ticos y establecer pol\u00edticas de registro relevantes que incluyan los tipos de evidencias que se deben mantener y sus per\u00edodos de retenci\u00f3n.<\/p>\n
SECCI\u00d3N XII<\/p>\n
GESTI\u00d3N DE CONTINUIDAD DEL NEGOCIO.<\/p>\n
GESTI\u00d3N DE LA CONTINUIDAD.<\/p>\n
ART\u00cdCULO 89.- Se debe incorporar la continuidad del negocio como parte de los sistemas de gesti\u00f3n de la organizaci\u00f3n.<\/p>\n
El Directorio\/Comit\u00e9 es el responsable de aprobar la identificaci\u00f3n, la valorizaci\u00f3n, la gesti\u00f3n y el control de los riesgos relacionados con la continuidad del negocio.<\/p>\n
Debe asegurar la existencia y la provisi\u00f3n de los recursos necesarios para la creaci\u00f3n, mantenimiento y prueba de un plan de recuperaci\u00f3n del procesamiento de informaci\u00f3n autom\u00e1tica.<\/p>\n
La CMI debe asegurarse de que:<\/p>\n
a) Se defina una estructura de gesti\u00f3n del Plan de Continuidad del Negocio acorde con el detalle de sus funciones y responsabilidades relacionadas con esta gesti\u00f3n.<\/p>\n
b) Se identificar\u00e1n las diferentes tipolog\u00edas de incidentes que alcanzar\u00e1 a la infraestructura de la CMI.<\/p>\n
c) Se identifique el personal de respuesta a incidentes con la responsabilidad necesaria, autoridad y competencia para gestionar un incidente y mantener la seguridad de la informaci\u00f3n;<\/p>\n
d) los planes de procedimientos documentados, respuesta y recuperaci\u00f3n sean desarrollados y aprobados, que detallen c\u00f3mo la organizaci\u00f3n gestionar\u00e1 un evento perjudicial y mantendr\u00e1 su seguridad de la informaci\u00f3n a un nivel predeterminado.<\/p>\n
De acuerdo con los requisitos de continuidad seguridad de la informaci\u00f3n, la organizaci\u00f3n debe establecer, documentar, implementar y mantener controles de seguridad de la informaci\u00f3n dentro de los procesos de continuidad de negocio o de recuperaci\u00f3n de desastres.<\/p>\n
Se deben identificar toda la legislaci\u00f3n aplicable a su organizaci\u00f3n con el fin de cumplir con los requisitos para la CMI.<\/p>\n
PLANIFICACI\u00d3N DE LA CONTINUIDAD DEL NEGOCIO.<\/p>\n
ART\u00cdCULO 90.- La continuidad del procesamiento de datos autom\u00e1tico, que en definitiva posibilita la continuidad de los negocios, deber\u00e1 evidenciar que se han identificado los eventos que puedan ocasionar interrupciones en sus procesos cr\u00edticos.<\/p>\n
Es responsabilidad del Comit\u00e9\/Directorio aprobar la evaluaci\u00f3n de riesgos para determinar el impacto de distintos eventos, tanto en t\u00e9rminos de magnitud de da\u00f1o como del per\u00edodo de recuperaci\u00f3n y la vuelta a la normalidad.<\/p>\n
Estas actividades deben llevarse a cabo con la activa participaci\u00f3n de los propietarios de los procesos y recursos de negocio.<\/p>\n
La evaluaci\u00f3n considerar\u00e1 todos los procesos de negocio alcanzados por esta norma y no se limitar\u00e1 s\u00f3lo a las instalaciones de procesamiento de la informaci\u00f3n, sino tambi\u00e9n a todos los recursos relacionados.<\/p>\n
Los resultados de la evaluaci\u00f3n deben ser el soporte para la selecci\u00f3n de mecanismos alternativos de recuperaci\u00f3n y adopci\u00f3n de medidas preventivas para la confecci\u00f3n del plan de recuperaci\u00f3n y vuelta a la normalidad del procesamiento de datos.<\/p>\n
IMPLEMENTACI\u00d3N DE PLAN DE CONTINGENCIA.<\/p>\n
ART\u00cdCULO 91.- Las instalaciones alternativas de procesamiento de datos deben atender los requisitos m\u00ednimos establecidos por estas normas, pudiendo ser propias o de terceros.<\/p>\n
