Plan de Seguridad Informática para Una Entidad Financiera PDF

UNIVERSIDAD NACIONAL MAYOR DE SAN MARCOS
Fundada en 1551
FACULTAD DE CIENCIAS MATEMTICAS

E.A.P. DE COMPUTACIN
PLAN DE SEGURIDAD INFORMTICA PARA UNA ENTIDAD FINANCIERA
TRABAJO MONOGRFICO
Para optar el Ttulo Profesional de:
LICENCIADA
AUTORA
NORMA EDITH CRDOVA RODRGUEZ
LIMA PER
2003
DEDICATORIA
Este trabajo va dedicado a la Universidad
Nacional Mayor de San Marcos, a la que le
debo mi formacin profesional y los xitos
que he alcanzado.
INDICE
INTRODUCCION
CAPITULO I.
OBJETIVOS Y ALCANCES
1.1
Objetivos.................................................................................................................1
CAPITULO II
METODOLOGA Y PROCEDIMIENTOS UTILIZADO
2.1 Metodologa ESA....................................................................................................3

CAPITULO III
DIAGNSTICO DE LA SITUACIN ACTUAL DE LA ADMINISTRACIN DE
LA SEGURIDAD DE INFORMACIN
3.1
3.2
Evaluacin ............................................................................................................5
Alcances ............................................................................................................6
CAPITULO IV
SEGURIDAD DE LA INFORMACIN ROLES Y ESTRUCTURA
ORGANIZACIONAL
4.1
4.2
4.3
Situacin actual.....................................................................................................8
Roles y responsabilidades de la estructura organizacional de seguridad de
informacin.....................................................................................................9
Organizacin del area de seguridad informtica propuesta
............. 13
CAPITULO V
EVALUACIN DE RIESGOS, AMENAZAS Y VULNERABILIDADES
5.1
5.2
5.3
Matriz de uso y estrategia de tecnologa ....................................................... 16

Matriz de evaluacin de amenazas y vulnerabilidades ............................... 26
Matriz de iniciativas del negocio / procesos .................................................. 38
CAPITULO VI
POLTICAS DE SEGURIDAD DE LA INFORMACIN
6.1
Definicin..............................................................................................................48
6.2
Cumplimiento obligatorio ...................................................................................49
6.3
Organizacin de la Seguridad ..........................................................................49

6.3.1
6.3.2
6.3.3
6.4
Evaluacion de riesgo ..........................................................................................51

6.4.1
6.4.2
6.4.3
6.4.4
6.4.5
6.4.6
6.4.7
6.5
Estructura organizacional................................................................. 49
Acceso por parte de terceros........................................................... 50
Outsourcing ......................................................................................... 51
Inventario de activos.......................................................................... 52
Clasificacin del acceso de la informacin.................................... 53
Definiciones........................................................................................ 54
Aplicacin de controles para la informacin clasificada.............. 54
Anlisis de riesgo............................................................................... 57
Cumplimiento ...................................................................................... 57
Aceptacin de riesgo......................................................................... 58
Seguridad del personal......................................................................................58

6.5.1
Seguridad en la definicin de puestos de trabajo y recursos ..... 59
6.5.2
Capacitacin de usuarios ................................................................. 60
6.5.3
Procedimientos de respuesta ante incidentes de seguridad..... 61
6.5.3.1 Registro de fallas ............................................................................. 62
6.5.3.2 Intercambios de informacin y correo electrnico...................... 62
6.5.3.3 Seguridad para media en trnsito ................................................. 64
6.6
Seguridad fsica de las instalaciones de procesamiento de datos .............64

6.6.1
6.6.2
6.6.3
6.7
Proteccin de las instalaciones de los centros de datos............. 64

Control de acceso a las instalaciones de cmputo ...................... 65
Acuerdo con regulaciones y leyes................................................... 66
Administracin de comunicaciones y operaciones........................................66

6.7.1
Procedimientos y responsabilidades operacionales .................... 66
6.7.1.1 Procedimientos operativos documentados.................................. 66
6.7.1.2 Administracin de operaciones realizadas por terceros............ 67
6.7.1.3 Control de cambios operacionales................................................ 67
6.7.1.4 Administracin de incidentes de seguridad................................. 68
6.7.1.5 Separacin de funciones de operaciones y desarrollo .............. 68
6.7.2
Proteccin contra virus...................................................................... 69
6.7.3
Copias de respaldo............................................................................ 70
6.8
Control de acceso de datos...............................................................................71

6.8.1
Identificacin de usuarios ................................................................. 71
6.8.2
Seguridad de contraseas................................................................ 72
6.8.2.1 Estructura .......................................................................................... 72
6.8.2.2 Vigencia............................................................................................. 73
6.8.2.3 Reutilizacin de contraseas ......................................................... 73
6.8.2.4 Intentos fallidos de ingreso............................................................. 73
6.8.2.5 Seguridad de contraseas ............................................................. 74
6.8.3
Control de transacciones .................................................................. 74
6.8.4
Control de produccin y prueba ...................................................... 75
6.8.5
Controles de acceso de programas ................................................ 76
6.8.6
Administracin de acceso de usuarios........................................... 76
6.8.7
Responsabilidades del usuario........................................................ 78
6.8.8
Seguridad de computadoras ............................................................ 79
6.8.9
Control de acceso a redes................................................................ 80
6.8.9.1 Conexiones con redes externas.................................................... 80
6.8.9.2 Estndares generales ..................................................................... 81
6.8.9.3 Poltica del uso de servicio de redes ............................................ 82
6.8.9.4 Segmentacin de redes.................................................................. 83
6.8.9.5 Anlisis de riesgo de red ................................................................ 83
6.8.9.6 Acceso remoto(dial-in) .................................................................... 83
6.8.9.7 Encripcin de los datos................................................................... 84
6.8.10 Control de acceso al sistema operativo ......................................... 84
6.8.10.1 Estndares generales ................................................................... 84
6.8.10.2 Limitaciones de horario................................................................. 84
6.8.10.3 Administracin de contraseas ................................................... 85
6.8.10.4 Inactividad del sistema.................................................................. 85
6.8.10.5 Estndares de autenticacin en los sistemas........................... 85
6.8.11 Control de acceso de aplicacin...................................................... 85
6.8.11.1 Restricciones de acceso a informacin...................................... 86
6.8.11.2 Aislamiento de sistemas crticos................................................. 86
6.8.12 Monitoreo del acceso y uso de los sistemas................................. 86
6.8.12.1 Sincronizacin del reloj................................................................. 86
6.8.12.2 Responsabilidades generales...................................................... 87
6.8.12.3 Registro de eventos del sistema ................................................. 87
6.8.13 Computacin mvil y teletrabajo ..................................................... 87
6.8.13.1 Responsabilidades generales...................................................... 87
6.8.13.2 Acceso remoto ............................................................................... 88
6.9
Desarrollo y mantenimiento de los sistemas..................................................89

6.9.1
Requerimientos de seguridad de sistemas.................................... 89
6.9.1.1 Control de cambios.......................................................................... 89
6.9.1.2 Anlisis y especificacin de los requerimientos de seguridad . 90
6.9.2
Seguridad en sistemas de aplicacin............................................. 90
6.9.2.1 Desarrollo y prueba de aplicaciones............................................. 90
6.10 Cumplimiento normativo ...................................................................................91

6.10.1
Registros ............................................................................................. 91
6.10.2
6.10.3
6.10.4
Revisin de la poltica de seguridad y cumplimiento tcnico ..... 92

Propiedad de los programas ............................................................ 92
Copiado de software adquirido y alquilado.................................... 92
6.11 Consideraciones de auditoria de sistemas .....................................................93

6.11.1
6.11.2
Proteccin de las herramientas de auditoria ................................. 93

Controles de auditoria de sistemas................................................. 93
6.12 Poltica de Comercio Electrnico .....................................................................94

6.12.1
Trminos e informacin de comercio electrnico ......................... 95
6.12.1.1 Recoleccin de informacin y privacidad .................................. 95
6.12.1.2 Divulgacin ..................................................................................... 95
6.12.2
Transferencia electrnica de fondos............................................... 96
6.13 Informacin almacenada en medios digitales y fsicos ................................97
6.13.1
6.13.2
6.13.3
6.13.4
6.13.5
Etiquetado de la informacin............................................................ 97
Copiado de la informacin................................................................ 97
Distribucin de la informacin.......................................................... 98
Almacenamiento de la informacin................................................. 98
Eliminacin de la informacin .......................................................... 99
CAPITULO VII
PLAN DE IMPLEMENTACIN DE ALTO NIVEL
7.1
7.2
7.3
7.4
7.5
7.6
7.7
7.8
7.9
Clasificacin de informacin...........................................................................102
Seguridad de red y comunicaciones.............................................................103
Inventario de accesos a los sistemas...........................................................106
Adaptacin de contratos con proveedores ..................................................107
Campaa de concientizacin de usuarios. ..................................................108
Verificacin y adaptacin de los sistemas del banco.................................109
Estandarizacin de la configuracin del software base.............................110
Revisin, y adaptacin de procedimientos complementarios...................111
Cronograma tentativo de implementacin...................................................113
CONCLUSIONES Y RECOMENDACIONES ........................................................114

ANEXOS
A.
Diseo de arquitectura de seguridad de red ................................................118
B.
Circular n g-105-2002 publicada por la Superintendencia de Banca y

Seguros (SBS) sobre riesgos de tecnologa de informacin.....................121
C.
Detalle: Diagnostico de la Situacion Actual de la Administracin de los riesgos

de tecnologia de la informacion......................................................................132
BIBLIOGRAFA.. ..............................................................................................154
Plan de Seguridad Informtica para una Entidad Financiera .

Crdova Rodrguez, Norma Edith.
RESUMEN
La liberalizacin y la globalizacin de los servicios financieros, junto con la

creciente sofisticacin de la tecnologa financiera, estn haciendo cada vez
ms diversas y complejas las actividades de los bancos en trminos de
Seguridad.
En otros tiempos la seguridad de la informacin era fcilmente administrable,

slo bastaba con resguardar los documentos ms importantes bajo llave y
mantener seguros a los empleados que poseen el conocimiento poniendo
guardias de seguridad. Hoy en da es ms difcil.
Los sistemas electrnicos entraron en las oficinas y obligaron a los sistemas de

seguridad a evolucionar para mantenerse al da con la tecnologa cambiante.
Luego, hace unos 5 aos, los negocios, an las empresas ms pequeas, se
conectaron a Internet (una amplia red pblica con pocas reglas y sin
guardianes).
De manera similar a otro tipo de crmenes, el cuantificar los gastos y prdidas

en seguridad de la informacin o crmenes cibernticos es muy difcil.
Se
tiende a minimizar los incidentes por motivos muchas veces justificables.
Por otro lado el objetivo fundamental de la seguridad no es proteger los

sistemas, sino reducir los riesgos y dar soporte a las operaciones del negocio.
La computadora ms segura del mundo es aquella que est desconectada de
cualquier red, enterrada profundamente en algn oscuro desierto y rodeada de
guardias armados, pero es tambin la ms intil.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM

La seguridad es slo uno de los componentes de la administracin de riesgos

minimizar la exposicin de la empresa y dar soporte a su capacidad de lograr
su misin. Para ser efectiva, la seguridad debe estar integrada a los procesos
del negocio y no delegada a algunas aplicaciones tcnicas.
Los incidentes de seguridad ms devastadores tienden ms a ser internos que

externos. Muchos de estos incidentes involucran a alguien llevando a cabo una
actividad autorizada de un modo no autorizado. Aunque la tecnologa tiene
cierta ingerencia en limitar esta clase de eventos internos, las verificaciones y
balances como parte de los procesos del negocio son mucho ms efectivos.
Las computadoras no atacan a las empresas, lo hace la gente. Los empleados

bien capacitados tienen mayores oportunidades de detectar y prevenir los
incidentes de seguridad antes de que la empresa sufra algn dao. Pero para
que los empleados sean activos, se requiere que entiendan como reconocer,
responder e informar los problemas lo cual constituye la piedra angular de la
empresa con conciencia de seguridad lo que nosotros llamamos cultura de
seguridad.
El presente trabajo describe como se define un Plan de Seguridad para una

entidad financiera, empieza por definir la estructura organizacional (roles y
funciones), despus pasa a definir las polticas para finalmente concluir con un
plan de implementacin o adecuacin a las polticas anteriormente definidas.

ABSTRACT
The liberalization and globalization of the financial services with the increasing
sophistication of the financial technology are facing more complex banking
activities in terms of security.
Long time ago, security information was easily management, just it was enough
guard the more important documents under the keys and placed employees;
who has the knowledge; safe, just placing bodyguards; nowadays it is harder.
The electronics systems got in the office and made systems security evolved to
be updated with the technology changes. Then, 5 years ago, the business; even
the small companies were connected to Internet (a public network with few
rules and without security).
In a similar way of other kind of crimes, measure security IT expenses and lost
or cybernetic crimes are very difficult. People tend to minimize incidents for
justifying reasons.
By the other hand, the main objective of IT Security is not to protect the
systems; it is to reduce risks and to support the business operations. The most
secure computer in the world is which is disconnected form the network, placed
deeply in any dark desert and be surrounded by armed bodyguards, but it is
also the most useless.
Security is just one of the components of risk management - minimize the

exposition of the business and support the capacity of meet his mission. To be
effective, security must be integrated through the business process and not
delegate to some technical applications.

The more destructive security incidents tend mostly to be internal instead of

external. Many of these involve someone taking an authorized activity in a way
non-authorized. Although technology has some concern in limit these kind of
internal events, the verifications and balances as part of the business process
are more effective.
Computers does not attack enterprises, people do it. Employees with

knowledge have more opportunities to detect and prevent security incidents
before the enterprises suffer a damage. But to make employees more concern,
we need that they understand, reply and inform security incidents which is the
most important thing inside the enterprise with security concern, which is called
security culture.
The present work describes how you can define a Security Plan for a financial
enterprise,
begin
responsibilities),
defining
then
define
the
the
Organizational
policies
and
structure
finally
(roles
ends
with
and
the
Implementation Plan which are the activities to meet the policies before
mentioned.

INTRODUCCIN
Los eventos mundiales recientes han generado un mayor sentido de urgencia

que antes con respecto a la necesidad de tener mayor seguridad - fsica y de
otro tipo. Las empresas pueden haber reforzado las medidas de seguridad,
pero nunca se sabe cundo o cmo puede estar expuesta. A fin de brindar la
ms completa proteccin empresarial, se requiere de un sistema exhaustivo de
seguridad. Es vital implementar un plan de seguridad. Sin embargo,
implementar un plan proactivo que indique cmo sobrevivir a los mltiples
escenarios tambin preparar a las empresas en el manejo de las amenazas
inesperadas que podra afrontar en el futuro.
La mayora de las empresas ha invertido tiempo y dinero en la construccin de
una infraestructura para la tecnologa de la informacin que soporte su
compaa, esa infraestructura de TI podra resultar ser una gran debilidad si se
ve comprometida. Para las organizaciones que funcionan en la era de la
informtica interconectadas y con comunicacin electrnica, las polticas de
informacin bien documentadas que se comunican, entienden e implementen
en toda la empresa, son herramientas comerciales esenciales en el entorno
actual para minimizar los riesgos de seguridad.
Imagine lo que sucedera si:
La informacin esencial fuera robada, se perdiera, estuviera en peligro,

fuera alterada o borrada.
Los sistemas de correo electrnico no funcionaran durante un da o ms.

Cunto costara esta improductividad?
Los clientes no pudieran enviar rdenes de compra a travs de la red

durante un prolongado periodo de tiempo.

Prepararse para mltiples escenarios parece ser la tendencia creciente. En un

informe publicado por Giga Information Group con respecto a las tendencias de
TI estimadas para el ao 2002, se espera que los ejecutivos corporativos se
interesen cada vez ms en la prevencin de desastres fsicos, ciberterrorismo y
espionaje de libre competencia. Implementar una poltica de seguridad
completa le da valor intrnseco a su empresa. Tambin mejorar la credibilidad
y reputacin de la empresa y aumentar la confianza de los accionistas
principales, lo que le dar a la empresa una ventaja estratgica.
Cmo desarrollar una poltica de seguridad?
Identifique y evale los activos: Qu activos deben protegerse y cmo

protegerlos de forma que permitan la prosperidad de la empresa.
Identifique las amenazas: Cules son las causas de los potenciales

problemas de seguridad? Considere la posibilidad de violaciones a la
seguridad
el
impacto
que
tendran
si
ocurrieran.
Estas amenazas son externas o internas:

o
Amenazas externas: Se originan fuera de la organizacin y son

los virus, gusanos, caballos de Troya, intentos de ataques de los
hackers, retaliaciones de ex-empleados o espionaje industrial.
Amenazas internas: Son las amenazas que provienen del

interior de la empresa y que pueden ser muy costosas porque el
infractor tiene mayor acceso y perspicacia para saber donde
reside la informacin sensible e importante. Las amenazas
internas tambin incluyen el uso indebido del acceso a Internet
por parte de los empleados, as como los problemas que podran

ocasionar los empleados al enviar y revisar el material ofensivo a

travs de Internet.
Evalu los riesgos: ste puede ser uno de los componentes ms

desafiantes del desarrollo de una poltica de seguridad. Debe calcularse
la probabilidad de que ocurran ciertos sucesos y determinar cules tiene
el potencial para causar mucho dao. El costo puede ser ms que
monetario - se debe asignar un valor a la prdida de datos, la privacidad,
responsabilidad legal, atencin pblica indeseada, la prdida de clientes
o de la confianza de los inversionistas y los costos asociados con las
soluciones para las violaciones a la seguridad.
Asigne las responsabilidades: Seleccione un equipo de desarrollo que

ayude a identificar las amenazas potenciales en todas las reas de la
empresa. Sera ideal la participacin de un representante por cada
departamento de la compaa. Los principales integrantes del equipo
seran el administrador de redes, un asesor jurdico, un ejecutivo
superior y representantes de los departamentos de Recursos Humanos
y Relaciones Pblicas.
Establezca polticas de seguridad: Cree una poltica que apunte a los

documentos asociados; parmetros y procedimientos, normas, as como
los contratos de empleados. Estos documentos deben tener informacin
especfica relacionada con las plataformas informticas, las plataformas
tecnolgicas, las responsabilidades del usuario y la estructura
organizacional. De esta forma, si se hacen cambios futuros, es ms fcil
cambiar los documentos subyacentes que la poltica en s misma.
Implemente una poltica en toda la organizacin: La poltica que se

escoja debe establecer claramente las responsabilidades en cuanto a la
seguridad y reconocer quin es el propietario de los sistemas y datos

especficos. Tambin puede requerir que todos los empleados firmen la

declaracin; si la firman, debe comunicarse claramente. stas son las
tres partes esenciales de cumplimiento que debe incluir la poltica:
o
Cumplimiento: Indique un procedimiento para garantizar el

cumplimiento y las consecuencias potenciales por incumplimiento.
Funcionarios de seguridad: Nombre individuos que sean

directamente responsables de la seguridad de la informacin.
Asegrese de que no es la misma persona que supervisa,
implementa o revisa la seguridad para que no haya conflicto de
intereses.
Financiacin: Asegrese de que a cada departamento se le haya

asignado
los
fondos
necesarios
para
poder
cumplir
adecuadamente con la poltica de seguridad de la compaa.
Administre el programa de seguridad: Establezca los procedimientos

internos para implementar estos requerimientos y hacer obligatorio su
cumplimiento.
Consideraciones importantes
A travs del proceso de elaboracin de una poltica de seguridad, es importante
asegurarse de que la poltica tenga las siguientes caractersticas:
Se pueda implementar y hacer cumplir
Sea concisa y fcil de entender
Compense la proteccin con la productividad

Una vez la poltica se aprueba totalmente, debe hacerse asequible a todos los
empleados porque, en ultima instancia, ellos son responsables de su xito. Las
polticas deben actualizarse anualmente (o mejor an cada seis meses) para
reflejar los cambios en la organizacin o cultura.
Se debe mencionar que no debe haber dos polticas de seguridad iguales
puesto que cada empresa es diferente y los detalles de la poltica dependen de
las necesidades exclusivas de cada una. Sin embargo, usted puede comenzar
con un sistema general de polticas de seguridad y luego personalizarlo de
acuerdo con sus requerimientos especficos, limitaciones de financiacin e
infraestructura existente.
Una poltica completa de seguridad de la informacin es un recurso valioso que
amerita la dedicacin de tiempo y esfuerzo. La poltica que adopte su empresa
brinda una base slida para respaldar el plan general de seguridad. Y una base
slida sirve para respaldar una empresa slida.
BANCO ABC
En el presente trabajo desarrollaremos el Plan de Seguridad para una entidad
financiera a la cual llamaremos el Banco ABC.
El Banco ABC es un banco de capital extranjero, tiene 35 agencias a nivel
nacional, ofrece todos los productos financieros conocidos, posee presencia en
Internet a travs de su pagina web, es un banco mediano cuenta con 500
empleados y es regulado por la Superintendencia de Banca y Seguros.
A lo largo de todo el desarrollo del trabajo describiremos mas en detalle su

estructura interna, evaluaremos los riesgos a los cuales estn expuestos, para
lo cual se realizara un diagnostico objetivo de la situacin actual y como se
deben contrarrestar, para finalmente terminar diseando el Plan de Seguridad y

las principales actividades que deben ejecutarse para la implementacin de las

polticas de seguridad.
A continuacin describiremos brevemente la situacin actual de los aspectos

ms importantes en la elaboracin del Plan de Seguridad; como son la
organizacin, el propio Plan y la adecuacin al Plan.
A) Organizacin de seguridad de la informacin
Actualmente el Banco cuenta con un rea de seguridad informtica

recientemente constituida, los roles y responsabilidades del rea no han sido
formalizados y las tareas desempeadas por el rea se limitan por ahora al
control de accesos de la mayora de sistemas del Banco. Algunas tareas
correspondientes a la administracin de seguridad son desarrolladas por el
rea de sistemas como la administracin de red, firewalls y bases de datos,
otras tareas son realizadas directamente por las reas usuarias, y finalmente
otras responsabilidades como la elaboracin de las polticas y normas de
seguridad, concientizacin de los usuarios, monitoreo de incidentes de
seguridad, etc., no han sido asignadas formalmente a ninguna de las reas.
En este sentido, en el presente trabajo detallamos los roles y responsabilidades
relacionadas a la administracin de seguridad de la informacin que involucra
no solamente a miembros de las reas de seguridad informtica y sistemas
como administradores de seguridad de informacin y custodios de informacin,
sino a los gerentes y jefes de las unidades de negocio como propietarios de
informacin, y a los usuarios en general.
B) Diseo del plan de seguridad de la informacin
Para el diseo del Plan de seguridad de la informacin se desarrollaran las

siguientes etapas:

Evaluacin de riesgos, amenazas y vulnerabilidades
Para la definicin del alcance de las polticas y estndares y con el propsito de

identificar las implicancias de seguridad del uso y estrategia de tecnologa,
amenazas y vulnerabilidades y nuevas iniciativas del negocio, se desarrollarn
un conjunto de entrevistas con las Gerencias del Banco, personal del rea de
sistemas, auditoria interna y el rea de seguridad informtica. Producto de la
consolidacin de la informacin obtenida en dichas entrevistas se elaborar
unas matrices que se presentarn en el captulo N V del presente documento.
Polticas de seguridad de informacin.
Con el objetivo de contar con una gua para la proteccin de informacin del
Banco, se elaborarn las polticas y estndares de seguridad de la informacin,
tomando en cuenta el estndar de seguridad de informacin ISO 17799, los
requerimientos de la Circular N G-105-2002 publicada por la Superintendencia
de Banca y Seguros (SBS) sobre Riesgos de Tecnologa de Informacin y las
normas establecidas internamente por el Banco.
-
Diseo de arquitectura de seguridad de red.
Con el objetivo de controlar las conexiones de la red del Banco con

entidades externas y monitorear la actividad realizada a travs de dichas
conexiones, se elaborar una propuesta de arquitectura de red la cual
incluye dispositivos de monitoreo de intrusos y herramientas de inspeccin
de contenido.

C) Plan de Implementacin
De la identificacin de riesgos amenazas y vulnerabilidades relacionadas

con la seguridad de la informacin del Banco, se lograron identificar las
actividades ms importantes a ser realizadas por el Banco con el propsito
de alinear las medidas de seguridad implementadas para proteger la
informacin del Banco, con las Polticas de seguridad y estndares
elaborados.
Este plan de alto nivel incluye una descripcin de la actividad a ser

realizada, las etapas incluidas en su desarrollo y el tiempo estimado de
ejecucin.
El Autor

Captulo I
OBJETIVOS Y ALCANCES
1.1
Objetivos
El objetivo del presente trabajo es realizar un diagnostico de la situacin actual

en cuanto a la seguridad de informacin que el Banco ABC actualmente
administra y disear un Plan de Seguridad de la Informacin (PSI) que permita
desarrollar operaciones seguras basadas en polticas y estndares claros y
conocidos por todo el personal del Banco. Adicionalmente, el presente trabajo
contempla la definicin de la estrategia y los proyectos ms importantes que
deben ser llevados a cabo para culminar con el Plan de Implementacin.
La
reglamentacin que elabor la SBS con respecto a los riesgos de
tecnologa forma parte de un proceso de controles que se irn implementando,

tal como lo muestra el grfico siguiente, los primeros controles fueron
enfocados hacia los riesgos propios del negocio (financieros y de capital), y l
ultima en ser reglamentado es el que nos aboca hoy, que es el diseo de un
Plan de Seguridad Informtica (PSI) para esta entidad financiera.

Grfico de Evolucin de las regulaciones de la Superintendencia de

Banca y Seguros
Riesgos
Financieros
Riesgos de
Negocios
Riesgos de
Operaciones
Estructura
Rentabilidad
Adec. Capital
De Crdito
De liquidez
De Tasa de
Inters
De Mercado
De Moneda
Riesgo de
Poltica
Riesgo Pas
Riesgo
Sistmico
Procesos
Tecnologa
Personas
Eventos
Riesgo
Poltico
Riesgo de
Crisis
Bancarias
Otros
1.
Plan de Seguridad Informtica PSI

Captulo II
METODOLOGA Y PROCEDIMIENTOS UTILIZADOS
2.1 Metodologa ESA

La estrategia empleada para la planificacin y desarrollo del presente trabajo,
est basada en la metodologa Enterprise Security Arquitecture (ESA) para el
diseo de un modelo de seguridad, como marco general establece el diseo de
polticas, normas y procedimientos de seguridad para el posterior desarrollo de
C o m p r o m i sde
o la Alta
Gerencia
Visin y Estrategia de Seguridad

Amenazas
Iniciativas & P r o c e s o s
de Negocios
Estratega d e
Tecnologa & Uso
Evaluacin de Riesgo
& Vulnerabilidad
Poltica
Modelo de Seguridad
Arquitectura de Seguridad
& Estndares Tecnicos
Guas y Procedimientos
Adminitrativos y de Usuario Final
Procesos de
Ejecucin
Procesos de
Monitoreo
Procesos de
Recuperacon
P r o g r a m de
a E n t r e n a m i e nyt oConcientizacin
controles sobre la informacin de la empresa.
E s t r u c t u r a de Administracin de S e g u r i d a d de I n f o r m a c i n
En el desarrollo del trabajo se utilizaron los siguientes procedimientos de

trabajo:

1. Entrevistas para la identificacin de riesgos amenazas y vulnerabilidades de

la organizacin con el siguiente personal de la empresa:
Gerente de Divisin de Negocios.
Gerente de Divisin de Riesgos
Gerente de Divisin de Administracin y Operaciones
Gerente de Divisin de Finanzas
Gerente de Divisin de Negocios Internacionales
Gerente de Negocios Internacionales
Gerente de Asesora Legal
Auditor de Sistemas
Gerente de Sistemas
Gerente Adjunto de Seguridad Informtica
Asistente de Seguridad Informtica
2. Definicin y discusin de la organizacin del rea de seguridad informtica.
3. Elaboracin de las polticas de seguridad de informacin del Banco

tomando como referencia el estndar para seguridad de informacin ISO
17799, los requerimientos de la Circular N G-105-2002 publicada por la
Superintendencia de Banca y Seguros (SBS) sobre Riesgos de Tecnologa
de Informacin y las normas internas del Banco referidas a la seguridad de
informacin.
4. Evaluacin de la arquitectura de red actual y diseo de una propuesta de

arquitectura de red.

Captulo III
DIAGNSTICO DE LA SITUACIN ACTUAL DE LA ADMINISTRACIN DE LA

SEGURIDAD DE INFORMACIN
3.1
Evaluacin
Efectuada nuestra revisin de la administracin de riesgos de tecnologa de

informacin del Banco hemos observado que el Plan de Seguridad de
Informacin (PSI) no ha sido desarrollado. Si bien hemos observado la
existencia de normas, procedimientos y controles que cubren distintos aspectos
de la seguridad de la informacin, se carece en general de una metodologa,
gua o marco de trabajo que ayude a la identificacin de riesgos y
determinacin de controles para mitigar los mismos.
Dentro de los distintos aspectos a considerar en la seguridad de la Informacin,

se ha podido observar que se carece de Polticas de seguridad de la
Informacin y de una Clasificacin de Seguridad de los activos de Informacin
del Banco. Cabe mencionar que se ha observado la existencia de controles, en
el caso de la Seguridad Lgica, sobre los accesos a los sistemas de
informacin as como procedimientos establecidos para el otorgamiento de
dichos accesos. De igual manera se ha observado controles establecidos con
respecto a la seguridad fsica y de personal.
Sin embargo, estos controles no obedecen a una definicin previa de una

Poltica de Seguridad ni de una evaluacin de riesgos de seguridad de la
informacin a nivel de todo el Banco. Los controles establecidos a la fecha son
producto de evaluaciones particulares efectuadas por las reas involucradas o
bajo cuyo mbito de responsabilidad recae cierto aspecto de la seguridad.

