Trabajo: Tarea #1 Resumen CBNS

Docente: Ing. Mae. Juan Carlos Inestroza

Alumno: Fredy Ariel Meza

Clase: Auditoria Informtica

Registro: 31221380

Fecha: 20 octubre de 2017

 ndice

Contenido
Trabajo: Tarea #1 Resumen CBNS ...................................................................................... 1
Introduccin............................................................................................................................... 3
Objetivos..................................................................................................................................... 4
Objetivo General ..................................................................................................................... 4
Objetivos Especficos............................................................................................................. 4
Marco Terico ........................................................................................................................... 5
Misin ....................................................................................................................................... 8
Visin ........................................................................................................................................ 8
Valores ..................................................................................................................................... 8
Objetivos .................................................................................................................................. 9
Estructura Organizacional ..................................................................................................... 9
Ley de la Comisin Nacional de Bancos y Seguros ..................................................... 10
RESUMEN DE LAS NORMAS PARA REGULAR LA ADMINISTRACIN DE LAS
TECNOLOGAS DE INFORMACIN Y COMUNICACIONES EN LAS
INSTITUCIONES DEL SISTEMA FINANCIERO ................................................................ 15
Anlisis y diferencias entre ISO 17799 e ISO 27001 ..................................................... 26
Anlisis y diferencias entre COBIT 4.1 e COBIT 5 ......................................................... 29
Anlisis y Diferencia entre BS 25999 e ISO 22301 ....................................................... 31
Resumen Controles COSO .................................................................................................. 33
Conclusiones........................................................................................................................... 34
Recomendaciones ................................................................................................................. 34
Link Video de tarea#1 ............................................................................................................ 35
Bibliografa ............................................................................................................................... 35
 Introduccin

El uso de tecnologas de informacin han tenido un gran incremento a nivel

mundial y Honduras no es la excepcin, en las diferentes organizaciones sin
importar tamao se maneja informacin, transacciones va internet, etc. Uno de
los sectores que utiliza mucha tecnologa para poder operar es el sector
financiero, pensando en este gran incremento en el uso de tecnologa es
necesario crear normas o leyes que puedan regular el uso de las mismas.
El Gobierno de Honduras, por medio de la Secretara de Estado en el
Despacho de Finanzas, solicit un Crdito de Asistencia Tcnica a la
Asociacin Internacional de Fomento (AIF) para desarrollar en la Comisin
Nacional de Bancos y Seguros (CNBS) y el Banco Central de Honduras (BCH)
un proyecto para el fortalecimiento del sector financiero, siendo la Unidad
Coordinadora del Proyecto (UCP) establecida en la CNBS, la responsable del
manejo del mismo.
el presente informe se presenta un resumen de las normas para regular la
administracin de las tecnologas de informacin y comunicaciones en las
instituciones del sistema financiero se contempla la Asistencia Tcnica, Bienes,
Servicios y Entrenamiento para Reformar el Sistema de Pagos Hondureo que
entre otras comprende:
a) Formular una estrategia de reforma para el sistema de pagos, la cual ya fue
realizada y se encuentra ejecutndose.
b) Mejorar la calidad de los pagos actuales del sistema BCH, incluyendo
organizar y mejorar las operaciones para la deteccin de operaciones
inusuales.
Objetivos

Objetivo General
El Objetivo del presente trabajo es realizar un resumen y hacer un anlisis de la
nfasis de la comisin de banca y seguros CNBS, con la cual se har
mencionar las normativas y artculos sobre cada una, el objetivo esperado es
lograr comprender las normativas de banca y seguros y diferenciar las
normativas ISO Y COBIT, adems se muestra una diferencia entre las ISO
25999 e ISO 22301.

Objetivos Especficos

Lograr comprender y hacer un anlisis del nfasis sobre las normativas

de banca y seguros de Honduras.

Comprender los artculos de la normativa en la cual se har un

comentario.

Diferenciar y hacer un anlisis comparativo de las normativas ISO y

COBIT.
 Marco Terico

La inspeccin y vigilancia bancaria en Honduras se inicia con la emisin del

Decreto No. 80 del 11 de marzo de 1937, que contiene la primera ley para
establecimientos bancarios. La Secretara de Hacienda fue la encargada de
dicha vigilancia, por intermedio del Departamento de Vigilancia Bancaria.

En 1950, se establece la legislacin bancaria, mercantil y tributaria, mediante la

creacin de los Bancos Estatales, el Cdigo de Comercio y la Ley del Impuesto
Sobre la Renta, se crearon asimismo las bases del desarrollo de las
instituciones financieras, mercantiles y tributarias. En la legislacin referida se
traslada la vigilancia bancaria al Banco Central de Honduras (BCH), el cual
crea la Superintendencia de Bancos como una unidad dentro de su estructura
organizacional.

En 1958, el Congreso Nacional emiti el Decreto No. 26, mediante el cual, las
funciones de vigilancia y control de las instituciones bancarias, son asignadas a
la Secretara de Economa y Hacienda y la Superintendencia de Bancos pasa a
depender de esta Secretara. Sin embargo, mediante la emisin del Decreto
No. 102, en 1959, la Superintendencia de Bancos regresa legalmente al Banco
Central de Honduras (BCH).

En el ao de 1995, se emitieron dos importantes leyes para el Sistema

Financiero Nacional: la Ley de la Comisin Nacional de Bancos y Seguros y la
Ley de Instituciones del Sistema Financiero, posteriormente en el ao 2004 se
deroga la ltima con la aprobacin y vigencia de la Ley del Sistema Financiero
que tiene como objetivo regular la organizacin, autorizacin, constitucin,
funcionamiento, fusin, conversin, modificacin, liquidacin y supervisin de
las instituciones del sistema financiero y grupos financieros.

El 10 de junio de 1996, el Sr. Presidente Constitucional de la Repblica, Doctor

Carlos Roberto Reina, instal oficial y solemnemente, la Comisin Nacional de
Bancos y Seguros (CNBS), nombrando a los primeros Comisionados de esta
entidad, mediante acuerdo No. 0010 del 8 de enero de 1996.
La Comisin Nacional de Banca y Seguros, CNBS, es la entidad encargada de
la supervisin, inspeccin y vigilancia de la actividad bancaria, de seguros,
previsionales, de valores y dems relacionadas con el manejo,
aprovechamiento e inversin de los recursos captados del pblico.
Sus principales funciones son:

Mantener el sistema supervisado con niveles de solvencia de acuerdo a

la normativa vigente, asegurando que las instituciones gestionen todos
sus riesgos con base en las sanas prcticas, revelacin y transparencia
de su informacin y den cumplimiento al marco legal aplicable para
salvaguardar su estabilidad y velar por el inters pblico.

Velar por la transparencia, el respeto al derecho de los usuarios

financieros, y la promocin de la cultura financiera en la ciudadana.

Crear un entorno favorable para la inclusin financiera de las mayoras.

Fortalecer en el sistema supervisado la prevencin del delito de Lavado

de Activos y Financiamiento al Terrorismo.

Promover la consolidacin y solvencia del Sistema de Seguridad Social

para mejorar sus ndices de inclusin y calidad de los beneficios y
servicios que se ofrecen en el Pas, en el marco del Plan de Nacin y
Visin de Pas.
La CNBS ha venido siendo cuestionada. Se le acusa de estar altamente
politizada ya que sus comisionados han sido nombrados directamente por el
presidente de la Repblica o del Congreso Nacional, sin realizarse un concurso
competitivo. Los nombrados no tienen la experiencia y los conocimientos
requeridos por lo que las decisiones que toman no son tan colegiadas. Gran
parte del presupuesto destinado a la planilla de empleados es pagado por los
propios bancos, lo que introduce una prctica poco trasparente. Ha sido muy
vulnerable a la influencia de actores externos como los OFIs y la Embajada
Americana cuando se trata de aplicar las regulaciones y sanciones
establecidas a los miembros del sistema, o aprobacin de decretos y normas.
Pero, ante todo, es fcilmente influenciada por grupos y poderes fcticos
ligados al negocio bancario.

