Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • 51 vistas

    Metodologias de Desarrollo Seguro

    Cargado por

    TerrorPsy TV
    El documento describe las secciones 4 y 5 del Reglamento General de Seguridad de la Información (RGSI). La sección 4 cubre la administración del control de accesos a través de 5 artículos sobre cuentas de usuario, privilegios, contraseñas, monitoreo de actividades y registros de seguridad. La sección 5 contiene 12 artículos sobre el desarrollo, mantenimiento e implementación de sistemas de información, incluidas políticas, requisitos de seguridad, controles de cambios y ambientes de desarrollo, prueba

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd

    Metodologias de Desarrollo Seguro

    Cargado por

    TerrorPsy TV
    51 vistas3 páginas
    El documento describe las secciones 4 y 5 del Reglamento General de Seguridad de la Información (RGSI). La sección 4 cubre la administración del control de accesos a través de 5 artículos sobre cuentas de usuario, privilegios, contraseñas, monitoreo de actividades y registros de seguridad. La sección 5 contiene 12 artículos sobre el desarrollo, mantenimiento e implementación de sistemas de información, incluidas políticas, requisitos de seguridad, controles de cambios y ambientes de desarrollo, prueba

    Descripción original:

    Metodologías de Desarrollo Seguro

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    DOCX, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    El documento describe las secciones 4 y 5 del Reglamento General de Seguridad de la Información (RGSI). La sección 4 cubre la administración del control de accesos a través de 5 artículos sobre cuentas de usuario, privilegios, contraseñas, monitoreo de actividades y registros de seguridad. La sección 5 contiene 12 artículos sobre el desarrollo, mantenimiento e implementación de sistemas de información, incluidas políticas, requisitos de seguridad, controles de cambios y ambientes de desarrollo, prueba

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Descargar como docx, pdf o txt
    51 vistas3 páginas

    Metodologias de Desarrollo Seguro

    Cargado por

    TerrorPsy TV
    El documento describe las secciones 4 y 5 del Reglamento General de Seguridad de la Información (RGSI). La sección 4 cubre la administración del control de accesos a través de 5 artículos sobre cuentas de usuario, privilegios, contraseñas, monitoreo de actividades y registros de seguridad. La sección 5 contiene 12 artículos sobre el desarrollo, mantenimiento e implementación de sistemas de información, incluidas políticas, requisitos de seguridad, controles de cambios y ambientes de desarrollo, prueba

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Descargar como docx, pdf o txt
    Está en la página 1de 3

    Maestría Dirección Estratégica en Ingeniería de Software

    Nombre Completo: José Gerardo Solano Romero

    Resumen de Introducción
    Dentro del RGSI podemos distinguir dos secciones que tiene un enfoque a lo que es la gestión
    de la seguridad de la información, los cuales son:

    Sección 4: Administración del control de Accesos


    La administración del control de los accesos esta segmentado en cinco artículos de manera
    detallada.

    Artículo 1° - (Administración de cuentas de usuarios) La instancia responsable de la Seguridad


    de la Información debe implementar procedimientos formalizados, acordes con la Política de
    Seguridad de la Información (PSI) y con la normativa que se desprende de la misma, respecto a
    la administración de usuarios de los sistemas de información.

    Artículo 2° - (Administración de privilegios) La Entidad debe restringir y controlar el uso y


    asignación de privilegios para las cuentas de usuario y de administración de los sistemas de
    información, aplicaciones, sistemas operativos, bases de datos, intranet, Internet y otros
    servicios o componentes de comunicación. Dichas asignaciones, deben ser revisadas por lo
    menos una (1) vez al año, mediante un procedimiento formalmente establecido.

    Artículo 3° - (Administración de contraseñas de usuarios) La Entidad debe definir políticas de


    administración de contraseñas que respondan a los resultados de su análisis y evaluación de
    riesgos en seguridad de la información, así como a la clasificación de la información.

    Artículo 4° - (Monitoreo de actividades de los usuarios) Para el monitoreo de las actividades


    de los usuarios de los sistemas de información, la Entidad debe establecer un procedimiento
    formalizado, a efectos de detectar e identificar incidentes de seguridad de la información.

    Artículo 5° - (Registros de seguridad y pistas de auditoría) Con el objeto de minimizar los


    riesgos internos y externos relacionados con accesos no autorizados, pérdidas y daños de la
    información, la Entidad, con base en los resultados de su análisis y evaluación de riesgos
    en seguridad de la información, debe implementar pistas de auditoría que contengan los
    datos de los accesos y actividades de los usuarios, excepciones y registros de los
    incidentes de seguridad de la información.

    Sección 5: Desarrollo, Mantenimiento e Implementación de sistemas


    de información
    Existen doce artículos que presentan el desarrollo, mantenimiento e implementación de
    sistemas de la información.

    Artículo 1° - (Políticas y procedimientos) La Entidad Supervisada debe establecer políticas y


    procedimientos, para el desarrollo, mantenimiento e implementación, de sistemas de
    información considerando las características propias relacionadas a las soluciones informáticas
    que requiere, así como los resultados de su análisis y evaluación de riesgos en seguridad de la
    información.