3.2 Alcances
El alcance del diagnstico de la situacin de administracin del riesgo de
Tecnologa de Informacin, en adelante TI, comprende la revisin de las
siguientes funciones al interior del rea de sistemas:
Administracin del rea de Tecnologa de Informacin
- Estructura organizacional
-
Funcin de seguridad a dedicacin exclusiva
- Polticas y procedimientos para administrar los riesgos de TI

- Subcontratacin de recursos.
Actividades de desarrollo y mantenimiento de sistemas informticos
Seguridad de la Informacin
- Administracin de la Seguridad de la Informacin.

- Aspectos de la seguridad de la informacin (lgica, personal y fsica y
ambiental)
- Inventario peridico de activos asociados a TI
Operaciones computarizadas
- Administracin de las operaciones y comunicaciones

- Procedimientos de respaldo
- Planeamiento para la continuidad de negocios
-
Prueba del plan de continuidad de negocios
Asimismo, comprende la revisin de los siguientes aspectos:

Cumplimiento normativo
Privacidad de la informacin
Auditoria de sistemas
El siguiente cuadro muestra el grado de cumplimiento en los aspectos

relacionados a la adecuacin del Plan de Seguridad:

Aspectos Evaluados
Grado de
Cumplimiento
Estructura de la seguridad de la Informacin
Plan de seguridad de la Informacin

Polticas, estndares y procedimientos de seguridad.
2.1
2.1.1.
Seguridad Lgica
2.1.2
Seguridad de Personal
2.1.3
Seguridad Fsica y Ambiental
2.1.4
Clasificacin de Seguridad
Administracin de las operaciones y comunicaciones
Desarrollo y mantenimiento de sistemas informticos
Procedimientos de respaldo
Plan de continuidad de negocios
6.1
6.2
Planeamiento para la Continuidad de Negocios

Criterios para el diseo e implementacin del Plan de
continuidad de Negocios
6.3
Prueba del Plan de Continuidad de Negocios
Subcontratacin
Cumplimiento normativo
10
Auditoria de Sistemas
Una descripcin mas detallada de los aspectos evaluados pueden ser

encontrados en el Anexo C.

Captulo IV
SEGURIDAD DE LA INFORMACIN ROLES Y ESTRUCTURA

ORGANIZACIONAL
4.1
Situacin actual
La administracin de seguridad de informacin se encuentra distribuida

principalmente entre las reas de sistemas y el rea de seguridad informtica.
En algunos casos, la administracin de accesos es realizada por la jefatura o
gerencia del rea que utiliza la aplicacin.
Las labores de seguridad realizadas actualmente por el rea de seguridad

informtica son las siguientes:
-
Creacin y eliminacin de usuarios
Verificacin y asignacin de perfiles en las aplicaciones
Las labores de seguridad realizadas por el rea de sistemas son las siguientes:
-
Control de red
Administracin del firewall
Administracin de accesos a bases de datos
Las funciones de desarrollo y mantenimiento de polticas y estndares de

seguridad no estn definidas dentro de los roles de la organizacin.
Cabe mencionar que el acceso con privilegio administrativo al computador
central es restringido, el rea de seguridad informtica define una contrasea,
la cual es enviada a la oficina de seguridad (Gerencia de Administracin) en un
sobre cerrado, en caso de necesitarse acceso con dicho privilegio, la
contrasea puede ser obtenida por el gerente de sistemas o el jefe de soporte

tcnico y produccin, solicitando el sobre a la oficina de seguridad. Luego

deben realizar un informe sobre la actividad realizada en el computador central.
4.2 ROLES Y RESPONSABILIDADES DE LA ESTRUCTURA
ORGANIZACIONAL DE SEGURIDAD DE INFORMACIN
El rea organizacional encargada de la administracin de seguridad de
informacin debe soportar los objetivos de seguridad de informacin del Banco.
Dentro de sus responsabilidades se encuentran la gestin del plan de
seguridad de informacin as como la coordinacin de esfuerzos entre el
personal de sistemas y los empleados de las reas de negocios, siendo stos
ltimos los responsables de la informacin que utilizan. Asimismo, es
responsable de promover la seguridad de informacin a lo largo de la
organizacin con el fin de incluirla en el planeamiento y ejecucin de los
objetivos del negocio.
Es importante mencionar que las responsabilidades referentes a la seguridad

de informacin son distribuidas dentro de toda la organizacin y no son de
entera responsabilidad del rea de seguridad informtica, en ese sentido
existen roles adicionales que recaen en los propietarios de la informacin, los
custodios de informacin y el rea de auditoria interna.
Los propietarios de la informacin deben verificar la integridad de su
informacin y velar por que se mantenga la disponibilidad y confidencialidad de
la misma.
Los custodios de informacin tienen la responsabilidad de monitorear el

cumplimiento de las actividades encargadas y el rea de auditoria interna debe
monitorear el cumplimiento de la poltica de seguridad y el cumplimiento
adecuado de los procesos definidos para mantener la seguridad de
informacin.

A continuacin presentamos los roles y responsabilidades relacionadas a la

administracin de seguridad de informacin:
rea de Seguridad Informtica.
El rea organizacional encargada de la administracin de seguridad de
informacin tiene como responsabilidades:
Establecer y documentar las responsabilidades de la organizacin en

cuanto a seguridad de informacin.
Mantener la poltica y estndares de seguridad de informacin de la

organizacin.
Identificar objetivos de seguridad y estndares del Banco (prevencin de

virus, uso de herramientas de monitoreo, etc.)
Definir metodologas y procesos relacionados a la seguridad de informacin.
Comunicar aspectos bsicos de seguridad de informacin a los empleados

del Banco. Esto incluye un programa de concientizacin para comunicar
aspectos bsicos de seguridad de informacin y de las polticas del Banco.
Desarrollar controles para las tecnologas que utiliza la organizacin. Esto

incluye el monitoreo de vulnerabilidades documentadas por los
proveedores.
Monitorear el cumplimiento de la poltica de seguridad del Banco.
Controlar e investigar incidentes de seguridad o violaciones de seguridad.
Realizar una evaluacin peridica de vulnerabilidades de los sistemas que

conforman la red de datos del Banco.
Evaluar aspectos de seguridad de productos de tecnologa, sistemas o

aplicaciones utilizados en el Banco.
Asistir a las gerencias de divisin en la evaluacin de seguridad de las

iniciativas del negocio.
Verificar que cada activo de informacin del Banco haya sido asignado a un
propietario el cual debe definir los requerimientos de seguridad como

polticas de proteccin, perfiles de acceso, respuesta ante incidentes y sea

responsable final del mismo.
Administrar un programa de clasificacin de activos de informacin,

incluyendo la identificacin de los propietarios de las aplicaciones y datos.
Coordinacin de todas las funciones relacionadas a seguridad, como

seguridad fsica, seguridad de personal y seguridad de informacin
almacenada en medios no electrnicos.
Desarrollar y administrar el presupuesto de seguridad de informacin.
Reportar peridicamente a la gerencia de Administracin y Operaciones.
Administracin de accesos a las principales aplicaciones del Banco.
Elaborar y mantener un registro con la relacin de los accesos de los

usuarios sobre los sistemas y aplicaciones del Banco y realizar revisiones
peridicas de la configuracin de dichos accesos en los sistemas.
Controlar aspectos de seguridad en el intercambio de informacin con

entidades externas.
Monitorear la aplicacin de los controles de seguridad fsica de los

principales activos de informacin.
Custodio de Informacin:
Es el responsable de la administracin diaria de la seguridad en los sistemas
de informacin y el monitoreo del cumplimiento de las polticas de seguridad en
los sistemas que se encuentran bajo su administracin. Sus responsabilidades
son:
Administrar accesos a nivel de red (sistema operativo).
Administrar accesos a nivel de bases de datos.
Administrar los accesos a archivos fsicos de informacin almacenada en

medios magnticos (diskettes, cintas), pticos (cds) o impresa.
Implementar controles definidos para los sistemas de informacin,

incluyendo investigacin e implementacin de actualizaciones de seguridad

de los sistemas (service packs, fixes, etc.) en coordinacin con el rea de

seguridad informtica.
Desarrollar procedimientos de autorizacin y autenticacin.
Monitorear el cumplimiento de la poltica y procedimientos de seguridad en

los activos de informacin que custodia.
Investigar brechas e incidentes de seguridad.
Entrenar a los empleados en aspectos de seguridad de informacin en

nuevas tecnologas o sistemas implantados bajo su custodia.
Asistir y administrar los procedimientos de backup, recuperacin y plan de

continuidad de sistemas.
Usuario:
Las responsabilidades de los usuarios finales, es decir, aquellas personas que
utilizan informacin del Banco como parte de su trabajo diario estn definidas a
continuacin:
Mantener la confidencialidad de las contraseas de aplicaciones y sistemas.
Reportar supuestas violaciones de la seguridad de informacin.
Asegurarse de ingresar informacin adecuada a los sistemas.
Adecuarse a las polticas de seguridad del Banco.
Utilizar la informacin del Banco nicamente para los propsitos

autorizados.
Propietario de Informacin:
Los propietarios de informacin son los gerentes y jefes de las unidades de
negocio, los cuales, son responsables de la informacin que se genera y se
utiliza en las operaciones de su unidad. Las reas de negocios deben ser
conscientes de los riesgos de tal forma que sea posible tomar decisiones para
disminuir los mismos.
Entre las responsabilidades de los propietarios de informacin se tienen:
Asignar los niveles iniciales de clasificacin de informacin.

Revisin peridica de la clasificacin de la informacin con el propsito de

verificar que cumpla con los requerimientos del negocio.
Asegurar que los controles de seguridad aplicados sean consistentes con la

clasificacin realizada.
Determinar los criterios y niveles de acceso a la informacin.
Revisar peridicamente los niveles de acceso a los sistemas a su cargo.
Determinar los requerimientos de copias de respaldo para la informacin

que les pertenece.
Tomar las acciones adecuadas en caso de violaciones de seguridad.
Verificar peridicamente la integridad y coherencia de la informacin

producto de los procesos de su rea.
Auditoria Interna:
El personal de auditoria interna es responsable de monitorear el cumplimiento
de los estndares y guas definidas en las polticas internas. Una estrecha
relacin del rea de auditoria interna con el rea de seguridad informtica es
crtica para la proteccin de los activos de informacin. Por lo tanto dentro del
plan anual de evaluacin del rea de auditoria interna se debe incluir la
evaluacin peridica de los controles de seguridad de informacin definidos por
el Banco.
Auditoria interna debe colaborar con el rea de seguridad informtica en la
identificacin de amenazas y vulnerabilidades referentes a la seguridad de
informacin del Banco.
4.3
ORGANIZACIN DEL AREA DE SEGURIDAD INFORMTICA

PROPUESTA
Dado el volumen de operaciones y la criticidad que presenta la informacin

para el negocio del Banco y tomando en cuenta las mejores prcticas de la
industria, es necesaria la existencia de un rea organizacional que administre
la seguridad informtica. Como requisito indispensable, esta rea debe ser

independiente de la Gerencia de Sistemas, la cual en muchos casos es la

ejecutora de las normas y medidas de seguridad elaboradas.
Este proceso de independizacin de la administracin de la seguridad del rea

de sistemas ya fue iniciado por el Banco al crear el rea de seguridad
informtica, la cual, reporta a la Gerencia de divisin de Administracin y
Operaciones.
Considerando la falta de recursos con el perfil requerido que puedan ser

rpidamente reasignados, el proceso de entendimiento y asimilacin de las
responsabilidades, los roles definidos correspondientes al rea de seguridad
informtica, y la necesidad de implementar un esquema adecuado de
seguridad, proponemos definir una estructura organizacional de seguridad
transitoria en la cual se crear un comit de coordinacin de seguridad de la
informacin para la definicin de los objetivos del rea y el monitoreo de las
actividades de la misma.
El comit de coordinacin de seguridad de la informacin, estar conformado

por las siguientes personas:
Gerente de divisin de Administracin y Operaciones (presidente del
comit).
Jefe del rea de seguridad informtica (responsable del comit).
Gerente de Sistemas.
Auditor de Sistemas.
Jefe del departamento de Riesgo Operativo y Tecnolgico.

Comit de
Coordinacin de
Seguridad de la
Informcin
Gerente de
Administracin y
Operaciones
Seguridad
Informtica
Sistemas
Contralora
General
Recursos
Humanos
Operaciones
Administracin
Fig. 1: Estructura organizacional transitoria propuesta para la

administracin de la seguridad de informacin.
Gerente de Divisin de
Administracin y
Operaciones
(Presidente del Comit)
Gerente de
Sistemas
Jefe de
Departamente de
Riesgo Operativo y
Tecnolgico
Auditor de
Sistemas
Jefe de Seguridad
Informtica
(Responsable)
Fig. 2: Organizacin del Comit de coordinacin de Seguridad de la

Informacin.
Este comit, determinar el gradual traslado de las responsabilidades de

seguridad al rea de seguridad informtica, monitorear las labores realizadas
por el rea, colaborando a su vez con el entendimiento de la plataforma
tecnolgica, los procesos del negocio del Banco y la planificacin inicial de
actividades que desarrollar el rea a corto plazo.

El comit de coordinacin deber reunirse con una frecuencia quincenal, con la

posibilidad de convocar reuniones de emergencia en caso de existir alguna
necesidad que lo amerite.
Es importante resaltar que luego que el rea de seguridad informtica haya

logrado una asimilacin de sus funciones, un entendimiento de los procesos del
negocio del Banco y una adecuada interrelacin con las gerencias de las
distintas divisiones del Banco, el jefe de rea de seguridad informtica debe
reportar directamente al Gerente de divisin de Administracin y Operaciones,
convirtindose el comit de coordinacin de seguridad informtica, en un ente
consultivo, dejando la labor de monitoreo a la gerencia de divisin.

Captulo V
EVALUACIN DE RIESGOS, AMENAZAS Y VULNERABILIDADES
Con el propsito de obtener un adecuado entendimiento de la implicancia que

tiene el uso de tecnologa, las amenazas y vulnerabilidades, as como las
iniciativas del negocio sobre la seguridad de la informacin del Banco, se
efectuaron entrevistas, de las cuales se obtuvo las siguientes tres matrices, que
nos muestran la implicancia en seguridad que presentan cada uno de los
factores mencionados anteriormente, as como el estndar o medida a aplicar
para minimizar los riesgos correspondientes.
5.1 Matriz de uso y estrategia de tecnologa
Esta matriz muestra la tecnologa utilizada actualmente por el Banco y los
cambios estratgicos planificados que impactan en ella, las implicancias de
seguridad asociadas al uso de tecnologa y los estndares o medidas
propuestas para minimizar los riesgos generados por la tecnologa empleada.
Tecnologa
Implicancia de seguridad
Estndar o medida de
seguridad a aplicar
Actual
Windows NT,
Se debe contar con controles
Estndar de mejores
Windows 2000
de acceso adecuados a la data
prcticas de seguridad para
y sistemas soportados por el
Windows NT
Sistema Operativo.
Estndar de mejores
Windows 2000.

Tecnologa
OS/400
Estndar o medida de
seguridad a aplicar
Estndar de mejores
de acceso adecuados a la data
y sistemas soportados por el
OS/400.
computador Central. Los

controles que posee este
servidor deben ser lo ms
restrictivos posibles pues es el
blanco potencial de la mayora
de intentos de acceso no
autorizado.
Base de datos
Estndar de mejores
SQL Server
de acceso a informacin de los
sistemas que soportan el
bases de datos SQL Server.
negocio de la Compaa.
Banca electrnica
El servidor Web se
Estndares de
a travs de
encuentra en calidad de
encripcin de
Internet.
"hosting" en Telefnica
informacin transmitida.
Data, se debe asegurar
Clusulas de
que el equipo cuente con
confidencialidad y
las medidas de seguridad
delimitacin de
necesarias, tanto fsicas
responsabilidades en
como lgicas.
contratos con
La transmisin de los datos
proveedores.
es realizada a travs de un
Acuerdos de nivel de
medio pblico (Internet), se
servicios con
debe contar con medidas
proveedores, en los
adecuadas para mantener
cuales se detalle el

Tecnologa
Estndar o medida de
seguridad a aplicar
la confidencialidad de la
porcentaje mnimo de
informacin (encripcin de
disponibilidad del
la data).
sistema.
El servidor Web que es
Evaluacin
accedido por los clientes
independiente de la
puede ser blanco potencial
seguridad del servidor
de actividad vandlica con
que brinda el servicio, o
el propsito de afectar la
acreditacin de la misma
imagen del Banco.
por parte del proveedor.
La disponibilidad del
sistema es un factor clave
para el xito del servicio.
Banca telefnica
Transmisin de informacin
Establecimiento de
por medios pblicos sin
lmites adecuados a las
posibilidad de proteccin
operaciones realizadas
adicional.
por va telefnica.
Imposibilidad de mantener
Posibilidad de registrar
la confidencialidad de las
el nmero telefnico
operaciones con el
origen de la llamada.
proveedor del servicio
Controles en los
telefnico.
sistemas de grabacin
Posibilidad de obtencin de
de llamadas telefnica.
nmeros de tarjeta y
Evaluar la posibilidad de
contraseas del canal de
notificar al cliente de
transmisin telefnico.
manera automtica e
inmediata luego de
realizada la operacin.

Tecnologa
Sistema Central
Estndar o medida de
Core Bancario
El sistema central es el
seguridad a aplicar
Estndar de mejores
sistema que soporta gran
prcticas de seguridad
parte de los procesos del
para OS/400.
negocio del Banco, por lo
Revisin peridica de los
tanto, todo acceso no
accesos otorgados a los
autorizado al servidor
usuarios del sistema.
representa un riesgo
potencial para el negocio.
Monitoreo peridico de
la actividad realizada en
el servidor.
Verificacin del control

dual de aprobacin en
transacciones sensibles.
MIS (Management
El acceso a repositorios de
Estndares de seguridad
Information
informacin sensible debe
de Windows 2000, bases
System)
ser restringido
de datos.
adecuadamente.
Adecuados controles de
acceso y otorgamiento
de perfiles a la
aplicacin.
Desarrollo de
Los proyectos de desarrollo
Estndar de mejores
aplicaciones para
en periodos muy cortos,
las unidades de
comprenden un acelerado
para Windows 2000,
negocio, en
desarrollo de sistemas; la
OS/400.
periodos muy
aplicacin de medidas de
cortos.
seguridad, debera
desarrollo de
encontrarse incluida en el
aplicaciones.
desarrollo del proyecto.
Metodologa para el
Procedimientos de

Tecnologa
Estndar o medida de
seguridad a aplicar
control de cambios.
El tiempo de pase a
produccin de un nuevo
Evaluacin de
sistema que soportar un
requerimientos de
producto estratgico, es
seguridad de los
muy importante para el
sistemas antes de su
xito del negocio, lo cual
pase a produccin.
puede originar que no se
Estndar de mejores
tomen las medidas de
seguridad necesarias antes
para aplicaciones
del pase a produccin de
distribuidas.
los nuevos sistemas.

Computadoras
personales.
Se debe contar con
Concientizacin y
adecuados controles de
entrenamiento de los
acceso a informacin
usuarios en temas de
existente en computadoras
seguridad de la
personales.
informacin.
Se requieren adecuados
Implementacin de
controles de accesos a la
mayores controles de
informacin de los sistemas
seguridad para
desde las computadoras
computadoras
personales de usuarios.
personales.
La existencia de diversos
Finalizacin del proyecto
sistemas operativos en el
de migracin de la
parque de computadores
plataforma de
personales, tales como,
computadoras
Windows 95, Windows 98,
personales al sistema
Windows NT, Windows
operativo Windows 2000

Tecnologa
Estndar o medida de
seguridad a aplicar
2000 Professional,
Windows XP, impide
y Windows XP.
estandarizar la
configuracin de los
para estaciones de
sistemas.
trabajo.
Debe existir un control
Actualizacin peridica
sobre los dispositivos que
de inventarios del
pudieran facilitar fuga de
software instalado.
informacin (disqueteras,
grabadoras de cd's,
impresoras personales,
Estndares de mejores
carpetas compartidas.
Monitoreo de actividad
etc.)
de los usuarios,
Se debe controlar y
sistemas de deteccin
monitorear las aplicaciones
de intrusos.
y sistemas instalados en
las PCs
Correo electrnico
Posibilidad de
Se debe contar con
interceptacin no
estndares de encripcin
autorizada de mensajes de
para los mensajes de
correo electrnico.
correo electrnico que
Riesgo de acceso no
contengan informacin
autorizado a informacin
confidencial.
del servidor.
Posibilidad de utilizacin de
recursos por parte de
para Windows NT y
personas no autorizadas,
Lotus Notes.
para enviar correo
Configuracin de anti-

Tecnologa
Estndar o medida de
seguridad a aplicar
electrnico a terceros (relay

no autorizado).
Implementacin de un
Posibilidad de recepcin de
sistema de seguridad del
correo inservible (SPAM).
contenido SMTP.
Riesgos de accesos no
Polticas de seguridad.
Internet y redes
autorizados desde Internet
pblicas / Firewall.
y redes externas hacia los
sistemas del Banco.
para servidores
Adecuado uso del acceso a
Windows NT, Windows
Internet por parte de los
2000, correo electrnico,
usuarios.
servidores Web y
Los dispositivos que
equipos de
permiten controlar accesos,
comunicaciones.
Conexin a
relay.
tales como, firewalls,
Delimitacin de
servidores proxy, etc.
responsabilidades
Deben contar con medidas
referentes a la seguridad
de seguridad adecuadas
de informacin en
para evitar su manipulacin
contratos con
por personas no
proveedores.
autorizadas.
Mejores prcticas de
Riesgo de acceso no
seguridad para
autorizado desde socios de
configuracin de
negocios hacia los
Firewalls.
sistemas de La Compaa.
Diseo e
implementacin de una
arquitectura de
seguridad de

Tecnologa
Estndar o medida de
seguridad a aplicar
red.Utilizacin de
sistemas de deteccin
de intrusos.
Especificacin de
acuerdos de nivel de
servicio con el
proveedor.
Controles y filtros para el

acceso a Internet.
En Proyecto
Cambios en la
Los cambios en la
Elaboracin de una
infraestructura de
infraestructura de red
arquitectura de red con
red.
pueden generar nuevas
medidas de seguridad
puertas de entrada a
adecuadas.
intrusos si los cambios no
Establecer controles de
son realizados con una
acceso adecuados a la
adecuada planificacin.
configuracin de los
Una falla en la
equipos de
configuracin de equipos
comunicaciones.
de comunicaciones puede
generar falta de
Plan de migracin de
infraestructura de red.
disponibilidad de sistemas.
Un diseo de red
inadecuado puede facilitar
el ingreso no autorizado a
la red de datos.
Software de
Riesgo de acceso no
Estndar de seguridad

Tecnologa
Estndar o medida de
administracin
autorizado a las consolas de
remota de PCs y
administracin y agentes de
servidores.
administracin remota.
seguridad a aplicar
para Windows NT
para Windows 2000
para Windows XP
Controles de acceso
adecuados a las
consolas y agentes de
administracin remota.
Establecimiento de
adecuados
procedimientos para
tomar control remoto de
PCs o servidores.
Adecuada configuracin
del registro (log) de
actividad realizada
mediante administracin
remota.
Migracin de
Posibilidad de error en el
servidores
traslado de los usuarios y
Windows NT
permisos de acceso a los
Server a Windows
directorios de los nuevos
2000 Server.
servidores.
para Windows 2000.
Procedimientos de
control de cambios.
Posibilidad de existencia de
vulnerabilidades no
Plan de migracin a
Windows 2000.
conocidas anteriormente.

Tecnologa
Implantacin de
Estndar o medida de
Datawarehouse.
Informacin sensible
seguridad a aplicar
almacenada en un
Seguridad para Windows
repositorio centralizado,
2000.
requiere de controles de
acceso adecuados.
Estndares de
en bases de datos SQL.
sistema debe ser alta para

no afectar las operaciones
Plan de implantacin de
Datawarehouse.
que soporta.
Procedimientos para
otorgamiento de perfiles.
5.2 Matriz de Evaluacin de Amenazas y Vulnerabilidades

En esta matriz se muestra los riesgos y amenazas identificadas, las
implicancias de seguridad y los estndares o medidas de seguridad necesarias
para mitigar dicha amenaza.
Amenaza /
Estndar o medida de
Implicancia de Seguridad
Vulnerabilidad
seguridad a aplicar
Riesgos/ Amenazas
Inters en obtener
La existencia de informacin
informacin
atractiva para competidores de
para servidores
estratgica del
negocio tales como
Windows 2000,
Banco, por parte
informacin de clientes e
Windows NT y OS/400.
de competidores
informacin de marketing
de negocio.
implica la aplicacin de
aplicaciones del Banco.
controles adecuados para el
Revisin y depuracin
Control de acceso a las

Amenaza /
Vulnerabilidad
Estndar o medida de
seguridad a aplicar
acceso a informacin.
peridica de los accesos

otorgados.
Restricciones en el
manejo de informacin
enviada por correo
electrnico hacia redes
externas, extrada en
disquetes o cds e
informacin impresa.
Verificacin de la
informacin impresa en
reportes, evitar mostrar
informacin innecesaria
en ellos.
Inters en obtener
Debido al volumen de dinero
beneficios
que es administrado por es
para Windows NT,
econmicos
administrado por una entidad
Windows 2000, OS/400
mediante actividad
financiera, la amenaza de
y bases de datos SQL.
fraudulenta.
intento de fraude es una
Controles de accesos a
posibilidad muy tentadora
los mens de las
tanto para personal interno del
aplicaciones.
Banco, as como para personal

externo.
Revisiones peridicas de
los niveles de accesos
de los usuarios.
Evaluacin peridica de
la integridad de la

Amenaza /
Estndar o medida de
Vulnerabilidad
seguridad a aplicar
informacin por parte del
propietario de la misma.
los registros (logs) de los
sistemas y operaciones
realizadas.
Mejores prcticas para

configuracin de
firewalls, servidores y
equipos de
comunicaciones.
Actividad
La actividad desarrollada
vandlica
por hackers o crackers
para servidores
realizada por
de sistemas, puede afectar
Windows 2000.
hackers o
la disponibilidad, integridad
crackers
y confidencialidad de la
para servidores
informacin del negocio.
Windows NT.
Estos actos vandlicos
Delimitacin de
pueden ser desarrollados
responsabilidades y
por personal interno o
sanciones en los
externo al Banco.
contratos con
Adicionalmente si dicha
proveedores de servicios
actividad es realizada
en calidad de hosting.
contra equipos que
Verificacin de
proveen servicios a los
evaluaciones peridicas
clientes (pgina Web del
o certificaciones de la
banco) la imagen y
seguridad de los

Amenaza /
Estndar o medida de
Vulnerabilidad
seguridad a aplicar
reputacin del Banco se
sistemas en calidad de
podra ver afectada en un
hosting.
grado muy importante.
Concientizacin y
compromiso formal de
los usuarios en temas
relacionados a la
seguridad de
informacin.
Prdida de
El riesgo de prdida de
Polticas de Seguridad.
Adecuada arquitectura e
informacin
informacin por virus
implementacin del
producto de
informtico es alto si no se
sistema antivirus.
infeccin por virus
administra adecuadamente
informtico.
el sistema Antivirus y los
la actualizacin del
usuarios no han sido
antivirus de
concientizados en
computadoras
seguridad de informacin
personales y servidores.
Verificacin peridica de
Generacin peridica de
reportes de virus
detectados y
actualizacin de
antivirus.
Fuga de
Los accesos otorgados al
Control adecuado de los
informacin a
personal temporal deben
travs del personal
ser controlados
que ingresa de
adecuadamente, asimismo
accesos otorgados a los
manera temporal
la actividad realizada por
sistemas.
accesos otorgados.
Depuracin peridica de

Amenaza /
Estndar o medida de
Vulnerabilidad
seguridad a aplicar
en sustitucin de
los mismos en los sistemas
empleados en
debe ser peridicamente
a correo electrnico y
vacaciones.
monitoreada.
transferencia de
El personal temporal podra
archivos hacia Internet.
realizar actividad no
Restricciones en acceso
autorizada, la cual podra
y revisin peridica de
ser detectada cuando haya
los registros (logs) de
finalizado sus labores en el
aplicaciones y sistema
Banco.
operativo.
Vulnerabilidades
No se cuenta con
El control sobre la actividad de
un inventario de
los usuarios en los sistemas es
inventario de los
perfiles de acceso
llevado a cabo en muchos
accesos que poseen los
a las aplicaciones.
casos, mediante perfiles de
usuarios sobre las
usuarios controlando as los
aplicaciones.
privilegios de acceso a los
sistemas.
Se debe contar con un
los perfiles y accesos de
los usuarios por parte
del propietario de la
informacin.
Exceso de
La necesidad de utilizar
contraseas
contraseas distintas para
posible la estructura de
manejadas por los
cada sistema o aplicacin del
las contraseas
usuarios.
Banco, puede afectar la
empleadas y sus fechas
seguridad en la medida que el
de renovacin.
usuario no sea capaz de
Uniformizar dentro de lo
Implementar un sistema

Amenaza /
Vulnerabilidad
Estndar o medida de
seguridad a aplicar
retener en la memoria, la
de Servicio de directorio,
relacin de nombres de
el cual permita al usuario
usuario y contraseas
identificarse en l, y
utilizadas en todos los
mediante un proceso
sistemas. La necesidad de
automtico, ste lo
anotar las contraseas por
identifique en los
parte de los usuarios, expone
sistemas en los cuales
las mismas a acceso por parte
posee acceso.
de personal no autorizado.
Existencia de
El ambiente de produccin
usuarios del rea
debe contar con controles de
de perfiles de acceso
de desarrollo y
acceso adecuados con
que poseen los usuarios
personal temporal
respecto los usuarios de
de desarrollo en el
con acceso al
desarrollo, esto incluye las
entorno de produccin.
entorno de
aplicaciones y bases de datos
produccin.
de las mismas.
Inventario y depuracin
Adecuada segregacin
de funciones del
personal del rea de
sistemas.
Procedimiento de pase a
produccin.
Aplicaciones cuyo
El rea de seguridad
acceso no es
informtica debe participar en
responsabilidades del
controlado por el
el proceso de asignacin de
rea de seguridad
rea de seguridad
accesos a las aplicaciones del
informtica.
informtica.
Banco y verificar que la
Formalizacin de roles y
Traslado de la
solicitud de accesos sea
responsabilidad del
coherente con el cargo del
control de accesos a

Amenaza /
Vulnerabilidad
Estndar o medida de
seguridad a aplicar
usuario.
aplicaciones al rea de
El gerente que aprueba la
seguridad informtica.
solicitud es el responsable de
los accesos que solicita para
los usuarios de su rea.
Falta de
El personal del Banco es el
conciencia en
vnculo entre la poltica de
capacitacin del Banco
seguridad por
seguridad y su implementacin
en temas relacionados a
parte del personal
final para aplicar la poltica de
la seguridad de
del Banco.
seguridad, se pueden
informacin.
establecer controles y un
Programa de
Capacitacin mediante
monitoreo constante, pero la
charlas, videos,
persona es siempre el punto
presentaciones, afiches,
ms dbil de la cadena de
etc., los cuales
seguridad, este riesgo se
recuerden
puede incrementar si el
permanentemente al
usuario no recibe una
usuario la importancia
adecuada capacitacin y
de la seguridad de
orientacin en seguridad de
informacin.
informacin.
Falta de personal
Para una adecuada
con conocimientos
administracin de la seguridad
personal tcnico en
tcnicos de
informtica se requiere
temas de seguridad de
seguridad
personal capacitado que
informacin o inclusin
informtica.
pueda cumplir las labores de
nuevo de personal con
elaboracin de polticas y
conocimientos de
administracin de seguridad
seguridad de
Capacitacin del

Amenaza /
Estndar o medida de
Vulnerabilidad
seguridad a aplicar
en el rea de seguridad
informacin para las
informtica, as como
reas de seguridad
implementacin de controles y
informtica y sistemas.
configuracin de sistemas en
el rea de sistemas.
Falta de controles
El acceso hacia Internet por
adecuados para la
medios como correo
del servidor Proxy y la
informacin que
electrnico, ftp (file transfer
herramienta Surf
envan los
protocol) o incluso web en
Control.
usuarios hacia
algunos casos, puede facilitar
Internet.
la fuga de informacin
reportes de la
confidencial del Banco.
efectividad de los
El Banco ha invertido en la
controles aplicados.
implementacin de una
Configuracin adecuada
Generacin peridica de
Implementacin de una
herramienta para el filtrado de
adecuada arquitectura
las pginas web que son
de red.
accedidas por los usuarios, se
debe asegurar que dicho
la configuracin de
control sea adecuadamente
Firewalls.
aplicado.
Implementacin y
administracin de
Vulnerabilidades:
herramientas para la
No existen controles
inspeccin del contenido
adecuados sobre el
de los correos
personal autorizado a
electrnicos enviados.
enviar correo electrnico al

exterior.