En la actualidad, los cuestionamientos son por el manejo del caso Rosenthal.

En primer lugar por la forma cmo actu sin medir consecuencias e impactos
negativos en la economa y empleados; ms an en la sociedad como tal con
el cierre de Diario Tiempo, el diario de Honduras, sin vela en el entierro del
banco y empacadora continental.
En segundo lugar, por lo poco trasparente del proceso liquidador donde ya se
sabe quines son los beneficiarios de los activos y manejo de cartera de dicho
banco; lo correcta despus del trueno, era abrir un proceso competitivo donde
participen otras instituciones de la regin para minimizar el impacto en el fondo
de depsitos y recursos adicionales del Estado. El tercero por desechar de
entrada una propuesta de la familia para el cierre voluntario del banco
(cubrimiento de cuota obligatoria para operar) y las empresas no involucradas
ni denuncias por los gringos en el lavado de activos del narcotrfico.

En un comunicado de la CNBS se explica que los activos extranjeros del Banco

Continental fueron congelados, con lo cual el ndice de adecuacin de capital
de la Entidad pas del 11.6% que report el Banco a 5.2% y puso a la
Institucin en una de las causales de liquidacin forzosa, asimismo, le fueron
cancelados los medios de pago electrnico, entre otros. Para el lunes 12 de
octubre de 2015 al Banco le fue comunicado que no se le aceptar participar
en la cmara de compensacin lo cual implica una imposibilidad de seguir
operando en el sistema de pagos nacional e internacional. El banco dej de
operar porque todos los negocios y transacciones fueron prohibidos por EEUU.

En defensa de la CNBS destaca el hecho que ya se haba comunicado y

multado al Banco Continental por prcticas no transparentes en el manejo de
transacciones bancarias; pero sigue latente su falta de previsin del riesgo que
implica para el pas una resolucin de este tipo cuando ya existen demandas
por mal procedimiento en la expropiacin de bienes y empresas, algunas de las
cuales tienen toda la documentacin en regla y debern ser devueltas.

Misin

Somos la institucin que por mandato constitucional tiene la responsabilidad de

velar por la estabilidad y solvencia de los sistemas financieros y dems
supervisados, su regulacin, supervisin y control. Asimismo, vigilamos la
transparencia y que se respeten los derechos de los usuarios financieros, as
como coadyuvamos con el sistema de prevencin y deteccin lavado activo y
financiamiento al terrorismo, y contribuimos a promover la educacin e
inclusin financiera, a fin de salvaguardar el inters pblico.

Visin

Ser una entidad referente de regulacin y supervisin a nivel centroamericano,

que aplica estndares y las mejores prcticas internacionales, apoyada en las
competencias de su talento humano.

Valores

Integridad: Actuacin sustentada en la honradez, prudencia, entereza, rectitud

y firmeza.
Responsabilidad: Ejecucin de la labor realizada con profesionalismo,
diligencia e independencia en procura de lograr las metas y objetivos en los
tiempos determinados.
Transparencia: Amplia difusin de informacin sobre nuestras actuaciones.
Rendicin de cuentas ante la sociedad.
Lealtad: Actuar con fidelidad y rectitud hacia la CNBS y compaeros de trabajo,
y hacia la sociedad.
Confidencialidad: Actuar con discrecin en el manejo y divulgacin de
informacin y hechos conocidos en el ejercicio de nuestras funciones.
Honestidad: Actuar con sinceridad y tener conducta ntegra con nosotros
mismos y hacia otras personas.
Prudencia: Actuar con buen juicio, cautela y en forma moderada.
Responsabilidad Social: El compromiso con la Responsabilidad Social es
trabajar por el prjimo es trabajar por Honduras.
Objetivos

Mantener el sistema supervisado con niveles de solvencia de acuerdo a

la normativa vigente, asegurando que las instituciones gestionen todos
sus riesgos con base en las sanas prcticas, revelacin y transparencia
de su informacin y den cumplimiento al marco legal aplicable para
salvaguardar su estabilidad y velar por el inters pblico.

Velar por la transparencia, el respeto al derecho de los usuarios

financieros, y la promocin de la cultura financiera en la ciudadana.

Crear un entorno favorable para la inclusin financiera de las mayoras.

Promover la consolidacin y solvencia del Sistema de Seguridad Social

para mejorar sus ndices de inclusin y calidad de los beneficios y
servicios que se ofrecen en el Pas, en el marco del Plan de Nacin y
Visin de Pas.

Estructura Organizacional
 Ley de la Comisin Nacional de Bancos y Seguros
1.- La presente ley tiene por objeto regular la Comisin Nacional de Bancos y
Seguros, en adelante denominada la Comisin, creada por el Artculo 245,
atribucin 31, de la constitucin de la Repblica. La Comisin es una entidad
desconcentrada de la Presidencia de la Repblica, adscrita al Banco Central de
Honduras, respecto del cual funcionar con absoluta independencia tcnica,
administrativa y presupuestaria.

Artculo 2.- La Comisin estar integrada por tres miembros propietarios y dos
suplentes nombrados por el Presidente de la Repblica, a travs de la
Secretara de Finanzas.

Artculo 3.-Para ser miembro de la Comisin se requiere ser hondureo, mayor

de treinta aos, estar en el libre ejercicio de los derechos civiles, ostentar ttulo
profesional de nivel universitario, de reconocida honorabilidad, competencia y
notoria experiencia en asuntos bancarios, de seguros, financieros de auditora
o legales.

Artculo 4.- No podrn ser miembros de la Comisin quienes: a) Tengan

cuentas pendientes con el Estado; b) Sean directa o indirectamente contratistas
o concesionarios del Estado; c) Sean miembros de las juntas directivas de los
partidos polticos o desempeen cargos o empleos pblicos remunerados o de
eleccin popular, excepto de carcter docente, cultural y los relacionados con
los servicios profesionales y de asistencia social.

Artculo 5.- Todo acto, resolucin u omisin de los miembros de la Comisin

que contravenga dispociones legales o reglamentarias har incurrir en
responsabilidad personal y solidaria para con la Comisin, el Estado o terceros
a todos los miembros presentes en la sesin respectiva, salvo a aquellos que
hubieren hecho constar su voto contrario en el acta correspondiente.

Artculo 6.- La Comisin, basada en normas y prcticas internacionales,

ejercer por medio de la Superintendencia la supervisin, vigilancia y control de
las instituciones bancarias pblicas y privadas, aseguradoras, reaseguradoras,
sociedades financieras, asociaciones de ahorro y prstamo, almacenes
generales de depsito, bolsas de valores, puestos o casas de bolsa, casas de
cambio, fondos de pensiones e institutos de previsin, administradoras pblicas
y privadas de pensiones y jubilaciones y cualesquiera otras que cumplan
funciones anlogas a las sealadas en el presente artculo.

Artculo 7.- Los miembros de la Comisin tendrn el carcter de funcionarios

pblicos, durarn (4) aos en el ejercicio de sus funciones y podrn ser
nombrados para nuevos perodos. Desempearn sus actividades a tiempo
completo y no podrn ocupar otro cargo, remunerado o ad-honorem, excepto
los de carcter docente, cultural y los relacionados con los servicios
profesionales y de asistencia social.
Artculo 8.- Para el cumplimiento de sus cometidos los miembros de la
Comisin debern reunirse en sesin. Las sesiones podrn ser ordinarias o
extraordinarias y se celebrarn con la periodicidad que determine el
Reglamento Interno de aqulla.

9.- Las sesiones de la Comisin sern dirigidas por el miembro de la misma

que el titular del poder ejecutivo haya designado como su presidente.

