1. conformado por políticas, estándares, procedimientos y mecanismos de seguridad, basados en siete fundamentos que son la plataforma para la conformación del modelo.
1.1. Confidencialidad: Cuando la información es solo accesible por aquellos a los cuales se ha autorizado a tener acceso.
1.1.1. Integridad: Cuando la información es exacta y completa.
1.2. Disponibilidad: Cuando la información es accesible a los usuarios autorizados en el momento de requerirla.
1.3. Autenticación: Cuando se puede garantizar la identidad de quien solicita acceso a la información.
1.4. Autorización: Cuando la información es accedida solo por los usuarios que tienen los privilegios necesarios y suficientes para hacerlo.
1.5. No repudiación: Cuando la información involucrada en un evento corresponde a quien participa
1.6. Observancia: Cuando la información relacionada con las acciones y actividades de los usuarios se encuentra debidamente registrada y monitoreada
2. CONTRASEÑAS (PASSWORDS)
2.1. palabras de conocimiento exclusivo de un individuo particular, y de la buena utilización de éstas y las política que sobre ellas aplique depende la garantía de autenticación en un sistema
2.2. SISTEMAS DE AUTENTICACIÓN (TARJETAS O BIOMÉTRICOS)
2.2.1. exigen al individuo presentar un elemento que tiene en su poder o que lo caracteriza en su cuerpo, permite autenticar de manera más certera su identidad, minimizando así la posibilidad de una suplantación frente a un sistema.
2.2.2. ACL O LISTAS DE CONTROL DE ACCESO
2.2.2.1. tabla que informa qué usuarios pueden entrar a un sistema y qué derechos de acceso tiene cada uno.
2.2.2.2. las ACL son un servicio provisto por el servidor Web del Banco para restringir la entrada a un sitio Web
2.2.2.3. CIFRAS DE CONTROL
2.2.2.3.1. números que se calculan mediante algoritmos denominados HASH, utilizando la información que se pretende proteger, asociando el número obtenido de maneraúnica con esta información
3. CÓDIGOS DE AUTENTICACIÓN
3.1. se encuentran en un sobreflex que son entregados a cada entidad que quiera autenticarse con el Banco de la República.
3.2. POLÍTICAS DE ACCESO
3.2.1. determina a que tiene derecho de acceder y que procesos puede ejecutar, de tal manera que mediante los perfiles de acceso se determina el comportamiento que cada individuo puede tener en un sistema.
3.2.2. POLÍTICAS, ESTÁNDARES Y PROCEDIMIENTOS
3.2.2.1. Política: Una política de seguridad informática es una directriz de alto nivel en la cual se expresan valores y objetivos de la organización para proporcionar dirección y soporte a la alta gerencia en los temas relacionados con seguridad informática
3.2.2.2. Estándar: Conjunto de requisitos de obligatorio cumplimiento, que especifican tecnologías y métodos, para implementar las políticas de seguridad informática expuestas por la alta gerencia
3.2.2.3. Procedimiento: Define un conjunto de pasos operacionales específicos sugeridos para efectuar una labor particular
4. PLAN DE CONTINUIDAD DEL NEGOCIO
4.1. pretende garantizar la continuidad de las operaciones de la organización, a pesar de eventos fortuitos o desastres que puedan presentarse.
4.2. PROCEDIMIENTOS DE CONTINGENCIA Y BACKUPS
4.2.1. permite actuar y recuperarse adecuada y oportunamente frente a la ocurrencia de un evento adverso que atente contra la buena marcha del negocio
4.2.2. El manejo de backups es altamente sensible, por cuanto las políticas y estándares en este sentido deben ser bastante sólidas.
4.2.3. ALTA DISPONIBILIDAD Y TOLERANCIA A FALLAS
4.2.3.1. se cuenta con equipos de hardware para tolerancia a fallas y alta disponibilidad que permite brindar el nivel de disponibilidad que se requiere para que estos servicios sean ofrecidos adecuadamente, de tal manera que el impacto sobre la operación es mínimo utilizando estos sistemas.
5. ENCRIPCIÓN SIMÉTRICA Y ASIMÉTRICA
5.1. permite brindar confidencialidad a la información mediante algoritmos matemáticos especiales y datos privados que solo quien los conozca podrá obtener acceso a la información
5.1.1. algoritmos simétricos
5.1.1.1. esta clave secreta debe ser conocida tanto por el individuo que encriptó la información como por el individuo que la pretende desencriptar
5.1.2. algoritmos asimétricos
5.1.2.1. manejan dos palabras claves, una de ellas es “secreta” y la otra es “pública”, de tal forma que para encriptar alguna información
5.1.2.2. LLAVES PÚBLICAS Y PRIVADAS
5.1.2.2.1. se requiere de una etapa previa que se denomina intercambio de llaves, la cual consiste en que las dos partes que van a comunicarse se entregan la una a la otra, la llave pública
5.1.2.2.2. Si se emplea la llave privada del emisor, para firmar digitalmente la información y adicionalmente la llave pública del receptor para encriptar la información, se podrá garantizar los siguientes fundamentos con este mecanismo:
6. FIRMAS DIGITALES
6.1. garantizar la procedencia de la información mediante el uso de llaves pública y privadas, de tal manera que mediante algoritmos particulares cualquier individuo puede emplear su llave “privada”
6.2. Los fundamentos que se garantizan con este mecanismo son: • Autenticación • No repudiación • Integridad
6.3. CERTIFICADOS DIGITALES
6.3.1. permiten a un individuo ser autenticados mediante esquemas de llaves públicas y privadas.