Amenaza /
Estndar o medida de
Vulnerabilidad
seguridad a aplicar
No existen herramientas de
inspeccin de contenido
para correo electrnico.
Se pudo observar que

usuarios que no se han
identificado en el dominio
del Banco, pueden acceder
al servicio de navegacin a
travs del servidor Proxy.
No existen
Existe informacin
controles
almacenada en las
procedimiento formal
adecuados para la
computadoras personales de
que contemple la
informacin
los usuarios que requiere
generacin de copia de
almacenada en las
ciertos niveles de seguridad.
respaldo de informacin
computadoras
Los usuarios deben contar con
importante de los
personales.
procedimientos para realizar
usuarios.
copias de respaldo de su
Establecimiento de un
Concluir el proceso de
informacin importante.
migracin del sistema
Vulnerabilidades:
operativo de las
El sistema operativo
computadoras
Windows 95/98 no permite
personales a Windows
otorgar niveles apropiados
2000 Professional o
de seguridad a la
Windows XP.
informacin existente en
Concientizacin de
ellas.
usuarios en temas
No existe un procedimiento
relacionados a la
para verificacin peridica
seguridad de la

Amenaza /
Estndar o medida de
Vulnerabilidad
seguridad a aplicar
de las carpetas
informacin.
compartidas por los

usuarios.
El procedimiento para
realizar copias de respaldo
de la informacin
importante no es conocido
por todos los usuarios.
Arquitectura de red Posibilidad de acceso no
Diseo de arquitectura
inapropiada para
autorizado a sistemas por
controlar accesos
parte de personal externo al
desde redes
Banco.
de elementos de control
externas.
Vulnerabilidades:
de conexiones
(firewalls).
Existencia de redes
externas se conectan con
de seguridad de red.
Implementacin y
la red del Banco sin la
administracin de
proteccin de un firewall.
herramientas de
Los servidores de acceso
seguridad.
pblico no se encuentran
aislados de la red interna.
Fuga de
Es posible obtener la
informacin
informacin existente en las
encripcin de la data
estratgica
computadoras porttiles de los
confidencial existente en
mediante
gerentes del banco mediante
los discos duros de las
sustraccin de
el robo de las mismas.
computadoras porttiles.
Programas para
computadores

Amenaza /
Estndar o medida de
Vulnerabilidad
seguridad a aplicar
porttiles.
Acceso no
El riesgo de contar con
Evaluacin del alcance
autorizado a travs
segmentos de red
de enlaces
inalmbricos sin medidas
inalmbricos.
de seguridad especficas
segmento de red
para este tipo de enlaces,
inalmbrico mediante un
radica en que cualquier
Firewall.
persona podra conectar un
de la red inalmbrica.
Separacin del
Verificacin peridica de
equipo externo al Banco
la actividad realizada
incluso desde un edificio
desde la red
cercano.
inalmbrica.
Utilizacin de encripcin
.
Controles de
Posibilidad de acceso no
Implementacin de una
acceso hacia
autorizado desde la red
adecuada arquitectura
Internet desde la
interna de datos hacia
de red.
red interna.
equipos de terceros en
Internet.
Posibilidad de fuga de
Configuracin adecuada
de servidor Proxy.
informacin.
la configuracin de
Posibilidad de realizacin
Firewalls.
de actividad ilegal en
Implementacin y
equipos de terceros a
administracin de
travs de Internet.
herramientas para la
seguridad del contenido
de los correos
electrnicos enviados.

Amenaza /
Vulnerabilidad
Estndar o medida de
seguridad a aplicar
la actividad, mediante el
anlisis de los registros
(logs) de los sistemas.
5.3 Matriz de Iniciativas del Negocio / Procesos

En esta matriz se muestra las iniciativas y operaciones del negocio que poseen
alta implicancia en seguridad y los estndares o medidas de seguridad a ser
aplicados para minimizar los riesgos generados por ellas.
Iniciativa del
Estndar o medida de
Negocio
seguridad a aplicar
Iniciativas del Negocio

Implantacin de
Datawarehouse.
Informacin sensible
Estndar de mejores
almacenada en un
prcticas de
repositorio centralizado,
seguridad para
requiere de controles de
Windows NT
acceso adecuados.
Estndar de mejores
prcticas de
sistema debe ser alta para
seguridad para
no afectar las operaciones
Windows
que soporta.
Plan de implantacin
de Datawarehouse.
Procedimientos para
otorgamiento de
perfiles.

Iniciativa del
Negocio
Estndar o medida de
seguridad a aplicar
Implementacin de
una arquitectura de
red segura.
Proyecto de
Consulta de informacin
Especificacin de
tercerizacin del
existente en los sistemas
responsabilidades y
Call Center
por parte de terceros.
obligaciones
Registro de informacin en
referentes a la
los sistemas por parte de
seguridad de la
terceros.
informacin del
Banco, en los
contratos con
terceros.
Especificacin de
servicio.
Adecuados controles
de acceso a la
informacin
registrada en el
sistema
Proyecto de
El acceso de personal no
Estndares de
comunicacin con
autorizado a los medios de
seguridad para la
Conasev utilizando
almacenamiento de llaves
manipulacin y
firmas digitales
de encripcin (media,
revocacin de llaves
(Requerimiento de
smartcards, impresa)
de encripcin.
Conasev)
debilita todo el sistema de

encripcin de la
Implementacin de
controles de acceso a

Iniciativa del
Negocio
Estndar o medida de
seguridad a aplicar
informacin.
dispositivos y llaves
Para los procesos de firma
de encripcin.
y encripcin de la
informacin se requiere el
ingreso de contraseas,
estas contraseas deben
ser mantenidas en forma
confidencial.
Digitalizacin
La disposicin de estos
Aplicacin de
(scanning) de
elementos en medios
estndares de
poderes y firmas.
digitales requiere de
seguridad de la
adecuados niveles de
plataforma que
proteccin para evitar su
contiene dicha
acceso no autorizado y
informacin.
utilizacin con fines
ilegales.
Encripcin de la data
digitalizada.
Restriccin de
accesos a los
poderes y firmas
tanto a nivel de
aplicacin, como a
nivel de sistema
operativo.
Tercerizacin de
La administracin de
Clusulas de
operaciones de
equipos crticos de la red
confidencialidad y
sistemas y Help
del Banco por parte de
establecimiento claro
Desk.
terceros representa un
de responsabilidades

Iniciativa del
Negocio
Estndar o medida de
seguridad a aplicar
riesgo en especial por la
de los proveedores
posibilidad de fuga de
en los contratos,
informacin confidencial.
especificacin de
penalidades en caso
de incumplimiento.
Monitoreo peridico
de las operaciones
realizadas por
personal externo,
incluyendo la revisin
peridica de sus
actividades en los
registros (logs) de
aplicaciones y
sistema operativo.
Evitar otorgamiento
de privilegios
administrativos a
personal externo,
para evitar
manipulacin de
registros.
Proyecto de
El sistema SWIFT se
Estndar de mejores
interconexin del
encuentra en un segmento
prcticas de
Sistema Swift a la
aislado de la red de datos
seguridad para
red de datos del
del Banco por razones de
servidores Windows
Banco.
seguridad de informacin.
NT

Iniciativa del
Negocio
Al unir el sistema Swift a la
Estndar o medida de
seguridad a aplicar
Controles de acceso
red de datos del Banco,
a la aplicacin
dicho sistema se va a
SWIFT.
encontrar expuesto a
Estndares de
intentos de acceso no
encripcin de datos
autorizados por parte de
entre el sistema Swift
equipos que comprenden
y los terminales que
la red de datos.
se comunican con l.
Operaciones del Negocio

Almacenamiento
Las cintas de backup
Acuerdos de
de copias de
guardan informacin
confidencialidad y
respaldo realizado
confidencial del negocio del
tiempo de respuesta
por Hermes.
banco, adicionalmente
en los contratos con
deben encontrarse
el proveedor.
disponibles para ser
Pruebas del tiempo
utilizadas en una
de respuesta del
emergencia y la
proveedor para
informacin que guardan
transportar las cintas
debe mantenerse ntegra.
de backup en caso de
emergencia.
Verificacin peridica
del estado de las
cintas.
Procesamiento de
El almacenamiento de
Acuerdos de
transacciones de
informacin por parte de
confidencialidad y
tarjetas de crdito
terceros podra representar
tiempo de respuesta

Iniciativa del
Negocio
Estndar o medida de
seguridad a aplicar
y dbito realizado
una fuente de divulgacin
en contratos con el
por Unibanca.
no autorizada de
proveedor.
informacin del Banco y
Estndares de
sus clientes.
encripcin de
El acceso a los sistemas
informacin
por parte de terceros debe
transmitida.
ser controlado para evitar

la realizacin de actividad
no autorizada.
Almacenamiento
Acuerdos de
de Documentos
confidencialidad y
realizado por
tiempo de respuesta
terceros File
en contratos con
Service
no autorizada de
proveedores.
sus clientes.
del grado de deterioro
de la documentacin.
informacin debe realizarse

de manera adecuada para
mantener la disponibilidad
de los documentos y evitar
su deterioro.
Impresin y
Acuerdos de
ensobrado de
confidencialidad en
estados de cuenta
contratos con
realizado por
proveedores.
Napatek
no autorizada de
Estndares de

Iniciativa del
Negocio
Estndar o medida de
seguridad a aplicar
encripcin de datos
sus clientes.
transmitidos por
El envo de informacin
correo electrnico.
sensible al proveedor debe
Verificacin de
ser realizado por un canal
integridad de la data
de transmisin seguro, o
transmitida.
en su defecto debe contar

con medidas de encripcin,
que impidan su utilizacin
en caso de ser
interceptada.
Envo de
Se debe asegurar que la
Estndares de
informacin
informacin sensible
encripcin de datos
sensible a clientes
transmitida a los clientes
transmitidos.
y entidades
cuente con medidas de
recaudadoras va
seguridad adecuadas las
correo electrnico
cuales permitan garantizar

el cumplimiento de normas
como el secreto bancario.
Almacenamiento
El Banco almacena
Clasificacin y
fsico de
documentos importantes
etiquetado de la
informacin
de clientes, muchos de
informacin.
realizada al interior
ellos con informacin
del Banco.
confidencial, asimismo
controles fsicos de
existe informacin en otros
acceso a la
medios como discos duros,
informacin de
cintas, etc., que albergan
acuerdo a su
Implementacin de

Iniciativa del
Negocio
Estndar o medida de
seguridad a aplicar
informacin importante. Se
debe asegurar que dicha
clasificacin.
Establecimiento de
informacin cuente con
condiciones
medidas de seguridad
apropiadas de
adecuadas que aseguren
almacenamiento para
la integridad, disponibilidad
evitar su deterioro.
y confidencialidad de la
informacin.
Mantenimiento de un
registro de entrada y
salida de activos de
los archivos.
Acceso de
Todo acceso de personal
Clusulas de
personal de
externo a la red de datos
confidencialidad y
Rehder a la red de
del Banco representa un
datos del Banco.
riesgo potencial de acceso
no autorizado a los
de los proveedores
sistemas.
en los contratos,
especificacin de
penalidades en caso
de incumplimiento.
Monitoreo de
actividad realizada
por personal externo.
Restricciones de
acceso a Internet
configurados en el
firewall.
Centro de
Los sistemas ubicados en
Especificacin de

Iniciativa del
Negocio
Estndar o medida de
seguridad a aplicar
Contingencia
Telefnica Data deben
ubicado en el TIC
encontrarse siempre
servicio y
de Telefnica
disponibles para ser
penalidades en caso
Data.
utilizados en casos de
de incumplimiento en
emergencia.
contratos con
Se debe asegurar la
proveedores.
integridad de la informacin
Pruebas del centro de
existente en los sistemas
contingencia.
de respaldo y el grado de
actualizacin de la misma
de la disponibilidad
con respecto al sistema en
de los sistemas y
produccin.
grado de
actualizacin de la
informacin.
Atencin en Front
Office.
Las aplicaciones y los
Acuerdos de niveles
sistemas de
de servicio en
comunicaciones deben
contratos con
encontrarse disponibles en
proveedores de
todo momento para no
comunicaciones.
afectar la atencin a los
clientes.
de disponibilidad de
Los periodos de
los sistemas.
indisponibilidad deben ser

medidos.
Implementacin de
mtricas de
rendimiento y
disponibilidad de los
sistemas.

Iniciativa del
Negocio
Soporte de IBM al
Servidor AS/400.
El servidor AS/400 es el
Estndar o medida de
seguridad a aplicar
Clusulas de
que soporta la mayor
confidencialidad y
cantidad de procesos del
negocio del Banco, por lo
tanto se debe asegurar que
de los proveedores
el proveedor debe ser
en los contratos,
capaz de restaurar los
especificacin de
servicios del servidor en el
penalidades en caso
menor tiempo posible.
de incumplimiento.
Asimismo dado que el
Asignacin de un
proveedor accede
usuario distinto al
peridicamente al equipo,
utilizado por personal
existe el riesgo de acceso
del Banco con los
no autorizado a
privilegios mnimos
informacin existente en el
necesarios.
mismo.
Inspeccin del log de

actividades del
proveedor luego de
realizar
mantenimiento al
equipo.

Captulo VI
POLTICAS DE SEGURIDAD DE LA INFORMACIN
En este capitulo se elaboraran las polticas de seguridad con el propsito de

proteger la informacin de la empresa, estas servirn de gua para la
implementacin de medidas de seguridad que contribuirn a mantener la
integridad, confidencialidad y disponibilidad de los datos dentro de los sistemas
de aplicacin, redes, instalaciones de cmputo y procedimientos manuales.
El documento de polticas de seguridad ha sido elaborado tomando como base
la siguiente documentacin:
Estndar de seguridad de la informacin ISO 17799
Requerimientos de la Circular N G-105-2002 de la Superintendencia

de Banca y Seguros (SBS) sobre Riesgos de Tecnologa de Informacin.
Normas internas del Banco referidas a seguridad de informacin.
6.1
Definicin
Una Poltica de seguridad de informacin es un conjunto de reglas aplicadas a

todas las actividades relacionadas al manejo de la informacin de una entidad,
teniendo el propsito de proteger la informacin, los recursos y la reputacin de
la misma.
Propsito
El propsito de las polticas de seguridad de la informacin es proteger la
informacin y los activos de datos del Banco. Las polticas son guas para
asegurar la proteccin y la integridad de los datos dentro de los sistemas de
aplicacin, redes, instalaciones de cmputo y procedimientos manuales.

6.2
CUMPLIMIENTO OBLIGATORIO
El cumplimiento de las polticas y estndares de seguridad de la informacin es

obligatorio y debe ser considerado como una condicin en los contratos del
personal.
El Banco puede obviar algunas de las polticas de seguridad definidas en este
documento, nicamente cuando se ha demostrado claramente que el
cumplimiento de dichas polticas tendra un impacto significativo e inaceptable
para el negocio. Toda excepcin a las polticas debe ser documentada y
aprobada por el rea de seguridad informtica y el rea de auditoria interna,
detallando el motivo que justifica el no-cumplimiento de la poltica.
6.3
ORGANIZACIN DE LA SEGURIDAD
En esta poltica se definen los roles y responsabilidades a lo largo de la

organizacin con respecto a la proteccin de recursos de informacin. Esta
poltica se aplica a todos los empleados y otros asociados con el Banco, cada
uno de los cuales cumple un rol en la administracin de la seguridad de la
informacin. Todos los empleados son responsables de mantener un ambiente
seguro, en tanto que el rea de seguridad informtica debe monitorear el
cumplimiento de la poltica de seguridad definida y realizar las actualizaciones
que sean necesarias, producto de los cambios en el entorno informtico y las
necesidades del negocio.
6.3.1 Estructura Organizacional
En la administracin de la seguridad de la informacin participan todos los
empleados siguiendo uno o ms de los siguientes roles:
-
rea de Seguridad Informtica
Usuario
Custodio de informacin
Propietario de informacin
Auditor interno

Los roles y funciones de administracin de la seguridad de la informacin de

cada uno de estas personas estn detalladas en el Capitulo IV.
6.3.2 Acceso por parte de terceros
El Banco debe establecer para terceros al menos las mismas
restricciones de acceso a la informacin que a un usuario interno.
Adems, el acceso a la informacin debe limitarse a lo mnimo
indispensable para cumplir con el trabajo asignado. Las excepciones
deben ser analizadas y aprobadas por el rea de seguridad informtica.
Esto incluye tanto acceso fsico como lgico a los recursos de informacin
del Banco.
Todo acceso por parte de personal externo debe ser autorizado por un
responsable interno, quien asume la responsabilidad por las acciones que
pueda realizar el mismo. El personal externo debe firmar un acuerdo de
no-divulgacin antes de obtener acceso a informacin del Banco.
Proveedores que requieran acceso a los sistemas de informacin del
Banco deben tener acceso nicamente cuando sea necesario.
Todas las conexiones que se originan desde redes o equipos externos al
Banco, deben limitarse nicamente a los servidores y aplicaciones
necesarios. Si es posible, estos servidores destino de las conexiones
deben estar fsicamente o lgicamente separados de la red interna del
Banco.
Los contratos relacionados a servicios de tecnologas de informacin
deben ser aprobados por el rea legal del Banco, y en el caso de que
afecten la seguridad o las redes de la organizacin deben ser aprobados
adicionalmente por el rea de seguridad informtica. Bajo determinadas
condiciones, como en la ejecucin de servicios crticos para el negocio, el
Banco debe considerar efectuar una revisin independiente de la
estructura de control interno del proveedor.

En los contratos de procesamiento de datos externos se debe especificar

los requerimientos de seguridad y acciones a tomar en caso de violacin
de los contratos. Todos los contratos deben incluir una clusula donde se
establezca el derecho del Banco de nombrar a un representante
autorizado para evaluar la estructura de control interna del proveedor.
6.3.3 Outsourcing
Todos los contratos de Outsourcing deben incluir lo siguiente:
-
Acuerdos sobre polticas y controles de seguridad.
Determinacin de niveles de disponibilidad aceptable.
El derecho del Banco de auditar los controles de seguridad de

informacin del proveedor.
Determinacin de los requerimientos legales del Banco.
Metodologa del proveedor para mantener y probar cclicamente la

seguridad del sistema.
Que el servicio de procesamiento y la informacin del Banco objeto

de la subcontratacin estn aislados, en todo momento y bajo
cualquier circunstancia.
El proveedor es responsable de inmediatamente informar al responsable

del contrato de cualquier brecha de seguridad que pueda comprometer
informacin del Banco. Cualquier empleado del Banco debe informar de
violaciones a la seguridad de la informacin por parte de proveedores al
rea de seguridad informtica.
6.4 EVALUACION DE RIESGO
El costo de las medidas y controles de seguridad no debe exceder la
prdida que se espera evitar. Para la evaluacin del riesgo se deben de
seguir los siguientes pasos:
-
Clasificacin del acceso de la informacin

Ejecucin del anlisis del riesgo identificando reas vulnerables, prdida

potencial y seleccin de controles y objetivos de control para mitigar los
riesgos, de acuerdo a los siguientes estndares.
6.4.1 Inventario de activos
Los inventarios de activos ayudan a garantizar la vigencia de una
proteccin eficaz de los recursos, y tambin pueden ser necesarios para
otros propsitos de la empresa, como los relacionados con sanidad y
seguridad, seguros o finanzas (administracin de recursos). El proceso de
compilacin de un inventario de activos es un aspecto importante de la
administracin de riesgos. Una organizacin debe contar con la capacidad
de identificar sus activos y el valor relativo e importancia de los mismos.
Sobre la base de esta informacin, la organizacin puede entonces,
asignar niveles de proteccin proporcionales al valor e importancia de los
activos. Se debe elaborar y mantener un inventario de los activos
importantes asociados a cada sistema de informacin. Cada activo debe
ser claramente identificado y su propietario y clasificacin en cuanto a
seguridad deben ser acordados y documentados, junto con la ubicacin
vigente del mismo (importante cuando se emprende una recuperacin
posterior a una prdida o dao). Ejemplos de activos asociados a
sistemas de informacin son los siguientes:
-
Recursos de informacin: bases de datos y archivos, documentacin

de sistemas, manuales de usuario, material de capacitacin,
procedimientos operativos o de soporte, planes de continuidad,
disposiciones relativas a sistemas de emergencia para la reposicin de
informacin perdida (fallback), informacin archivada;
Recursos de software: software de aplicaciones, software de sistemas,

herramientas de desarrollo y utilitarios;
Activos fsicos: equipamiento informtico (procesadores, monitores,

computadoras porttiles, mdems), equipos de comunicaciones

(routers, PBXs, mquinas de fax, contestadores automticos), medios

magnticos (cintas y discos), otros equipos tcnicos (suministro de
electricidad, unidades de aire acondicionado), mobiliario, lugares de
emplazamiento;
-
Servicios: servicios informticos y de comunicaciones, utilitarios

generales, por Ej. calefaccin, iluminacin, energa elctrica, aire
acondicionado.
6.4.2 Clasificacin del acceso de la informacin

Toda la informacin debe de ser clasificada como Restringida,
Confidencial, Uso Interno o General de acuerdo a lo definido en el capitulo
4.2.1. La clasificacin de informacin debe de ser documentada por el
Propietario, aprobada por la gerencia responsable y distribuida a los
Custodios durante el proceso de desarrollo de sistemas o antes de la
distribucin de los documentos o datos.
La clasificacin asignada a un tipo de informacin, solo puede ser
cambiada por el propietario de la informacin, luego de justificar
formalmente el cambio en dicha clasificacin.
La informacin que existe en ms de un medio (por ejemplo, documento
fuente, registro electrnico, reporte o red) debe de tener la misma
clasificacin sin importar el formato.
Frecuentemente, la informacin deja de ser sensible o crtica despus de
un cierto perodo de tiempo, verbigracia, cuando la informacin se ha
hecho pblica. Este aspecto debe ser tomado en cuenta por el propietario
de la informacin, para realizar una reclasificacin de la misma, puesto
que la clasificacin por exceso (over- classification) puede traducirse en
gastos adicionales innecesarios para la organizacin.
La informacin debe de ser examinada para determinar el impacto en el
Banco si fuera divulgada o alterada por medios no autorizados. A
continuacin detallamos algunos ejemplos de informacin sensible:

Datos de inters para la competencia:

- Estrategias de marketing
- Listas de clientes
- Fechas de renovacin de crditos
- Tarifaciones
- Datos usados en decisiones de inversin
Datos que proveen acceso a informacin o servicios:

- Llaves de encripcin o autenticacin
- Contraseas
Datos protegidos por legislacin de privacidad vigente

- Registros del personal
- Montos de los pasivos de clientes
- Datos histricos con 10 aos de antigedad
Datos que tienen un alto riesgo de ser blanco de fraude u otra actividad
ilcita:
- Datos contables utilizados en sistemas
- Sistemas que controlan desembolsos de fondos
6.4.3 Definiciones
Restringida: Informacin con mayor grado de sensibilidad; el acceso a
esta informacin debe de ser autorizado caso por caso.
Confidencial: Informacin sensible que solo debe ser divulgada a
aquellas personas que la necesiten para el cumplimiento de sus
funciones.
Uso Interno: Datos generados para facilitar las operaciones diarias;
deben de ser manejados de una manera discreta, pero no requiere de
medidas elaboradas de seguridad.
General: Informacin que es generada especficamente para su
divulgacin a la poblacin general de usuarios.

6.4.4 Aplicacin de controles para la informacin clasificada

Las medidas de seguridad a ser aplicadas a los activos de informacin
clasificados, incluyen pero no se limitan a las siguientes:
6.4.4.1
Informacin de la Compaa almacenada en formato digital
Todo contenedor de informacin en medio digital (CDs, cintas de

backup, diskettes, etc.) debe presentar una etiqueta con la clasificacin
correspondiente.
La informacin en formato digital clasificada como de acceso General,

puede ser almacenada en cualquier sistema de la Compaa. Sin
embargo se deben tomar las medidas necesarias para no mezclar
informacin
General
con
informacin
correspondiente
otra
clasificacin.
Todo usuario, antes de transmitir informacin clasificada como
Restringida o Confidencial, debe asegurarse que el destinatario de la
informacin est autorizado a recibir dicha informacin.
Todo usuario que requiere acceso a informacin clasificada como
Restringida o Confidencial, debe ser autorizado por el propietario de
la misma. Las autorizaciones de acceso a este tipo de informacin
deben ser documentadas.
La clasificacin asignada a un tipo de informacin, solo puede ser
cambiada por el propietario de la informacin, luego de justificar
formalmente el cambio en dicha clasificacin.
Informacin en formato digital, clasificada como Restringida, debe ser
encriptada con un mtodo aprobado por los encargados de la
administracin de seguridad de la informacin, cuando es almacenada
en cualquier medio (disco duro, disquetes, cintas, CDs, etc.).