    Artículo 2° - (Desarrollo y mantenimiento de programas, sistemas de información o


    aplicaciones informáticas) La Entidad Supervisada que realice el desarrollo o mantenimiento
    de programas, sistemas de información o aplicaciones informáticas, debe garantizar que su
    diseño e implementación se enmarque en la legislación y normativa vigente, según
    corresponda, así como en sus políticas internas.
    Maestría Dirección Estratégica en Ingeniería de Software
    Nombre Completo: José Gerardo Solano Romero

    Artículo 3° - (Requisitos de seguridad de los sistemas de información) La instancia


    responsable de la seguridad de la información de la Entidad Supervisada, debe velar por la
    inclusión en el diseño de los sistemas de información, de controles de seguridad, identificados
    y consensuados con las áreas involucradas.

    Artículo 4° - (Estándares para el proceso de ingeniería del software) De acuerdo con la


    estructura y complejidad de sus operaciones, la Entidad Supervisada debe contar con
    metodologías estándar para el proceso de adquisición, desarrollo y mantenimiento del
    software, que comprendan aspectos tales como: estudio de factibilidad, análisis y
    especificaciones, diseño, desarrollo, pruebas, migración de datos preexistentes,
    implementación y mantenimiento de los sistemas de información.

    Asimismo, acorde con los mencionados procesos, la Entidad Supervisada debe contar
    mínimamente con la siguiente documentación:

     Diccionario de datos;
     Diagramas de diseño (Entidad-Relación, Flujo de datos, entre otros);
     Manual técnico;
     Manual de usuario;
     Documentación que especifique el flujo de la información entre los módulos y los
    sistemas.

    Artículo 5° - (Integridad y validez de la información) La Entidad Supervisada para el desarrollo


    y mantenimiento de los sistemas de información, debe tomar en cuenta al menos los
    siguientes aspectos:

     Implementar controles automatizados que permitan minimizar errores en la entrada


    de datos, en su procesamiento y consolidación, en la ejecución de los procesos de
    actualización de archivos y bases de datos, así como en la salida de la información;
     Verificar periódicamente que la información procesada por los sistemas de
    información sea integra, válida, confiable y razonable;
     Establecer controles que limiten la modificación y la eliminación de datos en cuanto a
    movimientos, saldos y operaciones efectuadas por los clientes y otros.

    Artículo 6° - (Controles criptográficos) En el desarrollo de los sistemas de información, la


    Entidad Supervisada debe implementar métodos de cifrado estándar que garanticen la
    confidencialidad e integridad de la información.

    Artículo 7° - (Control de acceso al código fuente de los programas) El acceso al código fuente
    de programas y a la información relacionada con diseños, especificaciones, planes de
    verificación y de validación, debe ser estrictamente controlado para prevenir la introducción
    de funcionalidades y/o cambios no autorizados.

    Artículo 8° - (Procedimientos de control de cambios) La Entidad Supervisada debe establecer


    procedimientos formales para el control de cambios en los sistemas de información que
    contemplen documentación, especificación, prueba, control de calidad e implementación. Se
    debe documentar y resguardar cada versión del código fuente de los sistemas de información,
    así como la estructura de datos anterior.

    Artículo 9° - (Ambientes de desarrollo, prueba y producción) Se deben implementar controles


    y mecanismos que garanticen la separación física o lógica de los ambientes de desarrollo,
    prueba y producción, acordes con la criticidad del (los) sistema(s) involucrado(s) y la
    Maestría Dirección Estratégica en Ingeniería de Software
    Nombre Completo: José Gerardo Solano Romero

    segregación de funciones que debe existir en cada caso, asegurando que los encargados del
    desarrollo y/o mantenimiento de sistemas no tengan acceso a los sistemas y datos en
    producción; así como, que las pruebas a los sistemas, previo a su uso oficial, se realicen en un
    entorno controlado.

    Artículo 10° - (Datos de prueba en ambientes de desarrollo) Para utilizar información de


    producción en los ambientes de desarrollo y prueba se debe aplicar un procedimiento de
    enmascaramiento de datos a efectos de preservar la confidencialidad de dicha información.

    Artículo 11° - (Migración de sistemas de información) El proceso de migración de un sistema


    de información, debe estar basado en un plan de acción y procedimientos específicos que
    garanticen la disponibilidad, integridad y confidencialidad de la información. Es
    responsabilidad de la Gerencia General designar a la instancia que realizará el control de
    calidad durante el proceso de migración, el cual debe estar debidamente documentado y a
    disposición de ASFI. El Auditor Interno o la Unidad de Auditoría Interna, según corresponda,
    deben evaluar los resultados obtenidos en el proceso de migración, cuyo informe permanecerá
    en la Entidad Supervisada a disposición de ASFI.

    Artículo 12° - (Parches de seguridad) La actualización del software o la aplicación de un parche


    de seguridad, debe ser previamente autorizada en función a un procedimiento formalmente
    establecido. Esta autorización debe ser otorgada o no, según corresponda, considerando la
    estabilidad del sistema, las necesidades funcionales de la organización y los criterios de
    seguridad de la información establecidos en las políticas de la Entidad Supervisada.
    Adicionalmente, todo el software debe mantenerse actualizado con las mejoras de seguridad
    distribuidas o liberadas por el proveedor, previa realización de pruebas en ambientes
    controlados.

    También podría gustarte