El equipamiento de las instalaciones de procesamiento alternativo debe contemplar la capacidad de administraci\u00f3n y gesti\u00f3n de todos los procesos de negocios clasificados como cr\u00edticos para asegurar mantener la actividad m\u00ednima definida por la CMI.<\/p>\n
La instalaci\u00f3n alternativa debe prever la existencia de equipamiento destinado a las telecomunicaciones para acceder al servicio m\u00ednimo que brinda.<\/p>\n
En caso de un siniestro o suceso contingente que torne inoperantes las instalaciones principales, la localizaci\u00f3n de las instalaciones alternativas deber\u00e1 ser tal que no sean alcanzadas por el mismo evento.<\/p>\n
Adem\u00e1s, deber\u00e1n tornarse totalmente operacionales en condiciones id\u00e9nticas, en una ventana de tiempo tal que no afecte la operaci\u00f3n.<\/p>\n
La selecci\u00f3n de la localizaci\u00f3n antes mencionada deber\u00e1 estar soportada por la evidencia documental de la existencia de un an\u00e1lisis de riesgo de eventos simult\u00e1neos, que est\u00e1n fehacientemente expresados en el mismo.<\/p>\n
IMPLEMENTACI\u00d3N DE LA CONTINUIDAD DEL NEGOCIO.<\/p>\n
ART\u00cdCULO 92 – Se debe evidenciar la existencia de un procedimiento escrito, aprobado formalmente, para atender a la continuidad del procesamiento actividades vinculadas, en el caso que se presenten contingencias o emergencias.<\/p>\n
El documento deber\u00e1 basarse en el mismo an\u00e1lisis de riesgo efectuado para determinar la localizaci\u00f3n de las instalaciones alternativas de procesamiento de datos, enunciando todos los posibles escenarios que har\u00edan que el plan entrar\u00e1 en funcionamiento.<\/p>\n
El mismo deber\u00e1, como m\u00ednimo, contener lo siguiente:<\/p>\n
\u2022 Procedimientos de emergencia que describan las acciones a emprender una vez ocurrido un incidente. Estos deben incluir disposiciones con respecto a la gesti\u00f3n de v\u00ednculos eficaces a establecer con las autoridades p\u00fablicas pertinentes, por ej.: entes reguladores, polic\u00eda, bomberos y otras autoridades.<\/p>\n
\u2022 Los datos de contacto del personal clave.<\/p>\n
\u2022 Las aplicaciones cr\u00edticas y su prioridad con respecto a los tiempos de recuperaci\u00f3n y regreso a la operaci\u00f3n normal.<\/p>\n
\u2022 El detalle de los proveedores de servicios involucrados en las acciones de contingencia \/ emergencia.<\/p>\n
\u2022 La informaci\u00f3n log\u00edstica de la localizaci\u00f3n de recursos claves, incluyendo: ubicaci\u00f3n de las instalaciones alternativas, de los resguardos de datos, de los sistemas operativos, de las aplicaciones, los archivos de datos, los manuales de operaci\u00f3n y documentaci\u00f3n de programas \/ sistemas \/ usuarios.<\/p>\n
PRUEBA DEL PLAN DE CONTINUIDAD.<\/p>\n
ART\u00cdCULO 93.- El plan de continuidad de procesamiento de datos debe ser probado peri\u00f3dicamente, como m\u00ednimo una vez al a\u00f1o.<\/p>\n
Las pruebas deben permitir asegurar la operatoria integral de todos los sistemas automatizados cr\u00edticos a efectos de verificar que el plan est\u00e1 actualizado y es eficaz.<\/p>\n
Las pruebas tambi\u00e9n deben garantizar que todos los miembros del equipo de recuperaci\u00f3n y dem\u00e1s personal relevante est\u00e9n al corriente del plan mencionado.<\/p>\n
Deber\u00e1 evidenciarse la existencia de un cronograma formal de pruebas que indicar\u00e1 c\u00f3mo debe probarse cada elemento del plan, y la fecha en la cual cada una de las pruebas deber\u00e1 ser efectuada.<\/p>\n
En las pruebas deben participar las \u00e1reas usuarias de los procesos de negocio, quienes deben verificar los resultados de las mismas.<\/p>\n