Es recomendable el uso de tcnicas de encripcin para la informacin

clasificada como Restringida o Confidencial, transmitida a travs de la
red de datos del Banco.
Toda transmisin de Informacin clasificada como Restringida,
Confidencial o de Uso Interno realizada hacia o a travs de redes
externas a la Compaa debe realizarse utilizando un medio de
transmisin seguro o utilizando tcnicas de encripcin aprobadas.
Todo documento en formato digital, debe presentar la clasificacin
correspondiente en la parte superior (cabecera) e inferior (pi de pgina)
de cada pgina del documento.
Los
medios
de
almacenamiento,
incluyendo
discos
duros
de
computadoras, que albergan informacin clasificada como Restringida,

deben ser ubicados en ambientes cerrados diseados para el
almacenamiento de dicho tipo de informacin. En lugar de proteccin
fsica, la informacin clasificada como Restringida, podra ser protegida
con tcnicas de encripcin aprobadas por la Compaa.
6.4.4.2
Informacin de la Compaa almacenada en formato no

digital
Todo documento o contenedor de informacin debe ser etiquetado como

Restringida, Confidencial, de Uso interno o de Acceso General,
dependiendo de la clasificacin asignada.
Todo
documento
que
presente
informacin
clasificada
como
Confidencial o Restringida, debe ser etiquetado en la parte superior e

inferior de cada pgina con la clasificacin correspondiente.
Todo documento clasificado como Confidencial o Restringido debe
contar con una cartula en la cual se muestre la clasificacin de la
informacin que contiene.

Los activos de informacin correspondiente a distintos niveles de

clasificacin, deben ser almacenados en distintos contenedores, de no ser
posible dicha distincin, se asignar el nivel ms critico de la informacin
identificada a todo el contenedor de informacin.
El ambiente donde se almacena la informacin clasificada como
Restringida, debe contar con adecuados controles de acceso y
asegurado cuando se encuentre sin vigilancia. El acceso debe ser
permitido solo al personal formalmente autorizado. Personal de limpieza
debe ingresar al ambiente acompaado por personal autorizado.
Solo el personal formalmente autorizado debe tener acceso a informacin
clasificada como Restringida o Confidencial
Los usuarios que utilizan documentos con informacin Confidencial o
Restringida deben asegurarse de:
- Almacenarlos en lugares adecuados
- Evitar que usuarios no autorizados accedan a dichos documentos
- Destruir los documentos si luego de su utilizacin dejan de ser
necesarios
6.4.5 Anlisis de riesgo

Los Propietarios de la informacin y custodios son conjuntamente
responsables del desarrollo de anlisis de riesgos anual de los sistemas a
su cargo. Como parte del anlisis se debe identificar las aplicaciones de
alta criticidad como crticas para la recuperacin ante desastres. Es
importante identificar:
- reas vulnerables
- Prdida potencial
- Seleccin de controles y objetivos de control para mitigar los riesgos,
indicando las razones para su inclusin o exclusin (Seguridad de

datos, Plan de respaldo/recuperacin, Procedimientos estndar de

operacin)
Adicionalmente, un anlisis de riesgo debe de ser conducido luego de
cualquier cambio significativo en los sistemas, en concordancia con el
clima cambiante de las operaciones en el negocio del Banco.
El anlisis de riesgo debe tener un propsito claramente definido y
delimitado, existiendo dos posibilidades: cumplimiento con los controles
y/o medidas de proteccin o la aceptacin del riesgo.
6.4.6 Cumplimiento
El cumplimiento satisfactorio del proceso de evaluacin del riesgo se
caracteriza por:
- Identificacin y clasificacin correcta de los activos a ser protegidos.

- Aplicacin consistente y continua de los controles y/o medidas para
mitigar el riesgo (seguridad efectiva de datos, recuperacin ante
desastres adecuado)
- Deteccin temprana de los riesgos, reporte adecuado de prdidas, as
como una respuesta oportuna y efectiva ante las perdidas ya
materializadas.
6.4.7 Aceptacin de riesgo
La gerencia responsable puede obviar algn control o requerimiento de
proteccin y aceptar el riesgo identificado solo cuando ha sido
claramente demostrado que las opciones disponibles para lograr el
cumplimiento han sido identificadas y evaluadas, y que stas tendran un
impacto significativo y no aceptable para el negocio.
La aceptacin de riesgo por falta de cumplimiento de los controles y/o
medidas de proteccin debe ser documentada, revisada por las partes

involucradas, comunicada por escrito y aceptada por las reas

responsables de la administracin de la seguridad.
6.5 SEGURIDAD DEL PERSONAL
Los estndares relacionados al personal deben ser aplicados para asegurarse
que los empleados sean seleccionados adecuadamente antes de ser
contratados, puedan ser fcilmente identificados mientras formen parte del
Banco y que el acceso sea revocado oportunamente cuando un empleado es
despedido o transferido. Deben desarrollarse estndares adicionales para
asegurar que el personal sea consciente de todas sus responsabilidades y
acciones apropiadas en el reporte de incidentes.
Esta poltica se aplica a todos los empleados, personal contratado y
proveedores.
Los empleados son los activos ms valiosos del Banco. Sin embargo, un
gran nmero de problemas de seguridad de cmputo pueden ser causados
por descuido o desinformacin. Se deben de implementar procedimientos
para manejar estos riesgos y ayudar al personal del Banco a crear un
ambiente de trabajo seguro.
Medidas de precaucin deben de ser tomadas cuando se contrata,
transfiere y despide a los empleados. Deben de establecerse controles
para comunicar los cambios del personal y los requerimientos de recursos
de cmputo a los responsables de la administracin de la seguridad de la
informacin. Es crucial que estos cambios sean atendidos a tiempo.
6.5.1 Seguridad en la definicin de puestos de trabajo y recursos
El departamento de Recursos Humanos debe de notificar al rea de
seguridad informtica, la renuncia o despido de los empleados as como
el inicio y fin de los periodos de vacaciones de los mismos. Cuando se
notifique un despido o transferencia, el Custodio de informacin debe de
asegurarse que el identificador de usuario sea revocado. Cuando se

notifique una transferencia o despido, el rea de seguridad debe de

asegurarse que las fichas o placas sean devueltas al Banco. Cualquier
tem entregado al empleado o proveedor como computadoras porttiles,
llaves, tarjetas de identificacin, software, datos, documentacin,
manuales, etc. deben de ser entregados a su gerente o al rea de
Recursos Humanos.
La seguridad es responsabilidad de todos los empleados y personas
involucradas con el Banco. Por ende, todos los empleados, contratistas,
proveedores y personas con acceso a las instalaciones e informacin del
Banco deben de acatar los estndares documentados en la poltica de
seguridad del Banco e incluir la seguridad como una de sus
responsabilidades principales.
Todos los dispositivos personales de informacin, como por ejemplo
computadoras de propiedad de los empleados o asistentes digitales
personales (PDA Personal Digital Assistant), que interacten con los
sistemas del Banco, deben ser aprobados y autorizados por la gerencia
del Banco.
6.5.2 Capacitacin de usuarios
Es responsabilidad del rea de seguridad informtica promover
constantemente la importancia de la seguridad a todos los usuarios de los
sistemas de informacin. El programa de concientizacin en seguridad
debe de contener continuas capacitaciones y charlas, adicionalmente se
puede emplear diversos mtodos como afiches, llaveros, mensajes de
log-in, etc., los cuales recuerden permanentemente al usuario el papel
importante que cumplen en el mantenimiento de la seguridad de la
informacin.

Orientacin para los empleados y/o servicios de terceros nuevos

Cuando se contrate a un empleado nuevo y/o el servicio de algn tercero,
se debe de entregar la poltica de seguridad as como las normas y
procedimientos para el uso de las aplicaciones y los sistemas de
informacin del Banco. Asimismo se debe entregar un resumen escrito de
las medidas bsicas de seguridad de la informacin.
El personal de terceros debe recibir una copia del acuerdo de no
divulgacin firmado por el Banco y por el proveedor de servicios de
terceros as como orientacin con respecto a su responsabilidad en la
confidencialidad de la informacin del Banco.
Entre otros aspectos se debe considerar:
-
El personal debe de ser comunicado de las implicancias de seguridad

en relacin a las responsabilidades de su trabajo
Una copia firmada de la poltica de seguridad de informacin debe de

ser guardada en el archivo del empleado
Concientizacin peridica
Estudios muestran que la retencin y el conocimiento aplicable se
incrementa considerablemente cuando el tema es sujeto a revisin. Los
usuarios deben de ser informados anualmente sobre la importancia de la
seguridad de la informacin. Un resumen escrito de la informacin bsica
debe de ser entregada nuevamente a cada empleado y una copia firmada
debe de ser guardada en sus archivos.
La capacitacin en seguridad debe de incluir, pero no estar limitado, a los
siguientes aspectos:
-
Requerimientos de identificador de usuario y contrasea
Seguridad de PC, incluyendo proteccin de virus
Responsabilidades de la organizacin de seguridad de informacin
Concientizacin de las tcnicas utilizadas por hackers
Programas de cumplimiento

Guas de acceso a Internet
Guas de uso del correo electrnico
Procesos de monitoreo de seguridad de la informacin utilizados
Persona de contacto para informacin adicional
6.5.3 Procedimientos de respuesta ante incidentes de seguridad

El personal encargado de la administracin de seguridad debe ser
plenamente identificado por todos los empleados del Banco.
Si un empleado del Banco detecta o sospecha la ocurrencia de un
incidente de seguridad, tiene la obligacin de notificarlo al personal de
seguridad informtica. Si se sospecha la presencia de un virus en un
sistema, el usuario debe desconectar el equipo de la red de datos,
notificar al rea de seguridad informtica quien trabajar en coordinacin
con el rea de soporte tcnico, para la eliminacin del virus antes de
restablecer la conexin a la red de datos. Es responsabilidad del usuario
(con la apropiada asistencia tcnica) asegurarse que el virus haya sido
eliminado por completo del sistema antes de conectar nuevamente el
equipo a la red de datos.
Si un empleado detecta una vulnerabilidad en la seguridad de la
informacin debe notificarlo al personal encargado de la administracin de
la seguridad, asimismo, est prohibido para el empleado realizar pruebas
de dicha vulnerabilidad o aprovechar sta para propsito alguno.
El rea de seguridad informtica debe documentar todos los reportes de
incidentes de seguridad.
Cualquier error o falla en los sistemas debe ser notificado a soporte
tcnico, quin determinar si el error es indicativo de una vulnerabilidad
en la seguridad.
Las acciones disciplinarias tomadas contra socios de negocio o
proveedores por la ocurrencia de una violacin de seguridad, deben ser

consistentes con la magnitud de la falta, ellas deben ser coordinadas con

el rea de Recursos Humanos.
6.5.3.1
Registro de fallas
El personal encargado de operar los sistemas de informacin debe

registrar todos lo errores y fallas que ocurren en el procesamiento de
informacin o en los sistemas de comunicaciones. Estos registros deben
incluir lo siguiente:
-
Nombre de la persona que reporta la falla
Hora y fecha de ocurrencia de la falla
Descripcin del error o problema
Responsable de solucionar el problema
Descripcin de la respuesta inicial ante el problema
Descripcin de la solucin al problema
Hora y fecha en la que se solucion el problema
Los registros de fallas deben ser revisados semanalmente. Los registros

de errores no solucionados deben permanecer abiertos hasta que se
encuentre una solucin al problema. Adems, estos registros deben ser
almacenados para una posterior verificacin independiente.
6.5.3.2
Intercambios de informacin y correo electrnico
Los mensajes de correo electrnico deben ser considerados de igual

manera que un memorndum formal, son considerados como parte de
los registros del Banco y estn sujetos a monitoreo y auditoria. Los
sistemas de correo electrnico no deben ser utilizados para lo siguiente:
-
Enviar cadenas de mensajes
Enviar mensajes relacionados a seguridad, exceptuando al personal

encargado de la administracin de la seguridad de la informacin
Enviar propaganda de candidatos polticos

Actividades ilegales, no ticas o impropias
Actividades no relacionadas con el negocio del Banco
Diseminar direcciones de correo electrnico a listas pblicas
No deben utilizarse reglas de reenvo automtico a direcciones que no

pertenecen a la organizacin. No existe control sobre los mensajes de
correo electrnico una vez que estos se encuentran fuera de la red del
Banco.
Deben establecerse controles sobre el intercambio de informacin del
Banco con terceros para asegurar la confidencialidad e integridad de la
informacin, y que se respete la propiedad intelectual de la misma. Debe
tomarse en consideracin:
-
Acuerdos para el intercambio de software
Seguridad de media en trnsito
Controles sobre la transmisin mediante redes
Debe establecerse un proceso formal para aprobar la publicacin de

informacin del Banco. El desarrollo de pginas Web programables o
inteligentes (utilizando tecnologas como CGI o ASP) debe considerarse
como desarrollo de software y debe estar sujeto a los mismos controles.
La informacin contenida en sistemas pblicos no debe contener
informacin restringida, confidencial o de uso interno. De igual manera,
los equipos que brindan servicios Web, correo electrnico, comercio
electrnico u otros servicios pblicos no deben almacenar informacin
restringida, confidencial o de uso interno. Antes que un empleado del
Banco libere informacin que no sea de uso general debe verificarse la
identidad del individuo u organizacin recipiente utilizando firmas
digitales, referencias de terceros, conversaciones telefnicas u otros
mecanismos similares.
Debe establecerse controles sobre equipos de oficina como telfonos,
faxes e impresoras que procesan informacin sensible del Banco.

Informacin restringida o confidencial solo debe imprimirse en equipos

especficamente designados para esta tarea.
6.5.3.3
Seguridad para media en trnsito
La informacin a ser transferida en media digital o impresa debe ser

etiquetada con la clasificacin de informacin respectiva y detallando
claramente el remitente y recipiente del mismo. La informacin enviada
por servicios postales debe ser protegida de accesos no autorizados
mediante la utilizacin de:
6.6
Paquetes sellados o lacrados
Entrega en persona
Firmado y sellado de un cargo

SEGURIDAD
FSICA
DE
LAS
INSTALACIONES
DE
PROCESAMIENTO DE DATOS
Se deben implementar medidas de seguridad fsica para asegurar la
integridad de las instalaciones y centros de cmputo. Las medidas de
proteccin deben ser consistentes con el nivel de clasificacin de los
activos y el valor de la informacin procesada y almacenada en las
instalaciones.
6.6.1 Proteccin de las instalaciones de los centros de datos
Un centro de procesamiento de datos o de cmputo es definido como
cualquier edificio o ambiente dentro de un edificio que contenga equipos
de almacenamiento, proceso o transmisin de informacin. Estos incluyen
pero no se limitan a los siguientes:
-
Mainframe, servidores, computadoras personales y perifricos
Consolas de administracin
Libreras de cassettes o DASD
Equipos de telecomunicaciones

Centrales telefnicas, PBX
Armarios de alambrado elctrico o cables
Los controles deben de ser evaluados anualmente para compensar

cualquier cambio con relacin a los riesgos fsicos.
Los gerentes que estn planeando o revisando cualquier ambiente
automatizado, incluyendo el uso de las computadoras personales, deben
contactarse con el personal encargado de la administracin de la
seguridad de la informacin para asistencia en el diseo de los controles
fsicos de seguridad.
6.6.2 Control de acceso a las instalaciones de cmputo

El acceso a cualquier instalacin de cmputo debe estar restringido
nicamente al personal autorizado.
Todas las visitas deben ser identificadas y se debe mantener un registro
escrito de las mismas. Estas visitas deben ser en compaa de un
empleado durante la permanencia en las instalaciones de computo.
Si bien es recomendable que los proveedores de mantenimiento, a
quienes se les otorga acceso continuo a las reas sensibles, estn
siempre acompaados por un empleado autorizado de la empresa, puede
resultar poco prctico en algunos casos.
Todo el personal en las instalaciones de cmputo deben de portar un
carn, placa o ficha de identificacin. Sistemas automatizados de
seguridad para acceso fsico deben de ser instalados en centros de
cmputo principales. Centros pequeos pueden controlar el acceso fsico
mediante el uso de candados de combinacin o llaves.
Medidas apropiadas como guardias o puertas con alarmas, deben de ser
utilizadas para proteger las instalaciones durante las horas no laborables.
El retiro de cualquier equipo o medio electrnico de las instalaciones de
cmputo debe de ser aprobado por escrito por personal autorizado.

6.6.3 Acuerdo con regulaciones y leyes

Los controles de seguridad fsica deben de estar en acuerdo con las
regulaciones existentes de fuego y seguridad, as como con los
requerimientos contractuales de los seguros contratados.
6.7 ADMINISTRACIN DE COMUNICACIONES Y OPERACIONES

La administracin de las comunicaciones y operaciones del Banco, son
esenciales para mantener un adecuado nivel de servicio a los clientes. Los
requerimientos de seguridad deben ser desarrollados e implementados
para mantener el control sobre las comunicaciones y las operaciones.
Los procedimientos operacionales y las responsabilidades para mantener
accesos adecuados a los sistemas, as como el control y la disponibilidad
de los mismos, deben ser incluidas en las funciones operativas del Banco.
Todas las comunicaciones e intercambios de informacin, tanto dentro de
las instalaciones y sistemas del Banco como externas a ella, deben ser
aseguradas, de acuerdo al valor de la informacin protegida.
6.7.1 Procedimientos y Responsabilidades Operacionales
6.7.1.1
Procedimientos operativos documentados
Todos los procedimientos de operacin de los sistemas deben ser

documentados y los cambios realizados a dichos procedimientos deben
ser autorizados por la gerencia respectiva.
Todos los procedimientos de encendido y apagado de los equipos deben
ser documentados; dichos procedimientos deben incluir el detalle de
personal clave a ser contactado en caso de fallas no contempladas en el
procedimiento regular documentado.
Todas las tareas programadas en los sistemas para su realizacin
peridica, deben ser documentadas. Este documento debe incluir tiempo

de inicio, tiempo de duracin de la tarea, procedimientos en caso de

falla, entre otros.
Los procedimientos para resolucin de errores deben ser documentados,
entre ellos se debe incluir:
Errores en la ejecucin de procesos por lotes
Fallas o apagado de los sistemas
Cdigos de error en la ejecucin de procesos por lotes
Informacin de los contactos que podran colaborar con la resolucin
de errores.
6.7.1.2
Administracin de operaciones realizadas por terceros
Todos los procesos de operacin realizados por terceros deben ser

sujetos a una evaluacin de riesgos de seguridad y se debe desarrollar
procedimientos para administrar estos riesgos.
-
Asignacin
de
responsables
para
la
supervisin
de
dichas
actividades
-
Determinar si se procesar informacin crtica.
Determinar los controles de seguridad a implementar
Evaluar el cumplimiento de los estndares de seguridad del Banco.
Evaluar la implicancia de dichas tareas en los planes de contingencia

del negocio
Procedimientos de respuesta ante incidentes de seguridad
Evaluar el cumplimiento de los estndares del Banco referentes a

contratos con terceros.
6.7.1.3
Control de cambios operacionales
Todos los cambios realizados en los sistemas del Banco, a excepcin de

los cambios de emergencia, deben seguir los procedimientos de
cambios establecidos.

Solo el personal encargado de la administracin de la seguridad puede

realizar o aprobar un cambio de emergencia. Dicho cambio debe ser
documentado y aprobado en un periodo mximo de 24 horas luego de
haberse producido el cambio.
Los roles del personal involucrado en la ejecucin de los cambios en los
sistemas deben encontrarse debidamente especificados.
Los cambios deben ser aprobados por la gerencia del rea usuaria, el
personal encargado de la administracin de la seguridad de la
informacin y el encargado del rea de sistemas. Todos los
requerimientos de cambios deben ser debidamente documentados,
siguiendo los procedimientos para cambios existentes en el Banco.
Antes de la realizacin de cualquier cambio a los sistemas se debe
generar copias de respaldo de dichos sistemas.
6.7.1.4
Administracin de incidentes de seguridad
Luego de reportado el incidente de seguridad, ste debe ser investigado

por el rea de seguridad informtica. Se debe identificar la severidad del
incidente para la toma de medidas correctivas.
El personal encargado de la administracin de la seguridad debe realizar
la investigacin de los incidentes de forma rpida y confidencial.
Se debe mantener una documentacin de todos los incidentes de
seguridad ocurridos en el Banco.
Se debe mantener intacta la evidencia que prueba la ocurrencia de una
violacin de seguridad producida tanto por entes internos o externos,
para su posterior utilizacin en procesos legales en caso de ser
necesario.

6.7.1.5
Separacin de funciones de operaciones y desarrollo
El ambiente de prueba debe de mantenerse siempre separado del

ambiente de produccin, debiendo existir controles de acceso
adecuados para cada uno de ellos.
El ambiente de produccin es aquel en el cual residen los programas
ejecutables de produccin y los datos necesarios para el funcionamiento
de los mismos. Solo el personal autorizado a efectuar los cambios en los
sistemas debe contar con privilegios de escritura en los mismos.
Los programas compiladores no deben ser instalados en los sistemas en
produccin, todo el cdigo debe ser compilado antes de ser transferido
al ambiente de produccin.
Las pruebas deben de realizarse utilizando datos de prueba. Sin
embargo, copias de datos de produccin pueden ser usadas para las
pruebas, siempre y cuando los datos sean autorizados por el propietario
y manejados de manera confidencial.
El personal de desarrollo puede tener acceso de solo lectura a los datos
de produccin. La actualizacin de los permisos de acceso a los datos
de produccin debe de ser autorizada por el propietario de informacin y
otorgada por un periodo limitado.
Se deben utilizar estndares de nombres para distinguir el conjunto de
nombres de las tareas y de los datos, del modelo y de los ambientes de
produccin.
Un procedimiento de control de cambio debe de asegurar que todos los
cambios del modelo y ambientes de produccin hayan sido revisados y
aprobados por el (los) gerente(s) apropiados.
6.7.2 Proteccin contra virus
El rea de seguridad informtica debe realizar esfuerzos para determinar
el origen de la infeccin por virus informtico, para evitar la reinfeccin de
los equipos del Banco.

La posesin de virus o cualquier programa malicioso est prohibida a

todos los usuarios. Se tomarn medidas disciplinarias en caso se
encuentren dichos programas en computadoras personales de usuarios.
Todos los archivos adjuntos recibidos a travs del correo electrnico
desde Internet deben ser revisados por un antivirus antes de ejecutarlos.
Asimismo est prohibido el uso de diskettes y discos compactos
provenientes de otra fuente que no sea la del mismo BANCO ABC, a
excepcin de los provenientes de las interfaces con organismos
reguladores, proveedores y clientes, los cuales necesariamente deben
pasar por un proceso de verificacin y control en el rea de Sistemas
(Help Desk), antes de ser ledos.
El programa antivirus debe encontrarse habilitado en todos las
computadoras del Banco y debe ser actualizado peridicamente. En caso
de detectar fallas en el funcionamiento de dichos programas stas deben
ser comunicadas al rea de soporte tcnico. El programa antivirus debe
ser configurado para realizar revisiones peridicas para la deteccin de
virus en los medios de almacenamiento de las computadoras del Banco.
Debe contarse con un procedimiento para la actualizacin peridica de los
programas antivirus y el monitoreo de los virus detectados.
Es obligacin del personal del Banco, emplear slo los programas cuyas
licencias han sido obtenidas por el Banco y forman parte de su plataforma
estndar. Asimismo, se debe evitar compartir directorios o archivos con
otros usuarios; en caso de ser absolutamente necesario, coordinar con la
Gerencia respectiva y habilitar el acceso slo a nivel de lectura,
informando al Departamento de Produccin y Soporte Tcnico.
Todo el personal del Banco debe utilizar los protectores de pantalla y/o
papel tapiz autorizados por la Institucin; el estndar es:
Papel Tapiz: BANCO ABC
Protector de Pantalla: BANCO ABC.

6.7.3 Copias de respaldo

Los Custodios de informacin deben definir un cronograma para la
retencin y rotacin de las copias de respaldo, basado en los
requerimientos
establecidos
por
los
Propietarios
de
informacin,
incluyendo el almacenamiento en uno o ms ubicaciones distintos a las

del centro de cmputo. Los Custodios de informacin son tambin
responsables de asegurar que se generen copias de respaldo del
software de los servidores del Banco, y que las polticas de manipulacin
de informacin se ejercen para las copias de respaldo trasladadas o
almacenadas fuera de los locales del Banco. Debe formalmente definirse
procedimientos para la creacin y recuperacin de copias de respaldo.
Trimestralmente deben efectuarse pruebas para probar la capacidad de

restaurar informacin en caso sea necesario. Estas pruebas deben
efectuarse en un ambiente distinto al ambiente de produccin.
Los usuarios deben generar copias de respaldo de informacin crtica
transfiriendo o duplicando archivos a la carpeta personal establecida para
dicho fin por la Gerencia de Sistemas, la cual se encuentra ubicada en
uno de los servidores del Banco. Deben generarse copias de respaldo de
estos servidores segn un cronograma definido por los Custodios de
informacin.
Las cintas con copias de respaldo deben ser enviadas a un local remoto
peridicamente, basndose en un cronograma determinado por la
gerencia del Banco.
Los mensajes electrnicos, as como cualquier informacin considerada
importante, deben ser guardados en copias de respaldo y retenidos por
dispositivos automticos.

6.8 CONTROL DE ACCESO DE DATOS

La informacin manejada por los sistemas de informacin y las redes
asociadas debe estar adecuadamente protegida contra modificaciones no
autorizadas, divulgacin o destruccin. El uso inteligente de controles de
acceso previene errores o negligencias del personal, as como reduce la
posibilidad del acceso no autorizado.
6.8.1 Identificacin de Usuarios
Cada usuario de un sistema automatizado debe de ser identificado de
manera nica, y el acceso del usuario as como su actividad en los
sistemas debe de ser controlado, monitoreado y revisado.
Cada usuario de un sistema debe tener un cdigo de identificacin que no
sea compartido con otro usuario. Para lograr el acceso a los sistemas
automatizados, se requiere que el usuario provea una clave que solo sea
conocida por l.
Debe establecerse un procedimiento para asegurar que el cdigo de
identificacin de un usuario sea retirado de todos los sistemas cuando un
empleado es despedido o transferido.
Los terminales y computadoras personales deben bloquearse luego de
quince (15) minutos de inactividad. El usuario tendr que autenticarse
antes de reanudar su actividad.
El usuario debe ser instruido en el uso correcto de las caractersticas de
seguridad del terminal y funciones de todas las plataformas, estaciones de
trabajo, terminales, computadoras personales, etc., y debe cerrar la
sesin o bloquear la estacin de trabajo cuando se encuentre
desatendida.
Todos los consultores, contratistas, proveedores y personal temporal
deben tener los derechos de acceso cuidadosamente controlados. El
acceso solo debe ser vlido hasta el final del trimestre o incluso antes,
dependiendo de la terminacin del contrato.

Todos los sistemas deben proveer pistas de auditoria del ingreso a los
sistemas y violaciones de los mismos. A partir de estos datos, los
custodios de los sistemas deben elaborar reportes peridicos los cuales
deben ser revisados por el rea de seguridad informtica. Estos reportes
tambin deben incluir la identidad del usuario, y la fecha y hora del
evento. Si es apropiado, las violaciones deben ser reportadas al gerente
del individuo. Violaciones repetitivas o significantes o atentados de
accesos deben ser reportados al gerente a cargo de la persona y al rea
de seguridad de la informacin.
6.8.2 Seguridad de contraseas

6.8.2.1
Estructura
Todas las contraseas deben tener una longitud mnima de ocho (8)
caracteres y no deben contener espacios en blanco.
Las contraseas deben ser difciles de adivinar. Palabras de diccionario,
identificadores de usuario y secuencias comunes de caracteres, como
por ejemplo 12345678 o QWERTY, no deben ser empleadas. As
mismo, detalles personales como los nombres de familiares, nmero de
documento de identidad, nmero de telfono o fechas de cumpleaos no
deben ser usadas salvo acompaados con otros caracteres adicionales
que no tengan relacin directa. Las contraseas deben incluir al menos
un carcter no alfanumrico. Las contraseas deben contener al menos
un carcter alfabtico en mayscula y uno en minscula.
6.8.2.2
Vigencia
Todas las contraseas deben expirar dentro de un periodo que no

exceda los noventa (90) das. Cada gerente debe determinar un mximo
periodo de vigencia de las contraseas, el cual es recomendable no sea
menos de (30) das.

6.8.2.3
Reutilizacin de contraseas
No debe permitirse la reutilizacin de ninguna de las 5 ltimas

contraseas. Esto asegura que los usuarios no utilicen las mismas
contraseas en intervalos regulares. Los usuarios no deben poder
cambiar sus contraseas ms de una vez al da.
A los usuarios con privilegios administrativos, no se les debe permitir la
reutilizacin de las ltimas 13 contraseas.
6.8.2.4
Intentos fallidos de ingreso
Todos los sistemas deben estar configurados para deshabilitar los

identificadores de los usuarios en caso de ocurrir (3) intentos fallidos de
autenticacin.
En los casos que los sistemas utilizados no soporten controles para las
caractersticas establecidas para la estructura, vigencia, reutilizacin e
intentos fallidos de ingreso, se debe documentar la excepcin a la
poltica, detallando la viabilidad de modificar la aplicacin para soportar
las caractersticas establecidas para las contraseas.
6.8.2.5
Seguridad de contraseas
Es importante que todos los empleados protejan sus contraseas,

debindose seguir las siguientes regulaciones:
-
Bajo ninguna circunstancia, se debe escribir las contraseas en

papel, o almacenarlas en medios digitales no encriptados.
Las contraseas no deben ser divulgadas a ningn otro usuario salvo

bajo el pedido de un gerente, con autorizacin del rea de seguridad
informtica y auditoria interna. Si se divulga la contrasea, esta debe
ser cambiada durante el prximo ingreso.
El usuario autorizado es responsable de todas las acciones

realizadas por alguna persona a quin se le ha comunicado la
contrasea o identificador de usuario.