Artculo 10.- Cuando un miembro de la Comisin tuviere inters personal en

cualquier asunto que deba discutirse o resolverse por la misma o lo tuviese su
cnyuge, sus parientes dentro del cuarto grado de consanguinidad o segundo
de afinidad, o sus socios en cualquier tipo de empresa, deber retirarse de la
sesin desde la presentacin hasta la conclusin del correspondiente asunto.
Del retiro deber dejarse constancia en acta.

Artculo 11.- Los miembros de la Comisin y los funcionarios y empleados de

sta que divulguen en forma indebida cualquier informacin sobre los asuntos
que aqulla maneje y que se aprovechen de la misma para fines personales o
en dao de la entidad, del Estado o de terceros, incurrirn en responsabilidad
civil y penal.

Artculo 12.- Los miembros de la Comisin cesarn en sus funciones en

cualquiera de las circunstancias siguientes: a) Por caso de muerte; b) Por
renuncia; c) Por remocin hecha por el Presidente de la Repblica en caso de
violacin a la presente ley.

Artculo 13.- A la Comisin le corresponder: 1) Revisar, verificar, controlar,

vigilar y fiscalizar las instituciones supervisadas; 2) Dictar las normas que se
requieran para el cumplimiento de los cometidos previstos en el numeral
anterior, lo mismo que las normas prudenciales que debern cumplir las
instituciones supervisadas, para lo cual se basar en la legislacin vigente y en
los acuerdos y prcticas internacionales

Artculo 14.- Asimismo, son atribuciones de la Comisin: 1) Poner en

conocimiento de los directores o administradores de las instituciones
supervisadas las irregularidades que hubiese comprobado y exigirles, en su
caso, el cumplimiento de las disposiciones legales y reglamentarias aplicables
a las mismas, as como las resoluciones que haya dictado el Banco Central de
Honduras o la propia Comisin, y deducir las responsabilidades que en
derecho sean procedentes.

Artculo 15.- Los miembros de la Comisin y los funcionarios y empleados de la

misma guardarn la ms estricta reserva sobre los papeles, documentos e
informaciones de las instituciones supervisadas que sean de su conocimiento y
sern responsables por los daos y perjuicios que ocasione la revelacin de los
mismos.
Artculo 16.- Las Superintendencias sern los rganos tcnicos especializados
por medio de los cuales la Comisin cumplir, en lo pertinente, sus cometidos.
Estar conformada por los Superintendentes, por los funcionarios y empleados
que sean necesarios para su adecuado funcionamiento.

Artculo 17.- Para ser Superintendente debern cumplirse los mismos

requisitos que para ser miembro de la Comisin.

Artculo 18.- Los superintendentes y dems funcionarios de la Comisin

estarn sujetos a las mismas incompatibilidades y prohibiciones que los
miembros de sta.

Artculo 19.- El personal de la Superintendencia ser seleccionado por el

Superintendente conforme a las normas que al respecto dicte la Comisin.
Dicho personal deber contar con conocimientos y experiencia en contabilidad,
auditora, prcticas bancarias, de seguros y otras materias relacionadas con las
funciones de la Comisin.

Artculo 20.- La Comisin, los superintendentes, los funcionarios y empleados

de aqulla ejercern sus funciones con la mayor diligencia y dedicarn toda su
actividad profesional al desempeo de su cargo. No podrn, en consecuencia,
desempear otras funciones remuneradas o no, excepto las de carcter
docente, cultural y las relacionadas con los servicios profesionales y de
asistencia social.

Artculo 21.- Siempre que la Superintendencia, dentro del mbito de sus

funciones, estime que un acto es constitutivo de delito, lo har del conocimiento
de la comisin y sta, a su vez, de la autoridad competente.

Artculo 22.- Las funciones de fiscalizacin y vigilancia de las operaciones

presupuestarias propias de la Comisin estarn a cargo de un auditor interno
que ser nombrado por la Contralora General de la Repblica.

Artculo 23.- Quien haya sido funcionario o empleado de la Comisin no podr

gestionar ante sta, directa o indirectamente, a ttulo personal o en
representacin de terceros, asuntos que estuvieron a su cargo.

Artculo 24.- Los funcionarios y empleados de la Comisin que incumplan los

deberes estatuidos en esta Ley y en el reglamento que al respecto emita la
Comisin, que abusen de sus derechos o violen las prohibiciones establecidas,
sern objeto de las sanciones disciplinarias correspondientes. Estas acciones
sern independientes de la responsabilidad civil o penal que el acto sancionado
pueda originar.

Artculo 25.- Los funcionarios y empleados de la Comisin gozarn de los

derechos que seale la Ley de la Carrera Administrativa.
Artculo 26.- La Comisin, a travs de la Superintendencia, podr inspeccionar
y revisar las operaciones de todas las instituciones supervisadas tan
frecuentemente como lo crea necesario y sin previo aviso. Tambin podr
practicar evaluaciones, revisiones especiales o auditoras preventivas cuando
lo considere oportuno.

Artculo 27.- Conforme a las instituciones generales que la Superintendencia

comunique a las instituciones supervisadas, stas debern presentar, dentro de
los primeros diez das de cada mes, los estados financieros e informes
detallados de sus operaciones correspondientes al mes anterior. Estarn,
asimismo, obligadas a proporcionar cualesquiera otros datos e informaciones
peridicas u ocasionales que les soliciten la Comisin o el Banco Central de
Honduras para el cumplimiento de sus cometidos.

Artculo 28.- La Comisin, por medio de la Superintendencia, podr tomar

declaracin, dentro de la ley, a cualquier persona que tenga conocimiento de
algn hecho que se quiera aclarar en relacin con alguna operacin de las
realizadas por las instituciones supervisadas.

Artculo 29.- La Comisin, tomando en cuenta las normas y prcticas

internacionales, determinar en qu casos y qu personas naturales o jurdicas
tienen el carcter de relacionadas a la propiedad o gestin ejecutiva de una
institucin supervisada, atendiendo a las particulares caractersticas de los
crditos, de las sociedades o de las personas prestatarias.

Artculo 30.- La Comisin podr ordenar en cualquier tiempo, a las instituciones

supervisadas, la sustitucin de directores, si ha comprobado que su eleccin o
nombramiento se hizo con violacin de lo establecido en las leyes, reglamentos
o estatutos. La institucin de que se trate proceder a revocar sin tardanza la
eleccin o nombramiento y notificar de ello a la Comisin, con indicacin del
nombre del o los sustituidos.

Artculo 31.- La Comisin, a travs de la Superintendencia, podr exigir la

eliminacin de partidas que no representen valores reales en los estados
financieros. Establecer, igualmente, los controles internos mnimos y las
reglas de contabilidad que debern aplicarse, pudiendo las instituciones
escoger libremente los mtodos accesorios, siempre que sean compatibles con
dichas reglas y permitan apreciar fcilmente la verdadera situacin financiera
de la institucin.

Artculo 32.- Las instituciones supervisadas estarn obligadas a publicar, de

conformidad con las normas establecidas por la Comisin, los balances y
estados de prdidas y ganancias al cierre de cada ejercicio con sus respectivas
notas complementarias y dictamen del auditor externo. Dicha publicacin se
har en dos de los diarios de mayor circulacin en el pas.
Artculo 33.- Las sucursales de las instituciones financieras extranjeras que
operen en el pas presentarn a la Comisin, una vez al ao, por lo menos, los
estados financieros de la casa matriz dictaminados por auditores externos, as
como el informe anual de aqullas que muestre las operaciones consolidadas
que haya llevado a cabo con la casa matriz.

Artculo 34.- El presupuesto de la Comisin ser formulado por sta y sometido

a la aprobacin del Congreso Nacional por los conductos legales
correspondientes.

Artculo 35.- El ejercicio econmico de la Comisin corresponder con el ao

civil. Los excedentes de un ejercicio presupuestario servirn para el
financiamiento del ejercicio prximo.

