Business">
Proyecto Final Gobierno PDF
Proyecto Final Gobierno PDF
Proyecto Final Gobierno PDF
Contenido
Importancia y por que nacen estas leyes ............................................................................................ 2
JM-102-2011 ................................................................................................................................... 2
JM-42-2020 ..................................................................................................................................... 2
Ventajas para las instituciones supervisadas ...................................................................................... 4
Relación con otros Marcos de referencia sobre ciberseguridad ........................................................ 4
Cobit .................................................................................................................................................... 4
Iso 27001 ......................................................................................................................................... 5
Nist .................................................................................................................................................. 5
Cis .................................................................................................................................................... 6
OSWASP .......................................................................................................................................... 6
Itil..................................................................................................................................................... 7
Retos sobre las nuevas disposiciones o actualizaciones y como las entidades abordan las mismas: 9
Plan y/o gap análisis que permita establecer el cumplimiento de la JM-42-2020 en una institución
supervisada ....................................................................................................................................... 13
Video-entrevista ................................................................................................................................ 23
ENTREVISTA RESOLUCION JM 42 2020 ......................................................................................... 23
Nivel de capacidad 3: Definir ........................................................................................................ 28
Otras ventajas del esquema de certificación ISO 15504 ................................................. 32
Las bases del modelo de madurez ISO 15504 ............................................................................... 32
Niveles de Capacidad ............................................................................................................ 33
Propuesta del procedimiento para el análisis forense digital ........................................................... 34
Sanciones y/o penalizaciones por incumplimiento ........................................................................... 35
CONCLUCIONES ................................................................................................................................. 38
RECOMENDACIONES ......................................................................................................................... 40
REFERENCIAS BIBLIOGRAFICAS ......................................................................................................... 41
Índice de Tabla
Tabla 1Comparativa 1 ......................................................................................................................... 9
Tabla 2Tabla Comparativa 2 .............................................................................................................. 22
1
INTRODUCCION
gestión de riesgo tecnológico basado en la junta monetaria y bajo los artículos que
correctamente
JM-102-2011
Este reglamento tiene por objeto establecer los lineamientos mínimos que
los bancos, las sociedades financieras, las entidades fuera de plaza o entidades
off shore y las empresas especializadas en servicios financieros que forman parte
JM-42-2020
los lineamientos mínimos que los bancos, las asociaciones financieras, las
Esta norma fue aprobada por la Junta Monetaria del Banco de Guatemala, a raíz
del crecimiento y desarrollo tecnológico que las entidades financieras han tenido
que experimentar para poder competir y sobre todo mantenerse dentro del
o cuentahabientes.
disponibilidad de los datos, así como mitigar los riesgos de perdida, extracción
aspectos siguientes:
información.
expuesta.
de los datos.
Con el fin de tener protección a los datos de las personas que las
seguridad de los riesgos que puedan ocurrir. Es de suma importancia ya que nos
Cobit
COBIT son las siglas de Control Objectives for Information and Related
Está diseñado para ser una herramienta de apoyo para los gerentes, cerrando la
brecha entre los problemas técnicos, los riesgos comerciales y los requisitos de
• Entrega y apoyo
• Monitoreo y evaluación
• Planificación y organización
• Adquisición e implementación
Iso 27001
cumple con muchos requisitos comunes (por ejemplo, PCI DSS, HIPAA, etc.). Es
importante señalar que las empresas no pueden tener la certificación ISO 27002,
solo ISO 27001. El Anexo A de ISO 27001 contiene una descripción básica de los
Nist
NIST es un acrónimo del Instituto Nacional de Estándares y Tecnología,
seguridad cibernética del NIST de EE. UU. ayuda a las empresas de todos los
mitigar el riesgo y proteger sus redes y datos. El marco es voluntario. Brinda una
Cis
Los controles CIS son un conjunto de acciones que protegen a una
integrales para priorizar las acciones más importantes que su organización puede
tomar para obtener los mejores resultados. Los controles provienen de patrones
entienden cómo funcionan los ataques. Estos expertos provienen de una amplia
CIS de esta comunidad de expertos brindan instrucciones sobre cómo detener los
OSWASP
El Proyecto de seguridad de aplicaciones web abiertas (OWASP) es una
conjunto de valores:
• transparencia
• Innovación
• Global
• Integridad
Itil
El acrónimo ITIL significa Biblioteca de Infraestructura de Tecnología de la
Tecnología de la Información. ITIL es una guía sobre las mejores prácticas para la
dentro de la organización
prácticas de ITIL.
