GERENCIA CORPORATIVA TECNOLOGÍA

Como parte de la firma de los acuerdos de nivel de servicio entre Banprocesa y la Gerencia Corporativa de Tecnología, se encuentra el ítem de evaluar el grado de satisfacción del servicio brindado, específicamente sobre lo relacionado al Desarrollo de soluciones y Atención de incidentes, en tercer nivel (Especialista) de los sistemas asignados.

Es por lo anterior que gentilmente solicitamos su valiosa colaboración para poder cumplir con lo requerido, y agradecemos muchísimo nos puedan ayudar con el llenado del cuestionario, para analizar el nivel de satisfacción y proponer mejoras en la gestión que se realiza.

Por lo anterior, en esta ocasión le hemos seleccionado dentro de una muestra representativa de la Gerencia Corporativa de Tecnología, para que usted pueda calificar la atención y servicio recibido.

Le agradecemos ingresar en el siguiente enlace y responder a las preguntas: Clic aquí

El cuestionario se encontrará disponible del 01 al 09 de diciembre de 2022.

Las consultas pueden ser canalizadas por medio del correo: meliporras@bancobcr.com

En la Gerencia Corporativa de Tecnología, existe el Grupo de Administración de Cambios (GAC), el cual, es un equipo interdisciplinario cuyo fin es revisar y aprobar todos los cambios de aplicaciones o infraestructura que se van a llevar al ambiente de producción, para evitar tanto como sea posible, que se materialice algún riesgo de alto impacto durante la implementación. 

Algunos ejemplos de este tipo de cambios pueden ser: actualizar una aplicación, cambiar una base de datos, poner equipos nuevos en los centros de datos y otros similares.

Cada año, el equipo establece un calendario con las fechas de las sesiones ordinarias del GAC y las fechas en las cuales es permitido hacer los pases a producción. 

Los equipos técnicos deben presentar en estas sesiones sus respectivos proyectos para que, en el seno de dicha sesión, el pase a producción sea aprobado por este equipo interdisciplinario.

¿Cómo se gestionan los pases?

La Gerencia Corporativa de TI, por medio del líder técnico y dueño del negocio que promueve el pase, presentan el detalle del cambio que se requiere realizar, cuáles son los posibles riesgos, cuándo se piensa hacer y cuál sería el mecanismo de vuelta atrás que se utilizaría si algo sucede durante el proceso y hay que devolverse al último estado bueno conocido para no afectar la operación del sistema, a los usuarios y los clientes finales.

Una vez aprobado el pase, la Unidad de Gestión de DevOps de TI (parte de la Gerencia Soporte a TI), junto con la Unidad de Soporte a Soluciones e Infraestructura (Gerencia de Operaciones), ordenan y agendan los cambios que se van a llevar a producción de manera que no choquen entre sí y, principalmente, que no haya afectación al negocio o que ésta sea mínima. 

Muchas veces, sucede que hay cambios que no son compatibles entre sí, por lo que se deben de priorizar o recalendarizar, para minimizar riesgos.

Por la razón anterior, es que también existe otro calendario de periodos de vedas, en donde se bloquean fechas específicas para que no haya pases a producción que puedan eventualmente impactar la operativa del Conglomerado; por ejemplo: Día de la Madre, Black Friday, ciertas fechas cercanas a Navidad, algunos días de Semana Santa, etc. 

En esos días de alta transaccionalidad, se cuida al máximo la plataforma de producción para evitar inconvenientes. Los pases a producción en esos periodos son los estrictamente indispensables y solamente por casos muy calificados.

Todo este proceso ayuda a que la operación del CFBCR se vea afectada lo mínimo posible, y que exista una adecuada documentación y trazabilidad de los cambios que se han realizado en el ambiente de producción a lo largo del tiempo. 

Pensar en la seguridad en cada proceso, donde todos somos responsables por ella, requiere cambiar la forma tradicional de hacer las cosas, dejar atrás el pensar primero en la funcionalidad y de último en la seguridad.

En la siguiente imagen, se muestra la Visión de DevSecOps (“Dev” de Development o Desarrollo, “Sec” de Security o Seguridad y “Ops” de Operations u Operaciones), la cual implica la incorporación de los esquemas de seguridad en cada paso en la ruta de DevOps:

Le invitamos a leer el siguiente extracto del artículo tomado de: https://revistabyte.es

Shift-left: la colaboración entre los equipos de seguridad y los desarrolladores

La tendencia de shift-left (cambio a la izquierda), que supone el traslado de la seguridad desde el final del ciclo de vida del desarrollo de software a un punto previo del proceso, puede marcar una diferencia real. 

Al emplear herramientas de seguridad como parte del proceso de desarrollo, los desarrolladores pueden poner fin a su pesadilla de intentar solucionar los fallos de seguridad al final de un proceso.