Artculo 36.- Los asuntos de que conozca la Comisin que no sean de

naturaleza estrictamente bancaria o mercantil, se tramitarn de acuerdo con lo
prescrito por la Ley de Procedimiento Administrativo y, supletoriamente, por el
Cdigo de Procedimientos Civiles.

Artculo 37.- El ejercicio financiero de las instituciones supervisadas

corresponder ao civil.

Artculo 38.- Las comunicaciones dirigidas por la Comisin a las instituciones

supervisadas, as como los informes de las inspecciones realizadas, sern
sometidas al conocimiento del Consejo de Administracin o Junta Directiva
correspondiente, de lo cual se dejar constancia en acta. Quien incumpla esta
disposicin ser sancionado de acuerdo con lo previsto en la Ley de
Instituciones del Sistema Financiero, en lo que corresponda.

Artculo 39.- El personal que a la fecha de entrar en vigencia la presente ley se

encuentre al servicio del Departamento de Superintendencia de Bancos del
Banco Central de Honduras continuar desempeando sus funciones en la
misma hasta que, dentro de los seis (6) meses siguientes a la fecha indicada,
la Comisin inicie sus actividades.

Artculo 40.- Los miembros de la Comisin sern nombrados a partir de la

fecha en que entre en vigencia la presente ley y durante el plazo sealado en el
Artculo anterior adoptarn las medidas que sean necesarias para asegurar la
organizacin y adecuado funcionamiento de aqulla.

Artculo 41.- El Banco Central de Honduras y la Comisin establecern los

mecanismos de coordinacin, armonizacin y comunicacin para el
cumplimiento de sus objetivos.