8
proveedores existentes.
Fuente: complianceforge.com
Tabla comparativa 1
9
Tabla 1Comparativa 1
mejoras, pero estas también conllevan a nuevos retos por abordar como se
menciona en la actualización
10
de la corporación.
dentro de la institución.
información.
Information Security Officer o también llamado CISO por sus siglas en inglés
11
esto es algo que se puede dar en cualquier aspecto tecnológico si se tiene físico el
ocurrir.
cumplimiento.
ciberseguridad.
12
la organización.
ataques informáticos, pero en otras partes del mundo son cada vez más
frecuentes. En este sentido, cuando se logre identificar alguna brecha que pueda
siguientes responsabilidades:
dañar la información.
ACTUAL PROPUESTA
14
refiere a los bancos, las sociedades refiere a los bancos, las sociedades
plaza o entidades off shore y las plaza o entidades off shore y las
almacenamiento de información:
información.
Artículo 29. Plan de recuperación ante Artículo 29. Plan de recuperación ante
desastres. Las instituciones deberán desastres. Las instituciones deberán
contar con un plan de recuperación contar con un plan de recuperación
ante desastres, que esté alineado con ante desastres, que esté alineado con
el plan de continuidad del negocio de el plan de continuidad del negocio de
la institución, para recuperar los la institución, con el objeto de
procesos críticos de las principales recuperar los servicios tecnológicos
líneas de negocio, sus activos en el críticos que apoyan los procesos
ciberespacio, así como la información críticos de las principales líneas de
asociada en caso de una interrupción. negocio, sus activos en el
ciberespacio, así como la información
asociada en caso de una interrupción.
b) Identificación de los procesos b) Identificación de los servicios
críticos y activos en el ciberespacio de tecnológicos críticos, procesos críticos
las principales líneas de negocio; y activos en el ciberespacio de las
principales líneas de negocio;
i) Identificación de factores de i) Identificación de factores de
dependencia interna y externa de la dependencia interna y externa de la
institución, tales como proveedores, institución, tales como proveedores,
personal de la entidad u otros, y las personal de la entidad u otros, y las
acciones para mitigar el riesgo de acciones para mitigar el riesgo de
dicha dependencia; y, dicha dependencia, que incluya la
contratación con terceros de servicios
de procesamiento de información; y,
j) Identificación de prioridades de j) Identificación de prioridades de
recuperación y restauración. recuperación y restauración
En caso de que la institución contrate
con terceros servicios para procesar
y/o almacenar información considerada
como crítica y/o confidencial, deberá
incluir dentro de su plan de
17
Video-entrevista
de desarrollo.
muestra el estudio elaborado por INTECO, de entre todos los modelos de mejora
7 describe las bases para llevar a cabo evaluaciones por niveles de madurez, para
la norma ISO 12207:1995 / Amd 1:2002 y Amd. 2: 2004, si bien actualmente está
pero tomando como base la nueva ISO 12207:2008, versión más reciente,
definidos en este modelo para los niveles de madurez difieren de los definidos en
objetiva de cada uno de los atributos de proceso de todos los procesos dentro del
las prácticas atributo de todos los procesos asociados al nivel de madurez10. Una
evidencia objetiva debe estar formada por un documento donde se evidencie que
proceso, más un artefacto directo (una evidencia del resultado de la aplicación del
el proceso, etc.) y/o una afirmación (corroboración oral por parte de miembros del
equipo).
proceso. Cada nivel es una capa de la base para una mejora continua del proceso.