Los sistemas no deben mostrar la contrasea en pantalla o en

impresiones,
para
prevenir
que
stas
sean
observadas
recuperadas.
-
Las contraseas deben estar siempre encriptadas cuando se

encuentren almacenadas o cuando sean transmitidas a travs de
redes.
El control de acceso a archivos, bases de datos, computadoras y

otros sistemas de recursos mediante contraseas compartidas est
prohibido.
6.8.3 Control de transacciones

Los empleados deben tener acceso nicamente al conjunto de
transacciones en lnea requeridas para ejecutar sus tareas asignadas.
Este conjunto de transacciones debe estar claramente definido para
prevenir alguna ocurrencia de fraude y malversacin.
El conjunto de transacciones debe ser definido durante el proceso de
desarrollo de sistemas, revisado peridicamente y mantenido por la
gerencia Propietaria.
El acceso para la ejecucin de transacciones sensibles debe ser
controlado mediante una adecuada segregacin de tareas. Por ejemplo,
los usuarios que tengan permiso para registrar instrucciones de pago no
deben poder verificar o aprobar su propio trabajo.
Toda operacin realizada en los sistemas que afecten informacin
sensible como saldos operativos contables, deben contar con controles
duales de aprobacin, dichos controles de aprobacin deben ser
asignados con una adecuada segregacin de funciones.
Reportes de auditoria de transacciones sensibles o de alto valor deben
ser revisadas por la gerencia usuaria responsable en intervalos regulares
apropiados. Los reportes deben incluir la identidad del usuario, la fecha y
la hora del evento.

6.8.4 Control de produccin y prueba

El ambiente de prueba debe mantenerse siempre separado del ambiente
de produccin, se deben implementar controles de acceso adecuados en
ambos ambientes.
Las pruebas deben realizarse utilizando datos de prueba. Sin embargo,
copias de datos de produccin pueden ser usadas para las pruebas,
siempre y cuando los datos sean autorizados por el Propietario y
manejados de manera confidencial.
El personal de desarrollo puede tener acceso de slo lectura a los datos
de produccin. La actualizacin de los permisos de acceso a los datos de
produccin debe ser autorizada por el propietario y otorgada por un
periodo limitado.
Estndares de nombres deben ser utilizados para distinguir los datos y
programas de desarrollo y produccin.
Un procedimiento de control de cambios debe asegurar que todos los
cambios del modelo y ambientes de produccin hayan sido revisados y
aprobados por el (los) gerente(s) apropiados, y el personal encargado de
la administracin de la seguridad de la informacin.
Los programas de produccin, sistemas operativos y libreras de
documentacin deben ser considerados datos confidenciales y ser
protegidos.
Debe realizarse una adecuada segregacin de tareas dentro del rea de
procesamiento de datos o sistemas. Las tareas del personal de soporte
de aplicacin, soporte tcnico, y operadores del centro de datos deben
estar claramente definidas y sus permisos de acceso a los datos deben
basarse en los requerimientos especficos de su trabajo.
6.8.5 Controles de acceso de programas
Los controles de acceso de programas deben asegurar que los usuarios
no puedan acceder a la informacin sin autorizacin.

Los programas deben poder generar una pista de auditoria de todos los
accesos y violaciones.
Las violaciones de los controles de acceso deben ser registradas y
revisadas por el propietario o por el personal del rea de sistemas
custodio de los datos. Las violaciones de seguridad deben ser reportadas
al gerente del empleado y al rea responsable de la administracin de la
seguridad de la informacin.
Se debe tener cuidado particular en todos los ambientes para asegurar
que ninguna persona tenga control absoluto. Los operadores de sistemas,
por ejemplo, no deben tener acceso ilimitado a los identificadores de
superusuario. Dichos identificadores de usuario, son solo necesarios
durante una emergencia y deben ser cuidadosamente controlados por la
gerencia usuaria, quien debe realizar un monitoreo peridico de su
utilizacin.
6.8.6 Administracin de acceso de usuarios

La asignacin de identificadores de usuario especiales o privilegiados
(como cuentas administrativas y supervisores) debe ser revisada cada 3
meses.
Los propietarios de la informacin son responsables de revisar los
privilegios de los sistemas peridicamente y de retirar todos aquellos que
ya no sean requeridos por los usuarios. Es recomendable realizar
revisiones trimestralmente debido al continuo cambio de los ambientes de
trabajo y la importancia de los datos.
Es responsabilidad del propietario de la informacin y de los
administradores de sistemas ver que los privilegios de acceso estn
alineados con las necesidades del negocio, sean asignados basndose
en requerimientos y que se comunique la lista correcta de accesos al rea
de sistemas de informacin.

En las situaciones donde los usuarios con accesos a informacin

altamente sensible sean despedidos, los supervisores deben coordinar
directamente con el rea de seguridad informtica para eliminar el acceso
de ese usuario.
Se debe buscar el desarrollo de soluciones tcnicas para evitar el uso de
accesos privilegiados innecesarios.
Luego del despido o renuncia de algn empleado, es responsabilidad del
jefe del empleado revisar cualquier archivo fsico o digital elaborado o
modificado por el usuario. El gerente debe tambin asignar la propiedad
de dicha informacin a la persona relevante as como determinar la
destruccin de los archivos innecesarios.
Todos los usuarios que tienen acceso a las cuentas privilegiadas deben
tener sus propias cuentas personales para uso del negocio. Por ende, los
administradores de sistemas y empleados con acceso a cuentas
privilegiadas deben usar sus cuentas personales para realizar actividades
de tipo no privilegiadas.
Cuentas de usuario que no son utilizadas por noventa (90) das deben ser
automticamente deshabilitadas. Las cuentas que no han sido utilizadas
por un periodo largo demuestran que el acceso de informacin de ese
sistema no es necesario. Los custodios de la informacin deben informar
al propietario de la informacin la existencia de las cuentas inactivas.
Todos los accesos a los sistemas de informacin deben estar controlados
mediante un mtodo de autenticacin incluyendo una combinacin
mnima de identificador de usuario/contrasea. Dicha combinacin debe
proveer la verificacin de la identidad del usuario.
Para los usuarios con tareas similares, se debe utilizar grupos o controles
de acceso relacionados a roles para asignar permisos y accesos a las
cuentas del individuo.
Todos los usuarios de los sistemas de informacin deben de tener un
identificador de usuario nico que sea vlido durante el perodo laboral del

usuario. Los identificadores de usuarios no deben de ser utilizados por

otros individuos incluso luego de que el usuario original haya renunciado o
haya sido despedido.
Los sistemas no deben permitir que los usuarios puedan tener sesiones
mltiples para un mismo sistema, salvo bajo autorizacin especfica del
propietario de la informacin.
6.8.7 Responsabilidades del usuario
Todo equipo de cmputo, alquilado o de propiedad del Banco, as como
los servicios compartidos facturados a cada unidad de negocio sern
usados solo para actividades relacionadas al negocio del Banco.
Los sistemas del Banco no pueden ser usados para desarrollar software
para negocios personales o externos al Banco.
Los equipos no deben ser usados para preparar documentos para uso
externo, salvo bajo la aprobacin escrita del gerente del rea usuaria.
Se debe implementar protectores de pantallas en todas las computadoras

personales y servidores, activndose luego de cinco (5) minutos de
inactividad.
Toda la actividad realizada utilizando un identificador de usuario
determinado, es de responsabilidad del empleado a quin le fue asignado.
Por consiguiente, los usuarios no deben compartir la informacin de su
identificador con otros o permitir que otros empleados utilicen su
identificador de usuario para realizar cualquier accin. Tambin, los
usuarios estn prohibidos de realizar cualquier accin utilizando un
identificador que no sea el propio.
6.8.8 Seguridad de computadoras
Se debe mantener un inventario actualizado de todo el software y
hardware existente en el Banco, la responsabilidad del mantenimiento del

inventario es del jefe de produccin de la gerencia de sistemas. Todo

traslado o asignacin de equipos debe ser requerida por el gerente del
rea usuaria, es de responsabilidad del jefe de produccin de la gerencia
de sistemas, la verificacin y realizacin del requerimiento.
Es de responsabilidad del usuario, efectuar un correcto uso del equipo de
cmputo que le fue asignado, as como de los programas en l instalados;
cualquier cambio y/o traslado deber ser solicitado con anticipacin por su
respectiva Gerencia. Asimismo el usuario debe verificar que cualquier
cambio y/o traslado del Equipo de Cmputo que le fue asignado, se
realice por personal de Soporte Tcnico, as como tambin la instalacin o
retiro de software.
Cualquier microcomputador, computadora personal o porttil / notebook
perteneciente al Banco debe ser nicamente utilizada para propsitos de
negocios. Estas computadoras pueden ser utilizadas de las siguientes
maneras:
- Como un terminal comunicndose con otra computadora
- Como una computadora aislada que realice su propio procesamiento
sin comunicacin con ninguna otra computadora
Medidas apropiadas de seguridad de computadoras personales, como los
programas de seguridad de computadoras personales o los candados
fsicos, deben ser utilizados en relacin con los datos y aplicaciones en
ejecucin.
Sin importar su uso, las medidas de seguridad deben ser implementadas
en todas las microcomputadoras y computadoras personales:
- Una vez habilitada la computadora, sta no debe dejarse desatendida,
incluso por un periodo corto.
- Todo
los
disquetes,
cintas,
CDs
otros
dispositivos
de
almacenamiento de informacin incluyendo informacin impresa, que

contengan datos sensibles deben ser guardados en un ambiente
seguro cuando no sean utilizados.

- El acceso a los datos almacenados en un microcomputador debe ser

limitado a los usuarios apropiados.
Los discos duros no deben contener datos sensibles salvo en las

computadoras cuyo acceso fsico sea restringido o que tengan instalados
un programa de seguridad y que los accesos a la computadora y a sus
archivos sean controlados adecuadamente.
Los disquetes no deben ser expuestos a temperaturas altas o a
elementos altamente magnticos.
Deben generarse copias de respaldo de documentos y datos de manera
peridica, asimismo, deben desarrollarse procedimientos para su
adecuada restauracin en el caso de prdida.
Todos los programas instalados en las computadoras deben ser legales,
aprobados y peridicamente inventariados.
Solo los programas adquiridos o aprobados por el Banco, sern
instalados en las computadoras del Banco.
El uso de programas de juegos, de distribucin gratuita (freeware o
shareware) o de propiedad personal est prohibido, salvo que ste sea
aprobado por la gerencia y se haya revisado la ausencia de virus en el
mismo.
6.8.9 Control de acceso a redes
6.8.9.1
Conexiones con redes externas
Los sistemas de red son vulnerables y presentan riesgos inherentes a su

naturaleza y complejidad. Los accesos remotos (dial-in) y conexiones
con redes externas, exponen a los sistemas del Banco a niveles
mayores de riesgo. Asegurando que todos los enlaces de una red
cuenten con adecuados niveles de seguridad, se logra que los activos
ms valiosos de las unidades de negocio estn protegidos de un ataque
directo o indirecto.

Todas las conexiones realizadas entre la red interna del Banco e

Internet, deben ser controladas por un firewall para prevenir accesos no
autorizados. El rea de seguridad de informacin debe aprobar todas las
conexiones con redes o dispositivos externos.
El acceso desde Internet hacia la red interna del Banco no debe ser
permitido sin un dispositivo de fuerte autenticacin o certificado basado
en utilizacin de contraseas dinmicas.
El esquema de direccionamiento interno de la red no debe ser visible
desde redes o equipos externos. Esto evita que hackers u otras
personas pueden obtener fcilmente informacin sobre la estructura de
red del Banco y computadoras internas.
Para eliminar las vulnerabilidades inherentes al protocolo TCP/IP,
ruteadores y firewalls deben rechazar conexiones externas que
parecieran originarias de direcciones internas (ip spoofing).
6.8.9.2
Estndares generales
Los accesos a los recursos de informacin deben solicitar como mnimo

uno de los tres factores de autenticacin:
-
Factor de conocimiento: algo que solo el usuario conoce. Por

ejemplo: contrasea o PIN.
Factor de posesin: algo que solo el usuario posee. Por ejemplo:

smartcard o token.
Factor biomtrico: algo propio de las caractersticas biolgicas del

usuario. Por ejemplo: lectores de retina o identificadores de voz.
La posibilidad de efectuar encaminamiento y re-direccionamiento de

paquetes, debe ser configurada estrictamente en los equipos que
necesiten realizar dicha funcin.
Todos los componentes de la red deben mostrar el siguiente mensaje
de alerta en el acceso inicial.

Aviso de alerta: Estos sistemas son de uso exclusivo del personal y

agentes autorizados del Banco. El uso no autorizado est prohibido y
sujeto a penalidades legales.
Todos los componentes de la red de datos deben ser identificados de
manera nica y su uso restringido. Esto incluye la proteccin fsica de
todos los puntos vulnerables de una red.
Las estaciones de trabajo y computadoras personales deben ser
bloqueadas mediante la facilidad del sistema operativo, mientras se
encuentren desatendidas.
Todos los dispositivos de red, as como el cableado deben ser ubicado
de manera segura.
Cualquier unidad de control, concentrador, multiplexor o procesador de
comunicacin ubicado fuera de una rea con seguridad fsica, debe
estar protegido de un acceso no autorizado.
6.8.9.3
Poltica del uso de servicio de redes
Todas las conexiones de red internas y externas deben cumplir con las
polticas del Banco sobre servicios de red y control de acceso. Es
responsabilidad del rea de sistemas de informacin y seguridad de
informacin determinar lo siguiente:
- Elementos de la red que pueden ser accedidos
- El procedimiento de autorizacin para la obtencin de acceso
- Controles para la proteccin de la red.
Todos los servicios habilitados en los sistemas deben contar con una
justificacin coherente con las necesidades del negocio. Los riesgos
asociados a los servicios de red deben determinarse y ser resueltos
antes de la implementacin del servicio. Algunos servicios estrictamente
prohibidos incluyen TFTP e IRC/Chat.

6.8.9.4
Segmentacin de redes
La arquitectura de red del Banco debe considerar la separacin de redes

que requieran distintos niveles de seguridad. Esta separacin debe
realizarse de acuerdo a la clase de informacin albergada en los
sistemas que constituyen dichas redes. Esto debe incluir equipos de
acceso pblico.
6.8.9.5
Anlisis de riesgo de red
Cualquier nodo de la red de datos, debe asumir el nivel de sensibilidad

de la informacin o actividad de procesamiento de datos ms sensible al
que tenga acceso. Se deben implementar controles que compensen los
riesgos ms altos.
6.8.9.6
Acceso remoto(dial-in)
Los usuarios que ingresen a los sistemas del Banco mediante acceso
remoto (dial-in) deben ser identificados antes de obtener acceso a los
sistemas. Por lo tanto, dicho acceso debe ser controlado por un equipo
que permita la autenticacin de los usuarios al conectarse a la red de
datos.
Tcnicas y productos apropiadas para el control de los accesos remotos
(dial-in) incluyen:
-
Tcnicas de identificacin de usuarios: Tcnicas que permitan

identificar de manera unvoca al usuario que inicia la conexin, es
recomendable que la tcnica elegida utilice por lo menos 2 de los
factores de autenticacin definidos anteriormente. Ejemplo: tokens
(dispositivos generadores de contraseas dinmicas).
Tcnicas de identificacin de terminales: Tcnicas que permiten

identificar unvocamente al terminal remoto que realiza la conexin.
Ejemplo: callback (tcnica que permite asegurar que el nmero
telefnico fuente de la conexin sea autorizado)

6.8.9.7
Encripcin de los datos
Los algoritmos de encripcin DES, 3DES y RSA son tcnicas de

encripcin aceptables para las necesidades de los negocios de hoy.
Estas pueden ser empleadas para satisfacer los requerimientos de
encripcin de datos del Banco.
Las contraseas, los cdigos o nmeros de identificacin personal y los
identificadores de terminales de acceso remoto deben encontrarse
encriptados durante la transmisin y en su medio de almacenamiento. La
encripcin de datos ofrece proteccin ante accesos no autorizados a la
misma; debe ser utilizada si luego de una evaluacin de riesgo se
concluye que es necesaria.
6.8.10 Control de acceso al sistema operativo
6.8.10.1 Estndares generales
Los usuarios que posean privilegios de superusuario, deben utilizar el
mismo identificador con el que se autentican normalmente en los
sistemas. Los administradores deben otorgarle los privilegios especiales
a los identificadores de los usuarios que lo necesiten.
Todos los usuarios deben poseer un nico identificador. El uso de
identificadores de usuario compartidos debe estar sujeto a autorizacin.
Cada cuenta de usuario debe poseer una contrasea asociada, la cual
solo debe ser conocida por el dueo del identificador de usuario.
Seguridad adicional puede ser aadida al proceso, como identificadores
biomtricos o generadores de contraseas dinmicas.
6.8.10.2 Limitaciones de horario

Las aplicaciones crticas deben estar sujetas a periodos de acceso
restringidos, el acceso a los sistemas en un horario distinto debe ser
deshabilitado o suspendido.

6.8.10.3 Administracin de contraseas

Los administradores de seguridad deben realizar pruebas mensuales
sobre la calidad de las contraseas que son empleadas por los usuarios,
esta actividad puede involucrar el uso de herramientas para obtencin
de contraseas.
Todas las bases de datos o aplicaciones que almacenen contraseas
deben ser aseguradas, de tal manera, que solo los administradores de
los sistemas tengan acceso a ellas.
6.8.10.4 Inactividad del sistema
Las sesiones en los sistemas que no se encuentren activas por mas de
30 minutos deben ser concluidas de manera automtica.
Las computadoras personales,
laptops y servidores, deben ser
configurados con un protector de pantalla con contrasea, cuando sea

aplicable. El periodo de inactividad para la activacin del protector de
pantalla debe ser de 5 minutos.
Los sistemas deben forzar la reautenticacin de los usuarios luego de 2
horas de inactividad.
6.8.10.5 Estndares de autenticacin en los sistemas
Los sistemas, durante el proceso de autenticacin, deben mostrar avisos
preventivos sobre los accesos no autorizados a los sistemas.
Los identificadores de los usuarios deben ser bloqueados luego de 3
intentos fallidos de autenticacin en los sistemas, el desbloqueo de la
cuenta debe ser realizado manualmente por el administrador del
sistema.
Los sistemas deben ser configurados para no mostrar ninguna
informacin que pueda facilitar el acceso a los mismos, luego de intentos
fallidos de autenticacin.

6.8.11 Control de acceso de aplicacin

6.8.11.1 Restricciones de acceso a informacin
Para la generacin de cuentas de usuario en los sistemas as como para
la asignacin de perfiles, el gerente del rea usuaria es el responsable
de presentar la Solicitud de Usuarios y/o Perfiles de Acceso a los
Sistemas de Cmputo, al rea de Seguridad Informtica, quien generar
los Usuarios y Contraseas correspondientes, para luego remitirlas al
Departamento de Recursos Humanos, para que ste a su vez los
entregue al Usuario Final, con la confidencialidad requerida.
Se debe otorgar a los usuarios acceso solamente a la informacin
mnima necesaria para la realizacin de sus labores.
Esta tarea puede ser realizada utilizando una combinacin de:
- Seguridad lgica de la aplicacin.
- Ocultar opciones no autorizadas en los sistemas
- Restringir el acceso a lnea de comando
- Limitar los permisos a los archivos de los sistemas (solo lectura)
- Controles sobre la informacin de salida de los sistemas (reportes,
consultas en lnea, etc.)
6.8.11.2 Aislamiento de sistemas crticos
Basados en el tipo de informacin, las redes pueden requerir separacin.
Los sistemas que procesan informacin muy crtica deben ser aislados
fsicamente de sistemas que procesan informacin menos crtica.
6.8.12 Monitoreo del acceso y uso de los sistemas
6.8.12.1 Sincronizacin del reloj
Los relojes de todos los sistemas deben ser sincronizados para asegurar
la consistencia de todos los registros de auditoria. Debe desarrollarse un

procedimiento para el ajuste de cualquier desvo en la sincronizacin de

los sistemas.
6.8.12.2 Responsabilidades generales
Los administradores de los sistemas deben realizar monitoreo peridico
de los sistemas como parte de su rutina diaria de trabajo, este monitoreo
no debe estar limitado solamente a la utilizacin y performance del
sistema sino debe incluir el monitoreo del acceso de los usuarios a los
sistemas.
6.8.12.3 Registro de eventos del sistema

La actividad de los usuarios vinculada al acceso a informacin
clasificada como confidencial o restringida debe ser registrada para
su posterior inspeccin. El propietario de la informacin debe revisar
dicho registro mensualmente.
Todos los eventos de seguridad relevantes de una computadora que

alberga informacin confidencial, deben ser registrados en un log de
eventos
de
seguridad.
Esto
incluye
errores
en
autenticacin,
modificaciones de datos, utilizacin de cuentas privilegiadas, cambios en

la configuracin de acceso a archivos, modificacin a los programas o
sistema operativo instalados, cambios en los privilegios o permisos de
los usuarios o el uso de cualquier funcin privilegiada del sistema.
Los logs (bitcoras) de seguridad deben ser almacenados por un

periodo mnimo de 3 meses. Acceso a dichos logs debe ser permitido
solo a personal autorizado. En la medida de lo posible, los logs deben
ser almacenados en medios de solo lectura.

6.8.13 Computacin mvil y teletrabajo

6.8.13.1 Responsabilidades generales
Los usuarios que realizan trabajo en casa con informacin del Banco,
pueden tener el concepto errado de que la seguridad de informacin solo
es aplicable en el trabajo en oficina, sin tomar en cuenta que algunas
amenazas de seguridad son comunes en ambos entornos de trabajo y
que incluso existen algunas nuevas amenazas en el trabajo en casa. El
personal que realiza trabajo en casa debe tener en cuenta las amenazas
de seguridad que existen en dicho entorno laboral y tomar las medidas
apropiadas para mantener la seguridad de informacin.
La utilizacin de programas para el control remoto de equipos como PCAnywhere est prohibida a menos que se cuente con el consentimiento
formal del administrador de seguridad. La utilizacin inapropiada de este
tipo de programas puede facilitar el acceso de un intruso a los sistemas
de informacin del Banco.
6.8.13.2 Acceso remoto
Medidas de seguridad adicionales deben ser implementadas para
proteger la informacin almacenada en dispositivos mviles. Entre las
medidas a tomarse se deben incluir:
- Encripcin de los datos
- Contraseas de encendido
- Concientizacin de usuarios
- Proteccin de la data transmitida hacia y desde dispositivos mviles.
Ej. VPN, SSL o PGP.
- Medidas de autenticacin adicionales para obtener acceso a la red de
datos. Ej. SecureID tokens.

Con el propsito de evitar los problemas relacionados a virus

informticos y propiedad de los datos existentes en computadoras
externas, solamente equipos del Banco deben ser utilizados para ser
conectados a su red de datos. La nica excepcin a este punto es la
conexin hacia el servidor de correo electrnico para recepcin y envo
del correo electrnico.
Todos los accesos dial-in/dial-out deben contar con autorizacin del rea
de seguridad informtica y deben contar con la autorizacin respectiva
que justifique su necesidad para el desenvolvimiento del negocio.
6.9 DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS
El diseo de la infraestructura del Banco, las aplicaciones de negocio y las
aplicaciones del usuario final deben soportar los requerimientos generales de
seguridad documentados en la poltica de seguridad del Banco. Estos
requerimientos deben ser incorporados en cada paso del ciclo de desarrollo de
los sistemas, incluyendo todas las fases de diseo, desarrollo, mantenimiento y
produccin.
Los requerimientos de seguridad y control deben estar:
- determinados durante cualquier diseo de sistemas,
- desarrollados dentro de la arquitectura del sistema
- implementados en la instalacin final del sistema.
Adicionalmente, todo los procesos de desarrollo y soporte a estos sistemas
deben seguir los requerimientos de seguridad incluidos en esta poltica de
seguridad.
6.9.1 Requerimientos de seguridad de sistemas
6.9.1.1
Control de cambios
El rea responsable de la administracin de cambios debe retener todos

los formularios de solicitud de cambio, planes de cambio de programa y

resultados de pruebas de acuerdo con los estndares de retencin de

registros del Banco. Los gerentes tcnicos de las reas son
responsables de retener una copia de la documentacin de solicitud de
cambio pertinente a su respectiva rea.
Los procedimientos de prueba deben estar documentados en los

formularios de solicitud de cambio. Si se notara problemas durante el
proceso de prueba, el proveedor debe documentar el problema, realizar
las modificaciones apropiadas en el ambiente de desarrollo y entregarlo
para que se vuelva a probar.
6.9.1.2
Anlisis y especificacin de los requerimientos de

seguridad
Para todos los sistemas desarrollados por o para el Banco, se debe

determinar los requerimientos de seguridad antes de comenzar la fase
de desarrollo de la aplicacin. Durante la fase de diseo del sistema, los
propietarios de la informacin, el rea de sistemas y el rea de
seguridad de la informacin deben determinar un control adecuado para
el ambiente de la aplicacin. Estos requerimientos deben incluir, pero no
estn limitadas a:
- Control de acceso
- Autorizacin
- Criticidad del sistema
- Clasificacin de la informacin
- Niveles de disponibilidad requeridos
- Confidencialidad e integridad de la informacin

6.9.2 Seguridad en sistemas de aplicacin

6.9.2.1
Los
Desarrollo y prueba de aplicaciones
procedimientos
de
prueba
deben
estar
adecuadamente
documentados en los formularios de solicitud de cambio. El gerente del

desarrollador debe efectuar una revisin independiente de los resultados
de la unidad de prueba. Como resultado, se debe evidenciar una
aprobacin formal por parte del gerente del desarrollador en el formulario
de solicitud de cambio.
Durante la prueba de integracin, restricciones de acceso lgico deben

asegurar que los desarrolladores no tengan accesos de actualizacin y
que el cdigo siendo probado no sea modificado sin consentimiento del
usuario. Copias de los datos de produccin o conjuntos prediseados de
datos de prueba deben ser usados para propsitos de prueba.
Todas las modificaciones significativas, mejoras grandes y sistemas

nuevos deben ser probados por los usuarios del sistema antes de la
instalacin del software en el ambiente de produccin. El plan de
aceptacin del usuario debe incluir pruebas de todas las funciones
principales, procesos y sistemas de interfaces. Los procedimientos de
prueba deben ser adecuadamente documentados en los formularios de
solicitud de cambio.
Durante las pruebas de aceptacin, restricciones lgicas de acceso

deben asegurar que los desarrolladores no tengan acceso de
actualizacin y que el cdigo fuente siendo probado no pueda ser
modificado sin consentimiento escrito por el usuario. Si se notara
problemas, el usuario debe documentar el problema, el desarrollador
debe realizar las modificaciones apropiadas en el ambiente de desarrollo
y lo entregar para volver a probarlo.

6.10
CUMPLIMIENTO NORMATIVO
Toda ley, norma, regulacin o acuerdo contractual debe ser documentado y

revisado por el rea legal del Banco. Requerimientos especficos para
controles y otras actividades relacionadas a estas regulaciones legales
deben ser delegados al rea organizacional respectiva, la cual es
responsable por el cumplimiento de la norma en cuestin.
Los recursos informticos del Banco deben ser empleados exclusivamente
para tareas vinculadas al negocio.
6.10.1 Registros
Deben desarrollarse estndares de retencin, almacenamiento, manejo y
eliminacin de registros que son requeridos por normas legales u otras
regulaciones. Debe definirse un cronograma de retencin para estos
registros que debe incluir:
- Tipo de informacin
- Regulaciones o leyes aplicables
- Fuentes de este tipo de informacin
- Tiempos de retencin requeridos
- Requerimientos de traslado y almacenamiento
- Procedimientos de eliminacin
- Requerimientos de control especficos estipulados en la norma
relacionada
6.10.2 Revisin de la poltica de seguridad y cumplimiento tcnico
Los gerentes y jefes deben asegurarse que las responsabilidades de
seguridad sean cumplidas y las funciones relacionadas se ejecuten
apropiadamente.
Es responsabilidad del personal encargado de la administracin de la
seguridad y de auditoria interna verificar el cumplimiento de las polticas

de seguridad. Las excepciones deben ser reportadas a la gerencia

apropiada.
6.10.3 Propiedad de los programas
Cualquier programa escrito por algn empleado del Banco dentro del
alcance de su trabajo as como aquellos adquiridos por el Banco son de
propiedad del Banco.
Los contratos para desarrollo externo deben acordarse por escrito y
deben sealar claramente el propietario de los derechos del programa. En
la mayora de circunstancias, el Banco debera ser propietaria de todos
los programas de cmputo desarrollados, debiendo pagar los costos de
desarrollo.
Cada programa elaborado por desarrolladores propios del Banco o por
desarrolladores externos contratados por el Banco, debe contener la
informacin de derecho de autor correspondiente. Generalmente, el aviso
debe aparecer en cuando el usuario inicie la aplicacin. Un aviso legible
tambin debe estar anexado a las copias de los programas almacenados
en dispositivos como cartuchos, cassettes, discos o disquetes.
6.10.4 Copiado de software adquirido y alquilado
Los contratos con proveedores y paquetes propietarios de software deben
definir claramente los lmites de su uso. Los empleados estn prohibidos
de copiar o utilizar dicho software de manera contraria a la provisin del
contrato. Toda infraccin de los derechos de autor del software constituye
robo.
Los productos adquiridos o alquilados para ejecutarse en una unidad de

procesamiento o en un sitio particular no deben ser copiados y ejecutados
en procesadores adicionales sin algn acuerdo por parte del proveedor.