Artculo 42.- La presente Ley entrar en vigencia veinte (20) das despus de
su publicacin en el Diario Oficial LA GACETA y desde esa fecha quedarn
derogados los Artculos 59, 60, 61, 62 y 64 de la Ley del Banco Central de
Honduras y todas las dems disposiciones legales que se le opongan.
RESUMEN DE LAS NORMAS PARA REGULAR LA ADMINISTRACIN DE
LAS TECNOLOGAS DE INFORMACIN Y COMUNICACIONES EN LAS
INSTITUCIONES DEL SISTEMA FINANCIERO
Artculo Resumen
1.- Objeto Las normas tienen por objeto regular la
administracin de las tecnologas de
informacin y comunicaciones utilizadas
por el sistema financiero, para que las
organizaciones presten la debida
importancia a la administracin del riesgo
de derivado de los sistemas de
informacin.
2.- Alcance Las normas estn basadas en estndares
internacionales como ISO/IEC
17799:2000, que constituyen una gua
general para la documentacin formal y la
implementacin de la seguridad en las
tecnologas de informacin.
3.- Definiciones Contiene exactamente 23 definiciones de
diferentes trminos utilizados
comnmente entre personas que trabajan
en el rea de TI. En pocas palabras
lenguaje tcnico. Por ejemplo, Servidor:
Computadora que presta servicios de red
a los usuarios de la misma. Estos
servicios pueden ser bases de datos,
impresin, antivirus, correo electrnico,
aplicaciones, etc.
4.- Polticas de administracin Manda a tener al menos una reunin
anual a la junta o consejo, para revisar
las polticas de administracin de
tecnologa y administracin de la
seguridad de la informacin y discutir al
menos 4 veces al ao los informes con la
Gerencia.
5.- Polticas de las Tecnologas de Hace referencia a que las polticas
Informacin y Comunicaciones mencionadas en el artculo 4 deberan
incluir temas como: a) Seguridad de la
informacin incluyendo algunos trminos
como Uso de internet, correo electrnico,
antivirus entre otros. b) Procesos de
respaldo y recuperacin en caso de un
desastre, fallas u otro imprevisto. c)
Tercerizacin (outsourcing); d)
Mantenimiento y desarrollo de sistemas;
y, e) Documentacin de todos los
procesos que se desarrollan en el rea
de TIC.
6.- Nombramiento de
Especializado
7.- Unidad Responsable
8.- Establecimiento de Polticas
Estrategias
9.- Procedimientos Formales
10.- Mantenimiento de Registros
11.- Perodo de Resguardo
12.- Mantenimiento de Bitcoras
Ejecutivo La Gerencia General deber nombrar un
ejecutivo especializado, responsable de
todos los asuntos relacionados con las
tecnologas de la informacin. Esta
persona debe tener conocimiento en las
diferentes reas del departamento de TI.
La unidad responsable de administrar los
aspectos tecnolgicos y de seguridad de
la informacin deber contar con el
manual de puestos para el personal de
TIC, deber estructurar un programa de
capacitacin de acuerdo con las
prioridades de la administracin, que
permita maximizar las contribuciones que
brinde el personal del rea de TIC.
y La Gerencia General deber definir y
proponer a la Junta o Consejo. El
Administrador de Seguridad Informtica
deber proponer a la Gerencia General
las polticas y estrategias
correspondientes.
La institucin deber desarrollar,
implementar, actualizar y documentar
procedimientos formales en relacin a la
planeacin, organizacin, adquisicin,
implementacin, entrega de servicios por
medios tecnolgicos, soporte y
monitoreo; y deber ser diligente en su
ejecucin y divulgacin.
La institucin deber mantener registros
de las auditoras a los sistemas
automatizados, basados en un anlisis de
riesgos, en bitcoras automatizadas
registrando los accesos, transacciones y
consultas. Estos registros debern como
mnimo identificar la persona, lugar,
tiempo y las acciones relacionadas con el
aplicativo utilizado.
La institucin deber resguardar los
registros previstos en el Artculo anterior.
El periodo de resguardo ser de 5 aos
para las transacciones y 6 meses para la
consulta.
La institucin, si as lo determina, podr
mantener informados a sus clientes y
empleados de la existencia del
mantenimiento de bitcoras que
registrarn todas las actividades con los
sistemas de informacin de la institucin.
13.- Auditora de Sistemas
14.- Responsabilidad del Auditor El Auditor Interno ser responsable de
Interno
15.- Factores de Riesgo
16.- Proceso de Auditora Basada en La institucin deber, conforme a la
Riesgos
17.- Administrador de Seguridad La Junta o Consejo deber nombrar a un
Informtica
18.- Perfil de Responsabilidades
19.- Separacin de Ambientes
20.- Evaluaciones de Seguridad
La Auditora Interna de la institucin
deber auditar la Tecnologa de
Informacin y Comunicacin (TIC) a fin
de verificar la integridad, disponibilidad y
confidencialidad de la informacin.
Basadas en buenas prcticas como
COBIT e ISO 17799.
que, aun en el caso de que la Auditora
de Sistemas sea llevada a cabo por
medio de la Tercerizacin (outsourcing)
se cumplan las disposiciones contenidas
en las Normas Mnimas para el
Funcionamiento de las Unidades de
Auditora Interna de las Instituciones del
Sistema Financiero y en las presentes
normas.
La institucin deber realizar sus
auditoras de sistemas basadas en un
anlisis de riesgos y cumpliendo las
normativas existentes. Se deben tomar
en cuenta factores como calidad de la
informacin, niveles de acceso y la
sensibilidad de la informacin entre otros.
administracin y anlisis de riesgos,
tomar las medidas necesarias para
minimizar los impactos negativos en toda
su infraestructura de Tecnologas de
Informacin y Comunicaciones.
Administrador de Seguridad Informtica,
el cual deber estar subordinado a la
Gerencia General de la institucin. Las
funciones del administrador de seguridad
no deben tener conflictos de inters con
el oficial encargado de las TICs.
La Gerencia General de la institucin
deber definir las funciones y las
responsabilidades del Administrador de
Seguridad Informtica. Se mencionan el
mnimo de funciones del responsable de
seguridad informtica.
La institucin deber procurar separar
fsicamente y lgicamente los ambientes
de produccin, desarrollo y pruebas.
Las evaluaciones de seguridad debern
medir la eficiencia de los medios de
proteccin e incluir propuestas para
corregir las vulnerabilidades.
21.- Implementacin de Cambios
22.- Otras Pruebas de Seguridad
23.- Informe de Seguridad
24.- Identificacin de Acceso
25.- Reglas y Procedimientos para La institucin deber determinar las
Acceso
26.- Clasificacin de Grupos y Las instituciones debern adoptar una
Asignacin de Perfiles de Usuarios
27.- Control de Acceso
28.- Tiempo de Expiracin
29.- Encriptacin de Informacin
30.- Certificacin de la Identidad del La institucin deber tomar las medidas
Sitio de Internet
Previo a la implantacin de cambios en:
el ambiente de produccin; los sistemas
de alto riesgo definidos por la
administracin; y los servicios financieros
por medios electrnicos, deber
realizarse una evaluacin de seguridad.
Para evitar conflictos de inters y poder
tomar las medidas cautelares
correspondientes, las instituciones
podrn realizar otras pruebas por entes o
profesionales externos.
La Gerencia General, para minimizar los
riesgos, deber implementar las
recomendaciones contenidas en el
informe de seguridad, y establecer un
cronograma de actividades a realizar.
La institucin deber asignar una
identificacin nica y personal de
cualquier usuario con acceso al sistema
de informacin, como una condicin
previa a la autorizacin de acceso.
reglas y el procedimiento para dicha
identificacin, as como para el
otorgamiento de autorizaciones a
terceros que accedan a los componentes
de la tecnologa de informacin.
clasificacin de grupos y asignacin de
perfiles de usuarios internos y externos
atendiendo su relacin con las unidades
internas, procesos y servicios.
Las instituciones debern utilizar
tecnologas que combinen la
identificacin y la autenticacin del
usuario, aplicando las mejores prcticas
internacionales.
La institucin deber fijar el tiempo de
expiracin de una sesin, cuando iniciada
la misma no se hayan ejecutado
actividades despus de cierto perodo de
tiempo.
La institucin deber determinar, de
acuerdo a un anlisis de riesgos, la
necesidad de encriptar la informacin a
ser transmitida y almacenada.
necesarias para certificar la identidad del
sitio de Internet y evitar posibles
imitaciones.
31.- Conexin de Internet
32.- Operaciones Autorizadas
33.- Requisitos de Conexin de Para que las estaciones de trabajo de los
Internet
34.- Resguardo de la Conexin de La conexin de la red de la institucin
Internet
35.- Contraseas de Acceso
36.- Plan de Contingencias
37.- Principios de Respaldo y La administracin de la institucin deber
Recuperacin
La conexin solo puede darse por parte
de los empleados, servicios financieros
por medios electrnicos y cualquier otro
caso aprobado, con anticipacin, por la
Comisin.
La Gerencia General de la institucin
deber determinar las operaciones que
sus empleados podrn realizar para la
utilizacin del Internet, as como cumplir
con los requerimientos del siguiente
Artculo.
empleados tengan acceso al Internet
debern estar conectadas nicamente al
Internet, o a una red que est conectada
exclusivamente al Internet a travs de
servidores separados de la red de
produccin. Con restriccin para accesar
a informacin sensitiva.
hacia Internet deber encontrarse
asegurada por lo menos con: un antivirus,
un filtro de contenido, un Sistema de
Deteccin de Intrusos (IDS) a nivel de red
y un firewall.
Las instituciones del sistema financiero
debern otorgar a los auditores de
sistemas de esta Comisin, estas deben
de ser sin restricciones pero solo con
derechos de lectura.
La institucin deber mantener un plan
de contingencias detallado para
recuperar y operar su tecnologa de
informacin en los casos de mal
funcionamiento y desastres. Se debern
tomar las medidas que aseguren la
posibilidad de reconstruir la informacin,
tanto de las copias de respaldo, como de
la informacin retenida en medios que ya
no son utilizados.
reunirse anualmente para discutir los
principios de respaldo y recuperacin, as
como tomar decisiones y documentar
detalladamente, con base en un anlisis
de riesgos, los siguientes temas:
Definicin de las situaciones de mal
funcionamiento, Definicin de los
procesos vitales del negocio.
38.- Tercerizacin
39.- Contrato Escrito de Tercerizacin
40.- Servicios y Operaciones de Banca Los servicios y operaciones de banca
Electrnica
41.- Niveles de Servicios
42.- Contrato de Prestacin de El contrato de servicios de banca
Servicios
43.- Revelacin de Informacin
44.- Medios de Identificacin
