Tarea1 Auditoria Informatica Fredymeza 31221380

Trabajo: Tarea #1 Resumen CBNS

Docente: Ing. Mae. Juan Carlos Inestroza

Alumno: Fredy Ariel Meza

Clase: Auditoria Informática

Registro: 31221380

Fecha: 20 octubre de 2017

Índice

Contenido Trabajo: Tarea #1 Resumen CBNS ...................................................................................... 1 Introducción............................................................................................................................... 3 Objetivos..................................................................................................................................... 4 Objetivo General ..................................................................................................................... 4 Objetivos Específicos............................................................................................................. 4 Marco Teórico ........................................................................................................................... 5 Misión ....................................................................................................................................... 8 Visión ........................................................................................................................................ 8 Valores ..................................................................................................................................... 8 Objetivos .................................................................................................................................. 9 Estructura Organizacional ..................................................................................................... 9 Ley de la Comisión Nacional de Bancos y Seguros ..................................................... 10 RESUMEN DE LAS NORMAS PARA REGULAR LA ADMINISTRACIÓN DE LAS TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIONES EN LAS INSTITUCIONES DEL SISTEMA FINANCIERO ................................................................ 15 Análisis y diferencias entre ISO 17799 e ISO 27001 ..................................................... 26 Análisis y diferencias entre COBIT 4.1 e COBIT 5 ......................................................... 29 Análisis y Diferencia entre BS 25999 e ISO 22301 ....................................................... 31 Resumen Controles COSO .................................................................................................. 33 Conclusiones........................................................................................................................... 34 Recomendaciones ................................................................................................................. 34 Link Video de tarea#1 ............................................................................................................ 35 Bibliografía ............................................................................................................................... 35

Introducción El uso de tecnologías de información han tenido un gran incremento a nivel mundial y Honduras no es la excepción, en las diferentes organizaciones sin importar tamaño se maneja información, transacciones vía internet, etc. Uno de los sectores que utiliza mucha tecnología para poder operar es el sector financiero, pensando en este gran incremento en el uso de tecnología es necesario crear normas o leyes que puedan regular el uso de las mismas. El Gobierno de Honduras, por medio de la Secretaría de Estado en el Despacho de Finanzas, solicitó un Crédito de Asistencia Técnica a la Asociación Internacional de Fomento (AIF) para desarrollar en la Comisión Nacional de Bancos y Seguros (CNBS) y el Banco Central de Honduras (BCH) un proyecto para el fortalecimiento del sector financiero, siendo la Unidad Coordinadora del Proyecto (UCP) establecida en la CNBS, la responsable del manejo del mismo. el presente informe se presenta un resumen de las normas para regular la administración de las tecnologías de información y comunicaciones en las instituciones del sistema financiero se contempla la Asistencia Técnica, Bienes, Servicios y Entrenamiento para Reformar el Sistema de Pagos Hondureño que entre otras comprende: a) Formular una estrategia de reforma para el sistema de pagos, la cual ya fue realizada y se encuentra ejecutándose. b) Mejorar la calidad de los pagos actuales del sistema BCH, incluyendo organizar y mejorar las operaciones para la detección de operaciones inusuales.

Objetivos Objetivo General El Objetivo del presente trabajo es realizar un resumen y hacer un análisis de la énfasis de la comisión de banca y seguros CNBS, con la cual se hará mencionar las normativas y artículos sobre cada una, el objetivo esperado es lograr comprender las normativas de banca y seguros y diferenciar las normativas ISO Y COBIT, además se muestra una diferencia entre las ISO 25999 e ISO 22301.

Objetivos Específicos 

Lograr comprender y hacer un análisis del énfasis sobre las normativas de banca y seguros de Honduras.



Comprender los artículos de la normativa en la cual se hará un comentario.



Diferenciar y hacer un análisis comparativo de las normativas ISO y COBIT.

Marco Teórico La inspección y vigilancia bancaria en Honduras se inicia con la emisión del Decreto No. 80 del 11 de marzo de 1937, que contiene la primera ley para establecimientos bancarios. La Secretaría de Hacienda fue la encargada de dicha vigilancia, por intermedio del Departamento de Vigilancia Bancaria.

En 1950, se establece la legislación bancaria, mercantil y tributaria, mediante la creación de los Bancos Estatales, el Código de Comercio y la Ley del Impuesto Sobre la Renta, se crearon asimismo las bases del desarrollo de las instituciones financieras, mercantiles y tributarias. En la legislación referida se traslada la vigilancia bancaria al Banco Central de Honduras (BCH), el cual crea la Superintendencia de Bancos como una unidad dentro de su estructura organizacional.

En 1958, el Congreso Nacional emitió el Decreto No. 26, mediante el cual, las funciones de vigilancia y control de las instituciones bancarias, son asignadas a la Secretaría de Economía y Hacienda y la Superintendencia de Bancos pasa a depender de esta Secretaría. Sin embargo, mediante la emisión del Decreto No. 102, en 1959, la Superintendencia de Bancos regresa legalmente al Banco Central de Honduras (BCH).

En el año de 1995, se emitieron dos importantes leyes para el Sistema Financiero Nacional: la Ley de la Comisión Nacional de Bancos y Seguros y la Ley de Instituciones del Sistema Financiero, posteriormente en el año 2004 se deroga la última con la aprobación y vigencia de la Ley del Sistema Financiero que tiene como objetivo regular la organización, autorización, constitución, funcionamiento, fusión, conversión, modificación, liquidación y supervisión de las instituciones del sistema financiero y grupos financieros.

El 10 de junio de 1996, el Sr. Presidente Constitucional de la República, Doctor Carlos Roberto Reina, instaló oficial y solemnemente, la Comisión Nacional de Bancos y Seguros (CNBS), nombrando a los primeros Comisionados de esta entidad, mediante acuerdo No. 0010 del 8 de enero de 1996.

La Comisión Nacional de Banca y Seguros, CNBS, es la entidad encargada de la supervisión, inspección y vigilancia de la actividad bancaria, de seguros, previsionales, de valores y demás relacionadas con el manejo, aprovechamiento e inversión de los recursos captados del público. Sus principales funciones son:



Mantener el sistema supervisado con niveles de solvencia de acuerdo a la normativa vigente, asegurando que las instituciones gestionen todos sus riesgos con base en las sanas prácticas, revelación y transparencia de su información y den cumplimiento al marco legal aplicable para salvaguardar su estabilidad y velar por el interés público.



Velar por la transparencia, el respeto al derecho de los usuarios financieros, y la promoción de la cultura financiera en la ciudadanía.



Crear un entorno favorable para la inclusión financiera de las mayorías.



Fortalecer en el sistema supervisado la prevención del delito de Lavado de Activos y Financiamiento al Terrorismo.



Promover la consolidación y solvencia del Sistema de Seguridad Social para mejorar sus índices de inclusión y calidad de los beneficios y servicios que se ofrecen en el País, en el marco del Plan de Nación y Visión de País.

La CNBS ha venido siendo cuestionada. Se le acusa de estar altamente politizada ya que sus comisionados han sido nombrados directamente por el presidente de la República o del Congreso Nacional, sin realizarse un concurso competitivo. Los nombrados no tienen la experiencia y los conocimientos requeridos por lo que las decisiones que toman no son tan colegiadas. Gran parte del presupuesto destinado a la planilla de empleados es pagado por los propios bancos, lo que introduce una práctica poco trasparente. Ha sido muy vulnerable a la influencia de actores externos como los OFIs y la Embajada Americana cuando se trata de aplicar las regulaciones y sanciones establecidas a los miembros del sistema, o aprobación de decretos y normas. Pero, ante todo, es fácilmente influenciada por grupos y poderes fácticos ligados al negocio bancario.

