Embed Size (px)
DESCRIPTION
Beacon Software ayuda a resolver las exigencias de la Normativa de Tecnología de la Información emitida por Sudeban.
Citation preview
Soluciones para estar conforme a la normativa de
Tecnología de la Información, Servicios financieros
desmaterializados, Banca electrónica, virtual y en línea,
emitida por SUDEBAN.
Capítulo I: Políticas de Seguridad de los activos informáticos
• Articulo 38: El Ente supervisado debe administrar adecuadamente la seguridad lógica de los recursos de Tecnología de la Información, incluso aquellos que sean administrados o custodiados por terceros. En consecuencia deberá establecer, formalizar e informar las políticas y procedimientos que permitan identificar, autenticar y autorizar el acceso a los sistemas de información, operativos y de base de datos.
De igual forma, deberán incluir entre sus políticas y procedimientos aquellos que permitan hacer un seguimiento a las transacciones operaciones que sean ejecutadas sobre los activos informáticos.
• Articulo 39: En la estructura organizacional del Ente supervisado, debe
existir un área de seguridad de la información independiente de las unidades de Tecnología de la Información, Auditoria de Sistemas y Riesgos, estableciéndose como mínimo las siguientes funciones:
Capítulo I: Políticas de Seguridad de los activos informáticos
– Definir y mantener actualizadas las políticas de seguridad de la información.– Aplicar y asegurar el cumplimiento de las políticas de seguridad de la información
definidas.– Administrar el acceso a los sistemas operativos, bases de datos, aplicaciones,
cortafuego, enrutadores, proxys, equipos computacionales y de telecomunicaciones empleados por el Ente supervisado, incluyendo aquellos administrados y custodiados por terceros.
– Monitorear los procesos de control de cambio y pases a producción de los sistemas y aplicaciones productivas.
– Realizar el control y seguimiento continuo a los accesos efectuados a los activos de información.
– Establecer políticas, normas y procedimientos que regulen, controlen y aseguren el seguimiento continuo de la utilización del correo electrónico e Internet y todas aquellas transacciones que son ejecutadas a través de los diferentes canales electrónicos empleados por los clientes.
¿ Como podemos ayudarlos?
Reporter
Active Roles
Intrust
Archive Manager
MessageStats
Intrust for AD
Servicios de Consultoría
ReporterSolución para solventar las exigencias de los artículos 106.i y 129.h
• Reporter cubre lo exigido en el articulo 106.i que dice “Verificar periódicamente y cancelar las cuentas de usuarios redundantes o egresados de la institución”.
• Igualmente se cubre el articulo 129.h “Revisión periódica de la infraestructura y políticas de seguridad de la institución con el fin de optimizar las mismas basadas en la propia experiencia de la institución y sus cambios tecnológicos”.
ReporterSolución para solventar la exigencia del articulo 39.b
• Recolección automatizada de datos de auditoría de Windows y Active Directory
• Capacidad de realizar cambios automáticos y masivos en objetos de AD a partir de la información generada por los reportes de auditoría
• Recolección automatizada de permisos de usuarios otorgados en file shares, drives NTFS y a nivel de archivo
• Recolección automatizada de información de computadoras a través de lectura remota de información de WMI y Registry
• Capacidad de identificación de cambios en la infraestructura de AD y Windows
• Generación de reportes en formatos PDF, Excel, HTML y CSV files
• Personalización de los reportes predefinidos para facilitar el cumplimento de regulaciones internas o externas
Quest Reporter
Articulo 49 de la normativa 251 de SUDEBAN
• Articulo 49: Se deben mantener activos los registros o pistas de auditoria generadas por las aplicaciones y sistemas de misión critica, particularmente en aquellos casos en los cuales exista modificación o alteración de la información almacenada en la base de datos productivas. De igual forma, deberán asegurar el almacenamiento de los mencionados registros por un periodo de un (1) año.
Por otra parte, las pistas de auditoria deberán ser revisadas por el área de seguridad de la información y auditoria de sistemas, para lo cual será necesario generar informes que reflejen posibles brechas o vulnerabilidades identificadas. Estos informes deberán generarse anualmente y deben ser entregados a esta Superintendencia, cuando así sea requerido.
