GERENCIA CORPORATIVA TECNOLOGÍA

From archive: July 2024

Automatización de procesos en la Unidad de Monitoreo

Marlen Sanchez Badilla Tags: monitoreo unidad_de_monitoreo service_now ‎ ‎ 135 Views

La Unidad de Monitoreo desarrolló en la plataforma Service Now un espacio para automatizar los procesos internos de su unidad, con el objetivo de mejorar la eficiencia operativa, reducir errores manuales y proporcionar una experiencia de usuario (interna) más intuitiva y fluida.

Este desarrollo permitió dejar de utilizar una herramienta llamada BCR Funcional, que por años se había convertido en un apoyo para la unidad pero que, sin embargo, presentaba vulnerabilidades y problemas de diseño que no podían ser sostenibles en el tiempo.

“Decidimos aprovechar las funcionalidades de la plataforma Service Now, logrando una integración con Dynatrace (sistema de monitoreo) para automatizar tareas y alertas. Ahora, contamos con más opciones automatizadas para el seguimiento, los formularios y la asignación de flujos de trabajo", afirma @Juan Rodriguez Gonzalez31EC218A-EBF4-47E2-9470-4DE1A0F223C0, supervisor de la Unidad de Monitoreo.

El desarrollo final estuvo listo en el mes de junio de 2024 y ha presentado los siguientes beneficios:

Automatización Efectiva: Los flujos de trabajo desarrollados han permitido la automatización de tareas, reduciendo la intervención manual y minimizando errores humanos. Esto ha resultado en una operación más rápida y confiable.

Mejora en la Experiencia del Usuario: Los formularios personalizados diseñados en ServiceNow han proporcionado una interfaz de usuario intuitiva y fácil de usar, lo que ha incrementado la satisfacción y la adopción por parte de los compañeros de la unidad de Monitoreo TI.

Recopilación de Datos Precisa: La implementación de formularios estructurados ha asegurado que la información recopilada sea consistente y precisa, facilitando la creación de reportes y su análisis.

“Queremos agradecer a los compañeros Administradores de Servicenow por el acompañamiento y asesoría que nos dieron para el entendimiento general de la herramienta” , agrega Rodríguez.

Modified on by Marlen Sanchez Badilla

Proofpoint E-mail URL Isolation

Flora Emilia Chaves Cardenas Tags: proofpoint seguridad_ti isolation ‎ 2 Comments ‎ 208 Views

La Gerencia Corporativa de Tecnología implementó la herramienta Proofpoint E-mail URL Isolation, la cual es una capa adicional de seguridad en la plataforma de correo electrónico que analiza los sitios web enlazados en un contenedor aislado y seguro, manteniendo posible material malicioso fuera de su entorno.

Esta solución es parte de las importantes inversiones y constantes mejoras en materia de ciberseguridad que realiza el BCR y permite acceder a enlaces adjuntos en correo electrónico sin exponerse a amenazas cibernéticas como la infección de malware comprometiendo al usuario o la terminal y pérdida de la información.

Con Proofpoint E-mail URL Isolation se pretende disminuir los ataques de phishing, malware y la perdida de datos en el uso de correo electrónico.

Es importante recalcar que el uso de esta funcionabilidad no supone la apertura descuidada e irracional de enlaces web adjuntos que no sean conocidos o confiables; por lo que se solicita mantenerse siempre atentos a técnicas de phishing usando medios como la ingeniería social.

Recordemos que la ciberseguridad se compone de: personas, procesos y tecnología y como se describió, la herramienta es una capa adicional, pero la primera línea de defensa siempre seremos las personas.

Le invitamos a conocer cómo funciona y como se utiliza esta nueva herramienta ingresando aquí o a la Comunidad de TI.

La ciberseguridad es responsabilidad de todos

En caso de no poder visualizar el video: Clic aquí

Modified on by Marlen Sanchez Badilla

Cumplimos con norma técnica exigida por el BCCR

Marlen Sanchez Badilla Tags: ciberseguridad bccr sinpe norma_técnica ‎ ‎ 101 Views

Cumplimos con norma técnica exigida por el BCCR para el servicio SINPE

El Banco Central de Costa Rica (BCCR) estableció que todas las entidades afiliadas al servicio de SINPE deben cumplir una serie de regulaciones dirigidas a adoptar MARCOS DE CIBERSEGURIDAD para la protección del sistema a nivel nacional.