En la actualidad, los cuestionamientos son por el manejo del caso Rosenthal. En primer lugar por la forma cómo actuó sin medir consecuencias e impactos negativos en la economía y empleados; más aún en la sociedad como tal con el cierre de Diario Tiempo, el diario de Honduras, sin vela en el entierro del banco y empacadora continental. En segundo lugar, por lo poco trasparente del proceso liquidador donde ya se sabe quiénes son los beneficiarios de los activos y manejo de cartera de dicho banco; lo correcta después del trueno, era abrir un proceso competitivo donde participen otras instituciones de la región para minimizar el impacto en el fondo de depósitos y recursos adicionales del Estado. El tercero por desechar de entrada una propuesta de la familia para el cierre voluntario del banco (cubrimiento de cuota obligatoria para operar) y las empresas no involucradas ni denuncias por los “gringos” en el lavado de activos del narcotráfico.

En un comunicado de la CNBS se explica que los activos extranjeros del Banco Continental fueron congelados, “con lo cual el índice de adecuación de capital de la Entidad pasó del 11.6% que reportó el Banco a 5.2% y puso a la Institución en una de las causales de liquidación forzosa, asimismo, le fueron cancelados los medios de pago electrónico, entre otros. Para el lunes 12 de octubre de 2015 al Banco le fue comunicado que no se le aceptará participar en la cámara de compensación lo cual implica una imposibilidad de seguir operando en el sistema de pagos nacional e internacional.” El banco dejó de operar porque todos los negocios y transacciones fueron prohibidos por EEUU.

En defensa de la CNBS destaca el hecho que ya se había comunicado y multado al Banco Continental por prácticas no transparentes en el manejo de transacciones bancarias; pero sigue latente su falta de previsión del riesgo que implica para el país una resolución de este tipo cuando ya existen demandas

por mal procedimiento en la expropiación de bienes y empresas, algunas de las cuales tienen toda la documentación en regla y deberán ser devueltas.

Misión Somos la institución que por mandato constitucional tiene la responsabilidad de velar por la estabilidad y solvencia de los sistemas financieros y demás supervisados, su regulación, supervisión y control. Asimismo, vigilamos la transparencia y que se respeten los derechos de los usuarios financieros, así como coadyuvamos con el sistema de prevención y detección lavado activo y financiamiento al terrorismo, y contribuimos a promover la educación e inclusión financiera, a fin de salvaguardar el interés público.

Visión Ser una entidad referente de regulación y supervisión a nivel centroamericano, que aplica estándares y las mejores prácticas internacionales, apoyada en las competencias de su talento humano.

Valores Integridad: Actuación sustentada en la honradez, prudencia, entereza, rectitud y firmeza. Responsabilidad: Ejecución de la labor realizada con profesionalismo, diligencia e independencia en procura de lograr las metas y objetivos en los tiempos determinados. Transparencia: Amplia difusión de información sobre nuestras actuaciones. Rendición de cuentas ante la sociedad. Lealtad: Actuar con fidelidad y rectitud hacia la CNBS y compañeros de trabajo, y hacia la sociedad. Confidencialidad: Actuar con discreción en el manejo y divulgación de información y hechos conocidos en el ejercicio de nuestras funciones. Honestidad: Actuar con sinceridad y tener conducta íntegra con nosotros mismos y hacia otras personas. Prudencia: Actuar con buen juicio, cautela y en forma moderada. Responsabilidad Social: El compromiso con la Responsabilidad Social es trabajar por el prójimo es trabajar por Honduras.

Objetivos 

Mantener el sistema supervisado con niveles de solvencia de acuerdo a la normativa vigente, asegurando que las instituciones gestionen todos sus riesgos con base en las sanas prácticas, revelación y transparencia de su información y den cumplimiento al marco legal aplicable para salvaguardar su estabilidad y velar por el interés público.



Velar por la transparencia, el respeto al derecho de los usuarios financieros, y la promoción de la cultura financiera en la ciudadanía.



Crear un entorno favorable para la inclusión financiera de las mayorías.



Promover la consolidación y solvencia del Sistema de Seguridad Social para mejorar sus índices de inclusión y calidad de los beneficios y servicios que se ofrecen en el País, en el marco del Plan de Nación y Visión de País.

Estructura Organizacional

Ley de la Comisión Nacional de Bancos y Seguros 1.- La presente ley tiene por objeto regular la Comisión Nacional de Bancos y Seguros, en adelante denominada la Comisión, creada por el Artículo 245, atribución 31, de la constitución de la República. La Comisión es una entidad desconcentrada de la Presidencia de la República, adscrita al Banco Central de Honduras, respecto del cual funcionará con absoluta independencia técnica, administrativa y presupuestaria. Artículo 2.- La Comisión estará integrada por tres miembros propietarios y dos suplentes nombrados por el Presidente de la República, a través de la Secretaría de Finanzas. Artículo 3.-Para ser miembro de la Comisión se requiere ser hondureño, mayor de treinta años, estar en el libre ejercicio de los derechos civiles, ostentar título profesional de nivel universitario, de reconocida honorabilidad, competencia y notoria experiencia en asuntos bancarios, de seguros, financieros de auditoría o legales. Artículo 4.- No podrán ser miembros de la Comisión quienes: a) Tengan cuentas pendientes con el Estado; b) Sean directa o indirectamente contratistas o concesionarios del Estado; c) Sean miembros de las juntas directivas de los partidos políticos o desempeñen cargos o empleos públicos remunerados o de elección popular, excepto de carácter docente, cultural y los relacionados con los servicios profesionales y de asistencia social. Artículo 5.- Todo acto, resolución u omisión de los miembros de la Comisión que contravenga dispociones legales o reglamentarias hará incurrir en responsabilidad personal y solidaria para con la Comisión, el Estado o terceros a todos los miembros presentes en la sesión respectiva, salvo a aquellos que hubieren hecho constar su voto contrario en el acta correspondiente. Artículo 6.- La Comisión, basada en normas y prácticas internacionales, ejercerá por medio de la Superintendencia la supervisión, vigilancia y control de las instituciones bancarias públicas y privadas, aseguradoras, reaseguradoras, sociedades financieras, asociaciones de ahorro y préstamo, almacenes generales de depósito, bolsas de valores, puestos o casas de bolsa, casas de cambio, fondos de pensiones e institutos de previsión, administradoras públicas y privadas de pensiones y jubilaciones y cualesquiera otras que cumplan funciones análogas a las señaladas en el presente artículo. Artículo 7.- Los miembros de la Comisión tendrán el carácter de funcionarios públicos, durarán (4) años en el ejercicio de sus funciones y podrán ser nombrados para nuevos períodos. Desempeñarán sus actividades a tiempo completo y no podrán ocupar otro cargo, remunerado o ad-honorem, excepto los de carácter docente, cultural y los relacionados con los servicios profesionales y de asistencia social.