45.- Definicin del Perfil de Usuario de El perfil del usuario de banca electrnica
Banca Electrnica
La institucin podr contratar con una
entidad externa, la realizacin de las
siguientes actividades: la administracin,
procesamiento y resguardo de las
operaciones de informacin, as como el
desarrollo de sus sistemas, servicios de
consultora, patentes y otros servicios
relacionados con las TIC.
La Tercerizacin deber realizarse por
medio de un contrato escrito. Con
respecto a la Tercerizacin Significativa,
el contrato deber contener, como
mnimo, siete temas que se describen en
el artculo.
electrnica, permitirn a los clientes
obtener informacin de sus cuentas,
realizar operaciones o dar instrucciones
para realizar transacciones en su
nombre, a travs de los sistemas
electrnicos conectados al sistema de
produccin de la institucin.
Los servicios de banca electrnica se
categorizarn en distintos niveles, e
incluirn los servicios de los niveles que
les preceden. Incluye cuatro niveles de
servicio detallados en el artculo.
electrnica, deber ser firmado por el
cliente permitindole seleccionar el nivel
de servicio que requiera.
El contrato de servicio deber contener
las condiciones, responsabilidades,
excepciones y riesgos de la utilizacin de
los servicios que la institucin provee a
travs de su banca electrnica.
La institucin deber determinar los
medios de identificacin para cada cliente
que tenga autorizacin de acceso a los
servicios. El medio de identificacin
deber incluir como mnimo dos (2) de los
siguientes tres (3) requisitos: (1) Algo que
conoce el cliente; (2) Algo que le
pertenece al cliente; y, (3) Algo que
identifique fsicamente al cliente
(caracterstica biomtrica, por ejemplo
huella digital, iris del ojo, voz, etc.).
deber definirse con los permisos y
accesos conforme lo establecido.
46.- Asignacin de Contrasea de La contrasea inicial se le otorgar al
Acceso
47.- Cambios de Contraseas
48.- Cancelacin de Contraseas de La institucin deber cancelar las
Acceso
49.- Aplicacin de Medidas de Control Las disposiciones de esta seccin aplican
de Banca Electrnica
50.- Validaciones
51.- Proceso de Encriptacin
52.- Implementacin de Controles
53.- Separacin de Servidores
cliente en forma personal y sta ser
confidencial para terceros. Deber ser
otorgada al cliente en la institucin o por
cualquier otro canal de comunicacin
seguro que la institucin est utilizando.
La institucin deber realizar los cambios
de las contraseas de los usuarios en los
casos siguientes: (1) Inmediatamente
despus de la primera conexin. El
programa deber pedirle al cliente
cambiar su contrasea inicial. (2)
Peridicamente, de acuerdo al tiempo
definido en la poltica de seguridad
definida por la institucin.
contraseas de sus usuarios cuando
ocurra alguno de los cuatro casos que se
detallan en el artculo. Uno de ellos es
despus de un nmero de intentos
fallidos para entrar al sistema.
al software de banca electrnica
desarrollado por terceros (outsourcing) o
internamente por la institucin.
Las aplicaciones deben efectuar
validaciones en todos los campos de
entrada ubicados en las formas de las
mismas, las validaciones deben incluir
como mnimo controles de longitud
mxima y mnima permitida, as como
caracteres permitidos en los campos.
El proceso de encriptacin de las
contraseas debe realizarse a travs de
algoritmos de encriptacin mundialmente
aceptados y que no se hayan descifrado;
tambin debe incluir un Valor SALT para
proteger la contrasea contra ataques de
diccionario o fuerza bruta.
La aplicacin debe implantar controles
que minimicen el riesgo que la sesin de
un usuario pueda ser obtenida o
interceptada por un tercero para obtener
acceso al sistema con credenciales
previamente ingresadas.
La base de datos de la institucin debe
estar en un servidor separado del
servidor de Internet o servidor de
aplicaciones.
54.- Proceso de Autenticacin de Para autenticar a un usuario la aplicacin
Usuario deber en la medida de lo posible
solicitar adems del usuario y la
contrasea, un campo de control con
letras y nmeros aleatorios que el usuario
debe ingresar a fin de evitar ataques de
denegacin de servicio automatizado.
55.- Medidas de Resguardo para Las aplicaciones deben asegurar que
Informacin til ningn parmetro con informacin til
para un posible atacante viaje a travs
del navegador del cliente y as evitar que
estos parmetros puedan ser
manipulados, incluyendo las consultas a
nivel de URL.
56.- Acceso Restringido La aplicacin debe asegurar que los
usuarios de la misma tengan acceso
solamente a las funciones, recursos y
datos que estn especficamente
autorizados a acceder.
ARTCULO 57.- Acceso al Sistema de En cada acceso al sistema de banca
Banca Electrnica electrnica, la pantalla deber mostrar al
cliente, detalles del tiempo de su ltima
conexin y la direccin IP de donde se
conect.
58.- Impresin y/o Resguardo de El usuario podr, hasta donde sea
Instrucciones posible, guardar y/o imprimir en tiempo
real, todos los por menores de la
instruccin que fue dada.
59.- Medidas para Evitar Accesos no La institucin deber tomar las medidas
Autorizados que estn dentro de su control para evitar
el acceso no autorizado. Tambin deber
proteger la exposicin de informacin, tal
como la relativa a la cuenta del cliente,
prevenir que se pueda guardar la
contrasea en el explorador de Internet.
60.- Transacciones de Banca Las transacciones a favor de terceros,
Electrnica a Favor de Terceros que realice un cliente por medios
electrnicos debern sujetarse a techos o
topes que debern ser definidos en la
forma siguiente: 1.-Los topes o techos
sern determinados por la institucin y/o
cliente para aplicar a las transacciones
que acrediten las cuentas de los
beneficiarios a que se refiere el Artculo
61. 2.- Los techos o topes para las
transacciones que acrediten a otras
cuentas se sujetarn al procedimiento
descrito en el Artculo 62.
61.- Transmisin de Datos
62.- Establecimiento de Techos para Los
las Operaciones Autorizadas
63.- Lista de Beneficiarios
64.- Actualizacin de Lista de El cliente deber mantener actualizada su
Beneficiarios
65.- Correo Electrnico
66.- Procedimiento Formalizado
67.- Envo de Normas de Revelacin de La institucin podr hacer llegar a sus
Informacin
Cuando el cliente imparta una instruccin
para efectuar un pago a un tercero a
travs del servicio de banca electrnica,
la institucin deber requerirle que
especifique las particularidades del
beneficiario y la naturaleza y frecuencia
de pago.
montos mximos de las
transacciones para acreditar a otras
cuentas, sern determinados para cada
cliente por la institucin, y debern ser
respetados tanto por el cliente como por
la institucin.
La institucin deber mantener
almacenada en medios electrnicos, una
lista de beneficiarios por cada cliente que
use el servicio de banca electrnica, la
cual deber ser aprobada y actualizada
por el cliente.
lista de beneficiarios y todas sus
particularidades, incluyendo los techos o
topes de los pagos a favor de cada
beneficiario. Cada institucin deber
informar a sus clientes las implicaciones
en caso de que el cliente no mantenga
actualizada la lista.
La institucin deber determinar los tipos
de operaciones que sus clientes podrn
realizar por medio de correo electrnico.
La institucin deber contar con un
procedimiento formalizado para mantener
comunicaciones electrnicas con los
clientes.
clientes, por medio de correo electrnico
o por su sitio de Internet, las
notificaciones que sus polticas o normas
de revelacin de informacin le permitan.
debern cumplirse a cabalidad los
siguientes trminos y condiciones: (1) La
terminacin de los servicios a
requerimientos del cliente. (2) La
existencia de mecanismos o medios que
permitan a la institucin determinar
inequvocamente si el cliente recibi el
correo. (3) La transmisin de correo de la
institucin hacia el cliente deber hacerse
a travs de un ambiente seguro.
68.- Remisin de Informacin
69.- Programa de Reporte de Eventos
70.- Aplicacin Especial
71.- Banca del Exterior
72.- Controles de Seguridad
La institucin deber llevar registros,
estadsticas y a la vez comunicar a la
Comisin, los siguientes temas y eventos:
1) Eventos excepcionales tales como:
intentos de ataques y penetraciones
significativas, as como todos los
incidentes de penetracin a los sistemas.
2) La discontinuidad de servicios
significativos para sus clientes, como
consecuencia de un cierre no planificado
de los sistemas computarizados que dure
ms de un da de trabajo; 3) El
establecimiento de una sociedad
relacionada o auxiliar que se ocupe del
campo de las tecnologas de informacin
de la institucin; 4) La decisin de
anticipar cambios significativos sobre las
polticas de administracin de las
tecnologas de informacin, la migracin
y conversin de sus sistemas centrales 5)
La decisin de expandir los niveles de
servicio o una nueva iniciativa de
proporcionar servicios financieros por
Medios Electrnicos.
Cada reporte mencionado en artculos
anteriores debe ser debidamente
documentado, utilizando herramientas
que procuren las mejores prcticas.
La aplicacin de las presentes normas a
las instituciones subsidiarias de
instituciones extranjeras o miembros de
Grupos Financieros extranjeros que
operan en el territorio nacional, podr
adaptarse a sus necesidades particulares
previa comunicacin a la Comisin.
Cuando las presentes normas se
apliquen a las instituciones subsidiarias
de instituciones extranjeras o miembros
de Grupos Financieros extranjeros que
operan en el territorio nacional, se
incorporarn algunas modificaciones al
texto. Tres modificaciones que se
detallan en el artculo.
Para proteger sus sistemas las
instituciones debern incorporar como
mnimo en todas sus redes los controles
de Seguridad siguientes: a) Sistemas de
Deteccin y/o Prevencin a nivel de todas
sus redes que generen alertas oportunas
a los administradores de la red.
73.- Plazo de Adecuacin
74.- Continuidad de Contratos
75.- Vigencia
Las instituciones del sistema financiero
tendrn un plazo de un (1) ao, contado a
partir de la entrada en vigencia de las
presentes normas, para adecuarse a su
cumplimiento.
Las instituciones del sistema financiero
debern darle continuidad hasta su
vencimiento de conformidad con los
trminos pactados a actividades
contratadas antes de la entrada en
vigencia de las presentes normas.
Las presentes normas entrarn en
vigencia a partir de la fecha de su
publicacin en el diario oficial La
Gaceta. 2. La presente Resolucin es de
ejecucin inmediata.
Anlisis y diferencias entre ISO 17799 e ISO 27001