“DevSecOps” es el término que resume el cambio cultural que debe ocurrir para poner fin a estas y otras deficiencias. Significa integrar la seguridad en todo para que todos los puntos de contacto, en el ciclo de vida del desarrollo de software, contengan un elemento de seguridad para que sean más eficientes y permitir detectar posibles problemas mucho antes.

Abriendo las líneas de comunicación

Entonces, con esto en mente, ¿Cuáles son los elementos clave para el éxito? Uno obvio es cómo derribar las barreras que existen entre los equipos de desarrollo y seguridad de una manera positiva. 

Existen varios enfoques, como incorporar a una persona de seguridad en un equipo de desarrollo o capacitar a los desarrolladores sobre las mejores prácticas de seguridad. Cualquiera que sea el enfoque elegido, un paso fundamental es superar las barreras de comunicación.

Un error común es que la seguridad trate solo de decir “no” a cualquier solicitud, solo para reducir el riesgo. Desde una perspectiva de seguridad, existe otra idea errónea de que los desarrolladores solo se preocupan por entregar código, y la seguridad significa menos para ellos. Ninguno de los dos puntos de vista es totalmente verdad.

Como todo el mundo, los equipos de seguridad quieren que la empresa tenga éxito y que sucedan cosas interesantes. Los desarrolladores también se preocupan por algo más que la entrega de código; además, saben que, si sale algo mal, hay implicaciones importantes que quieren evitar.

Si bien las líneas abiertas de comunicación y el entendimiento mutuo son clave, es igualmente importante que los equipos de DevSecOps tengan un conjunto de herramientas que estén igualmente integradas y sean capaces de rastrear y abordar los cambios que podrían estar sucediendo en su empresa. 

Quizás la mayor dificultad a la que se enfrentan las empresas cuando intentan integrar la seguridad en el desarrollo es que, con demasiada frecuencia, todo el mundo quiere una respuesta fácil. En otras palabras, “seguridad suficientemente buena”, pero esa nunca es una buena idea.

Desafiar esto requiere un duro trabajo en la forma en que la mentalidad de seguridad de una organización evidencia que habrá algo de trabajo por parte de todos. No hay un camino sencillo e intermedio.

El cambio a la izquierda (shift-left) y cultivar DevSecOps requerirá tiempo. Hay un doble trabajo a la hora de invertir en herramientas que permitan a los desarrolladores y los equipos de seguridad trabajar juntos; y hacer un esfuerzo real para eliminar las barreras de comunicación, desarrollar la cultura adecuada y establecer procesos que permitan a los desarrolladores y profesionales de la seguridad trabajar juntos con un propósito común.

Lea también:

• ¿Qué es DepOps? (ingresar)

• El ciclo de vida de DevOps (ingresar)

• Ventajas de adoptar una cultura DevOps (ingresar)

La Gerencia de Tecnología iniciará la implementación del cifrado de las computadoras portátiles asignadas a cada una de las personas trabajadoras del Conglomerado, con el propósito de robustecer la seguridad de los equipos.

Estas acciones forman parte del Plan Táctico llamado: Encripción de equipos de usuario final, perteneciente al cuadrante 3 del PETI 

¿Qué es el cifrado y para qué se utiliza?

El cifrado de equipos de usuario final, imposibilitará que una persona que no sea la autorizada tenga acceso a la información que tiene el equipo.

"Cuando se extravía o se roba una computadora portátil, la información que contiene puede ser accesible para cualquiera que tenga el aparato, aún si estos tienen contraseña. 

"Por desgracia, una cuenta de usuario protegida con contraseña no protege tu información", comentó Dennis Stewart, un ingeniero de seguridad en CipherTechs. "Aunque la contraseña evitará que alguien más acceda a tu computadora, los atacantes pueden utilizar otros métodos para copiar los archivos".

"El cifrado es un proceso matemático que sirve para revolver datos. Si los archivos importantes o los dispositivos enteros están cifrados, no hay forma de entenderlos sin la clave", señaló Stewart.

Esto quiere decir que, si los ladrones intentan acceder a tu información, se encontrarán con un desorden, a menos que tengan la contraseña, y no podrán simplemente restaurar esta si el dispositivo está cifrado."

Si bien la normativa institucional y las buenas prácticas de seguridad de la información señalan que no se debe almacenar información sensible, confidencial y privada en los equipos, toda la información que contienen los equipos institucionales es de suma importancia y por lo tanto deben protegerse.

La implementación de este proyecto se realizará de manera gradual y es liderado por la Unidad de Soporte Técnico (Gerencia Operaciones) junto con la oficina de Seguridad de la Información de TI, quienes hacen un llamado a estar pendientes a las instrucciones que se irán informando de forma general y a través de las jefaturas.

Fuente: https://www.lanacion.com.ar

Artículo: Por qué deberías cifrar el contenido de tu computadora