Artículo 8.- Para el cumplimiento de sus cometidos los miembros de la Comisión deberán reunirse en sesión. Las sesiones podrán ser ordinarias o extraordinarias y se celebrarán con la periodicidad que determine el Reglamento Interno de aquélla. 9.- Las sesiones de la Comisión serán dirigidas por el miembro de la misma que el titular del poder ejecutivo haya designado como su presidente. Artículo 10.- Cuando un miembro de la Comisión tuviere interés personal en cualquier asunto que deba discutirse o resolverse por la misma o lo tuviese su cónyuge, sus parientes dentro del cuarto grado de consanguinidad o segundo de afinidad, o sus socios en cualquier tipo de empresa, deberá retirarse de la sesión desde la presentación hasta la conclusión del correspondiente asunto. Del retiro deberá dejarse constancia en acta. Artículo 11.- Los miembros de la Comisión y los funcionarios y empleados de ésta que divulguen en forma indebida cualquier información sobre los asuntos que aquélla maneje y que se aprovechen de la misma para fines personales o en daño de la entidad, del Estado o de terceros, incurrirán en responsabilidad civil y penal. Artículo 12.- Los miembros de la Comisión cesarán en sus funciones en cualquiera de las circunstancias siguientes: a) Por caso de muerte; b) Por renuncia; c) Por remoción hecha por el Presidente de la República en caso de violación a la presente ley. Artículo 13.- A la Comisión le corresponderá: 1) Revisar, verificar, controlar, vigilar y fiscalizar las instituciones supervisadas; 2) Dictar las normas que se requieran para el cumplimiento de los cometidos previstos en el numeral anterior, lo mismo que las normas prudenciales que deberán cumplir las instituciones supervisadas, para lo cual se basará en la legislación vigente y en los acuerdos y prácticas internacionales Artículo 14.- Asimismo, son atribuciones de la Comisión: 1) Poner en conocimiento de los directores o administradores de las instituciones supervisadas las irregularidades que hubiese comprobado y exigirles, en su caso, el cumplimiento de las disposiciones legales y reglamentarias aplicables a las mismas, así como las resoluciones que haya dictado el Banco Central de Honduras o la propia Comisión, y deducir las responsabilidades que en derecho sean procedentes. Artículo 15.- Los miembros de la Comisión y los funcionarios y empleados de la misma guardarán la más estricta reserva sobre los papeles, documentos e informaciones de las instituciones supervisadas que sean de su conocimiento y serán responsables por los daños y perjuicios que ocasione la revelación de los mismos.

Artículo 16.- Las Superintendencias serán los órganos técnicos especializados por medio de los cuales la Comisión cumplirá, en lo pertinente, sus cometidos. Estará conformada por los Superintendentes, por los funcionarios y empleados que sean necesarios para su adecuado funcionamiento. Artículo 17.- Para ser Superintendente deberán cumplirse los mismos requisitos que para ser miembro de la Comisión. Artículo 18.- Los superintendentes y demás funcionarios de la Comisión estarán sujetos a las mismas incompatibilidades y prohibiciones que los miembros de ésta. Artículo 19.- El personal de la Superintendencia será seleccionado por el Superintendente conforme a las normas que al respecto dicte la Comisión. Dicho personal deberá contar con conocimientos y experiencia en contabilidad, auditoría, prácticas bancarias, de seguros y otras materias relacionadas con las funciones de la Comisión. Artículo 20.- La Comisión, los superintendentes, los funcionarios y empleados de aquélla ejercerán sus funciones con la mayor diligencia y dedicarán toda su actividad profesional al desempeño de su cargo. No podrán, en consecuencia, desempeñar otras funciones remuneradas o no, excepto las de carácter docente, cultural y las relacionadas con los servicios profesionales y de asistencia social. Artículo 21.- Siempre que la Superintendencia, dentro del ámbito de sus funciones, estime que un acto es constitutivo de delito, lo hará del conocimiento de la comisión y ésta, a su vez, de la autoridad competente. Artículo 22.- Las funciones de fiscalización y vigilancia de las operaciones presupuestarias propias de la Comisión estarán a cargo de un auditor interno que será nombrado por la Contraloría General de la República. Artículo 23.- Quien haya sido funcionario o empleado de la Comisión no podrá gestionar ante ésta, directa o indirectamente, a título personal o en representación de terceros, asuntos que estuvieron a su cargo. Artículo 24.- Los funcionarios y empleados de la Comisión que incumplan los deberes estatuidos en esta Ley y en el reglamento que al respecto emita la Comisión, que abusen de sus derechos o violen las prohibiciones establecidas, serán objeto de las sanciones disciplinarias correspondientes. Estas acciones serán independientes de la responsabilidad civil o penal que el acto sancionado pueda originar. Artículo 25.- Los funcionarios y empleados de la Comisión gozarán de los derechos que señale la Ley de la Carrera Administrativa.

Artículo 26.- La Comisión, a través de la Superintendencia, podrá inspeccionar y revisar las operaciones de todas las instituciones supervisadas tan frecuentemente como lo crea necesario y sin previo aviso. También podrá practicar evaluaciones, revisiones especiales o auditorías preventivas cuando lo considere oportuno. Artículo 27.- Conforme a las instituciones generales que la Superintendencia comunique a las instituciones supervisadas, éstas deberán presentar, dentro de los primeros diez días de cada mes, los estados financieros e informes detallados de sus operaciones correspondientes al mes anterior. Estarán, asimismo, obligadas a proporcionar cualesquiera otros datos e informaciones periódicas u ocasionales que les soliciten la Comisión o el Banco Central de Honduras para el cumplimiento de sus cometidos. Artículo 28.- La Comisión, por medio de la Superintendencia, podrá tomar declaración, dentro de la ley, a cualquier persona que tenga conocimiento de algún hecho que se quiera aclarar en relación con alguna operación de las realizadas por las instituciones supervisadas. Artículo 29.- La Comisión, tomando en cuenta las normas y prácticas internacionales, determinará en qué casos y qué personas naturales o jurídicas tienen el carácter de relacionadas a la propiedad o gestión ejecutiva de una institución supervisada, atendiendo a las particulares características de los créditos, de las sociedades o de las personas prestatarias. Artículo 30.- La Comisión podrá ordenar en cualquier tiempo, a las instituciones supervisadas, la sustitución de directores, si ha comprobado que su elección o nombramiento se hizo con violación de lo establecido en las leyes, reglamentos o estatutos. La institución de que se trate procederá a revocar sin tardanza la elección o nombramiento y notificará de ello a la Comisión, con indicación del nombre del o los sustituidos. Artículo 31.- La Comisión, a través de la Superintendencia, podrá exigir la eliminación de partidas que no representen valores reales en los estados financieros. Establecerá, igualmente, los controles internos mínimos y las reglas de contabilidad que deberán aplicarse, pudiendo las instituciones escoger libremente los métodos accesorios, siempre que sean compatibles con dichas reglas y permitan apreciar fácilmente la verdadera situación financiera de la institución. Artículo 32.- Las instituciones supervisadas estarán obligadas a publicar, de conformidad con las normas establecidas por la Comisión, los balances y estados de pérdidas y ganancias al cierre de cada ejercicio con sus respectivas notas complementarias y dictamen del auditor externo. Dicha publicación se hará en dos de los diarios de mayor circulación en el país.