Actualizacin de la Norma ISO 17799:2005 y Creacin de la ISO 27001:2005

En seguridad de la informacin la referencia obligada a nivel internacional es la
norma ISO 17799:2000, que incluye la seguridad informtica. Originariamente
el primer estndar en seguridad de la informacin fue desarrollado en los aos
1990, en Inglaterra, como respuesta a las necesidades de la industria, el
gobierno y las empresas para fomentar un entendimiento comn sobre el tema
y establecer lineamientos generales. En 1995, el estndar BS 7799 es
oficialmente presentado. En 1998 se establecen las caractersticas de un
Sistema de Gestin de la Seguridad de la Informacin (SGSI) que permita un
proceso de certificacin, conocida como BS 7799.

Recin en diciembre del 2000 la organizacin de estndares internacionales

(ISO) incorpora la primera parte de la norma BS 7799, rebautizada como ISO
17799, la cual se presenta bajo la forma de notas de orientacin y
recomendaciones en el rea de Seguridad de la informacin.
En el ao 2005 hubo cambios interesantes a nivel de ISO 17799 y de COBIT
(con su nueva versin 4.0). En cuanto a la norma ISO, las novedades son ms
que interesantes. Hasta ahora muchas compaas se alineaban a la
17799:2000.
Luego tenan que certificar la norma BS 7799:2002 dado que ISO no haba
reglamentado las caractersticas de un Sistema de Gestin de Seguridad de la
Informacin. Esta ltima define el Sistema de Gestin de la Seguridad de la
Informacin (SGSI).
Con estos cambios la ISO 17799:2005 que con el tiempo deber ser
reemplazada por la ISO 27001 marco terico, se incluyen novedades
importantes:

1. Se agrega un nuevo dominio (Administracin de incidentes de la seguridad

de la informacin), es decir que ahora son 11 dominios.

2. Un marco terico ms fcil de aplicar, ya que cada dominio incluye el

objetivo de control especfico, el marco de implementacin y un anexo de
informacin adicional. Esto permite establecer un tablero de control ms simple
e incluso auditarlo con COBIT.

3. Se han realizado actualizaciones tecnolgicas, ya que la ltima revisin era

del ao 2002, y recordemos que un ao la tecnologa cambia bastante. Por
ejemplo en el dominio que hace referencia al control de acceso (Dominio 7), se
incluye los controles sobre redes inalmbricas y tecnologas similares que
deben estar incluidas como controles en las polticas de seguridad.
4. Se ha incluido un control sobre la entrega de servicios por terceras partes
(Service Delivery). Si bien algo se mencionaba en la versin anterior, se han
reformulado las definiciones.

5. Se ha incluido un apartado sobre el aceptable uso de los activos.

Recordemos que muchas veces por implementar escenarios muy seguros,
hacemos imposible el uso del recurso para el usuario que debe accederlo.

6. Se agrega un apartado sobre la gestin de riesgo. No olvidemos, que si bien

toda compaa debe tener un nivel de riesgo aceptado, la idea de la NORMA
ISO 27001:2005 es definir el manejo de riesgo de la compaa. La seguridad
total no existe, por lo tanto debemos tener definido como actuar ante una
situacin especial.

7. Incluye referencias importantes con el manejo de contrasea.

8. En COBIT figuraba el manejo de cdigo fuente dentro los controles. Esta vez
ISO ha incluido ese manejo dentro de los dominios.

9. Se ha agregado un apartado para el manejo de vulnerabilidades.

Sin dudas, esta versin es ms fcil de interpretar y de llevarla a la prctica, ya

que son ms claros los objetivos de cada uno de los controles de los dominios.
Recuerden, que como toda norma ISO, es una visin holstica y toda la
compaa deber acompaar el proceso de certificacin.
El primer gran logro que deben obtener, es la confirmacin por escrito de la
gerencia que se desea lograr la alineacin del estndar.

Ms all de los deseos o necesidades de certificar ISO 27001, recomendamos

a las compaas, usar estas nuevas versiones como gua y descartar las
versiones anteriores. Obtener un buen sistema de gestin de la informacin no
depende de la tecnologa que utilicemos en nuestra empresa, sino en mayor
medida de los procesos y las personas involucradas, con el objetivo de
preservar el valor actual y futuro de nuestras organizaciones.
Finalmente recordemos que ser un proyecto de cambio organizacional con
mltiples facetas, incluido un alto componente de consideraciones legales.
En el mes de Noviembre se ha publicado la norma ISO 27001:2005
denominada "Requisitos para la especificacin de sistemas de gestin de la
seguridad de la informacin (SGSI)".

La serie ISO 27000 comprende un conjunto de normas relacionadas con la

seguridad de la informacin y permite a las compaas certificar ISO y no la BS.
El resumen de normas es:
- ISO 27000, vocabulario y definiciones (terminologa para el resto de
estndares. de la serie).

- ISO 27001, especificacin del sistema de gestin de la seguridad de la

informacin (SGSI). Esta norma ser certificable bajo los esquemas nacionales
de cada pas.

- ISO 27002, actualmente la ISO 17799, que describe el Cdigo de buenas

prcticas para la gestin de la seguridad de la informacin.

- ISO 27003, que contendr una gua de implementacin.

- ISO 27004, estndar relacionado con las mtricas y medidas en materia de

seguridad para evaluar la efectividad del sistema de gestin de la seguridad de
la informacin.

A su vez, la norma ISO 17799:2000 sufri modificaciones

Teniendo ahora una nueva versin, la ISO 17799:2005 compuesta por:

A) Poltica de Seguridad.
B) Organizar la Seguridad de la Informacin.
C) Gestin de Activos.
D) Seguridad de los Recursos Humanos.
E) Seguridad Fsica y Ambiental.
F) Gestin de Comunicaciones y Operaciones.
G) Control de acceso.
H) Adquisicin, Desarrollo y Mantenimiento de Sistemas de Informacin.
I) Gestin de Incidentes de Seguridad de la Informacin.
Anlisis y diferencias entre COBIT 4.1 e COBIT 5

En esta versin de COBIT aparece una separacin entre procesos de Gestin y

procesos orientados al Gobierno de las TI, en claro alineamiento con la norma
ISO/IEC 38500 (Evaluar, Dirigir, Monitorizar).

Diferencias y Semejanzas Cobit 4.1 vs. Cobit 5.

reas de cambio Los principales cambios en COBIT 5:
1. Nuevos Principios de GEIT.
2. Mayor foco en Habilitadores.
3. Nuevo Modelo de Referencia de Procesos.
4. Nuevos y modificados procesos.
5. Prcticas y Actividades.
6. Metas y Mtricas ms desarrolladas.
7. Entradas y Salidas a nivel de prctica.
8. RACI Charts ms detalladas.
9. Process Capability Maturity Models and Assessments
Prcticas y Actividades
Las prcticas de gobierno y de administracin de COBIT 5 son equivalentes a
los objetivos de control de COBIT 4.1 y los procesos de Val IT y Risk IT.
Las actividades de COBIT 5 son equivalentes a las prcticas de control de
COBIT 4.1 y a las prcticas de administracin de Val IT y Risk IT.

Otros cambios: o Algo que puede resultar impactante es que en COBIT 5 los
Objetivos de Control han desaparecido. Realmente se han convertido en
prcticas de gestin o de Gobierno de las TI a fin de generalizar el concepto
para todos los mbitos de aplicacin, y no nicamente para el Control.
Tambin desaparece el modelo de madurez de capacidades- CMM aplicado a
los procesos para introducir un modelo basado en la ISO/IEC 15504. As
mismo, se han actualizado los procesos, los modelos de responsabilidad RACI
y otros elementos de COBIT para hacer ms completo, sencillo e integrado.
A nivel de la estructura de Procesos y Dominios esto es lo ms relevante del
comparativo entre ambas versiones:
Existe un nuevo Dominio (ahora son 5), que se enfoca en aspectos de
Gobierno de TI, denominado EDM Evaluar, Dirigir & Monitorear y que cubre
el antiguo proceso ME4 de COBIT 4.

La cantidad de procesos se ha incrementado de 34 a 37 (en el draft eran 36, se

agreg APO013 Gestionar Seguridad).

Si bien los objetivos de control que corresponden a cada proceso de COBIT 4,

se mantienen mayoritariamente dentro del mismo Dominio, existen
excepciones como las siguientes:

PO10 Administrar los proyectos, pas al Dominio BAI.