• 0 - Incompleto
• 1 - Se ha realizado
• 2 - Administrado
• 3 - Definido
• 4 - Cuantitativamente gestionado
• 5 - Optimización
genéricos para este nivel puesto que no hay ninguna razón para institucionalizar
tales como la calidad, el costo y el horario, pero útil se puede realizar el trabajo.
usted está haciendo algo, pero no se puede demostrar que realmente está
para lograr un fin determinado. Gestión del proceso se logra tanto el modelo
objetivo para el proceso, así como otros objetivos, tales como costo, programación
y calidad. Como el título de este nivel indica, se gestionan de forma activa el modo
Las métricas son recogidas y utilizadas en todos los niveles de CMMI, tanto
pensar que una organización puede esperar hasta que nivel de Capacidad 4 para
utilizar la métrica.
organización.
fueron inyectados.
y 15504, el PAM, un importante modelo, que contiene las bases para aplicar
15504 a COBIT 4.1, la anterior versión de COBIT. En este post vamos a ver cómo
desde su nacimiento la evaluación de sus procesos con ISO/IEC 15504. Para ello
– “COBIT Process Assessment Model (PAM): Using COBIT 4.1”, aquel modelo
que salió en los tiempos de la 4.1 para cambiar el modelo de evaluación a 15504,
y que es donde están explicadas las claves para evaluar COBIT 5 con ISO 15504.
Guide: Using COBIT 4.1” y el “COBIT Self Assessment Guide: Using COBIT 4.1”.
Hasta tal punto es la vinculación con 15504 que COBIT 5 no es compatible con
CMM.
proceso descrito en COBIT (lo comentaré luego, pero ojo, que es capacidad y no
madurez). Para ello, se evalúan los atributos de proceso (de la norma ISO/IEC
15504).
determinarla.
con sus pros y sus contras, aunque en mi opinión creo que elegir capacidad en
una alegría que COBIT utilice ISO 15504, ya que podemos aplicar el trabajo de
sobre la 15504
– Hoy sin una certificación de la calidad software es muy difícil ganar a proyectos
este esquema
• ISO 9001
• ISO 27001
• ISO 20000
• Proceso realizado
• Proceso definido
• Proceso gestionado
• Proceso desplegado
• Otros …
procesos
Niveles de Capacidad
• La base de los niveles de madurez son los perfiles de procesos
Riesgo Tecnológico
Seguridad en tecnología de la información
Particularmente los Data Center On-Premise corren el riesgo de comenzar a
deteriorarse con los años por el uso, factores climáticos, cuestiones eléctricas y
por manipulaciones físicas, lo que puede ocasionar una disminución o pérdida
total de productividad y en el peor de los casos perdida de información.
La manera de mitigar este riesgo seria contratar un servicio cloud para
servidores como por ejemplo amazon.
Artículo 9: Las personas físicas y jurídicas que posean un tres por ciento (3%) o
más de participación en el capital de las entidades de intermediación financiera,
quienes ostenten cargos de administración o dirección en las personas jurídicas
que participen con un tres por ciento (3%) o más en el capital de dichas entidades,
así como, quienes ostenten cargo de administración o dirección en las entidades
de intermediación que infrinjan la Ley o las Normas Vigentes, siempre que
comprometan su responsabilidad con la comisión de la infracción, serán
sancionados sin perjuicio de las acciones judiciales que correspondan, tomando
en cuenta los criterios siguientes:
CONCLUCIONES
fácil para los ciberdelincuentes por las diversas brechas que estarían
RECOMENDACIONES
tener confiabilidad.
center
REFERENCIAS BIBLIOGRAFICAS
• https://uip.mingob.gob.gt/wp-content/uploads/2019/03/Estrategia-Nacional-
de-Seguridad-Cibern%C3%A9tica.pdf
• https://leyes.infile.com/visualizador_demo/index.php?id=81078+
• https://admision.masters-
ealde.com/mgrdc_ciberseguridad_informatica_0721_lead/?utm_source=we
b&utm_medium=blogs&utm_campaign=TDO-Perf-RiesgosDigitales-
&utm_content=Perf&_ga=2.178141989.1074101665.1655244314-
994442355.16552443144
• https://www.universidadesonline.com.gt/carreras/carreras-
universitarias/donde-estudiar-ciberseguridadd
• https://leyes.infile.com/index.php?id=182&id_publicacion=646266
• http://infogtm.com/website/
• https://www.forensedigital.gt/
• https://www.redalyc.org/pdf/922/92217153012.pdf
• https://www.tutorialspoint.com/es/cmmi/cmmi_capability_levels.htm
• https://www.javiergarzas.com/2012/05/claves-para-evaluar-cobit-5-con-iso-
15504-2.html
• https://www.complianceforge.com/faq/nist-800-53-vs-iso-27002-vs-nist-csf-
vs-scf
42