Artículo 33.- Las sucursales de las instituciones financieras extranjeras que operen en el país presentarán a la Comisión, una vez al año, por lo menos, los estados financieros de la casa matriz dictaminados por auditores externos, así como el informe anual de aquéllas que muestre las operaciones consolidadas que haya llevado a cabo con la casa matriz. Artículo 34.- El presupuesto de la Comisión será formulado por ésta y sometido a la aprobación del Congreso Nacional por los conductos legales correspondientes. Artículo 35.- El ejercicio económico de la Comisión corresponderá con el año civil. Los excedentes de un ejercicio presupuestario servirán para el financiamiento del ejercicio próximo. Artículo 36.- Los asuntos de que conozca la Comisión que no sean de naturaleza estrictamente bancaria o mercantil, se tramitarán de acuerdo con lo prescrito por la Ley de Procedimiento Administrativo y, supletoriamente, por el Código de Procedimientos Civiles. Artículo 37.- El ejercicio financiero de las instituciones supervisadas corresponderá año civil. Artículo 38.- Las comunicaciones dirigidas por la Comisión a las instituciones supervisadas, así como los informes de las inspecciones realizadas, serán sometidas al conocimiento del Consejo de Administración o Junta Directiva correspondiente, de lo cual se dejará constancia en acta. Quien incumpla esta disposición será sancionado de acuerdo con lo previsto en la Ley de Instituciones del Sistema Financiero, en lo que corresponda. Artículo 39.- El personal que a la fecha de entrar en vigencia la presente ley se encuentre al servicio del Departamento de Superintendencia de Bancos del Banco Central de Honduras continuará desempeñando sus funciones en la misma hasta que, dentro de los seis (6) meses siguientes a la fecha indicada, la Comisión inicie sus actividades. Artículo 40.- Los miembros de la Comisión serán nombrados a partir de la fecha en que entre en vigencia la presente ley y durante el plazo señalado en el Artículo anterior adoptarán las medidas que sean necesarias para asegurar la organización y adecuado funcionamiento de aquélla. Artículo 41.- El Banco Central de Honduras y la Comisión establecerán los mecanismos de coordinación, armonización y comunicación para el cumplimiento de sus objetivos. Artículo 42.- La presente Ley entrará en vigencia veinte (20) días después de su publicación en el Diario Oficial LA GACETA y desde esa fecha quedarán derogados los Artículos 59, 60, 61, 62 y 64 de la Ley del Banco Central de Honduras y todas las demás disposiciones legales que se le opongan.

RESUMEN DE LAS NORMAS PARA REGULAR LA ADMINISTRACIÓN DE LAS TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIONES EN LAS INSTITUCIONES DEL SISTEMA FINANCIERO Artículo Resumen 1.- Objeto Las normas tienen por objeto regular la administración de las tecnologías de información y comunicaciones utilizadas por el sistema financiero, para que las organizaciones presten la debida importancia a la administración del riesgo de derivado de los sistemas de información. 2.- Alcance Las normas están basadas en estándares internacionales como ISO/IEC 17799:2000, que constituyen una guía general para la documentación formal y la implementación de la seguridad en las tecnologías de información. 3.- Definiciones Contiene exactamente 23 definiciones de diferentes términos utilizados comúnmente entre personas que trabajan en el área de TI. En pocas palabras lenguaje técnico. Por ejemplo, Servidor: Computadora que presta servicios de red a los usuarios de la misma. Estos servicios pueden ser bases de datos, impresión, antivirus, correo electrónico, aplicaciones, etc. 4.- Políticas de administración Manda a tener al menos una reunión anual a la junta o consejo, para revisar las políticas de administración de tecnología y administración de la seguridad de la información y discutir al menos 4 veces al año los informes con la Gerencia. 5.- Políticas de las Tecnologías de Hace referencia a que las políticas Información y Comunicaciones mencionadas en el artículo 4 deberían incluir temas como: a) Seguridad de la información incluyendo algunos términos como Uso de internet, correo electrónico, antivirus entre otros. b) Procesos de respaldo y recuperación en caso de un desastre, fallas u otro imprevisto. c) Tercerización (outsourcing); d) Mantenimiento y desarrollo de sistemas; y, e) Documentación de todos los procesos que se desarrollan en el área de TIC.

6.Nombramiento Especializado

de

Ejecutivo La Gerencia General deberá nombrar un ejecutivo especializado, responsable de todos los asuntos relacionados con las tecnologías de la información. Esta persona debe tener conocimiento en las diferentes áreas del departamento de TI. La unidad responsable de administrar los aspectos tecnológicos y de seguridad de la información deberá contar con el manual de puestos para el personal de TIC, deberá estructurar un programa de capacitación de acuerdo con las prioridades de la administración, que permita maximizar las contribuciones que brinde el personal del área de TIC.

7.- Unidad Responsable

8.- Establecimiento de Estrategias

Políticas

9.- Procedimientos Formales

10.- Mantenimiento de Registros

11.- Período de Resguardo

12.- Mantenimiento de Bitácoras

y La Gerencia General deberá definir y proponer a la Junta o Consejo. El Administrador de Seguridad Informática deberá proponer a la Gerencia General las políticas y estrategias correspondientes. La institución deberá desarrollar, implementar, actualizar y documentar procedimientos formales en relación a la planeación, organización, adquisición, implementación, entrega de servicios por medios tecnológicos, soporte y monitoreo; y deberá ser diligente en su ejecución y divulgación. La institución deberá mantener registros de las auditorías a los sistemas automatizados, basados en un análisis de riesgos, en bitácoras automatizadas registrando los accesos, transacciones y consultas. Estos registros deberán como mínimo identificar la persona, lugar, tiempo y las acciones relacionadas con el aplicativo utilizado. La institución deberá resguardar los registros previstos en el Artículo anterior. El periodo de resguardo será de 5 años para las transacciones y 6 meses para la consulta. La institución, si así lo determina, podrá mantener informados a sus clientes y empleados de la existencia del mantenimiento de bitácoras que registrarán todas las actividades con los sistemas de información de la institución.

13.- Auditoría de Sistemas

La Auditoría Interna de la institución deberá auditar la Tecnología de Información y Comunicación (TIC) a fin de verificar la integridad, disponibilidad y confidencialidad de la información. Basadas en buenas prácticas como COBIT e ISO 17799. 14.- Responsabilidad del Auditor El Auditor Interno será responsable de Interno que, aun en el caso de que la Auditoría de Sistemas sea llevada a cabo por medio de la Tercerización (outsourcing) se cumplan las disposiciones contenidas en las Normas Mínimas para el Funcionamiento de las Unidades de Auditoría Interna de las Instituciones del Sistema Financiero y en las presentes normas. 15.- Factores de Riesgo La institución deberá realizar sus auditorías de sistemas basadas en un análisis de riesgos y cumpliendo las normativas existentes. Se deben tomar en cuenta factores como calidad de la información, niveles de acceso y la sensibilidad de la información entre otros. 16.- Proceso de Auditoría Basada en La institución deberá, conforme a la Riesgos administración y análisis de riesgos, tomar las medidas necesarias para minimizar los impactos negativos en toda su infraestructura de Tecnologías de Información y Comunicaciones. 17.- Administrador de Seguridad La Junta o Consejo deberá nombrar a un Informática Administrador de Seguridad Informática, el cual deberá estar subordinado a la Gerencia General de la institución. Las funciones del administrador de seguridad no deben tener conflictos de interés con el oficial encargado de las TICs. 18.- Perfil de Responsabilidades La Gerencia General de la institución deberá definir las funciones y las responsabilidades del Administrador de Seguridad Informática. Se mencionan el mínimo de funciones del responsable de seguridad informática. 19.- Separación de Ambientes La institución deberá procurar separar físicamente y lógicamente los ambientes de producción, desarrollo y pruebas. 20.- Evaluaciones de Seguridad

Las evaluaciones de seguridad deberán medir la eficiencia de los medios de protección e incluir propuestas para corregir las vulnerabilidades.