AI5 Procurar recursos de IT, pas al Dominio APO.

DS1 Definir y Administrar los niveles de servicio, pas al Dominio APO.

DS2 Administrar los servicios de Terceros, pas al Dominio APO.

DS3 Administrar el desempeo y la capacidad, pas al Dominio BAI.

DS6 Identificar y asignar costos, pas al Dominio APO.

DS7 Educar y Entrenar a los usuarios, pas al Dominio APO.

En el dominio APO Administrar, Planear y Organizar, es donde se observa

mayor reorganizacin interna de los objetivos de control, es decir que un
antiguo proceso de COBIT 4, ahora puede estar distribuido como parte de
hasta 5 procesos del mismo dominio en COBIT 5.

Existen nuevos procesos cuyo contenido es mayormente producto de COBIT 5,

destacndose:

EDM1 Definir el Framework para el Governance

APO1 Definir el Framework para el Management

APO4 Gestionar Innovacin

APO13 Gestionar Seguridad (tambin hay un Proceso DSS05 Gestionar los

Servicios de Seguridad).
Anlisis y Diferencia entre BS 25999 e ISO 22301

Si bien no existe una correlacin punto por punto entre la norma BS 25999
antecesora de la nueva norma internacional ISO 22301, el proceso de
transicin ser bastante simple para las empresas que ya tienen implantado un
sistema de continuidad del negocio segn la norma britnica. No obstante
analizaremos en los siguientes puntos aquellos aspectos en los que se

Diferencia:

CONOCIMIENTO DE LA ORGANIZACION: PLANIFICACION

Las referencias a la necesidad de una correcta planificacin aportan una

fundamental diferencia y aporte de la norma sobre sus antecesoras.

Podemos decir que el xito de un sistema de Gestin de Continuidad del

Negocio se basa en una eficaz definicin de Objetivos apoyados en una
adecuada asignacin de recursos tanto materiales como humanos.

LAS PARTES INTERESADAS

Otro enfoque novedoso es el mayor nfasis en la:

Identificacin de las partes interesadas, sus necesidades y objetivos

Desarrollo de una comunicacin fluida y eficaz entre las partes interesadas.

Todo lo anterior debe ser demostrable.

LIDERAZGO DE LA DIRECCION

Como queda claro en el punto anterior, la necesidad de evidencias que

demuestren el compromiso de la alta direccin en el desempeo del SIstema
de Continuidad del negocio, son apoyadas por una constante referencia a la
necesidad de un verdadero Liderazgo de la direccin en el control, apoyo y
revisin del funcionamiento del sistema.

El liderazgo por tanto de la direccin de la empresa significa una implicacin

directa en la:

Responsabilidad global por la eficacia del SGCN en la

Supervisin.

Medicin, anlisis y evaluacin del sistema.

 COMUNICACION

Las comunicaciones toman un protagonismo especial en este sistema, donde

aparecen nuevos requisitos en:

Comunicaciones sobre incidentes (Antes, Despus y Durante su aparicin)

Control de la gestin adecuada de las comunicaciones (Oportunidad) tanto

internas como externas a terceras partes.

Anlisis de los mtodos utilizados para las comunicaciones (capacidad,

disponibilidad, mtodos alternativos) incluyendo pruebas ante posibles
incidentes perturbadores

ANALISIS Y EVALUACION DEL DESEMPEO

Este es otro de los aspectos novedosos sobre la norma BS 25999,

establecindose nuevos requisitos de medicin, evaluacin y anlisis de la
eficacia del Sistema de Continuidad del Negocio.

ISO 22301 Vs BS 25999

En resumen, aunque los aspectos ms importantes de la continuidad del

negocio son comunes a ambas normas, la Norma ISO 22301 pone mayor
nfasis en la comprensin de los requisitos, el Liderazgo de la direccin y en el
establecimiento de Objetivos medibles y en el control de su desempeo
Resumen Controles COSO
Control Interno en Organizaciones, C.O.S.O. es un comit (Comit de
Organizaciones Patrocinadoras de la Comisin Treadway) que redact un
informe que orienta a las organizaciones y gobiernos sobre control interno,
gestin del riesgo, fraudes, tica empresarial, entre otras. Dicho documento es
conocido como Informe C.O.S.O. y ha establecido un modelo comn de
control interno con el cual las organizaciones pueden evaluar sus sistemas de
control.

Debido al mundo econmico integrado que existe hoy en da se ha creado la

necesidad de integrar metodologas y conceptos en todos los niveles de las
diversas reas administrativas y operativas con el fin de ser competitivos y
responder a las nuevas exigencias empresariales. Surge as una nueva
perspectiva sobre el control interno donde se brinda una estructura comn que
es documentada en el denominado Informe C.O.S.O..

El Comit de Organizaciones Patrocinadoras de la Comisin Treadway

(C.O.S.O.) es una organizacin voluntaria del sector privado, establecida en los
Estados Unidos y dedicada a proporcionar orientacin al mbito privado y
gubernamental sobre aspectos crticos de gestin de la organizacin, control
interno de la empresa, gestin del riesgo, el fraude y la presentacin de
informes financieros.

El Informe C.O.S.O. es un documento que especifica un modelo comn de

control interno con el cual las organizaciones pueden implantar, gestionar y
evaluar sus sistemas de control interno para asegurar que stos se mantengan
funcionales, eficaces y eficientes. (taringa.net, 2017).
 Conclusiones

Se estudi las normas para regular la administracin de las tecnologas

de informacin y comunicaciones en las instituciones en Honduras.

Se redact un documento formal que presenta un resume de cada uno

de los 75 artculos que conforman las normas que rigen el uso de
tecnologas de informacin en Honduras.

Las normas que regulan el uso de tecnologas de informacin en

Honduras es un buen avance para ensear a las organizaciones
parmetros de buen uso de las TICs.

Recomendaciones

A todas las personas involucradas con el uso de tecnologa de

informacin se les recomienda estudiar profundamente las normativas
de la Comisin Nacional de Bancos y Seguros.

A todos los profesionales de la informtica, aplicar todas las

recomendaciones de buenas prcticas en el uso de la informacin.

Al personal de IT de todas las organizaciones capacitarse

constantemente en la aplicacin de las leyes que rigen las tecnologas
de informacin en Honduras.
Link Video de tarea#1

https://youtu.be/knaJqw8zQng
Bibliografa

Seguros, C. N. (20 de octubre de 2017). NORMAS PARA REGULAR LA

ADMINISTRACIN DE LAS TECNOLOGAS DE INFORMACIN Y
COMUNICACIONES EN LAS INSTITUCIONES DEL SISTEMA FINANCIERO.
Diario Oficial La Gaceta, pgs. B1-B16.
(CNBS Comision de banca y seguros, 2010)
(Auditoria Informatica UNAL, 2017)

Pmg-ssi.com. (20 de octubre 2017). Pmg-ssi.com. Obtenido de

pmg-ssi.com: http://www.pmg- ssi.com/2014/02/isoiec-27006-
guia-para-la-certificacion-del-sgsi/
Pmg-ssi.com. (20 de octubre 2017). Pmg-ssi.com. Obtenido de
pmg-ssi.com: http://www.pmg- ssi.com/2014/02/isoiec-
27007-guia-para-auditar/
Pmg-ssi.com. (20 de octubre de 2017). Pmg-ssi.com. Obtenido
de pmg-ssi.com: http://www.pmg- ssi.com/2014/04/iso-
27034-seguridad-de-aplicaciones/
Ramrez, R. (20 de Octubre de magazcitum.com.mx).
magazcitum.com.mx. Obtenido de
magazcitum.com.mx:
http://www.magazcitum.com.mx/?p=1893#.WQd1i9y1v
IU
revistas.unal.edu.co. (20 de Octubre de 2017). revistas.unal.edu.co. Obtenido
de revistas.unal.edu.co