Para ello, el 01 de agosto de 2023 emitió una norma técnica que las entidades deben atender obligatoriamente y que constituye un requisito para adquirir y mantener la condición de afiliado.

También, estableció que el cumplimiento de la norma debía ser evaluado por una firma de auditores externos. Para tal efecto, se asignó a Crowe Horwath CR, S.A. como los responsables de emitir el informe que determinara el cumplimiento de los controles ante el BCCR.

La Gerencia Corporativa de Tecnología asignó al equipo de la Unidad de Integración de Canales la tarea de analizar la norma y asegurar el cumplimiento de la misma.

Este proceso incluyó:

Un esfuerzo integral que involucró 18 áreas de Tecnología y 6 áreas de negocio.

El mapeo de los 47 controles solicitados por el BCCR; de los cuales 40 son de carácter obligatorio y 7 opcionales.

El análisis para determinar servicios, responsables, entregables y planes de acción (de setiembre a diciembre 2023)

La puesta en marcha de los planes de acción para recolectar, analizar, clasificar y revisar las evidencias entregadas según los requisitos establecidos. En total se recolectaron aproximadamente 270 evidencias (de enero a mayo 2024)

La construcción y modificación de algunos procesos para lograr el cumplimiento de la norma.

Finalmente, luego de muchas horas de trabajo se logra la emisión del informe por parte de la firma auditora el 26 de junio de 2024, el cual da como resultado el cumplimiento de los 40 controles obligatorios y 4 opcionales , sobrepasando la meta primordial que era el cumplimiento de los 40 controles obligatorios antes del 30 de junio

“El 10 de julio de 2024 recibimos repuesta del BCCR donde dan por aceptado el informe y cumplimiento del Conglomerado Financiero BCR a la norma, lo cual celebramos y por lo que nos sentimos muy satisfechos”, afirma @Viviana Vega Zumbado86FB954A-AB2F-46E6-A83D-730F733142F5, Supervisora de la Unidad de Integración de canales.

CONOCIMIENTO APLIADO:

Aplicativos que tienen interfaz directa con el SINPE:

 BCR Gestor de Pagos Entrantes
  BCR Gestor de Pagos Salientes
  BCR Gestor de Firma y Sello Electrónico
  BCR OPC Gestor de Pagos
  Gestor de Pagos de BCR Valores
  BCR Monex BCCR
  BCR Nodo de Emisión de Firma Digital
  BCR Nodo SINPE

Herramientas de Software Empleadas: se utilizaron todas estas herramientas especializadas dirigidas a optimizar la gestión y seguridad de la información y así contribuir con el cumplimiento de la norma:

BCR Endpoint Central: Destinado al inventario de equipos, software, y VMs, y la aplicación de parches para sistemas operativos Windows.
Panorama de PaloAlto: Administra el firewall, esencial para la protección perimetral.
Cisco ISE: Implementa funciones AAA para mejorar la seguridad y gestión de identidades.
Cisco Duo: Refuerza la seguridad mediante autenticación multifactor.
Cortex: Ofrece servicios de detección y respuesta para endpoints.
ProofPoint: Protege contra amenazas avanzadas de correo electrónico.
Service-Now: Gestiona tiquetes y la documentación operativa.
vCenter Sphere VMware: Gestiona las máquinas virtuales, permitiendo un control centralizado.
Avamar: Proporciona soluciones de respaldo de datos y VMs.
Safeguard: Facilita acceso seguro a VMs a través de usuarios administradores locales.
EventLog y SolarWinds: Recopilan logs de seguridad y auditoría, cruciales para el cumplimiento y la vigilancia de la seguridad.
Tenable IO: Evaluación continua de la vulnerabilidad y la conformidad de la seguridad de los activos de TI
Qradar: Gestión de eventos e información de seguridad (SIEM) que facilita la detección avanzada de amenazas y anomalías en tiempo real
SOC: Monitorear, analizar y proteger al Conglomerado contra ciberataques de forma continua.