21.- Implementación de Cambios

Previo a la implantación de cambios en: el ambiente de producción; los sistemas de alto riesgo definidos por la administración; y los servicios financieros por medios electrónicos, deberá realizarse una evaluación de seguridad. 22.- Otras Pruebas de Seguridad Para evitar conflictos de interés y poder tomar las medidas cautelares correspondientes, las instituciones podrán realizar otras pruebas por entes o profesionales externos. 23.- Informe de Seguridad La Gerencia General, para minimizar los riesgos, deberá implementar las recomendaciones contenidas en el informe de seguridad, y establecer un cronograma de actividades a realizar. 24.- Identificación de Acceso La institución deberá asignar una identificación única y personal de cualquier usuario con acceso al sistema de información, como una condición previa a la autorización de acceso. 25.- Reglas y Procedimientos para La institución deberá determinar las Acceso reglas y el procedimiento para dicha identificación, así como para el otorgamiento de autorizaciones a terceros que accedan a los componentes de la tecnología de información. 26.- Clasificación de Grupos y Las instituciones deberán adoptar una Asignación de Perfiles de Usuarios clasificación de grupos y asignación de perfiles de usuarios internos y externos atendiendo su relación con las unidades internas, procesos y servicios. 27.- Control de Acceso Las instituciones deberán utilizar tecnologías que combinen la identificación y la autenticación del usuario, aplicando las mejores prácticas internacionales. 28.- Tiempo de Expiración La institución deberá fijar el tiempo de expiración de una sesión, cuando iniciada la misma no se hayan ejecutado actividades después de cierto período de tiempo. 29.- Encriptación de Información La institución deberá determinar, de acuerdo a un análisis de riesgos, la necesidad de encriptar la información a ser transmitida y almacenada. 30.- Certificación de la Identidad del La institución deberá tomar las medidas Sitio de Internet necesarias para certificar la identidad del sitio de Internet y evitar posibles imitaciones.

31.- Conexión de Internet

La conexión solo puede darse por parte de los empleados, servicios financieros por medios electrónicos y cualquier otro caso aprobado, con anticipación, por la Comisión. 32.- Operaciones Autorizadas La Gerencia General de la institución deberá determinar las operaciones que sus empleados podrán realizar para la utilización del Internet, así como cumplir con los requerimientos del siguiente Artículo. 33.- Requisitos de Conexión de Para que las estaciones de trabajo de los Internet empleados tengan acceso al Internet deberán estar conectadas únicamente al Internet, o a una red que esté conectada exclusivamente al Internet a través de servidores separados de la red de producción. Con restricción para accesar a información sensitiva. 34.- Resguardo de la Conexión de La conexión de la red de la institución Internet hacia Internet deberá encontrarse asegurada por lo menos con: un antivirus, un filtro de contenido, un Sistema de Detección de Intrusos (IDS) a nivel de red y un firewall. 35.- Contraseñas de Acceso Las instituciones del sistema financiero deberán otorgar a los auditores de sistemas de esta Comisión, estas deben de ser sin restricciones pero solo con derechos de lectura. 36.- Plan de Contingencias La institución deberá mantener un plan de contingencias detallado para recuperar y operar su tecnología de información en los casos de mal funcionamiento y desastres. Se deberán tomar las medidas que aseguren la posibilidad de reconstruir la información, tanto de las copias de respaldo, como de la información retenida en medios que ya no son utilizados. 37.- Principios de Respaldo y La administración de la institución deberá Recuperación reunirse anualmente para discutir los principios de respaldo y recuperación, así como tomar decisiones y documentar detalladamente, con base en un análisis de riesgos, los siguientes temas: Definición de las situaciones de mal funcionamiento, Definición de los procesos vitales del negocio.

38.- Tercerización

La institución podrá contratar con una entidad externa, la realización de las siguientes actividades: la administración, procesamiento y resguardo de las operaciones de información, así como el desarrollo de sus sistemas, servicios de consultoría, patentes y otros servicios relacionados con las TIC. 39.- Contrato Escrito de Tercerización La Tercerización deberá realizarse por medio de un contrato escrito. Con respecto a la Tercerización Significativa, el contrato deberá contener, como mínimo, siete temas que se describen en el artículo. 40.- Servicios y Operaciones de Banca Los servicios y operaciones de banca Electrónica electrónica, permitirán a los clientes obtener información de sus cuentas, realizar operaciones o dar instrucciones para realizar transacciones en su nombre, a través de los sistemas electrónicos conectados al sistema de producción de la institución. 41.- Niveles de Servicios Los servicios de banca electrónica se categorizarán en distintos niveles, e incluirán los servicios de los niveles que les preceden. Incluye cuatro niveles de servicio detallados en el artículo. 42.- Contrato de Prestación de El contrato de servicios de banca Servicios electrónica, deberá ser firmado por el cliente permitiéndole seleccionar el nivel de servicio que requiera. 43.- Revelación de Información El contrato de servicio deberá contener las condiciones, responsabilidades, excepciones y riesgos de la utilización de los servicios que la institución provee a través de su banca electrónica. 44.- Medios de Identificación La institución deberá determinar los medios de identificación para cada cliente que tenga autorización de acceso a los servicios. El medio de identificación deberá incluir como mínimo dos (2) de los siguientes tres (3) requisitos: (1) Algo que conoce el cliente; (2) Algo que le pertenece al cliente; y, (3) Algo que identifique físicamente al cliente (característica biométrica, por ejemplo huella digital, iris del ojo, voz, etc.). 45.- Definición del Perfil de Usuario de El perfil del usuario de banca electrónica Banca Electrónica deberá definirse con los permisos y accesos conforme lo establecido.

46.- Asignación de Contraseña de La contraseña inicial se le otorgará al Acceso cliente en forma personal y ésta será confidencial para terceros. Deberá ser otorgada al cliente en la institución o por cualquier otro canal de comunicación seguro que la institución esté utilizando. 47.- Cambios de Contraseñas La institución deberá realizar los cambios de las contraseñas de los usuarios en los casos siguientes: (1) Inmediatamente después de la primera conexión. El programa deberá pedirle al cliente cambiar su contraseña inicial. (2) Periódicamente, de acuerdo al tiempo definido en la política de seguridad definida por la institución. 48.- Cancelación de Contraseñas de La institución deberá cancelar las Acceso contraseñas de sus usuarios cuando ocurra alguno de los cuatro casos que se detallan en el artículo. Uno de ellos es después de un número de intentos fallidos para entrar al sistema. 49.- Aplicación de Medidas de Control Las disposiciones de esta sección aplican de Banca Electrónica al software de banca electrónica desarrollado por terceros (outsourcing) o internamente por la institución. 50.- Validaciones Las aplicaciones deben efectuar validaciones en todos los campos de entrada ubicados en las formas de las mismas, las validaciones deben incluir como mínimo controles de longitud máxima y mínima permitida, así como caracteres permitidos en los campos. 51.- Proceso de Encriptación El proceso de encriptación de las contraseñas debe realizarse a través de algoritmos de encriptación mundialmente aceptados y que no se hayan descifrado; también debe incluir un Valor SALT para proteger la contraseña contra ataques de diccionario o fuerza bruta. 52.- Implementación de Controles La aplicación debe implantar controles que minimicen el riesgo que la sesión de un usuario pueda ser obtenida o interceptada por un tercero para obtener acceso al sistema con credenciales previamente ingresadas. 53.- Separación de Servidores La base de datos de la institución debe estar en un servidor separado del servidor de Internet o servidor de aplicaciones.

