lunes, 3 de febrero de 2014

Código Penal (II): Elaboración de un Modelo de Prevención

Es fundamental para cumplir con los requerimientos normativos y legales y potenciar el nivel de control interno exigido, lo cual supone un mayor grado de concienciación por parte de la compañía en el impacto que supone la incorporación del área de seguridad TI como agente de articulación entre los procesos de negocio y las TIC.

Ahora bien, pero ¿Qué tipo de controles o medidas pueden ser implementados?  

Existen múltiples controles que desde el área de seguridad TI pueden ser diseñados, desarrollados y/o evaluados para responder a cada delito. A continuación se mencionan algunos de los controles a tener en cuenta:

1. Descubrimiento y revelación  de secretos:
  •  Controles técnicos:
    • Registro “centralizado” de alertas de auditoría.
    • Acceso remoto a los sistemas informáticos (clientes, proveedores, etc).
    • Antivirus, malware y software malicioso.
    • Filtrado o detección de uso no autorizado de los recursos TIC.
    • Auditorías técnicas de sistemas de información.
    • Monitorización de usuarios.
  • Controles organizativos:
    • Revisión técnica de contratos con terceros.
    • Políticas de seguridad de la información.
    • Políticas de uso de los recursos TIC.
    • Formación y concienciación de empleados.
    • Protocolos de actuación de accesos no autorizados.
    • Procedimientos de seguridad para proveedores y personal externo.
2. Daños informáticos:
  • Controles técnicos:
    • Revisión de autorizaciones y privilegios de los usuarios.
    • Revisión de servicios, protocolos y puertos de comunicación.
    • Auditorías de seguridad de la red interna y externa.
  •  Controles organizativos:
    • Matriz de autorizaciones de usuarios.
3. Acceso no autorizado:
  • Controles técnicos:
    • Gestión de identidades.
    • Control de acceso basado en Role-Based Access Control.
    • Validaciones automáticas en transacciones críticas.
    • Medidas de autenticación robustas.
    • Restricción de accesos a transacciones críticas (por ejemplo modificación de márgenes de tolerancia por encima del límite).
    • Restricción del acceso a las funcionalidades de administración y configuración del sistema.
  •  Controles organizativos:
    • Documentación de las matriz de roles y responsabilidades de usuarios, directivos, proveedores.
    • Documentación de la segregación de funciones.
    • Documentación de las transacciones incompatibles.
    • Definición de key users.
    • Definición de flujos de autorización para el control de acceso (alta/baja de usuarios y modificación de accesos).
    • Revisión de accesos de usuarios.

 Entre las novedades y acciones de la nueva reforma del código penal está la obligatoriedad por parte de las empresas de definir un Modelo o Plan de Prevención del Delito. La implantación de este modelo se estima para el año 2015, por lo que las empresas tendrán un periodo de tiempo para evaluar los riesgos a los que el negocio está expuesto y en base a los riesgos deberán desarrollar e implementar, entre otros:
  • Protocolos de actuación por ejemplo protocolos de evidencias, o de  acceso a los documentos de un trabajador, etc.
  • Medidas de control
  • Pruebas de las medidas de control
  • Controles de proveedores
  • Repositorio de evidencias
  • Formación de los empleados
En resumen las áreas claves para elaborar el Modelo de Prevención son:

Publicado por
Etiquetas:

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)