Se deber\u00e1 documentar formalmente su satisfacci\u00f3n con el resultado de la prueba como medio para asegurar la continuidad de los procesos de negocio en caso de que ocurra una contingencia.<\/p>\n
La auditor\u00eda interna de la entidad tambi\u00e9n deber\u00e1 conformar la satisfacci\u00f3n por el resultado de las mismas a tal efecto.<\/p>\n
El informe realizado por las \u00e1reas usuarias y de auditor\u00eda interna deber\u00e1 ser tomado en conocimiento por el Comit\u00e9\/Directorio.<\/p>\n
VERIFICACI\u00d3N, REVISI\u00d3N Y VALORACI\u00d3N DE LA CONTINUIDAD DEL NEGOCIO.<\/p>\n
ART\u00cdCULO 94.- Los cambios organizativos, t\u00e9cnicos, de procedimiento y de procesos, ya sea en un contexto operacional o de continuidad, pueden conducir a cambios en los requisitos de continuidad seguridad de la informaci\u00f3n. En tales casos, la continuidad de los procesos, procedimientos y controles para la seguridad de la informaci\u00f3n debe ser revisada en contra de estos requisitos que han cambiado.<\/p>\n
Las organizaciones deben verificar su informaci\u00f3n de gesti\u00f3n de la continuidad para la revisi\u00f3n de la validez y eficacia de las medidas de continuidad de seguridad de la informaci\u00f3n, cuando los sistemas de informaci\u00f3n, procesos de seguridad de la informaci\u00f3n, procedimientos y controles o procedimientos de gesti\u00f3n de recuperaci\u00f3n de gesti\u00f3n \/ desastre de continuidad de negocio y soluciones cambian.<\/p>\n
REDUNDANCIAS.<\/p>\n
ART\u00cdCULO 95.- Las organizaciones deben identificar los requisitos para la disponibilidad de los sistemas de informaci\u00f3n. Cuando la disponibilidad no puede ser garantizada mediante la arquitectura de los sistemas existentes, componentes o arquitecturas redundantes deben ser considerados.<\/p>\n
Los sistemas de informaci\u00f3n redundantes deben ser probados para asegurar la conmutaci\u00f3n por error de un componente a otro seg\u00fan lo previsto.<\/p>\n
SECCI\u00d3N XIII<\/p>\n
RELACI\u00d3N CON OTRAS PARTES INTERESADAS.<\/p>\n
ECOSISTEMA.<\/p>\n
ART\u00cdCULO 96.- Las partes interesadas (mercados, proveedores de servicio y cualquier otra organizaci\u00f3n asociada) conforman un ecosistema, con sistemas interconectados y objetivos en com\u00fan. Con esta premisa, los objetivos de negocio de cada una de las partes deben estar alineados a poder cumplir con los tiempos de recuperaci\u00f3n establecidos para el ecosistema en conjunto.<\/p>\n
CANAL DE CONTACTO.<\/p>\n
ART\u00cdCULO 97.- Las partes interesadas deben definir un canal de contacto que permita comunicar de forma fehaciente e inmediata cualquier mensaje que las mismas consideren de relevancia.<\/p>\n
DOCUMENTACI\u00d3N DE INTERCONEXIONES.<\/p>\n
ART\u00cdCULO 98.- Las partes interesadas deben identificar e inventariar todos los componentes, servicios y sistemas asociados a la plataforma de interconexi\u00f3n. Este inventario debe ser revisado y actualizado al menos una vez por a\u00f1o, o cada vez que la organizaci\u00f3n lo considere necesario.<\/p>\n
IDENTIFICACI\u00d3N DE RIESGOS.<\/p>\n
ART\u00cdCULO 99.- Las partes interesadas deben identificar los riesgos inherentes asociados a cada uno de los componentes que componen el inventario mencionado en el art\u00edculo anterior, o que puedan derivar de incidentes ocurridos en plataformas externas.<\/p>\n
PRUEBAS CONJUNTAS.<\/p>\n
ART\u00cdCULO 100.- Se deben realizar pruebas en conjunto, y si existiera conflicto de intereses, el ente regulador debe intervenir para arbitrar, supervisar o dar consistencia a los objetivos buscados.<\/p>\n
AMBIENTE DE PRUEBAS.<\/p>\n