54.- Proceso Usuario

de

Autenticación

de Para autenticar a un usuario la aplicación deberá en la medida de lo posible solicitar además del usuario y la contraseña, un campo de control con letras y números aleatorios que el usuario debe ingresar a fin de evitar ataques de denegación de servicio automatizado. 55.- Medidas de Resguardo para Las aplicaciones deben asegurar que Información Útil ningún parámetro con información útil para un posible atacante viaje a través del navegador del cliente y así evitar que estos parámetros puedan ser manipulados, incluyendo las consultas a nivel de URL. 56.- Acceso Restringido La aplicación debe asegurar que los usuarios de la misma tengan acceso solamente a las funciones, recursos y datos que están específicamente autorizados a acceder. ARTÍCULO 57.- Acceso al Sistema de En cada acceso al sistema de banca Banca Electrónica electrónica, la pantalla deberá mostrar al cliente, detalles del tiempo de su última conexión y la dirección IP de donde se conectó. 58.- Impresión y/o Resguardo de El usuario podrá, hasta donde sea Instrucciones posible, guardar y/o imprimir en tiempo real, todos los por menores de la instrucción que fue dada. 59.- Medidas para Evitar Accesos no La institución deberá tomar las medidas Autorizados que estén dentro de su control para evitar el acceso no autorizado. También deberá proteger la exposición de información, tal como la relativa a la cuenta del cliente, prevenir que se pueda guardar la contraseña en el explorador de Internet. 60.Transacciones de Banca Las transacciones a favor de terceros, Electrónica a Favor de Terceros que realice un cliente por medios electrónicos deberán sujetarse a techos o topes que deberán ser definidos en la forma siguiente: 1.-Los topes o techos serán determinados por la institución y/o cliente para aplicar a las transacciones que acrediten las cuentas de los beneficiarios a que se refiere el Artículo 61. 2.- Los techos o topes para las transacciones que acrediten a otras cuentas se sujetarán al procedimiento descrito en el Artículo 62.

61.- Transmisión de Datos

Cuando el cliente imparta una instrucción para efectuar un pago a un tercero a través del servicio de banca electrónica, la institución deberá requerirle que especifique las particularidades del beneficiario y la naturaleza y frecuencia de pago. 62.- Establecimiento de Techos para Los montos máximos de las las Operaciones Autorizadas transacciones para acreditar a otras cuentas, serán determinados para cada cliente por la institución, y deberán ser respetados tanto por el cliente como por la institución. 63.- Lista de Beneficiarios La institución deberá mantener almacenada en medios electrónicos, una lista de beneficiarios por cada cliente que use el servicio de banca electrónica, la cual deberá ser aprobada y actualizada por el cliente. 64.- Actualización de Lista de El cliente deberá mantener actualizada su Beneficiarios lista de beneficiarios y todas sus particularidades, incluyendo los techos o topes de los pagos a favor de cada beneficiario. Cada institución deberá informar a sus clientes las implicaciones en caso de que el cliente no mantenga actualizada la lista. 65.- Correo Electrónico La institución deberá determinar los tipos de operaciones que sus clientes podrán realizar por medio de correo electrónico. 66.- Procedimiento Formalizado

La institución deberá contar con un procedimiento formalizado para mantener comunicaciones electrónicas con los clientes. 67.- Envío de Normas de Revelación de La institución podrá hacer llegar a sus Información clientes, por medio de correo electrónico o por su sitio de Internet, las notificaciones que sus políticas o normas de revelación de información le permitan. deberán cumplirse a cabalidad los siguientes términos y condiciones: (1) La terminación de los servicios a requerimientos del cliente. (2) La existencia de mecanismos o medios que permitan a la institución determinar inequívocamente si el cliente recibió el correo. (3) La transmisión de correo de la institución hacia el cliente deberá hacerse a través de un ambiente seguro.

68.- Remisión de Información

69.- Programa de Reporte de Eventos

70.- Aplicación Especial

71.- Banca del Exterior

72.- Controles de Seguridad

La institución deberá llevar registros, estadísticas y a la vez comunicar a la Comisión, los siguientes temas y eventos: 1) Eventos excepcionales tales como: intentos de ataques y penetraciones significativas, así como todos los incidentes de penetración a los sistemas. 2) La discontinuidad de servicios significativos para sus clientes, como consecuencia de un cierre no planificado de los sistemas computarizados que dure más de un día de trabajo; 3) El establecimiento de una sociedad relacionada o auxiliar que se ocupe del campo de las tecnologías de información de la institución; 4) La decisión de anticipar cambios significativos sobre las políticas de administración de las tecnologías de información, la migración y conversión de sus sistemas centrales 5) La decisión de expandir los niveles de servicio o una nueva iniciativa de proporcionar servicios financieros por Medios Electrónicos. Cada reporte mencionado en artículos anteriores debe ser debidamente documentado, utilizando herramientas que procuren las mejores prácticas. La aplicación de las presentes normas a las instituciones subsidiarias de instituciones extranjeras o miembros de Grupos Financieros extranjeros que operan en el territorio nacional, podrá adaptarse a sus necesidades particulares previa comunicación a la Comisión. Cuando las presentes normas se apliquen a las instituciones subsidiarias de instituciones extranjeras o miembros de Grupos Financieros extranjeros que operan en el territorio nacional, se incorporarán algunas modificaciones al texto. Tres modificaciones que se detallan en el artículo. Para proteger sus sistemas las instituciones deberán incorporar como mínimo en todas sus redes los controles de Seguridad siguientes: a) Sistemas de Detección y/o Prevención a nivel de todas sus redes que generen alertas oportunas a los administradores de la red.

73.- Plazo de Adecuación

74.- Continuidad de Contratos

75.- Vigencia

Las instituciones del sistema financiero tendrán un plazo de un (1) año, contado a partir de la entrada en vigencia de las presentes normas, para adecuarse a su cumplimiento. Las instituciones del sistema financiero deberán darle continuidad hasta su vencimiento de conformidad con los términos pactados a actividades contratadas antes de la entrada en vigencia de las presentes normas. Las presentes normas entrarán en vigencia a partir de la fecha de su publicación en el diario oficial “La Gaceta”. 2. La presente Resolución es de ejecución inmediata.”

Análisis y diferencias entre ISO 17799 e ISO 27001 Actualización de la Norma ISO 17799:2005 y Creación de la ISO 27001:2005 En seguridad de la información la referencia obligada a nivel internacional es la norma ISO 17799:2000, que incluye la seguridad informática. Originariamente el primer estándar en seguridad de la información fue desarrollado en los años 1990, en Inglaterra, como respuesta a las necesidades de la industria, el gobierno y las empresas para fomentar un entendimiento común sobre el tema y establecer lineamientos generales. En 1995, el estándar BS 7799 es oficialmente presentado. En 1998 se establecen las características de un Sistema de Gestión de la Seguridad de la Información (SGSI) que permita un proceso de certificación, conocida como BS 7799.