Intrust ServerSolución para solventar la exigencia del artículo 49
• Solución empresarial de administración y análisis de logs para ambientes heterogéneos y con múltiples sitios geográficos
• Recolección y consolidación de logs en repositorio para almacenamiento a largo plazo
• Análisis detallado de logs recolectados y generación automática de reportes del resultado de este análisis
• Monitoreo en tiempo real de eventos críticos de seguridad
• Respuestas automáticas a eventos críticos de seguridad• Capacidad de correlación de eventos• Capacidad de búsqueda en información histórica de logs
Intrust ServerSolución para solventar la exigencia del articulo 49
InTrust Plug-in for Active DirectorySolución para solventar la exigencia del articulo 49
• Capacidad de auditar todos los cambios a objetos de AD• Auditoría detallada de cambios en GPOs y zonas DNS• Capacidad de auditar desde que equipo fue realizado el cambio a
objetos de AD• Protección granular de objetos de AD para prevenir borrado o
modificaciones de los mismos• Monitoreo en tiempo real de cambios a la seguridad de AD• Protección de GPOs • Auditoria de cambios a roles FSMO en DCs de AD• Reportes preconfigurados para visualizar rapida y facilmente los
cambios efectuados en objetos de AD
InTrust Plug-in for Active Directory
Articulo 42 de la normativa 251 de SUDEBAN
• Articulo 42: Los accesos a los sistemas, aplicaciones o bases de datos deben administrarse a través del uso de perfiles definidos y documentados, los cuales estarán asociados a los cargos, roles o actividades desempeñadas por los usuarios
Las normas y procedimientos establecidos para la asignación de los accesos deben estar debidamente documentados y formalizados
Active Roles ServerSolución para solventar la exigencia del articulo 42
• Delegación de funciones de administración de AD y Exchange basada en roles predefinidos en la herramienta
• Aprovisionamiento/desaprovisionamiento automático de usuarios en AD y Exchange mediante reglas predefinidas
• Delegación de funciones de administración de AD y Exchange con interfaces web y MMC en español
• Interfaz web en español para usuarios de HelpDesk y SelfService
• Auditoria detallada de actividad de administradores de AD, realizada a través de las interfaces MMC o Web
• Procesos programados de revisión de membrecía de usuarios en grupos de seguridad
• Flujo de aprobación de cambios en objetos de AD
Active Roles Server
Articulo 44 de la normativa 251 de SUDEBAN
• Articulo 44: El Ente supervisado debe establecer políticas y procedimientos para regular, controlar y monitorear la utilización y acceso al correo electrónico e internet, así como, a los enrutadores, cortafuego(firewall) y Proxys. De igual forma, deberá generar reportes de auditoria sobre intentos de violaciones a las redes o equipos, detección de posibles delitos informáticos que atentan contra la confidencialidad de los clientes, uso de utilitarios sensitivos y las actividades de los usuarios con atributos de administración y accesos especiales
MessageStats Solución para solventar la exigencia del artículo 44
• Recolección y análisis de tracking logs de Exchange 5.5, Exchange 2000, Exchange 2003 y Exchange 2007
• Capacidad de auditar la actividad de envío y recepción de mensajes de correo electrónico de un usuario
• Capacidad de auditar que usuarios de la organización envían o reciben mensajes de correo de dominios no relacionados con la compañía
• Identificación de los usuarios de correo mas activos de la organización
• Identificación de usuarios que hayan recibido o enviado cierto tipo de mensajes
• Información de utilización del servicio de Outlook Web Access
MessageStats Solución para solventar la exigencia del artículo 44
Archive Manager Solución para solventar la exigencia del artículo 44
• Captura de todos los mensajes e-mail que entran y salen de la compañía y todos los mensajes que intercambian internamente los usuarios
• Almacenamiento de los mensajes de email capturados como una sola única instancia de mensaje en el storage de archiving para ahorro de espacio
• Capacidad de auditar los accesos al storage de archiving para visualizar que persona y en que fecha ha accedido para visualizar mensajes
• Almacenamiento seguro de la información almacenada en el storage de Archive
• Capacidad de busqueda de mensajes almacenados en el archivo bajo diferentes criterios de búsqueda
Archive Manager Solución para solventar la exigencia del artículo 44
Herramientas de Quest + Consultoría de Beacon Software
Reporter
Active Roles
Intrust
Archive Manager
MessageStats
Intrust for AD
Normativa de Tecnología de la Información, Servicios financieros
desmaterializados, Banca electrónica, virtual y en línea, emitida por
SUDEBAN
!Gracias!