6.3.2. Un certificado digital contiene los siguientes datos entre otros: • Un número de serie • La fecha de expiración • La firma digital de la entidad emisora del certificado (para verificar la validez del mismo) • La llave pública.
7. INFRAESTRUCTURA DE LLAVES PÚBLICAS (PUBLIC KEY INFRAESTRUCTURE
7.1. es una nueva tecnología de seguridad, es la plataforma base para garantizar gran parte de la seguridad del manejo de información electrónica, es por esto que todos los elementos que conformen el manejo de este tipo de documentos deben integrarse y acoplarse muy bien a esta plataforma.
7.1.1. sus funciones son: • Brindar interoperatividad entre sistemas de manera segura . • Facilitar seguridad en las operaciones electrónicas . • Fomentar el desarrollo de los mecanismos del Comercio Electrónico. • Una PKI, cubre aspectos como la administración de las llaves, su registro, su revocación, manejo de llaves históricas, almacenamiento, control, auditorias, entre otros.
7.1.2. SECURE SOCKET LAYER (SSL)
7.1.2.1. es un protocolo diseñado para adicionar varios aspectos de seguridad a la transmisión de mensajes vía HTTP, el protocolo propio de la comunicación en Internet.
7.1.2.1.1. garantizando los siguientes fundamentos de seguridad punto a punto: • Autenticación del cliente y del servidor • Confidencialidad • Integridad • Autenticación
8. SECURE ELECTRONIC TRANSACTION
8.1. protocolo diseñado para adicionar varios aspectos de seguridad a la realización de transacciones. Este fue soportado inicialmente por Mastercard, Visa, Microsoft, Netscape entre otros.
8.2. ANTIVIRUS
8.2.1. programas que controlan la presencia de programas maliciosos en los sistemas, estos antivirus deben controlar tanto los servidores como las estaciones de trabajo
8.2.2. FIREWALLS
8.2.2.1. son barreras de protección que filtran el acceso a los servidores privados mediante reglas puntuales que habilitan o prohíben el acceso de un punto a otro
8.2.2.1.1. Garantizando los siguientes fundamentos de seguridad: • Autenticación • Autorización
8.2.2.1.2. AUDITORÍAS
9. MONITOREO, SISTEMAS DE DETECCIÓN DE INTRUSOS Y DE VULNERABILIDADES
9.1. herramientas que permiten realizar labores encaminadas a obtener información respecto a los posibles intrusos que puedan atacar un sistema así como la forma de realizarlo
9.2. ATENCIÓN DE INCIDENTES
9.2.1. busca garantizar que se actúa de la forma adecuada en el momento de presentarse un incidente contra cualquiera de los fundamentos de seguridad
9.2.2. ANÁLISIS DE RIESGOS E IMPACTOS
9.2.2.1. pretende identificar y analizar los riesgos latentes en un sistema y los respectivos impactos sobre éste
9.2.2.2. EN CUANTO A LOS PERJUICIOS E INDEMNIZACIONES
9.2.2.2.1. Los clientes exoneran al Banco de la República de toda responsabilidad en relación con los perjuicios que puedan ocasionarse a terceros o a la entidad que representan por el uso indebido o no autorizado de los mecanismos de seguridad y sus componentes, o del incumplimiento por parte del cliente de las ordenes que sean impartidas utilizando los mecanismos de seguridad.
10. RESPECTO A LA ENTREGA
10.1. Todo mecanismo de seguridad y componentes será entregado a los respectivos clientes mediante documentos denominados “Actas de entrega”, donde se estipula claramente el nombre de los usuarios, su documento de identidad
10.2. RESPONSABILIDADES
10.2.1. Uso adecuado de los mecanismos de seguridad: Dado que el cliente conoce las graves implicaciones que podría ocasionar el uso indebido o no autorizado de los mecanismos de seguridad y sus componentes
10.2.2. -Respecto a los reglamentos y circulares: Los clientes se obligan a dar estricto cumplimiento a los reglamentos y circulares que establezca el Banco de la República
10.2.3. Los clientes se comprometen a mantener estricta confidencialidad frente a terceros