Recién en diciembre del 2000 la organización de estándares internacionales (ISO) incorpora la primera parte de la norma BS 7799, rebautizada como ISO 17799, la cual se presenta bajo la forma de notas de orientación y recomendaciones en el área de Seguridad de la información. En el año 2005 hubo cambios interesantes a nivel de ISO 17799 y de COBIT (con su nueva versión 4.0). En cuanto a la norma ISO, las novedades son más que interesantes. Hasta ahora muchas compañías se alineaban a la 17799:2000. Luego tenían que certificar la norma BS 7799:2002 dado que ISO no había reglamentado las características de un Sistema de Gestión de Seguridad de la Información. Esta última define el Sistema de Gestión de la Seguridad de la Información (SGSI). Con estos cambios la ISO 17799:2005 que con el tiempo deberá ser reemplazada por la ISO 27001 marco teórico, se incluyen novedades importantes: 1. Se agrega un nuevo dominio (“Administración de incidentes de la seguridad de la información”), es decir que ahora son 11 dominios. 2. Un marco teórico más fácil de aplicar, ya que cada dominio incluye el objetivo de control específico, el marco de implementación y un anexo de información adicional. Esto permite establecer un tablero de control más simple e incluso auditarlo con COBIT. 3. Se han realizado actualizaciones tecnológicas, ya que la última revisión era del año 2002, y recordemos que un año la tecnología cambia bastante. Por ejemplo en el dominio que hace referencia al control de acceso (Dominio 7), se incluye los controles sobre redes inalámbricas y tecnologías similares que deben estar incluidas como controles en las políticas de seguridad.

4. Se ha incluido un control sobre la entrega de servicios por terceras partes (Service Delivery). Si bien algo se mencionaba en la versión anterior, se han reformulado las definiciones. 5. Se ha incluido un apartado sobre el aceptable uso de los activos. Recordemos que muchas veces por implementar escenarios muy seguros, hacemos imposible el uso del recurso para el usuario que debe accederlo. 6. Se agrega un apartado sobre la gestión de riesgo. No olvidemos, que si bien toda compañía debe tener un nivel de riesgo aceptado, la idea de la NORMA ISO 27001:2005 es definir el manejo de riesgo de la compañía. La seguridad total no existe, por lo tanto debemos tener definido como actuar ante una situación especial. 7. Incluye referencias importantes con el manejo de contraseña. 8. En COBIT figuraba el manejo de código fuente dentro los controles. Esta vez ISO ha incluido ese manejo dentro de los dominios. 9. Se ha agregado un apartado para el manejo de vulnerabilidades. Sin dudas, esta versión es más fácil de interpretar y de llevarla a la práctica, ya que son más claros los objetivos de cada uno de los controles de los dominios. Recuerden, que como toda norma ISO, es una visión holística y toda la compañía deberá acompañar el proceso de certificación. El primer gran logro que deben obtener, es la confirmación por escrito de la gerencia que se desea lograr la alineación del estándar. Más allá de los deseos o necesidades de certificar ISO 27001, recomendamos a las compañías, usar estas nuevas versiones como guía y descartar las versiones anteriores. Obtener un buen sistema de gestión de la información no depende de la tecnología que utilicemos en nuestra empresa, sino en mayor medida de los procesos y las personas involucradas, con el objetivo de preservar el valor actual y futuro de nuestras organizaciones. Finalmente recordemos que será un proyecto de cambio organizacional con múltiples facetas, incluido un alto componente de consideraciones legales. En el mes de Noviembre se ha publicado la norma ISO 27001:2005 denominada "Requisitos para la especificación de sistemas de gestión de la seguridad de la información (SGSI)". La serie ISO 27000 comprende un conjunto de normas relacionadas con la seguridad de la información y permite a las compañías certificar ISO y no la BS.

El resumen de normas es: - ISO 27000, vocabulario y definiciones (terminología para el resto de estándares. de la serie). - ISO 27001, especificación del sistema de gestión de la seguridad de la información (SGSI). Esta norma será certificable bajo los esquemas nacionales de cada país. - ISO 27002, actualmente la ISO 17799, que describe el Código de buenas prácticas para la gestión de la seguridad de la información. - ISO 27003, que contendrá una guía de implementación. - ISO 27004, estándar relacionado con las métricas y medidas en materia de seguridad para evaluar la efectividad del sistema de gestión de la seguridad de la información.

A su vez, la norma ISO 17799:2000 sufrió modificaciones Teniendo ahora una nueva versión, la ISO 17799:2005 compuesta por: A) Política de Seguridad. B) Organizar la Seguridad de la Información. C) Gestión de Activos. D) Seguridad de los Recursos Humanos. E) Seguridad Física y Ambiental. F) Gestión de Comunicaciones y Operaciones. G) Control de acceso. H) Adquisición, Desarrollo y Mantenimiento de Sistemas de Información. I) Gestión de Incidentes de Seguridad de la Información.

Análisis y diferencias entre COBIT 4.1 e COBIT 5 En esta versión de COBIT aparece una separación entre procesos de Gestión y procesos orientados al Gobierno de las TI, en claro alineamiento con la norma ISO/IEC 38500 (Evaluar, Dirigir, Monitorizar).

Diferencias y Semejanzas Cobit 4.1 vs. Cobit 5. Áreas de cambio Los principales cambios en COBIT 5: 1. Nuevos Principios de GEIT. 2. Mayor foco en Habilitadores. 3. Nuevo Modelo de Referencia de Procesos. 4. Nuevos y modificados procesos. 5. Prácticas y Actividades. 6. Metas y Métricas más desarrolladas. 7. Entradas y Salidas a nivel de práctica. 8. RACI Charts más detalladas. 9. Process Capability Maturity Models and Assessments Prácticas y Actividades Las prácticas de gobierno y de administración de COBIT 5 son equivalentes a los objetivos de control de COBIT 4.1 y los procesos de Val IT y Risk IT. Las actividades de COBIT 5 son equivalentes a las prácticas de control de COBIT 4.1 y a las prácticas de administración de Val IT y Risk IT.

Otros cambios: o Algo que puede resultar impactante es que en COBIT 5 los Objetivos de Control han desaparecido. Realmente se han convertido en prácticas de gestión o de Gobierno de las TI a fin de generalizar el concepto para todos los ámbitos de aplicación, y no únicamente para el Control. También desaparece el modelo de madurez de capacidades- CMM aplicado a los procesos para introducir un modelo basado en la ISO/IEC 15504. Así mismo, se han actualizado los procesos, los modelos de responsabilidad RACI y otros elementos de COBIT para hacer más completo, sencillo e integrado. A nivel de la estructura de Procesos y Dominios esto es lo más relevante del comparativo entre ambas versiones:

Existe un nuevo Dominio (ahora son 5), que se enfoca en aspectos de Gobierno de TI, denominado “EDM – Evaluar, Dirigir & Monitorear” y que cubre el antiguo proceso ME4 de COBIT 4. La cantidad de procesos se ha incrementado de 34 a 37 (en el draft eran 36, se agregó APO013 “Gestionar Seguridad”). Si bien los objetivos de control que corresponden a cada proceso de COBIT 4, se mantienen mayoritariamente dentro del mismo Dominio, existen excepciones como las siguientes: PO10 – Administrar los proyectos, pasó al Dominio BAI. AI5 – Procurar recursos de IT, pasó al Dominio APO. DS1 – Definir y Administrar los niveles de servicio, pasó al Dominio APO. DS2 – Administrar los servicios de Terceros, pasó al Dominio APO. DS3 – Administrar el desempeño y la capacidad, pasó al Dominio BAI. DS6 – Identificar y asignar costos, pasó al Dominio APO. DS7 – Educar y Entrenar a los usuarios, pasó al Dominio APO. En el dominio APO – Administrar, Planear y Organizar, es donde se observa mayor reorganización interna de los objetivos de control, es decir que un antiguo proceso de COBIT 4, ahora puede estar distribuido como parte de hasta 5 procesos del mismo dominio en COBIT 5. Existen nuevos procesos cuyo contenido es mayormente producto de COBIT 5, destacándose: EDM1 – Definir el Framework para el Governance APO1 – Definir el Framework para el Management APO4 – Gestionar Innovación APO13 – Gestionar Seguridad (también hay un Proceso DSS05 Gestionar los Servicios de Seguridad).