Los programas no pueden ser copiados salvo dentro del lmite acordado
con el proveedor (por ejemplo, copias de respaldo para proteccin). Los
empleados o contratistas que realicen copias adicionales para evitar el
costo de adquisicin de otro paquete sern hechos responsables de sus
acciones.
6.11
CONSIDERACIONES DE AUDITORIA DE SISTEMAS
6.11.1 Proteccin de las herramientas de auditoria

Todas
las
herramientas,
incluyendo
programas,
aplicaciones,
documentacin y papeles de trabajo, requeridos para la auditoria de

sistemas deben protegerse de amenazas posibles como se indica en esta
poltica de seguridad.
6.11.2 Controles de auditoria de sistemas
Todas las actividades de auditoria deben ser revisadas para el
planeamiento y la ejecucin correcta de la auditoria. Esto incluye, pero no
se limita a lo siguiente:
- minimizar cualquier interrupcin de las operaciones del negocio
- acuerdo de todas las actividades y objetivos de auditoria con la
gerencia
- lmite del alcance de la evaluacin de un ambiente controlado,
asegurando que no se brinde accesos impropios para la realizacin de
las tareas de auditoria
- identificacin de los recursos y habilidades necesarias para cualquier
tarea tcnica
- registro de todas las actividades y desarrollo de la documentacin de
las tareas realizadas, procedimientos de auditoria, hallazgos y
recomendaciones.

6.12
POLTICA DE COMERCIO ELECTRNICO
El propsito de esta poltica es presentar un esquema para el

comportamiento aceptable cuando se realizan actividades de comercio
electrnico (e-commerce). Los controles definidos, tienen el propsito de
proteger el comercio electrnico de numerosas amenazas de red que
puedan resultar en actividad fraudulenta y divulgacin o modificacin de la
informacin.
Esta poltica se aplica a todos los empleados del Banco involucrados con
comercio electrnico y a los socios de comercio electrnico del Banco. Los
socios de comercio electrnico del Banco incluyen las unidades de negocio
de la organizacin, los clientes, socios comerciales y otros terceros.
El Banco debe asegurar la claridad de toda la informacin documentada y

divulgar la informacin necesaria para asegurar el uso apropiado del
comercio electrnico. El Banco y los socios de comercio electrnico deben
de someterse a la legislacin nacional sobre el uso de la informacin de
clientes y las estadsticas derivadas.
Los documentos y transacciones electrnicas usadas en el comercio

electrnico deben ser legalmente admisibles. Las unidades de negocio
afiliadas del Banco deben demostrar que sus sistemas de cmputo
funcionan adecuadamente para establecer la autenticacin de los
documentos y transacciones legales. Los sistemas de informacin usados
deben estar de acuerdo con los estndares de seguridad corporativos
antes de estar disponibles en produccin.
Los sistemas de comercio electrnico deben publicar sus trminos de

negocios a los clientes. El uso de autoridades de certificacin y archivos

confiables de terceros deben estar documentados, de acuerdo con la

poltica de seguridad de informacin del Banco.
Actividades de roles y responsabilidades entre el Banco y los socios de

comercio electrnico deben de establecerse, documentarse y ser
soportadas por un acuerdo documentado que comprometa a ambos al
acuerdo de los trminos de transacciones.
6.12.1 Trminos e informacin de comercio electrnico
6.12.1.1 Recoleccin de informacin y privacidad
El Banco debe utilizar niveles apropiados de seguridad segn el tipo de
informacin recolectada, mantenida y transferida a terceros debiendo
asegurarse de:
- Aplicar estndares corporativos de encripcin y autenticacin para la
transferencia de informacin sensible.
- Aplicar controles corporativos tcnicos de seguridad para proteger los
datos mantenidos por computadoras; y
- Considerar la necesidad de que los terceros involucrados en las
transacciones de clientes, tambin mantengan niveles apropiados de
seguridad.
El Banco debe adoptar prcticas de informacin que
manejen
cuidadosamente la informacin personal de los clientes. Todos los

sistemas de comercio electrnico del Banco deben seguir una poltica de
privacidad basada en principios de informacin, deben tomar medidas
apropiadas para proveer seguridad adecuada y respetar las preferencias
de los clientes con respecto al envo de mensajes de correo electrnico
no solicitados.

6.12.1.2 Divulgacin
El Banco debe proveer suficiente informacin sobre la propia transaccin
en lnea, para permitir que los clientes tomen una decisin informada
sobre si ejecutar las transacciones en lnea.
Informacin divulgada debe incluir, pero no estar limitada a:
- Trminos de transaccin;
- Disponibilidad de producto e informacin de envo; y
- Precios y costos.
El Banco debe tambin brindar al cliente las opciones de:
- Revisin y aprobacin de la transaccin; y
- Recepcin de una confirmacin.
6.12.2 Transferencia electrnica de fondos
Transacciones de valor, sobre redes de telecomunicacin, que resulten de
movimientos de fondos, deben estar protegidas con medidas que sean
proporcionales a la prdida potencial debido a error o fraude. En sistemas
donde el valor promedio de transaccin excede los $50,000 o
en los
cuales transacciones sobre los $100,000 sean frecuentes, se debe

verificar el origen de la transaccin as como el contenido de la misma de
acuerdo a los estndares definidos por el Banco.
Para todos los casos en que un mensaje de transferencia electrnica de

fondos sea enviado sobre un circuito por lo menos se debe verificar el
origen del mensaje mediante un mtodo apropiado considerando el riesgo
involucrado.
Algunas circunstancias requieren de la verificacin de la ubicacin fsica

del terminal que origina la transaccin, mientras que en otras una
adecuada tcnica usada para identificar el usuario del terminal es
suficiente.

Los sistemas que utilicen soluciones de encripcin o autenticacin deben

usar los estndares de ANSI aceptados.
La encripcin de la informacin transmitida es necesaria cuando el origen
y el destino se encuentran conectados por un enlace fsico de
comunicacin que pueda ser accedido por un tercero. Las soluciones de
punto a punto son preferibles para redes multi-nodos.
Los datos de identificacin personal como PINs, PICs y contraseas no

deben ser transmitidas o almacenadas sin proteccin en cualquier medio.
Los sistemas nuevos que involucren el movimiento de fondos o
transacciones de valor sobre redes de telecomunicaciones debe
incorporar estos controles en su diseo.
Cualquier cambio en los sistemas o redes existentes, deben respetar

dichos controles.
6.13
INFORMACIN
ALMACENADA
EN
MEDIOS
DIGITALES
FSICOS
Toda informacin almacenada en cualquier dispositivo o medio del Banco,
incluyendo disquetes, reportes, cdigos fuentes de programas de
computadora, correo electrnico y datos confidenciales de los clientes, es
propiedad del Banco.
Las prcticas de seguridad de datos deben ser consistentes para ser
efectivas. Los datos sensibles deben ser protegidos, sin importar la forma
en que sean almacenados.
6.13.1 Etiquetado de la informacin
Toda informacin impresa o almacenada en medios fsicos transportables
(cintas de backup, cds, etc.) que sean confidenciales o restringidas,

deben estar claramente etiquetadas como tal, con letras grandes que
sean legibles sin la necesidad de un lector especial.
Todo documento o contenedor de informacin debe ser etiquetado como
Restringida, Confidencial, de Uso interno o de Acceso General,
dependiendo de la clasificacin asignada.
Todo documento en formato digital o impreso, debe presentar una
etiqueta en la parte superior e inferior de cada pgina, con la clasificacin
correspondiente.
Todo documento clasificado como Confidencial o Restringido debe
contar con una cartula en la cual se muestre la clasificacin de la
informacin que contiene.
6.13.2 Copiado de la informacin
Reportes confidenciales y restringidos no deben ser copiados sin la
autorizacin del propietario de la informacin.
Reportes confidenciales pueden ser copiados slo para los individuos
autorizados a conocer su contenido. Los gerentes son los responsables
de determinar dicha necesidad, para cada persona a la cual le sea
distribuido dicho reporte.
Los reportes restringidos deben ser controlados por un solo custodio,
quin es responsable de registrar los individuos autorizados que soliciten
el documento.
El copiado de cualquier dato restringido o confidencial almacenado en un
medio magntico debe ser aprobado por el propietario y clasificado al
igual que el original.
6.13.3 Distribucin de la informacin
La informacin confidencial y restringida debe ser controlada cuando es
trasmitida por correo electrnico interno, externo o por courier. Si el

servicio de courier o correo externo es usado, se debe solicitar una

confirmacin de entrega al receptor.
Los reportes confidenciales y otros documentos sensibles deben usarse
en conjunto con sobres confidenciales y estos ltimos tambin ser
sellados. Materiales restringidos de alta sensibilidad deben enviarse con
un sobre etiquetado Solo a ser abierto por el destinatario. La entrega
personal es requisito para la informacin extremadamente sensible.
Los datos sensibles de la empresa que sean transportados a otra
instalacin deben ser transportados en contenedores apropiados.
Todo
usuario,
antes
de
transmitir
informacin
clasificada
como
Restringida o Confidencial, debe asegurarse que el destinatario de la

informacin est autorizado a recibir dicha informacin.
La
transmisin
de
informacin
clasificada
como
Restringida
Confidencial, transmitida desde o hacia el Banco a travs de redes

externas, debe realizarse utilizando un medio de transmisin seguro, es
recomendable el uso de tcnicas de encripcin para la informacin
transmitida.
6.13.4 Almacenamiento de la informacin
Los activos de informacin correspondiente a distintos niveles de
clasificacin, deben ser almacenados en distintos contenedores.
La informacin etiquetada como de uso interno debe ser guardada de
manera que sea inaccesible a personas ajenas a la empresa. La
informacin Confidencial o Restringida debe ser asegurada para que
est slo disponible a los individuos especficamente autorizados para
acceder a ella.
El ambiente donde se almacena la informacin clasificada como

Restringida, debe contar con adecuados controles de acceso y
asegurado cuando se encuentre sin vigilancia. El acceso debe ser

permitido solo al personal formalmente autorizado. Personal de limpieza

debe ingresar al ambiente acompaado por personal autorizado.
La informacin en formato digital clasificada como de acceso General,

puede ser almacenada en cualquier sistema del Banco. Sin embargo se
deben tomar las medidas necesarias para no mezclar informacin
General con informacin correspondiente a otra clasificacin.
Informacin en Formato digital, clasificada como Restringida, debe ser

encriptada con un mtodo aprobado por el rea de seguridad informtica,
cuando es almacenada en cualquier medio (disco duro, disquetes, cintas,
CDs, etc.).
Los
medios
de
almacenamiento,
incluyendo
discos
duros
de
computadoras, que albergan informacin clasificada como Restringida,

deben ser ubicados en ambientes cerrados diseados para el
almacenamiento de dicho tipo de informacin.
Cuando informacin clasificada como de uso Interno, Confidencial o
Restringida se guarde fuera del Banco, debe ser almacenada en
instalaciones que cuenten con adecuados controles de acceso.
El envo y recepcin de medios magnticos para ser almacenados en
instalaciones alternas debe ser autorizado por el personal responsable de
los mismos y registrado en bitcoras apropiadas.
6.13.5 Eliminacin de la informacin
La eliminacin de documentos y otras formas de informacin deben
asegurar la confidencialidad de la informacin de las unidades de
negocio.

Se debe borrar los datos de los medios magnticos, como cassettes,

disquetes, discos duros, DASD, que se dejen de usar en el Banco debido
a dao u obsolencia, antes de que estos sean eliminados.
En el caso de los equipos daados, la empresa de reparacin o

destruccin del equipo debe certificar que los datos hayan sido destruidos
o borrados.

Captulo VII
PLAN DE IMPLEMENTACIN DE ALTO NIVEL
Luego de la identificacin de riesgos amenazas y vulnerabilidades se pudo

determinar el conjunto de actividades ms importantes a ser realizadas por el
Banco, las cuales permitan alinear las medidas de seguridad existentes con las
exigidas por las Polticas de Seguridad elaboradas.
Estas actividades han sido agrupadas en un plan de implementacin, el cual

contiene los objetivos de cada actividad, el tiempo estimado de ejecucin y las
etapas a ser cubiertas en cada actividad identificada.
Las actividades a ser realizadas por el Banco son las siguientes:

-
Clasificacin de la Informacin
Seguridad de red y comunicaciones
Inventario de accesos a los sistemas
Adaptacin de contratos con proveedores
Campaa de concientizacin de usuarios
Verificacin y adaptacin de los sistemas del Banco
Estandarizacin de la configuracin del software base
Revisin y adaptacin de procedimientos complementarios.
Para cada actividad se ha elaborado una breve descripcin (objetivo), las

tareas a ser desarrolladas (etapas), la relacin de precedencia que presenta
con otras actividades y un tiempo estimado de duracin. El tiempo estimado
para el desarrollo de cada etapa debe ser revisado antes de iniciar la misma y
puede sufrir variaciones de acuerdo a dicha evaluacin final.

7.1
Clasificacin de Informacin
Dependencia
Ninguna
Tiempo estimado
16 22 semanas
Objetivo
Con el objetivo de proteger los activos de informacin

de manera adecuada, se debe realizar un proyecto
para la clasificacin de la informacin utilizada por las
distintas unidades de negocio, mediante la cual se
podrn definir los recursos apropiados y necesarios
para proteger los activos de informacin. El objetivo de
la clasificacin es priorizar la utilizacin de recursos
para aquella informacin que requiere de mayores
niveles de proteccin.
Los criterios a ser empleados para la clasificacin de
la informacin son los siguientes:
- Informacin Restringida (R): Informacin con
mayor grado de sensibilidad; el acceso a esta
informacin debe de ser autorizado caso por caso.
- Informacin Confidencial (C): Informacin
sensible que solo debe ser divulgada a aquellas
personas que la necesiten para el cumplimiento de
sus funciones.
- Informacin de Uso Interno (I): Datos generados
para facilitar las operaciones diarias; deben de ser
manejados de una manera discreta, pero no
requiere de medidas elaboradas de seguridad.
- Informacin General (G): Informacin que es
generada especficamente para su divulgacin al
pblico en general.

Etapas
Elaboracin de un inventario de activos de
informacin incluyendo informacin almacenada en

medios digitales e informacin impresa.
-
Definicin de responsables por activos identificados
Clasificacin de la informacin por parte de los

responsables definidos.
Consolidacin de los activos de informacin
clasificados.
Determinacin de las medidas de seguridad a ser
aplicados para cada activo clasificado.

- Implementacin de las medidas de seguridad
determinadas previamente.
7.2
Dependencia
Ninguna
Tiempo
11 17 semanas
estimado
Objetivo
Para
evitar
manipulacin
de
los
equipos
de
comunicaciones por personal no autorizado y garantizar

que la configuracin que poseen brinde mayor seguridad y
eficiencia a las comunicaciones, se requiere que los
equipos que soportan dicho servicio, se encuentren
adecuadamente configurados.
Etapas
A. Adaptacin de sistemas de comunicaciones a polticas

de seguridad. (Tiempo estimado: 3-5 semanas)
-
Elaboracin
de
un
inventario
de
equipos
de
comunicaciones (routers, switches, firewalls, etc)

Elaboracin de estndares de configuracin para los

equipos de comunicaciones (basarse en la poltica de
seguridad definida, documentacin de proveedores,
etc.)
Evaluacin de equipos identificados.
Adaptacin de los equipos a la poltica de seguridad.
B. Adaptacin a la arquitectura de red propuesta. (Tiempo

estimado: 6-8 semanas)
B.1. Creacin de la Extranet: Controlar mediante un

firewall la comunicacin entre la red del Banco y redes
externas como Banca Red y Reuters, para evitar
actividad no autorizada desde dichas redes hacia los
equipos de la red del Banco.
B.2. Implementar una red DMZ para evitar el ingreso

de conexiones desde Internet hacia la red interna de
datos. Adicionalmente implementar un sistema de
inspeccin de contenido con el propsito de monitorear
la informacin que es transmitida va correo electrnico
entre el Banco e Internet.
En la red DMZ se debe ubicar un servidor de
inspeccin de contenido, el cual trabajara de la
siguiente manera:
a) Ingreso de correo electrnico: El servidor de

inspeccin de contenido, recibir todos los correos
enviados desde Internet, revisar su contenido y

los enviar al servidor Lotus Notes, quin los

entregar a su destinatario final.
b) Salida de correo electrnico: El Servidor Lotus
Notes enviar el correo electrnico al servidor de
inspeccin
de
contenido,
quin
revisar
el
contenido del mensaje, para transmitirlo a travs de

Internet a su destino final.
Esta nueva red DMZ puede ser empleada para ubicar
nuevos equipos que brindarn servicios a travs de
Internet en el futuro tales como FTP, Web, etc.
B.3. Implementar
servicios
de
un
sistema
Internet
de
(SMTP,
Antivirus
FTP,
para
HTTP).
Implementar un gateway antivirus de servicios de

Internet,
travs
del
cual
pasarn
las
comunicaciones establecidas entre la red interna

del Banco e Internet. (duracin aproximada: 1
semana)
B.4. Implementar un sistema de Alta Disponibilidad de

firewalls
en
informacin
las
crtica
conexiones
y
se
donde
requiera
una
fluye
alta
disponibilidad de las comunicaciones. (duracin

aproximada: 2 semanas)
B.5. Implementar un sistema de monitoreo de Intrusos

para detectar los intentos de intrusin o ataque
desde redes externas hacia la red de datos del
Banco.
Asimismo
se
recomienda
la

implementacin del sistema en la red interna del

Banco donde se ubican servidores crticos para
detectar intentos de intrusin o ataque realizados
desde la red interna del Banco hacia los
servidores. (duracin aproximada: 2 semanas)
C.
Proyectos complementarios (tiempo estimado 2-4

semanas)
-
Evaluacin de seguridad de la red inalmbrica y

aplicacin de controles de ser necesarios.
7.3
Verificacin de la configuracin de:
Servidor Proxy, Surf Control
Firewall
Servidor de correo electrnico
Inventario de accesos a los sistemas
Dependencia
Ninguna
Tiempo
9 - 12 semanas
estimado
Objetivo
Con el propsito de obtener un control adecuado sobre el

acceso de los usuarios a los sistemas del Banco, se debe
realizar un inventario de todos los accesos que poseen ellos
sobre cada uno de los sistemas. Este inventario debe ser
actualizado al modificar el perfil de acceso de algn usuario
y ser utilizado para realizar revisiones peridicas de los
accesos otorgados en los sistemas.
Etapas
- Elaboracin de un inventario de las aplicaciones y

sistemas del Banco

- Elaboracin de un inventario de los perfiles de acceso
de cada sistema
- Verificacin de los perfiles definidos en los sistemas
para cada usuario
- Revisin y aprobacin de los accesos por parte de las
gerencias respectivas
- Depurar los perfiles accesos de los usuarios a los
sistemas.
- Mantenimiento peridico del inventario.
7.4
Dependencia
Ninguna
Tiempo
24 semanas (tiempo parcial)
estimado
Objetivo
Con el objetivo de asegurar el cumplimiento de las polticas

de seguridad del Banco en el servicio brindado por los
proveedores, es necesario realizar una revisin de los
mismos y su grado de cumplimiento respecto a las polticas
de seguridad definidas, de ser necesario dichos contratos
deben ser modificados para el cumplimiento de la poltica de
seguridad del Banco.
Etapas
- Elaboracin de clusulas estndar referidas a

seguridad de informacin, para ser incluidas en los
contratos con proveedores
- Elaboracin de un inventario de los contratos existentes
con proveedores
- Revisin de los contratos y analizar el grado de

cumplimiento de la poltica de seguridad.

- Negociar con los proveedores para la inclusin de las
clusulas en los contratos.
7.5
Campaa de concientizacin de usuarios.
Dependencia
Ninguna
Tiempo
estimado
Objetivo
5-7 semanas
Etapas
Definicin del mensaje a transmitir y material a ser

empleado para los distintos grupos de usuarios, entre ellos:
Personal en general: informacin general sobre seguridad,
polticas y estndares incluyendo proteccin de virus,
contraseas, seguridad fsica, sanciones, correo electrnico
y uso de Internet.
Personal de Sistemas: Polticas de seguridad, estndares y
controles especficos para la tecnologa y aplicaciones
utilizadas.
Gerencias y jefaturas: Monitoreo
de
seguridad,
responsabilidades de supervisin, polticas de sancin.
Identificacin del personal de cada departamento que se
encargar de actualizar a su propio grupo en temas de
seguridad.
Establecimiento de un cronograma de capacitacin, el cual
debe incluir, empleados nuevos, requerimientos anuales de
capacitacin, actualizaciones.
Desarrollo el cronograma de presentaciones.
- Realizar la campaa segn el cronograma elaborado,
asegurndose de mantener un registro actualizado de la
capacitacin de cada usuario.
Con el objetivo de lograr un compromiso y concientizacin

de los usuarios en temas referentes a seguridad de
informacin del Banco, se debe realizar una campaa de
concientizacin del personal la cual est orientada a todo el
personal como conceptos bsicos de seguridad y a grupos
especficos
con
temas
correspondientes
a
sus
responsabilidades en la organizacin.

7.6
Verificacin y adaptacin de los sistemas del Banco.
Dependencia
Actividad A.
Tiempo
20 30 semanas
estimado
bjetivo
Con el objetivo de asegurar el cumplimiento de la poltica de

seguridad en los controles existentes, se debe verificar el
grado de cumplimiento de las polticas de seguridad en los
sistemas del Banco y adaptarlos en caso de verificar su
incumplimiento.
Etapas
- Elaboracin de un inventario de las aplicaciones

existentes, incluyendo los servicios brindados a clientes
como banca electrnica y banca telefnica.
- Elaboracin de un resumen de los requisitos que deben
cumplir las aplicaciones segn la poltica y estndares
de seguridad.
- Evaluacin del grado de cumplimiento de la poltica de
seguridad para cada una de las aplicaciones existentes
y la viabilidad de su modificacin para cumplir con la
poltica de seguridad, elaborando la relacin de cambios
que deben ser realizados en cada aplicacin.
- Adaptacin de los sistemas a la poltica de seguridad
(diseo, desarrollo, pruebas, actualizacin de la
documentacin, etc.)
- Estandarizacin de controles para contraseas de los
sistemas.
- Los sistemas no requerirn modificaciones si su
adaptacin no es viable.
- Pase a produccin de sistemas adaptados.

7.7
Estandarizacin de la configuracin del software base
Dependencia
Ninguna
Tiempo
12 semanas
estimado
Objetivo
Con el objetivo de proteger adecuadamente la informacin

existente en servidores y computadores personales, se debe
realizar una adecuada configuracin de los parmetros de
seguridad del software base que soporta las aplicaciones
del Banco.
Etapas
- Finalizacin el proceso de migracin de computadores

personales a Windows XP o Windows 2000
Professional.
- Elaboracin de un inventario de sistema operativo de
servidores y computadores personales.
- Elaboracin de estndares de configuracin para
Windows XP Professional, Windows 2000 Professional,
Windows NT Server, SQL Server y OS/400.
- Elaboracin de un inventario de bases de datos
existentes.
- Evaluacin de los de sistemas identificados.
- Adaptacin del software base a la poltica de seguridad.
7.8
Revisin, y adaptacin de procedimientos complementarios
Dependencia
Actividad B.
Tiempo
8 semanas
estimado

Objetivo
Adaptar los procedimientos y controles complementarios del

Banco de acuerdo a lo estipulado en las polticas de
seguridad.
Etapas
- Revisin y adaptacin de controles y estndares para

desarrollo de sistemas
- Elaboracin de procedimientos de monitoreo,
incluyendo procedimientos para verificacin peridica
de carpetas compartidas, generacin de copias de
respaldo de informacin de usuarios, aplicacin de
controles de seguridad para informacin en
computadores porttiles, etc.
- Elaboracin de procedimientos de monitoreo y reporte
sobre la administracin de los sistemas y herramientas
de seguridad, entre ellas: antivirus, servidores de
seguridad del contenido, servidor Proxy, servidor
firewall, sistema de deteccin de intrusos.
- Establecimiento de controles para la informacin
transmitida a clientes y proveedores.
- Revisin y establecimiento de controles para el
almacenamiento fsico de informacin.
- Revisin y establecimiento de controles para personal
externo que realiza labores utilizando activos de
informacin del Banco para el Banco (Soporte Tcnico,
Rehder, proveedores, etc.)
7.9
Cronograma tentativo de implementacin
Los proyectos antes mencionados deben ser liderados por el rea de seguridad informtica y sus responsables deben
ser definidos individualmente para cada uno de ellos. A continuacin se presenta un cronograma sugerido para la
realizacin de las actividades correspondientes al presente plan de implementacin:
ACTIVIDAD
Mes Mes
1
2
Mes Mes Mes Mes

3
4
5
6
Mes Mes Mes Mes

7
8
9
10
Clasificacin de Informacin
Inventario de Accesos a los sistemas
Campaa de concientizacin de usuarios.
Verificacin y adaptacin de los sistemas del
Banco.
Estandarizacin de la configuracin del software
base
Revisin y adaptacin de procedimientos
complementarios
Nota: La duracin de los proyectos est sujeta a variaciones dependientes a la situacin existente y el anlisis realizado
previo a cada actividad

CONCLUSIONES Y RECOMENDACIONES
Dentro de las principales conclusiones y recomendaciones ms importantes

tenemos:
Para nadie es un secreto la importancia de implementar un programa

completo de seguridad de la informacin. Sin embargo, crear un
programa de seguridad con componentes "bloqueadores de cookies"
rara vez produce resultados efectivos. Lo ms efectivo es utilizar una
metodologa comprobada que disee el programa de seguridad con
base en las necesidades de su empresa, recuerde cada empresa es
diferente.
La clave para desarrollar con xito un programa efectivo de seguridad

de la informacin consiste en recordar que las polticas, estndares y
procedimientos de seguridad de la informacin son un grupo de
documentos interrelacionados. La relacin de los documentos es lo que
dificulta su desarrollo, aunque es muy poderosa cuando se pone en
prctica. Muchas organizaciones ignoran esta interrelacin en un
esfuerzo por simplificar el proceso de desarrollo. Sin embargo, estas
mismas relaciones son las que permiten que las organizaciones exijan y
cumplan los requerimientos de seguridad.
Por qu las organizaciones necesitan una Poltica de Seguridad

de
la
Informacin?
Por lo general se argumenta que las organizaciones requieren una

Poltica de Seguridad de la Informacin para cumplir con sus
"requerimientos de seguridad de la informacin". Ciertamente, muchas
organizaciones no tienen requerimientos de seguridad de la informacin

como tal, sino que tienen necesidades empresariales que deben

desarrollar e implementar. Las empresas, especialmente las compaas
cotizadas en bolsa y las organizaciones gubernamentales, estn sujetas
a las reglamentaciones operacionales de los gobiernos estatales y
locales, as como de los organismos que reglamentan la industria. En el
caso de las compaas cotizadas en bolsa, los funcionarios corporativos
deben ser diligentes en sus operaciones y tener responsabilidad
fiduciaria ante los accionistas - estas estipulaciones jurdicas requieren
efectivamente que la organizacin proteja la informacin que utiliza, a la
que tiene acceso o que crea para que la compaa opere con eficiencia
y rentabilidad. Entonces surge la necesidad de proteger la informacin
la necesidad no es acadmica, ni es creada por los "genios tcnicos"
que buscan justificar su existencia en la organizacin.
La seguridad de la informacin siempre requiere inversin

adicional?
Las empresas podran o no necesitar ms recursos, esto depende del
enfoque adoptado por la organizacin para el desarrollo de las polticas.
Una Poltica de Seguridad de la Informacin generalmente exige que
todos en la organizacin protejan la informacin para que la empresa
pueda cumplir con sus responsabilidades reglamentarias, jurdicas y
fiduciarias. Se usa mal y con frecuencia las palabras "generalmente" y
"proteger" para justificar mayor inversin cuando no es necesaria. Esto
puede parecer contrario a la intuicin, pero la inversin adicional para
proteger la informacin no siempre garantiza el xito. Pero si es
recomendable tener un presupuesto asignado para cumplir con estos
fines. Para evaluar las necesidades de inversin, debe consultar estas
"reglas" en orden secuencial:

Regla N 1: Saber qu informacin tiene y donde se encuentra.