ART\u00cdCULO 101.- Las partes interesadas deber\u00e1n tener disponibles ambientes de pruebas funcionalmente equivalentes a los ambientes productivos, que permitan validar el correcto funcionamiento de eventuales cambios en forma previa a la puesta en producci\u00f3n de los mismos.<\/p>\n
CONTROL DE CAMBIOS.<\/p>\n
ART\u00cdCULO 102.- En caso de que se planifique o detecte un cambio en las plataformas y servicios de uso compartido o asociadas a la interconexi\u00f3n, la organizaci\u00f3n responsable debe enviar un aviso a todo el ecosistema en tiempo y forma, a fin de permitirle al resto de las entidades realizar las adecuaciones y pruebas necesarias, utilizando el canal de contacto definido.<\/p>\n
ACUERDOS DE INTERCAMBIO DE INFORMACI\u00d3N.<\/p>\n
ART\u00cdCULO 103.- Todo sistema o servicio que represente una plataforma de interconexi\u00f3n debe estar respaldado por un acuerdo de intercambio de informaci\u00f3n que contemple las acciones a tomar en caso de incidentes que atenten contra la confidencialidad, integridad o disponibilidad de la informaci\u00f3n afectada.<\/p>\n
DETECCI\u00d3N DE VULNERABILIDADES.<\/p>\n
ART\u00cdCULO 104.- En el caso de que alguna de las partes interesadas detecte una amenaza o situaci\u00f3n que pueda afectar a la integridad, disponibilidad o confidencialidad de la informaci\u00f3n en la plataforma de interconexi\u00f3n, deber\u00e1 dar un aviso al ente regulador, utilizando el canal de contacto establecido anteriormente.<\/p>\n
RESPUESTAS ANTE INCIDENTES.<\/p>\n
ART\u00cdCULO 105.- En caso de ocurrencia de incidentes, las partes interesadas involucradas deben colaborar solidariamente brindando informaci\u00f3n que pueda servir para tareas forenses.<\/p>\n
SINCRONIZACI\u00d3N DE RELOJES.<\/p>\n
ART\u00cdCULO 106.- Se debe definir un servicio de sincronizaci\u00f3n de relojes, utilizando servidores NTP reconocidos en el mercado, a fin de lograr la sincronizaci\u00f3n exacta de todos tiempos y relojes cr\u00edticos utilizados para la interconexi\u00f3n\u201d.<\/p>\n
ART\u00cdCULO 3\u00b0.- La presente Resoluci\u00f3n General entrar\u00e1 en vigencia a partir del d\u00eda siguiente al de su publicaci\u00f3n en el Bolet\u00edn Oficial de la Rep\u00fablica Argentina.<\/p>\n
ART\u00cdCULO 4\u00b0.- Reg\u00edstrese, comun\u00edquese, publ\u00edquese, dese a la Direcci\u00f3n Nacional del Registro Oficial, incorp\u00f3rese al sitio web del Organismo en www.cnv.gob.ar, agr\u00e9guese al texto de las NORMAS (N.T. 2013 y mod.) y arch\u00edvese. \u2014 Patricia Noemi Boedo, Vicepresidenta. \u2014 Carlos Martin Hourbeigt, Director. \u2014 Martin Jose Gavito, Director.<\/p>\n
e. 29\/08\/2017 N\u00b0 62164\/17 v. 29\/08\/2017<\/p>\n
Fecha de publicaci\u00f3n 29\/08\/2017<\/p>\n
<\/p>\n
Por Marcelo Lozano – General Publisher IT CONNECT LATAM<\/p>\n
Lea m\u00e1s sobre Ciberseguridad en;<\/p>\n
Deepfakes: la amenaza creciente para las organizaciones del siglo 21<\/a><\/p>\n
PyMEs 2023: as\u00ed cazan los estafadores a los emprendedores<\/a><\/p>\n
Traceable AI anuncia la 1ra arquitectura de referencia de seguridad de API<\/a><\/p>\n
- Mejora de la gesti\u00f3n de claves:<\/strong> Implementar una estrategia s\u00f3lida de gesti\u00f3n de claves que cumpla con las mejores pr\u00e1cticas de seguridad. Esto implica almacenar las claves en entornos seguros y separados, realizar rotaciones peri\u00f3dicas de claves, y aplicar pol\u00edticas de acceso y control estrictas.<\/li>\n
- Auditor\u00eda de seguridad:<\/strong> Realizar una auditor\u00eda exhaustiva de los sistemas de la CNV para evaluar la magnitud del incidente y determinar el alcance de la filtraci\u00f3n de datos.<\/li>\n