Análisis y Diferencia entre BS 25999 e ISO 22301 Si bien no existe una correlación punto por punto entre la norma BS 25999 antecesora de la nueva norma internacional ISO 22301, el proceso de transición será bastante simple para las empresas que ya tienen implantado un sistema de continuidad del negocio según la norma británica. No obstante analizaremos en los siguientes puntos aquellos aspectos en los que se Diferencia: CONOCIMIENTO DE LA ORGANIZACION: PLANIFICACION Las referencias a la necesidad de una correcta planificación aportan una fundamental diferencia y aporte de la norma sobre sus antecesoras. Podemos decir que el éxito de un sistema de Gestión de Continuidad del Negocio se basa en una eficaz definición de Objetivos apoyados en una adecuada asignación de recursos tanto materiales como humanos. LAS PARTES INTERESADAS Otro enfoque novedoso es el mayor énfasis en la: Identificación de las partes interesadas, sus necesidades y objetivos Desarrollo de una comunicación fluida y eficaz entre las partes interesadas. Todo lo anterior debe ser demostrable. LIDERAZGO DE LA DIRECCION Como queda claro en el punto anterior, la necesidad de evidencias que demuestren el compromiso de la alta dirección en el desempeño del SIstema de Continuidad del negocio, son apoyadas por una constante referencia a la necesidad de un verdadero Liderazgo de la dirección en el control, apoyo y revisión del funcionamiento del sistema.

El liderazgo por tanto de la dirección de la empresa significa una implicación directa en la:

Responsabilidad global por la eficacia del SGCN en la Supervisión. Medición, análisis y evaluación del sistema.

COMUNICACION

Las comunicaciones toman un protagonismo especial en este sistema, donde aparecen nuevos requisitos en: Comunicaciones sobre incidentes (Antes, Después y Durante su aparición) Control de la gestión adecuada de las comunicaciones (Oportunidad) tanto internas como externas a terceras partes. Análisis de los métodos utilizados para las comunicaciones (capacidad, disponibilidad, métodos alternativos) incluyendo pruebas ante posibles incidentes perturbadores

ANALISIS Y EVALUACION DEL DESEMPEÑO

Este es otro de los aspectos novedosos sobre la norma BS 25999, estableciéndose nuevos requisitos de medición, evaluación y análisis de la eficacia del Sistema de Continuidad del Negocio.

ISO 22301 Vs BS 25999 En resumen, aunque los aspectos más importantes de la continuidad del negocio son comunes a ambas normas, la Norma ISO 22301 pone mayor énfasis en la comprensión de los requisitos, el Liderazgo de la dirección y en el establecimiento de Objetivos medibles y en el control de su desempeño

Resumen Controles COSO Control Interno en Organizaciones, C.O.S.O. es un comité (Comité de Organizaciones Patrocinadoras de la Comisión Treadway) que redactó un informe que orienta a las organizaciones y gobiernos sobre control interno, gestión del riesgo, fraudes, ética empresarial, entre otras. Dicho documento es conocido como “Informe C.O.S.O.” y ha establecido un modelo común de control interno con el cual las organizaciones pueden evaluar sus sistemas de control. Debido al mundo económico integrado que existe hoy en día se ha creado la necesidad de integrar metodologías y conceptos en todos los niveles de las diversas áreas administrativas y operativas con el fin de ser competitivos y responder a las nuevas exigencias empresariales. Surge así una nueva perspectiva sobre el control interno donde se brinda una estructura común que es documentada en el denominado “Informe C.O.S.O.”. El Comité de Organizaciones Patrocinadoras de la Comisión Treadway (C.O.S.O.) es una organización voluntaria del sector privado, establecida en los Estados Unidos y dedicada a proporcionar orientación al ámbito privado y gubernamental sobre aspectos críticos de gestión de la organización, control interno de la empresa, gestión del riesgo, el fraude y la presentación de informes financieros. El “Informe C.O.S.O.” es un documento que especifica un modelo común de control interno con el cual las organizaciones pueden implantar, gestionar y evaluar sus sistemas de control interno para asegurar que éstos se mantengan funcionales, eficaces y eficientes. (taringa.net, 2017).

Conclusiones 

Se estudió las normas para regular la administración de las tecnologías de información y comunicaciones en las instituciones en Honduras.



Se redactó un documento formal que presenta un resume de cada uno de los 75 artículos que conforman las normas que rigen el uso de tecnologías de información en Honduras.



Las normas que regulan el uso de tecnologías de información en Honduras es un buen avance para enseñar a las organizaciones parámetros de buen uso de las TICs.

Recomendaciones 

A todas las personas involucradas con el uso de tecnología de información se les recomienda estudiar profundamente las normativas de la Comisión Nacional de Bancos y Seguros.



A todos los profesionales de la informática, aplicar todas las recomendaciones de buenas prácticas en el uso de la información.



Al personal de IT de todas las organizaciones capacitarse constantemente en la aplicación de las leyes que rigen las tecnologías de información en Honduras.

Link Video de tarea#1 https://youtu.be/knaJqw8zQng Bibliografía Seguros, C. N. (20 de octubre de 2017). NORMAS PARA REGULAR LA ADMINISTRACIÓN DE LAS TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIONES EN LAS INSTITUCIONES DEL SISTEMA FINANCIERO. Diario Oficial La Gaceta, págs. B1-B16. (CNBS Comision de banca y seguros, 2010) (Auditoria Informatica UNAL, 2017)

Pmg-ssi.com. (20 de octubre 2017). Pmg-ssi.com. Obtenido de pmg-ssi.com: http://www.pmg- ssi.com/2014/02/isoiec-27006guia-para-la-certificacion-del-sgsi/ Pmg-ssi.com. (20 de octubre 2017). Pmg-ssi.com. Obtenido de pmg-ssi.com: http://www.pmg- ssi.com/2014/02/isoiec27007-guia-para-auditar/ Pmg-ssi.com. (20 de octubre de 2017). Pmg-ssi.com. Obtenido de pmg-ssi.com: http://www.pmg- ssi.com/2014/04/iso27034-seguridad-de-aplicaciones/ Ramírez, R. (20 de Octubre de magazcitum.com.mx). magazcitum.com.mx. Obtenido de magazcitum.com.mx: http://www.magazcitum.com.mx/?p=1893#.WQd1i9y1v IU revistas.unal.edu.co. (20 de Octubre de 2017). revistas.unal.edu.co. Obtenido de revistas.unal.edu.co