Regla N 2: Saber el valor de la informacin que se tiene y la dificultad
de volverla a crear si se daa o pierde.
Regla N 3: Saber quines estn autorizados para acceder a la
informacin y que pueden hacer con ella.
Regla N 4: Saber la velocidad con que puede acceder a la informacin
si no est disponible por alguna razn (por prdida, modificacin no
autorizada, etc.)
Estas cuatro reglas son aparentemente simples. Sin embargo, las

respuestas permitirn el diseo e implementacin de un programa de
proteccin a la informacin puesto que las respuestas pueden ser muy
difciles. No toda la informacin tiene el mismo valor y por lo tanto no
requiere el mismo nivel de proteccin (con el costo que implica).
Es clave entender por qu se necesita proteger la informacin,

desde un punto de vista comercial es clave determinar la necesidad de
tener una Poltica de Seguridad de la Informacin. Para ello, se
necesitara saber cul es la informacin y en donde se encuentra para
que pueda proceder a definir los controles que se necesitan para
protegerla.
Caractersticas principales de una Poltica de Seguridad de la

Informacin:
Debe estar escrita en lenguaje simple, pero jurdicamente viable
Debe basarse en las razones que tiene la empresa para proteger
la informacin
Debe ser consistente con las dems polticas organizacionales

Debe hacerse cumplir - se exige y mide el cumplimiento

Debe tener en cuenta los aportes hechos por las personas
afectadas por la poltica
Debe definir el papel y responsabilidades de las personas,
departamentos y organizaciones para los que aplica la poltica
No debe violar las polticas locales, estatales
Debe definir las consecuencias en caso de incumplimiento de la
poltica
Debe estar respaldada por documentos "palpables", como los
estndares y procedimientos para la seguridad de la informacin,
que se adapten a los cambios en las operaciones de las
empresas, las necesidades, los requerimientos jurdicos y los
cambios tecnolgicos.
Debe ser aprobada y firmada por el gerente general de la
organizacin. No obtener este compromiso significa que el
cumplimiento de la poltica es opcional - situacin que har que
fracase las polticas de proteccin de la informacin.
Redactar una poltica para la seguridad de la informacin puede ser

sencillo comparado con su implementacin y viabilidad. La poltica
organizacional y las presiones por lo general aseguran que habr
dificultad y consumo de tiempo para crear y adoptar una Poltica de
Seguridad de la Informacin, a menos que un "lder fuerte" dirija el
programa de polticas. Esta persona generalmente es un "poltico", una
persona influyente, un facilitador y sobretodo una persona que sepa

escuchar, para que pueda articular y aclarar las inquietudes y temores

de las personas respecto a la introduccin de una nueva poltica.

ANEXOS
A. DISEO DE ARQUITECTURA DE SEGURIDAD DE RED
ARQUITECTURA DE SEGURIDAD DE RED

Con el propsito de incrementar la seguridad de la plataforma tecnolgica del
Banco, se realiz un anlisis de su actual arquitectura de red principalmente en
el control de conexiones con redes externas. Producto de dicho anlisis se
diseo una nueva arquitectura de red, la cual posee controles de acceso para
las conexiones y la ubicacin recomendada para los detectores de intrusos a
ser implementados por el Banco.
A continuacin se muestra el diagrama con la arquitectura de red propuesta.
Fig 1: Arquitectura de red propuesta.

Para lograr implementar esta arquitectura de red, se deben realizar un conjunto

de cambios los cuales se detallan a continuacin:
1. Creacin de la Extranet: Controlar mediante un firewall la comunicacin

entre la red del Banco y redes externas como Banca Red y Reuters,
para evitar actividad no autorizada desde dichas redes hacia los equipos
de la red del Banco.
2. Implementar una red DMZ para evitar el ingreso de conexiones desde

Internet hacia la red interna de datos. Adicionalmente implementar un
sistema de inspeccin de contenido con el propsito de monitorear la
informacin que es transmitida va correo electrnico entre el Banco e
Internet.
En la red DMZ se debe ubicar un servidor de inspeccin de contenido, el
cual trabajara de la siguiente manera:
a. Ingreso de correo electrnico: El servidor de inspeccin de
contenido, recibir todos los correos enviados desde Internet,
revisar su contenido y los enviar al servidor Lotus Notes,
quin los entregar a su destinatario final.
b. Salida de correo electrnico: El Servidor Lotus Notes enviar
el correo electrnico al servidor de inspeccin de contenido,
quin revisar el contenido del mensaje, para transmitirlo a
travs de Internet a su destino final.
Esta nueva red DMZ puede ser empleada para ubicar nuevos equipos
que brindarn servicios a travs de Internet en el futuro tales como FTP,
Web, etc.
3. Para controlar el ingreso de virus informticos desde Internet, as como

para prevenir el envo de mensajes electrnicos conteniendo virus
informtico, se recomienda implementar un primer nivel de proteccin

antivirus mediante un sistema de inspeccin de servicios de Internet.

Este sistema inspeccionar la informacin recibida desde Internet, as
como la informacin enviada hacia otras entidades va Internet Este
sistema debe inspeccionar la navegacin de los usuarios (HTTP HyperText Transfer Protocol), la transferencia de archivos (FTP File
Transfer Protocol) y el intercambio de corroe electrnico (SMTP
Simple mail Transfer Protocol).
4. Luego de implementados los cambios previamente detallados, el

Firewall se torna en un punto crtico para las comunicaciones del Banco,
por lo cual se requiere implementar un sistema de Alta Disponibilidad de
Firewalls, el cual permita garantizar que el canal de comunicacin
permanezca disponible en caso de falla de uno de los Firewalls.
5. Con el propsito de prevenir la realizacin de actividad no autorizada

desde redes externas hacia la red del Banco y desde la red interna del
Banco hacia los servidores y hacia Internet, se debe implementar un
sistema de deteccin de intrusos que inspeccione el trfico que circula
por segmentos de red estratgicos tales como:
-
Internet, para detectar la actividad sospechosa proveniente desde

Internet.
Red DMZ, para detectar la actividad dirigida contra los servidores

pblicos que logr atravesar el Firewall.
Extranet, para detectar actividad realizada desde las redes externas

con las que se posee conexin.
Puntos estratgicos de la red interna, los cuales permitan detectar la

actividad realizada contra los equipos crticos del Banco.

B. CIRCULAR N G-105-2002 PUBLICADA POR LA SUPERINTENDENCIA

DE BANCA Y SEGUROS (SBS) SOBRE RIESGOS DE TECNOLOGA DE
INFORMACIN
Lima, 22 de febrero de 2002
CIRCULAR N G - 105 - 2002

----------------------------------------------Ref.: Riesgos de tecnologa de
informacin
----------------------------------------------Seor
Gerente General
Srvase tomar nota que, en uso de las atribuciones conferidas por el numeral 7 del
artculo 349 de la Ley General del Sistema Financiero y del Sistema de Seguros y
Orgnica de la Superintendencia de Banca y Seguros - Ley N 26702 y sus
modificatorias, en adelante Ley General, y por la Resolucin SBS N 1028-2001
del 27 de diciembre de 2001, con la finalidad de establecer criterios mnimos para
la identificacin y administracin de los riesgos asociados a la tecnologa de
informacin, a que se refiere el artculo 10 del Reglamento para la Administracin
de los Riesgos de Operacin, aprobado mediante la Resolucin SBS N 006-2002
del 4 de enero de 2002, esta Superintendencia ha considerado conveniente
establecer las siguientes disposiciones:
Alcance
Artculo 1.- Las disposiciones de la presente norma son aplicables a las empresas
sealadas en los artculos 16 y 17 de la Ley General, al Banco Agropecuario, a

la Corporacin Financiera de Desarrollo S.A. (COFIDE), al Banco de la Nacin, a

la Fundacin Fondo de Garanta para Prstamos a la Pequea Industria (FOGAPI)
y a las derramas y cajas de beneficios que se encuentren bajo la supervisin de
esta Superintendencia, en adelante empresas.
Definiciones
Artculo 2 .- Para efectos de la presente norma, sern de aplicacin las siguientes
definiciones:
a. Informacin: Cualquier forma de registro electrnico, ptico, magntico o en
otros medios similares, susceptible de ser procesada, distribuida y
almacenada.
b. Ley General: Ley N 26702, Ley General del Sistema Financiero y del
Sistema de Seguros y Orgnica de la Superintendencia de Banca y
Seguros.
c. Proceso crtico: Proceso considerado indispensable para la continuidad de
las operaciones y servicios de la empresa, y cuya falta o ejecucin
deficiente puede tener un impacto financiero significativo para la empresa.
d. Reglamento: Reglamento para la Administracin de los Riesgos de
Operacin aprobado por Resolucin SBS N 006-2002 del 4 de enero de
2002.
e. Riesgos de operacin: Entindase por riesgos de operacin a la posibilidad
de ocurrencia de prdidas financieras por deficiencias o fallas en los
procesos internos, en la tecnologa de informacin, en las personas o por
ocurrencia de eventos externos adversos.
f. Riesgos de tecnologa de informacin: Los riesgos de operacin asociados
a los sistemas informticos y a la tecnologa relacionada a dichos sistemas,

que pueden afectar el desarrollo de las operaciones y servicios que realiza

la empresa al atentar contra la confidencialidad, integridad y disponibilidad
de la informacin, entre otros criterios.
g. Seguridad de la informacin: Caracterstica de la informacin que se logra
mediante la adecuada combinacin de polticas, procedimientos, estructura
organizacional y herramientas informticas especializadas a efectos que
dicha informacin cumpla los criterios de confidencialidad, integridad y
disponibilidad.
h. Objetivo de control: Una declaracin del propsito o resultado deseado
mediante la implementacin de controles apropiados en una actividad de
tecnologa de informacin particular.
Responsabilidad de la empresa
Artculo 3.- Las empresas deben establecer e implementar las polticas y
procedimientos necesarios para administrar de manera adecuada y prudente los
riesgos de tecnologa de informacin, incidiendo en los procesos crticos
asociados a dicho riesgo, considerando las disposiciones contenidas en la
presente norma, en el Reglamento, y en el Reglamento del Sistema de Control
Interno aprobado mediante la Resolucin SBS N 1040-99 del 26 de noviembre de
1999.
La administracin de dicho riesgo debe permitir el adecuado cumplimiento de los
siguientes criterios de control interno:
i.
Eficacia. La informacin debe ser relevante y pertinente para los objetivos

de negocio y ser entregada en una forma adecuada y oportuna conforme
las necesidades de los diferentes niveles de decisin y operacin de la
empresa.

ii.
Eficiencia. La informacin debe ser producida y entregada de forma

productiva y econmica.
iii.
Confidencialidad. La informacin debe ser accesible slo a aquellos que

se encuentren debidamente autorizados.
iv.
Integridad. La informacin debe ser completa, exacta y vlida.
v.
Disponibilidad. La informacin debe estar disponible en forma organizada

para los usuarios autorizados cuando sea requerida.
vi.
Cumplimiento normativo. La informacin debe cumplir con los criterios y

estndares internos de la empresa, las regulaciones definidas externamente
por el marco legal aplicable y las correspondientes entidades reguladoras,
as como los contenidos de los contratos pertinentes.
Estructura organizacional y procedimientos

Artculo 4.- Las empresas deben definir y mantener una estructura organizacional
y procedimientos que les permita administrar adecuadamente los riesgos
asociados a la tecnologa de informacin, consistente con su tamao y naturaleza,
as como con la complejidad de las operaciones que realizan.
Administracin de la seguridad de informacin
Artculo 5.- Las empresas debern establecer, mantener y documentar un sistema
de administracin de la seguridad de la informacin, en adelante "Plan de
Seguridad de la informacin - (PSI)". El PSI debe incluir los activos de tecnologa
que deben ser protegidos, la metodologa usada, los objetivos de control y
controles, as como el grado de seguridad requerido.
Las actividades mnimas que deben desarrollarse para implementar el PSI, son las
siguientes:

a. Definicin de una poltica de seguridad.

b. Evaluacin de riesgos de seguridad a los que est expuesta la informacin
c. Seleccin de controles y objetivos de control para reducir, eliminar o evitar
los riesgos identificados, indicando las razones de su inclusin o exclusin.
d. Plan de implementacin de los controles y procedimientos de revisin
peridicos.
e. Mantenimiento
de
registros
adecuados
que
permitan
verificar
el
cumplimiento de las normas, estndares, polticas, procedimientos y otros

definidos por la empresa, as como mantener pistas adecuadas de
auditoria.
Las empresas bancarias y las empresas de operaciones mltiples que accedan al

mdulo 3 de operaciones a que se refiere el artculo 290 de la Ley General
debern contar con una funcin de seguridad a dedicacin exclusiva.
Subcontratacin (outsourcing)
Artculo 6.- La empresa es responsable y debe verificar que se mantengan las
caractersticas de seguridad de la informacin contempladas en la presente
norma, incluso cuando ciertas funciones o procesos crticos puedan ser objeto de
una subcontratacin. Para ello se tendr en cuenta lo dispuesto en la Primera
Disposicin Final y Transitoria del Reglamento. Asimismo, la empresa debe
asegurarse y verificar que el proveedor del servicio sea capaz de aislar el
procesamiento y la informacin objeto de la subcontratacin, en todo momento y
bajo cualquier circunstancia.
En caso que las empresas deseen realizar su procesamiento principal en el

exterior, requerirn de la autorizacin previa y expresa de esta Superintendencia.

Las empresas que a la fecha de vigencia de la presente norma se encontrasen en

la situacin antes sealada, debern solicitar la autorizacin correspondiente. Para
la evaluacin de estas autorizaciones, las empresas debern presentar
documentacin que sustente lo siguiente:
a) La forma en que la empresa asegurar el cumplimiento de la presente
circular y la Primera Disposicin Final y Transitoria del Reglamento.
b) La empresa, as como los representantes de quienes brindarn el servicio
de procesamiento en el exterior, debern asegurar adecuado acceso a la
informacin con fines de supervisin, en tiempos razonables y a solo
requerimiento.
Aspectos de la seguridad de informacin
Artculo 7.- Para la administracin de la seguridad de la informacin, las
empresas debern tomar en consideracin los siguientes aspectos:
7.1 Seguridad lgica

Las empresas deben definir una poltica para el control de accesos, que incluya los
criterios para la concesin y administracin de los accesos a los sistemas de
informacin, redes y sistemas operativos, as como los derechos y atributos que se
confieren.
Entre otros aspectos, debe contemplarse lo siguiente:
a) Procedimientos formales para la concesin, administracin de derechos y
perfiles, as como la revocacin de usuarios. Revisiones peridicas deben
efectuarse sobre los derechos concedidos a los usuarios.
b) Los usuarios deben contar con una identificacin para su uso personal, de
tal manera que las posibles responsabilidades puedan ser seguidas e
identificadas.
c) Controles especiales sobre utilidades del sistema y herramientas de
auditoria.

d) Seguimiento sobre el acceso y uso de los sistemas y otras instalaciones

fsicas, para detectar actividades no autorizadas.
e) Usuarios remotos y computacin mvil.
7.2 Seguridad de personal

Las empresas deben definir procedimientos para reducir los riesgos asociados al
error humano , robo, fraude o mal uso de activos, vinculados al riesgo de
tecnologa de informacin. Al establecer estos procedimientos, deber tomarse en
consideracin, entre otros aspectos, la definicin de roles y responsabilidades
establecidos sobre la seguridad de informacin, verificacin de antecedentes,
polticas de rotacin y vacaciones, y entrenamiento.
7.3 Seguridad fsica y ambiental

Las empresas deben definir controles fsicos al acceso, dao o interceptacin de
informacin. El alcance incluir las instalaciones fsicas, reas de trabajo,
equipamiento, cableado, entre otros bienes fsicos susceptibles a riesgos de
seguridad.
Se definirn medidas adicionales para las reas de trabajo con necesidades
especiales de seguridad, como los centros de procesamiento, entre otras zonas en
que se maneje informacin que requiera de alto nivel de proteccin.
7.4 Clasificacin de seguridad

Las empresas deben realizar un inventario peridico de activos asociados a la
tecnologa de informacin que tenga por objetivo proveer la base para una
posterior clasificacin de seguridad de dichos activos. Esta clasificacin debe
indicar el nivel de riesgo existente para la empresa en caso de falla sobre la
seguridad, as como las medidas apropiadas de control que deben asociarse a las
clasificaciones.

Administracin de las operaciones y comunicaciones

Artculo 8.- Las empresas deben establecer medidas de administracin de las
operaciones y comunicaciones que entre otros aspectos contendrn lo siguiente:
-
Control sobre los cambios en el ambiente operativo, que incluye cambios en

los sistemas de informacin, las instalaciones de procesamiento y los
procedimientos.
- Control sobre los cambios del ambiente de desarrollo al de produccin.
- Separacin de funciones para reducir el riesgo de error o fraude.
-
Separacin
del
ambiente
de
produccin
el
de
desarrollo.
- Controles preventivos y de deteccin sobre el uso de software de

procedencia dudosa, virus y otros similares.
-
Seguridad sobre las redes, medios de almacenamiento y documentacin de

sistemas.
- Seguridad sobre correo electrnico.
Seguridad sobre banca electrnica.
Desarrollo y mantenimiento de sistemas informticos - Requerimientos de

seguridad
Artculo 9.- Para la administracin de la seguridad en el desarrollo y
mantenimiento de sistemas informticos, se debe tomar en cuenta, entre otros, los
siguientes criterios:
a) Incluir en el anlisis de requerimientos para nuevos sistemas o mejoras a
los sistemas actuales, controles sobre el ingreso de informacin, el
procesamiento y la informacin de salida.
b) Aplicar tcnicas de encriptacin sobre la informacin crtica que debe ser
protegida.
c) Definir controles sobre la implementacin de aplicaciones antes del ingreso
a produccin.
d) Controlar el acceso a las libreras de programas fuente.

e) Mantener un estricto y formal control de cambios, que ser debidamente

apoyado por sistemas informticos en el caso de ambientes complejos o
con alto nmero de cambios.
Procedimientos de respaldo
Artculo 10.- Las empresas deben establecer procedimientos de respaldo
regulares y peridicamente validados. Estos procedimientos deben incluir las
medidas necesarias para asegurar que la informacin esencial pueda ser
recuperada en caso de falla en los medios o luego de un desastre. Estas medidas
sern coherentes con lo requerido en el Plan de Continuidad.
La empresa debe conservar la informacin de respaldo y los procedimientos de
restauracin en una ubicacin remota, a suficiente distancia para no verse
comprometida ante un dao en el centro principal de procesamiento.
Planeamiento para la continuidad de negocios
Artculo 11.- Las empresas, bajo responsabilidad de la Gerencia y el Directorio,
deben desarrollar y mantener un "Plan de Continuidad de Negocios" (PCN), que
tendr como objetivo asegurar un nivel aceptable de operatividad de los procesos
crticos, ante fallas mayores internas o externas.
Criterios para el diseo e implementacin del Plan de Continuidad de
Negocios
Artculo 12.- Para el desarrollo del PCN se debe realizar previamente una
evaluacin de riesgos asociados a la seguridad de la informacin. Culminada la
evaluacin, se desarrollarn sub-planes especficos para mantener o recuperar los
procesos crticos de negocios ante fallas en sus activos, causadas por eventos
internos (virus, errores no esperados en la implementacin, otros), o externos (falla
en las comunicaciones o energa, incendio, terremoto, proveedores, otros).

Prueba del Plan de Continuidad de Negocios

Artculo 13.- La prueba del PCN es una herramienta de la direccin para controlar
los riesgos sobre la continuidad de operacin y sobre la disponibilidad de la
informacin, por lo que la secuencia, frecuencia y profundidad de la prueba del
PCN, deber responder a la evaluacin formal y prudente que sobre dicho riesgo
realice cada empresa.
En todos los casos, mediante una nica prueba o una secuencia de ellas, segn lo
considere adecuado cada empresa de acuerdo a su evaluacin de riesgos, los
principales aspectos del PCN debern ser probados cuando menos cada dos
aos.
Anualmente, dentro del primer mes del ejercicio, se enviar a la Superintendencia
el programa de pruebas correspondiente, en que se indicar las actividades a
realizar durante el ciclo de 2 aos y una descripcin de los objetivos a alcanzar en
el ao que se inicia.
Cumplimiento formativo
Artculo 14.- La empresa deber asegurar que los requerimientos legales,
contractuales, o de regulacin sean cumplidos, y cuando corresponda,
incorporados en la lgica interna de las aplicaciones informticas.
Artculo
15
.-
Las
empresas
deben
adoptar
medidas
que
aseguren
razonablemente la privacidad de la informacin que reciben de sus clientes y

usuarios de servicios, conforme la normatividad vigente sobre la materia.
Auditoria Interna y Externa
Artculo 16.- La Unidad de Auditoria Interna deber incorporar en su Plan Anual
de Trabajo la evaluacin del cumplimiento de lo dispuesto en la presente norma.
Asimismo, las Sociedades de Auditoria Externa debern incluir en su informe

sobre el sistema de control interno comentarios dirigidos a indicar si la entidad

cuenta con polticas y procedimientos para la administracin de los riesgos de
tecnologa de informacin, considerando asimismo, el cumplimiento de lo
dispuesto en la presente norma.
Auditoria de sistemas
Artculo 17.- Las empresas bancarias y aquellas empresas autorizadas a operar
en el Mdulo 3 conforme lo sealado en el artculo 290 de la Ley General,
debern contar con un servicio permanente de auditoria de sistemas, que
colaborar con la Auditoria interna en la verificacin del cumplimiento de los
criterios de control interno para las tecnologas de informacin, as como en el
desarrollo del Plan de Auditoria.
El citado servicio de auditoria de sistemas tomar en cuenta, cuando parte del

procesamiento u otras funciones sean realizadas por terceros, que es necesario
conducir su revisin con los mismos estndares exigidos a la empresa, por lo que
tomar en cuenta las disposiciones indicadas en la Primera Disposicin Final y
Transitoria del Reglamento.
Las empresas autorizadas para operar en otros mdulos, para la verificacin del
cumplimiento antes sealado, debern asegurar una combinacin apropiada de
auditoria interna y/o externa, compatible con el nivel de complejidad y perfil de
riesgo de la empresa. La Superintendencia dispondr un tratamiento similar a las
empresas pertenecientes al mdulo 3, cuando a su criterio la complejidad de sus
sistemas informticos y su perfil de riesgo as lo amerite.
Informacin a la Superintendencia
Artculo 18.- El informe anual que las empresas deben presentar a la
Superintendencia, segn lo dispuesto en el Artculo 13 del Reglamento, deber

incluir los riesgos de operacin asociados a la tecnologa de informacin, como

parte integral de dicha evaluacin, para lo cual se sujetar a lo dispuesto en dicho
Reglamento y a lo establecido en la presente norma.
Sanciones
Artculo 19.- En caso de incumplimiento de las disposiciones contenidas en la
presente norma, la Superintendencia aplicar las sanciones correspondientes de
conformidad con lo establecido en el Reglamento de Sanciones.
Plan de adecuacin
Artculo 20.- En el Plan de Adecuacin sealado en el segundo prrafo de la
Cuarta Disposicin Final y Transitoria del Reglamento, las empresas debern
incluir un sub-plan para la adecuacin a las disposiciones contenidas en la
presente norma.
Plazo de adecuacin
Artculo 21.- Las empresas contarn con un plazo de adecuacin a las
disposiciones de la presente norma que vence el 30 de junio de 2003
Atentamente,
SOCORRO HEYSEN ZEGARRA

Superintendente de Banca y Seguros (e)

C. DETALLE: DIAGNOSTICO DE LA SITUACION ACTUAL DE LA

ADMINISTRACIN DE LOS RIESGOS DE TECNOLOGIA DE LA
INFORMACION
La siguiente matriz muestra puntos especficos de la situacin actual en cuanto

a la administracin de seguridad y los compara contra los requerimientos de la
Circular G-105-2002 de la Superintendencia, contempla los siguientes
aspectos:
1.
Estructura de la organizacin de seguridad de la informacin

1.1 Roles y responsabilidades
2. Plan de seguridad de la informacin

2.1 Polticas, estndares y procedimientos de seguridad
2.2 Seguridad lgica
2.3 Seguridad de personal
2.4 Seguridad fsica y ambiental
2.5 Clasificacin de seguridad
3. Administracin de las operaciones y comunicaciones.
4. Desarrollo y mantenimiento de sistemas informticos.
5. Procedimientos de respaldo.
6. Subcontratacin (Relacin y status de los contratos con terceros en
temas crticos)
7. Cumplimiento normativo
8. Privacidad de la informacin
9. Auditoria interna y externa
El detalle de la evaluacin de las reas mencionadas se muestra en una matriz

cuyo contenido es el siguiente:

- Situacin Actual: Muestra un resumen de la situacin encontrada en el

Banco a partir de la informacin relevada durante las entrevistas y de los
documentos entregados.
- Mejores Practicas: Muestra un resumen de las mejores prcticas en el

sector y los requerimientos mencionadas en la Circular G105-2002 de la
SBS uno de los motivos del presente trabajo.
- Anlisis de Brecha: Muestra de manera grfica la brecha existente entre la

situacin actual y los requerimientos de la SBS y las mejores prcticas del
sector.
Anlisis
Situacin Actual
SBS, Mejores Prcticas
De
Brecha
1 ESTRUCTURA ORGANIZACIONAL PARA LA ADMINISTRACIN DE RIESGOS DE T ECNOLOGA D E INFORMACIN

1.
El Banco cuenta con las siguientes unidades:
Se
debera
contemplar
los
Divisin de Riesgo: rgano dependiente de la
Definicin y mantenimiento de
Gerencia General, encargado de medir y controlar
una estructura organizacional
la calidad y capacidad de endeudamiento de los
que
clientes, con el objeto de mantener adecuados
adecuadamente
niveles de riesgo crediticio, tanto para aquellos
asociados a la tecnologa de
que se encuentren en evaluacin, como aquellos
informacin.
que ya han sido utilizados y se encuentran en

pleno proceso de cumplimiento de reembolsos.
Asimismo,
los
riesgos
departamento
Tecnolgicos
de
cargo
Riesgos
de
la
Operativos
Srta.
Patricia
administrar
los
riesgos
La unidad de riesgo deber

contar con un responsable de
denominados
la administracin del riesgo de
genricamente Riesgos de Mercado. Cuenta con

un
permita
TI.
La
responsabilidad
de
la
seguridad de la Informacin
Pacheco.
debera ser ejercida de forma

exclusiva.
Area de Seguridad: rgano encargado de velar

por la seguridad de las instalaciones del Banco,
as como del personal y Clientes que se
El Departamento de Riesgos
Operativos
Tecnolgicos

Anlisis
Situacin Actual
De
Brecha
encuentran y transitan en ellas.
debera
contar
con
estructura
acorde
Area de Seguridad Informtica: Enfocada a los
riesgos
de
aspectos de accesos a los aplicativos y sistemas.
evaluados para Banco y definir
rea que originalmente formo parte de Soporte
indicadores
Tcnico (Agosto 2001). No considera en sus
monitorear los mismos.
funciones las referentes a seguridad de la

plataforma y de la informacin.
Auditoria
de
Sistemas:
Entre
otras,
sus
Efectuar
peridicas
de
la
tecnologa
que
ayuden
Tecnolgicos
debera
definir
los
mencionados
indicadores
en
conjunto
evaluaciones
los
El Departamento de Riesgos
Operativos
funciones son las de:
con
una
con
el
rea
de
sistemas del Banco.
capacidad y apropiada utilizacin de los

recursos de cmputo.
Verificar el cumplimiento de las normas y

procedimientos referidos a las reas de
Desarrollo
de
Sistemas
Soporte
Tecnolgico, participando junto con estas

instancias y los usuarios directos durante el
ciclo de desarrollo de sistemas para la
implantacin de adecuados controles internos
y pistas de auditoria, incluyendo su posterior
evaluacin y seguimiento.
Se ha observado que la documentacin existente

con respecto a las distintas reas se encuentra
desactualizada.
No
existe
dentro
de
la
estructura
roles
equivalentes al de Oficial de Seguridad.
2 PLAN DE S EGURIDAD DE LA INFORMACIN

Anlisis
Situacin Actual
De
Brecha
El Banco no cuenta con un plan de Seguridad de
Se
la Informacin formalmente documentado que
gue las distintas normas con que cuenta el
Banco referentes a los riesgos y seguridad de la

Tecnologa de Informacin.
deberan
contemplar
los
Definicin de una poltica de

seguridad.
Evaluacin
seguridad
de
a
riesgos
los
de
que
est
expuesta la informacin.
Inventario
de
riesgos
de
seguridad de la informacin.
Seleccin
objetivos
de
de
controles
control
para
reducir, eliminar y evitar los

riesgos identificados, indicando
las razones de su inclusin o
exclusin
Plan de implementacin de los

controles y procedimientos de
revisin peridicos.
Mantenimiento
de
adecuados
registros
que
permitan
verificar el cumplimiento de las

normas, estndares, polticas,
procedimientos
otros
definidos por la empresa, as

como
mantener
pistas
de
auditoria.
2.1 POLTICAS, ESTNDARES Y P ROCEDIMIENTOS DE S EGURIDAD
2.1
El Banco no cuenta con polticas de seguridad
La definicin de una poltica de
formalmente documentadas que indiquen los
seguridad debera contemplar:
procedimientos de seguridad a ser adoptados
Declaracin
escrita
de
la

Anlisis
Situacin Actual
De
Brecha
para salvaguardar la informacin de posibles

prdidas
en
la
integridad,
disponibilidad
poltica.
confidencialidad.
Definicin de la propiedad de la
Poltica.
Sin embargo, se ha observado la existencia de

controles especficos en distintos aspectos de la
seguridad de la Informacin, que detallamos a
Polticas
debidamente
comunicadas.
Autoridad definida para realizar

cambios en la Poltica.
continuacin.
Aprobacin por el rea legal.

Alineamiento de la poltica con
la organizacin.
Definicin de responsabilidades
de la seguridad.
Confirmacin de usuarios de
conocimiento de la poltica.
2.2 SEGURIDAD LGICA

2.2
Hemos observado la existencia, entre otros
La
aspectos, de:
contemplar los siguientes aspectos:
Procedimientos definidos en el rea de
debera
Definicin de procedimientos
formales para la administracin
de perfiles y accesos a usuarios, incluyendo
de perfiles y usuarios.
mismos.
Identificacin
nica
de
usuarios.
Accesos a los sistemas de informacin del
Controles
sobre
Banco controlados al nivel de red de datos y
herramientas
aplicacin, para lo cual cada usuario cuenta
utilidades
con IDs y contraseas de uso estrictamente
sistema.
personal
de
responsabilidad
de
los
usuarios.
Lgica
sistemas para la concesin y administracin
la revocacin y revisiones peridicas de los
Seguridad
Controles de acceso a herramientas de
de
el
uso
auditoria
sensibles
de
y
del
Controles sobre el acceso y

uso de los sistemas y otras
instalaciones fsicas.