Modified on by Marlen Sanchez Badilla

Contrato para las herramientas de gestión de usuario final

Marlen Sanchez Badilla Tags: usuario_final herramientas_de_gestión ‎ ‎ 55 Views

Por: @Ingrid Sanabria QuesadaFDB077F7-142C-46E4-9F3E-686D9CDE94EA

En el primer semestre de 2024, la Unidad de Mesa de Ayuda completó el proceso de renovación de un contrato que permite la contratación por demanda de herramientas de gestión de usuario final necesarias para la atención de sus necesidades.

Contar con dicho contrato, permite al BCR realizar la renovación, adquisición e implementación de licencias y horas de servicios profesionales para el uso de la plataforma ManageEngine.

¿Cómo nos beneficia este contrato?

Contar con módulos que permiten el cumplimiento de los controles solicitados por la norma PCI DSS, que forman parte de los planes creados para que el Conglomerado Financiero BCR pueda certificarse y adicionalmente esta certificación se debe mantener anualmente.

Se reduce el riesgo de sufrir un ataque de ciberseguridad, al estar al día con la aplicación de parches a los equipos que se encuentran dentro o fuera del BCR, permitiendo la atención oportuna de las vulnerabilidades existentes en el entorno.

Fortalece la seguridad de las terminales permitiendo evaluar periódicamente las vulnerabilidades, monitorear los navegadores y controlar las aplicaciones en los equipos.

Nos permite cumplir con lo que está definido en las disposiciones de seguridad vigentes en la institución.

Permite la clasificación, detección y bloqueo de software no autorizado o restringido de acuerdo con los lineamientos de Seguridad de TI.

Permite la administración y el control de las cuentas locales de los equipos de usuario final.

Agilidad en la atención de solicitudes e incidentes de usuario final mejorando con esto la experiencia de usuario y el tiempo de respuesta.

Reduce los gastos de mantenimiento y soporte asociados con la gestión manual del escritorio, ya que nos permite tener un acceso remoto a los equipos que se encuentran en el BCR o en Teletrabajo.

Al ser una plataforma ya implementada en el CFBCR, no se estaría incurriendo en costos de nueva infraestructura, implementación o recursos internos adicionales para su gestión.

Nos permite tener una mejora continua en los procesos.

Ciclo de parchado en la plataforma de servidores ofrecerá un mejor nivel de actualización en los sistemas operativos.

El licenciamiento actual nos permite realizar copias de seguridad completas e incrementales de los objetos del Active Directory y restauración de forma granular de un objeto eliminado.

Permite auditar todo cambio realizado.

Poner en marcha los fondos generacionales es una prioridad

Marlen Sanchez Badilla Tags: rop fondos_generacionales ‎ ‎ 134 Views

El proyecto de índole regulatorio que solicita a las operadoras de pensiones gestionar los fondos de pensión de sus afiliados mediante portafolios acordes a los grupos etarios (Fondos generacionales), representa una prioridad para el equipo de Tecnología de BCR Pensiones este 2024.

“El desarrollo de este proyecto representa grandes retos para nuestro equipo; el primero es la particularidad de contar con un solo entregable de los desarrollos realizados durante todo un año, dado que no se pueden realizar implementaciones parciales antes de la fecha de entrada en vigencia.

Como segundo reto tenemos la dependencia con el ente regulador ante posibles dudas que puedan surgir ante el entendimiento de la normativa. Y, por último, el estricto seguimiento al plan con el fin de atender a tiempo los impedimentos que podrían representar un riesgo en la ejecución de las tareas, dado que el proyecto tiene fecha de implementación inamovible”, afirma @Wilfrer Hidalgo Sanchez72557141-12E9-419A-AD75-8A199226148C , jefe de la oficina de Tecnología de la Información de BCR Pensiones.

A la fecha, el proyecto tiene un avance del 59% e implica la modificación transversal de los procesos que componen la operativa diaria de la Operadora para que se logre implementar el nuevo modelo de administración del ROP en marzo de 2025, mediante cuatro fondos independientes.

Para Hidalgo, “el orden, seguimiento exhaustivo y apoyo completo del equipo son sus principales herramientas para llegar con éxito a la meta final”

Feed for Blog Entries Feed for Blog Comments

Communities