Anlisis
Situacin Actual
De
Brecha
auditoria en los sistemas de informacin.
Controles de acceso parciales a utilidades

sensibles del sistema.
Controles
sobre
usuarios
remotos y computacin mvil.
Administracin
restringida
de
Generacin parcial de pistas de auditoria en
los equipos de acceso remoto y
los sistemas de informacin.
configuracin de seguridad del

mismo.
Hemos observado que no cuenta con:
Controles de acceso a utilidades sensibles

del sistema sobre estaciones de trabajo
Win98/95.
Habilitacin de opciones de auditoria en los

sistemas operativos de red.
Procedimientos de revisin de pistas de

auditoria que contemplen no solo los registros
del computador central.
2.3 SEGURIDAD DE P ERSONAL

Hemos observado que el Banco se encuentra en
Se debera considerar:
un proceso de normalizacin llevado a cabo por el
Procedimientos de revisin de
rea de RRHH y la de OyM el cual incluye entre
datos
otros aspectos:
seleccin de personal previo a
Formalizacin de normas y procedimientos de
su
las distintas reas del Banco.
Referencias
de
carcter,
Identificacin de informacin relevante a
verificacin
de
estudios,
entregar a los nuevos trabajadores por rea
revisin de crdito si aplica- y
de trabajo.
revisin
Normalizacin
de
entrega
informacin
los
actuales
de
el
proceso
contratacin
de
(Ex.
independiente
de
identidad)
dicha
trabajadores
en
Entrega formal de las polticas
incluyendo documento de confirmacin de
de
manejo
conocimiento.
confidencial
de
a
informacin
los
nuevos

Anlisis
Situacin Actual
De
Brecha
integrantes del Banco.

Adicionalmente hemos observado que RRHH
Definicin
apropiada
considera dentro del proceso de evaluacin de
responsabilidad
personal
seguridad
nuevo,
la
verificacin
de
distintos
de
sobre
es
parte
la
de
los
aspectos de personales a modo de preseleccin o
trminos y condiciones de la
filtro de personal idneo para el Banco.
aceptacin
del
empleo
(ex.
Trminos en el contrato).
Difusin de las polticas con

respecto
al
actividades
monitoreo
en
la
de
red
sistemas de informacin, antes

entregar IDs a usuarios.
2.4 SEGURIDAD FSICA Y AMBIENTAL

Hemos observado la existencia, entre otros
Se
aspectos, de:
reas seguras
Normas de control de acceso fsico a reas
Procedimientos de reubicacin de
sensibles establecidos y en proceso de
empleados
mejora en el caso de la oficina principal.
Monitoreo constante de las instalaciones del
Controles ambientales as como medidas
Existen procedimientos definidos para el
Las copias de respaldo son almacenadas de

manera segura.
Controles de reas de carga y

descarga.
Controles fsicos de entrada.

Seguridad del permetro fsico
de las instalaciones.
deshecho de papeles de trabajo.
los
fsicos e instalaciones
preventivas y correctivas ante incendios.
considerar
Controles de acceso adecuados a sus activos
Banco.
debera
Procedimientos de Remocin o
reubicacin de activos.
Aseguramiento
de
oficinas,
reas de trabajo y facilidades.
Generadores de respaldo y UPS para red de

Anlisis
Situacin Actual
De
Brecha
datos .
Seguridad de Equipos
Aseguramiento de Cableado
Sin embargo encontramos deficiencias en los
Acciones y planes de
mantenimiento de equipos
Las medidas de seguridad existentes no se

extienden a la Informacin como activo de
valor
del
Banco
no
existen
normas
adecuadas con respecto al resguardo de la
Normas de seguridad para laptops.
misma cuando se trata de
activos fsicos
(equipos o elementos de almacenamiento de

informacin, documentos impresos, etc.).
Proteccin de equipos
Fuentes de poder redundantes.

Procedimientos de eliminacin
o
No existe un programa de concientizacin
uso
reiterado
seguro
de
equipos de manera segura
para el usuario con respecto al cuidado

necesario para con la informacin.
Controles generales
No existe una norma en uso sobre mesas y

pantallas limpias.
Poltica de mesa limpia

Poltica de pantallas limpias
El programa de mantenimiento preventivo de los

equipos del Banco se encuentra incompleto al
considerar nicamente al computador central.
2.5 CLASIFICACIN DE SEGURIDAD
El Banco cuenta con inventarios de software,
Se
licencias
hardware
razonablemente
actualizados
Sin
embargo
carece
de
inventarios
de
debera
Un
considerar
catlogo
activos
de
fsicos
los
todos
de
los
la
informacin, servicios y proveedores as como de
organizacin, indicando tipo de
una clasificacin de los elementos mencionados
activo,
con respecto a su nivel de riesgo dentro del
responsable
Banco.
criticidad.
Un
ubicacin
catlogo
fsica,
nivel
de
de
todos
los
activos de software tales como

Anlisis
Situacin Actual
De
Brecha
herramientas
de
desarrollo,
aplicaciones, etc. Debe indicar

entre
otros,
ubicacin
vendedor,
lgica
fsica,
responsable, nivel de criticidad,

clasificacin de la informacin,
etc.
Un catlogo o descripcin de
alto nivel de todos los activos
de
informacin
mas
importantes de la organizacin.
Debe indicar informacin como
tipo de data, ubicacin lgica o
fsica, responsable o dueo de
la informacin, clasificacin de
la
informacin
nivel
de
criticidad.
Un
listado
de
servicios
todos
tales
como
comunicaciones,
servicios
cmputo,
generales,
documentar
los
la
etc.
informacin
relativa a los proveedores del

servicio. Debera incluir entre
otros, persona de contacto con
el proveedor, procedimientos
de servicios de emergencia,
criticidad
negocio
unidades
afectadas
por
de
el
servicio.
Clasificacin de los sistemas

de informacin y/o grupos de

Anlisis
Situacin Actual
De
Brecha
data segn su criticidad y sus

caractersticas
de
confidencialidad, integridad y
disponibilidad.
Asignacin
de
la
responsabilidad de clasificacin
Procedimientos
de
mantenimiento
de
la
clasificacin
3 ADMINISTRACIN DE OPERACIONES Y COMUNICACIONES
El Banco cuenta con:
Se
deberan
considerar
los
Procedimientos
responsabilidades
de
operacin.
Procedimientos
Documentacin no formalizada relativa a los
responsabilidades de operacin.
procedimientos
de
operaciones
en
los
sistemas de informacin
Procesos
de
revisin
Documentacin formal de todos

los
reporte
procedimientos
operacin
de
as
de
como
operaciones.
procedimientos y niveles de
Controles establecidos relativos a cambios en
autorizacin definidos para su
los sistemas de informacin.
mantenimiento.
conformidad
de
dichas
Programacin de trabajos o
Control en cambios operacionales.
procesos
Adecuada separacin de las facilidades de
correctamente
los
as como el resultado de dichas
ambientes
de
produccin
las
de
ser
documentada,
ejecuciones.
desarrollo.
debe
Un Sistema a travs del cual se administran

las actividades de:
Administracin
de
facilidades
externas.
Cambios a los programas;
Pase a produccin; y
Todo procesos realizado en o

por
un
tercero,
debe
ser

Anlisis
Situacin Actual
De
Brecha
evaluado con respecto a los
Administracin de versiones
Adecuada
segregacin
de
funciones
riesgos
en
seguridad
para
desarrollar procedimientos que
labores de pase a produccin de sistemas.
mitiguen dichos riesgos.

Limitacin de operadores a travs de mens
de acceso.
Control
en
cambios
operacionales.
Proteccin contra software malicioso.
Controles
de
proteccin
software
malicioso
revisin
peridica
del
contra
virus
procedimientos
cumplimiento
Todo cambio en la red de

datos,
de
incluyendo
dispositivos,
software,
cableado
equipos de comunicacin debe
efectividad de dichos controles, tanto por
seguir procedimientos formales
parte del rea de sistemas como por parte del
definidos
auditor de sistemas.
adecuadamente
registrados.
Segregacin de funciones
Roles
responsabilidades
deben ser claramente definidos
y las funciones adecuadamente

Todas
las
mantienen
funciones
mencionadas
independientes.
Sin
se
embargo,
cabe mencionar que el actual Auditor de
segregadas.
deben
Posee
documentados.
acceso
tambin
la
lnea
de
Asimismo, eventualmente usuarios finales
ser
ser
correctamente
Roles
responsabilidades
en
actividades
pase
de
produccin
tienen acceso a la lnea de comandos;
y
las
a
correctamente
definidos y segregados.
restringida a tareas puntuales. No existe

control formal sobre estas actividades.
deben
Los resultados de todo cambio
acceso a datos de produccin y desarrollo.
comandos de ambos entornos.
cambios
adecuadamente aprobados.
Sistemas del Banco perteneci al equipo de

soporte del rea de sistemas y mantiene
Los
Adecuada
ambientes
separacin
de
produccin
de
y
desarrollo.
Operaciones de verificacin
Estndar de administracin de

Anlisis
Situacin Actual
De
Brecha
Procedimientos
de
generacin
cambios
Se
usan
formatos
de
reporte
de
incluyendo
cambios de emergencia.
almacenamiento de copias de contingencia

definidos.
definido,
Control de accesos a escritura

sobre sistemas en produccin.
las
actividades de operacin y generacin de

copias de respaldo.
Administracin de incidentes de
seguridad.
Administracin de Red
Definicin de procedimientos y
equipos
de
respuesta
ante
incidentes de seguridad.
Se cuenta con un sistema Proxy y un filtro de

paquetes como elementos de proteccin de
red. No se cuenta con una DMZ ni con una
Segregacin de funciones.
arquitectura de seguridad red apropiada con
respecto a la Internet.
Las actividades de desarrollo,

migracin
operacin
de
sistemas, as como las de

Manipulacin y seguridad de dispositivos de
administracin de aplicaciones,
almacenamiento de informacin.
helpdesk, administracin de red

y
de
IT
deben
ser
correctamente segregadas.
Las copias de respaldo se encuentran en una

localidad distinta y son aseguradas por un
tercero.
Planeamiento de sistemas.
No existen polticas con respecto al manejo
Procedimientos
formales
de otros dispositivos de almacenamiento de
definidos de planeamiento de
informacin en el rea de sistemas.
recursos.
Intercambio de informacin y seguridad
Proteccin
malicioso.
Controles y restricciones establecidas, no

documentadas ni formalizados, respecto al
uso del correo electrnico.
Controles
contra
software
preventivos
deteccin
sobre
software
de
el
uso
y
de
procedencia
dudosa, virus, etc.).

Anlisis
Situacin Actual
De
Brecha
Operaciones de verificacin
Adecuado registro de fallas.

Adecuados procedimientos de
generacin
de
copias
de
respaldo.
Registros adecuados de todas

las actividades de operacin.
Administracin de Red
Adecuados
controles
de
operacin
de
red
implementados.
Proteccin
de
comunicaciones
dispositivos
accesos,
la
red
usando
de
control
procedimientos
de
y
sistemas de monitoreo de red

(Deteccin
de
intrusos)
procedimientos de reporte.
Manipulacin
seguridad
de
dispositivos de almacenamiento
de informacin.
Aseguramiento sobre medios

de
almacenamiento
documentacin de sistemas.
Intercambio
de
informacin
(Correo electrnico y otros) y

seguridad

Anlisis
Situacin Actual
De
Brecha
Controles de seguridad en el
Correo electrnico y cualquier
otro medio de transferencia de
informacin
(Ex.
Normas,
filtros, sistemas de proteccin

contra virus, etc.).
Seguridad
en
la
Banca
Electrnica.
4 DESARROLLO Y MANTENIMIENTO
El Banco cuenta con:
Se debera considerar lo siguiente:
Metodologa de Desarrollo y Mantenimiento
Contar
con
metodologas
de Aplicaciones que especifica las siguientes
estndares
actividades
desarrollo y mantenimiento de
como
tareas
dentro
de
un
proyecto:
formales
de
sistemas.
Definiciones
Perfil
definidos antes de la fase de
Definiciones funcionales
diseo y se debe determinar un
Especificaciones funcionales
apropiado ambiente de control
Diagrama de procesos
para
Prototipo
requerimientos deben incluir:
Plan de Trabajo
Control de acceso
Definiciones tcnicas
Autorizacin
Diagrama de Contexto
Criticidad
Diagrama de flujo de datos
Modelo de datos
Cartilla tcnica
Cartilla de operador
Cartilla de usuario
Pruebas y capacitacin
Acta de conformidad de pruebas
Los requerimientos deben ser
la
aplicacin,
estos
del
sistema
Clasificacin de la
informacin
Disponibilidad
del
sistema
Integridad
confidencialidad
y
de

Anlisis
Situacin Actual
De
Brecha
Pase a produccin
la informacin.
Las aplicaciones cuentan con controles de
tener rutinas de validacin de
totales, cuadres, etc. Estos son generalmente
data.
usuarias y se deja documentado dichos
detectar inexactitud, cambios
requerimientos de control.
no autorizados e integridad de
Procesos
en
lote
("batch")
iniciales
que
mantienen
validan
la
fin
de
la informacin.
Se deben definir controles para
informacin a procesar. Asimismo, para el
prevenir que la data se vea
caso especfico de Lotes Contables, se valida
afectada
la informacin inicial a procesar durante el
procesamiento.
por dicha actividad.
por
un
mal
Se deben definir controles que

permitan
revisar
toda
Rutinas de consistencia de informacin que
informacin obtenida por un
se remite a otras entidades como COFIDE y
sistema
SBS, realizadas a travs de un sistema
asegurando que sea completa,
llamado SUCAVE.
correcta y solo disponible para
Libreras de rutinas ya estandarizadas y
personal autorizado.
revisadas para controles de fechas, campos
numricos y cadenas de caracteres, totales

numricos, clculo de intereses, entre otros.
Sin embargo, cabe sealar que en algunos
casos
estas
rutinas
se
mantienen
independientes en cada programa y no en

una librera de rutinas que invoca todo
programa que lo necesite.
Toda la data debe ser revisada

peridicamente,
da, para evitar se retrase el procesamiento
proyecto por los responsables de las reas
actividades
Todas las aplicaciones debern
edicin y cuando se requiere de controles en
definidos en las etapas de definicin del
Uso
informacin con Unibanca, con la Cmara de
de
informacin,
tcnicas
de
encriptacin estndar.
Controles para el acceso a las

libreras de programa fuentes.
Mantener un estricto y formal

control de cambios, que sea
debidamente
sistemas
Tcnicas de encriptacin para intercambio de
de
apoyado
informticos
por
en
el
caso de ambientes complejos o

con alto nmero de cambios.
Compensacin Electrnica y SUNAD

Anlisis
Situacin Actual
De
Brecha
Entornos independientes de desarrollo y
produccin.
La
Procedimientos
formales
adecuados para las pruebas y
metodologa
mantenimiento
de
de
desarrollo
aplicaciones
reportes de las mismas.
indica
la
necesidad de una actividad de prueba de los

cambios
y/o
embargo,
nuevos
no
requerimientos;
existe
sin
procedimientos
especficos definidos para la documentacin

de
las
pruebas
realizadas
ni
para
la
conformidad de las mismas.
Cabe sealar que se mantiene versiones de los

programas fuente y compilados en los entornos
de Desarrollo y Produccin. El sistema Fenix
administra los cambios y versiones del entorno de
desarrollo y la actualizacin en el entorno de
produccin se encuentra a cargo del Jefe de
Soporte Tcnico.
Los estndares de mantenimiento y desarrollo no
se encuentran completos.
5 PROCEDIMIENTOS DE R ESPALDO
Se cuenta con un procedimiento formalizado para
Los procedimientos de generacin
el respaldo de informacin del computador central
de copias de respaldo deberan
y de usuario final, este procedimiento establece:
contar con los siguientes controles
Para archivo de datos, se realiza con una
clave:
frecuencia
diaria,
dos
copias
tres
Aseguramiento
de
el
generacin
de
generaciones.
proceso
Para software base, se realiza con una
copias
frecuencia
culminado exitosamente.
diaria,
generaciones.
dos
copias
tres
de
que
de
respaldo
Procedimientos
haya
que

Anlisis
Situacin Actual
De
Brecha
Para los programas fuente, se realiza de
contemplen pruebas peridicas
forma diaria, una copia en tres generaciones.
de las copias de respaldo.
Para la informacin de usuarios finales, se
El tiempo de almacenamiento
realiza de forma diaria, una copia en tres
de las copias de respaldo debe
generaciones.
estar en concordancia con los

requisitos legales y normativos
vigentes.
Todas las copias se guardan en la bveda central

del Banco y de forma mensual se remiten a
almacenar en la empresa PROSEGUR.
Se encuentra en proceso de definicin un

procedimiento de verificacin de cintas, por la
antigedad de las mismas.
Se mantiene informacin histrica desde el inicio
de actividades del Banco.
Generacin
de
Contingencias
Plan
que
de
abarque
todos los procesos crticos del

Banco y que se ha desarrollado
siguiendo
una
metodologa
formal.
Procedimientos
revisin
peridica del plan.
Creacin de un equipo para

implementar el plan en el que
todos los miembros conocen

Anlisis
Situacin Actual
De
Brecha
sus responsabilidades y cmo

deben cumplir con las tareas
asignadas.
Existencia
de
preparativos
adecuados para asegurarse de

la
continuidad
del
procesamiento
computadorizado (existe centro
de procesamiento alterno).
Una
copia
del
plan
de
contingencias se almacena en
una sede remota y ser de fcil
acceso
en
caso
de
que
ocurriere cualquier forma de

desastre.
Preparativos de contingencia
para el hardware y software de
comunicaciones y redes.
Realizacin peridica un backup de los archivos de datos

crticos,
bibliotecas
los
sistemas
de
programas
almacenndolo en una sede

remota cuyo tiempo de acceso
sea adecuado.
Identificacin del equipamiento

requerido por los especialistas
y se hicieron los preparativos
para su reemplazo.
Se debera considerar lo siguiente:

Anlisis
Situacin Actual
De
Brecha
Revisin del impacto sobre el

negocio, previo al diseo del
Plan
de
negocios,
continuidad
de
identificando
las
partes ms expuestas a riesgo.

-
Realizar revisin del impacto

en el negocio, estableciendo
los procedimientos a seguirse
en el caso de que ocurriera un
desastre
(por
ej.
Explosin,
incendio, dao por tormenta,

prdida de personal clave) en
cualquiera de las dependencias
operativas de la organizacin.
-
Deberan
existir
planes
de
contingencia para cada recurso

computadorizado.
-
El
plan
de
debera
contingencias
contemplar
necesidades
las
de
departamentos
trminos
los
usuarios
de
en
traslados,
ubicacin y operacin.
-
El
plan
debera
de
contingencias
asegurar
que
se
observen normas de seguridad

de informacin en caso de que
ocurriera un desastre.
-
El
cronograma
recuperacin
de
cada
para
la
funcin
debera ser revisado asegurando

Anlisis
Situacin Actual
De
Brecha
que sea adecuado.
El plan de contingencias debera

probarse
peridicamente
para
asegurarse de que an es viable y

efectivo.
6 SUBCONTRATACIN
Encontramos que el Banco tiene principalmente,
El plan de contingencias debe
los siguientes servicios contratados:
incluir
prestado por terceros.
UNIBANCA: Procesamiento de transacciones
la
prdida
del
servicio
de tarjetas (diario)
HERMES: Distribucin de tarjetas de crdito y

dbito.
Informacin
necesaria
tarjetas
recibidas de UNIBANCA. (diario)
NAPATEK: Impresin de estados de cuenta y
Los contratos de servicios con

terceros deberan incluir entre otros
aspectos, los siguientes:
las acciones que se tomarn de
ensobrado. Recibe informacin va una
no cumplirse el contrato.
transferencia electrnica de archivos - "File

Transfer" (mensual).
Rehder: Se transmite informacin de monto
de
controles
de
seguridad
polticas
garantizar
el
para
cumplimiento
seguro de desgravamenes (mensual).
de
los
requerimientos.
TELEFONICA: Centro de procesamiento de
datos de respaldo. Entrar en operatividad el
Determinacin de los niveles

de servicio requeridos (Service
31 de Mayo.
Acuerdos
aplicarse
facturado por cada cliente (e-mail) para el
Requerimientos de seguridad y
Level Agreements o SLA).

PROSEGUR: Almacenamiento de copias de
respaldo.
El derecho de la entidad, y la
Superintendencia de Banca y
No se obtuvo informacin (contratos) relativa a los

servicios prestados por UNIBANCA.
Seguros, o las personas que

ellos designen, de auditar el
ambiente de la empresa que

Anlisis
Situacin Actual
De
Brecha
El Banco no cuenta con un procedimiento definido
brinda el servicio, para verificar
para la inclusin de clusulas relativas a la
los
confidencialidad, niveles de servicio, etc., en los
aplicados
contratos de servicios prestados por terceros al
sistemas.
Banco.
controles
a
de
la
data
Documentacin
controles
seguridad
y
sobre
fsicos
los
los
lgicos,
empleados por la empresa que

brinda el servicio, para proteger
la confidencialidad, integridad y
disponibilidad de la informacin
y equipos de la entidad.
Determinacin
de
requerimientos
incluyendo
los
legales,
privacidad
proteccin de la data.
Procedimiento
que
asegure
que la empresa que brinda el

servicio
realizar
pruebas
peridicas para mantener la

seguridad de la data y los
sistemas.
Clusula sobre exclusividad de

equipos
que
procesan
informacin del Banco.

7 CUMPLIMIENTO NORMATIVO
El Banco ha implementado
cumplimiento
normativo
controles para el
relativo
al
uso
de
Se debera contar con:
Definicin de responsable del
software licenciado, tales como:
cumplimiento de las normas
Controles manuales peridicos por parte del
emitidas
rea de sistemas y el rea de auditoria de
Superintendencia.
por
la
sistemas.

Anlisis
Situacin Actual
De
Brecha
Compromiso
firmado
por
los
usuarios
Procedimientos
de
referente al software autorizado, tipificando el
establecidos
para
incumplimiento como falta grave.
cumplimiento de las normas
Evaluacin de software para auditoras de
emitidas
software de forma automtica.
Superintendencia.
el
por
Control
de
almacenada segn perodos determinados
normas
sobre
por ley.
intelectual
La informacin, tanto fsica como digital es
control
la
cumplimiento
la
de
propiedad
(licenciamiento
de
software).
Existe un procedimiento de comunicacin de

las normas legales emitidas aplicables a las
distintas reas del Banco y el rea de
auditoria interna realiza labores de control
con respecto a la implementacin de dichas
normas.
Sin embargo:
No existe un responsable definido en la

estructura del Banco encargado de mantener
actualizada sobre las normas emitidas por
organismos reguladores.
8 PRIVACIDAD DE LA INFORMACIN
El Banco no cuenta con:
Se debera contar con:
Un responsable asignado para la salvaguarda

de la privacidad de la informacin.
Definicin de responsabilidades
con respecto a la aplicacin del
secreto
Si bien durante las diversas charlas realizadas en

los Comits se tocan temas referentes al secreto
bancario
de
la
privicidad de la Informacin.
Restricciones
de
acceso
bancario, no se han implementado controles
informacin en salvaguarda de
especficos en todas las reas del Banco con el
su privacidad y del secreto
fin de evitar la exposicin de informacin sensible
bancario.

Anlisis
Situacin Actual
De
Brecha
de los clientes y del Banco as como limitar el
acceso del personal a dicha informacin.
Existencia
internas
de
para
autorizaciones
la
entrega
transferencia de informacin.
En el rea de sistemas se han implementado
controles respecto a la limitacin de acceso a
informacin de clientes y se ha registrado
evidencia de incidentes y acciones tomadas por
auditoria interna, dicha situacin no se replica en
las distintas reas del Banco.
9 AUDITORIA INTERNA Y EXTERNA
El Banco no cuenta con:
Un
rea
incluyendo
de
en
auditoria
su
plan
interna
de
que
auditoria
esta
La Unidad de Auditoria Interna
el
deber incorporar en su Plan
cumplimiento de lo dispuesto en la norma G-
Anual de Trabajo la evaluacin
105-2002 de la Superintendencia.
del
cumplimiento
de
lo
dispuesto en la norma G-1052002 de la Superintendencia.
Las sociedades de Auditoria

Externa debern incluir en su
informe sobre el sistema de
control
interno
comentarios
dirigidos a indicar si la entidad

cuenta
con
procedimientos
polticas
para
la
administracin de los riesgos

de tecnologa de informacin.
El Banco deber contar con un
servicio permanente de auditoria de
sistemas.

BIBLIOGRAFA
1.
Information Technology Security for Managers - Workshop sobre temas de

Seguridad IBM Global Service. http://www.ibm.com/services/securite
2.
ISO /IEC 17799:2000 http://www.iso1799.com
3.
British Standard 7799
4.
INFOSECS WORST NIGHTMARES

http://www.infosecuritymag.com/2002/nov/nightmares.shtml
5.
Como elaborar politicas de Seguridad efectivas?

http://www.symantec.com/region/mx/enterprisesecurity

Plan de Seguridad Informática para Una Entidad Financiera PDF

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Plan de Seguridad Informática para Una Entidad Financiera PDF

Caricato da

Copyright:

Formati disponibili

UNIVERSIDAD NACIONAL MAYOR DE SAN MARCOS

FACULTAD DE CIENCIAS MATEMTICAS

PLAN DE SEGURIDAD INFORMTICA PARA UNA ENTIDAD FINANCIERA

2.1 Metodologa ESA....................................................................................................3

Matriz de uso y estrategia de tecnologa ....................................................... 16

Cumplimiento obligatorio ...................................................................................49

Organizacin de la Seguridad ..........................................................................49

Evaluacion de riesgo ..........................................................................................51

Seguridad del personal......................................................................................58

Seguridad fsica de las instalaciones de procesamiento de datos .............64

Proteccin de las instalaciones de los centros de datos............. 64

Administracin de comunicaciones y operaciones........................................66

Control de acceso de datos...............................................................................71

Identificacin de usuarios ................................................................. 71

Desarrollo y mantenimiento de los sistemas..................................................89

6.10 Cumplimiento normativo ...................................................................................91

Revisin de la poltica de seguridad y cumplimiento tcnico ..... 92

6.11 Consideraciones de auditoria de sistemas .....................................................93

Proteccin de las herramientas de auditoria ................................. 93

6.12 Poltica de Comercio Electrnico .....................................................................94

CONCLUSIONES Y RECOMENDACIONES ........................................................114

Diseo de arquitectura de seguridad de red ................................................118

Circular n g-105-2002 publicada por la Superintendencia de Banca y

Detalle: Diagnostico de la Situacion Actual de la Administracin de los riesgos

Plan de Seguridad Informtica para una Entidad Financiera .

La liberalizacin y la globalizacin de los servicios financieros, junto con la

En otros tiempos la seguridad de la informacin era fcilmente administrable,

Los sistemas electrnicos entraron en las oficinas y obligaron a los sistemas de

De manera similar a otro tipo de crmenes, el cuantificar los gastos y prdidas

tiende a minimizar los incidentes por motivos muchas veces justificables.

Por otro lado el objetivo fundamental de la seguridad no es proteger los

Plan de Seguridad Informtica para una Entidad Financiera .

La seguridad es slo uno de los componentes de la administracin de riesgos

Los incidentes de seguridad ms devastadores tienden ms a ser internos que

Las computadoras no atacan a las empresas, lo hace la gente. Los empleados

El presente trabajo describe como se define un Plan de Seguridad para una

Plan de Seguridad Informtica para una Entidad Financiera .

Security is just one of the components of risk management - minimize the

Plan de Seguridad Informtica para una Entidad Financiera .

The more destructive security incidents tend mostly to be internal instead of

Computers does not attack enterprises, people do it. Employees with

Plan de Seguridad Informtica para una Entidad Financiera .

Los eventos mundiales recientes han generado un mayor sentido de urgencia

La informacin esencial fuera robada, se perdiera, estuviera en peligro,

Los sistemas de correo electrnico no funcionaran durante un da o ms.

Los clientes no pudieran enviar rdenes de compra a travs de la red

Plan de Seguridad Informtica para una Entidad Financiera .

Prepararse para mltiples escenarios parece ser la tendencia creciente. En un

Cmo desarrollar una poltica de seguridad?

Identifique y evale los activos: Qu activos deben protegerse y cmo

Identifique las amenazas: Cules son las causas de los potenciales

Estas amenazas son externas o internas:

Amenazas externas: Se originan fuera de la organizacin y son

Amenazas internas: Son las amenazas que provienen del

Plan de Seguridad Informtica para una Entidad Financiera .

ocasionar los empleados al enviar y revisar el material ofensivo a

Evalu los riesgos: ste puede ser uno de los componentes ms

Asigne las responsabilidades: Seleccione un equipo de desarrollo que

Establezca polticas de seguridad: Cree una poltica que apunte a los

Implemente una poltica en toda la organizacin: La poltica que se

Plan de Seguridad Informtica para una Entidad Financiera .

especficos. Tambin puede requerir que todos los empleados firmen la

Cumplimiento: Indique un procedimiento para garantizar el