Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Fundada en 1551
TRABAJO MONOGRFICO
Para optar el Ttulo Profesional de:
LICENCIADA
AUTORA
NORMA EDITH CRDOVA RODRGUEZ
LIMA PER
2003
DEDICATORIA
Este trabajo va dedicado a la Universidad
Nacional Mayor de San Marcos, a la que le
debo mi formacin profesional y los xitos
que he alcanzado.
INDICE
INTRODUCCION
CAPITULO I.
OBJETIVOS Y ALCANCES
1.1
Objetivos.................................................................................................................1
CAPITULO II
METODOLOGA Y PROCEDIMIENTOS UTILIZADO
Evaluacin ............................................................................................................5
Alcances ............................................................................................................6
CAPITULO IV
SEGURIDAD DE LA INFORMACIN ROLES Y ESTRUCTURA
ORGANIZACIONAL
4.1
4.2
4.3
Situacin actual.....................................................................................................8
Roles y responsabilidades de la estructura organizacional de seguridad de
informacin.....................................................................................................9
Organizacin del area de seguridad informtica propuesta
............. 13
CAPITULO V
EVALUACIN DE RIESGOS, AMENAZAS Y VULNERABILIDADES
5.1
5.2
5.3
CAPITULO VI
POLTICAS DE SEGURIDAD DE LA INFORMACIN
6.1
Definicin..............................................................................................................48
6.2
6.3
6.4
6.5
Estructura organizacional................................................................. 49
Acceso por parte de terceros........................................................... 50
Outsourcing ......................................................................................... 51
Inventario de activos.......................................................................... 52
Clasificacin del acceso de la informacin.................................... 53
Definiciones........................................................................................ 54
Aplicacin de controles para la informacin clasificada.............. 54
Anlisis de riesgo............................................................................... 57
Cumplimiento ...................................................................................... 57
Aceptacin de riesgo......................................................................... 58
6.6
6.7
6.8
6.8.2
Seguridad de contraseas................................................................ 72
6.8.2.1 Estructura .......................................................................................... 72
6.8.2.2 Vigencia............................................................................................. 73
6.8.2.3 Reutilizacin de contraseas ......................................................... 73
6.8.2.4 Intentos fallidos de ingreso............................................................. 73
6.8.2.5 Seguridad de contraseas ............................................................. 74
6.8.3
Control de transacciones .................................................................. 74
6.8.4
Control de produccin y prueba ...................................................... 75
6.8.5
Controles de acceso de programas ................................................ 76
6.8.6
Administracin de acceso de usuarios........................................... 76
6.8.7
Responsabilidades del usuario........................................................ 78
6.8.8
Seguridad de computadoras ............................................................ 79
6.8.9
Control de acceso a redes................................................................ 80
6.8.9.1 Conexiones con redes externas.................................................... 80
6.8.9.2 Estndares generales ..................................................................... 81
6.8.9.3 Poltica del uso de servicio de redes ............................................ 82
6.8.9.4 Segmentacin de redes.................................................................. 83
6.8.9.5 Anlisis de riesgo de red ................................................................ 83
6.8.9.6 Acceso remoto(dial-in) .................................................................... 83
6.8.9.7 Encripcin de los datos................................................................... 84
6.8.10 Control de acceso al sistema operativo ......................................... 84
6.8.10.1 Estndares generales ................................................................... 84
6.8.10.2 Limitaciones de horario................................................................. 84
6.8.10.3 Administracin de contraseas ................................................... 85
6.8.10.4 Inactividad del sistema.................................................................. 85
6.8.10.5 Estndares de autenticacin en los sistemas........................... 85
6.8.11 Control de acceso de aplicacin...................................................... 85
6.8.11.1 Restricciones de acceso a informacin...................................... 86
6.8.11.2 Aislamiento de sistemas crticos................................................. 86
6.8.12 Monitoreo del acceso y uso de los sistemas................................. 86
6.8.12.1 Sincronizacin del reloj................................................................. 86
6.8.12.2 Responsabilidades generales...................................................... 87
6.8.12.3 Registro de eventos del sistema ................................................. 87
6.8.13 Computacin mvil y teletrabajo ..................................................... 87
6.8.13.1 Responsabilidades generales...................................................... 87
6.8.13.2 Acceso remoto ............................................................................... 88
6.9
Registros ............................................................................................. 91
6.10.2
6.10.3
6.10.4
Etiquetado de la informacin............................................................ 97
Copiado de la informacin................................................................ 97
Distribucin de la informacin.......................................................... 98
Almacenamiento de la informacin................................................. 98
Eliminacin de la informacin .......................................................... 99
CAPITULO VII
PLAN DE IMPLEMENTACIN DE ALTO NIVEL
7.1
7.2
7.3
7.4
7.5
7.6
7.7
7.8
7.9
Clasificacin de informacin...........................................................................102
Seguridad de red y comunicaciones.............................................................103
Inventario de accesos a los sistemas...........................................................106
Adaptacin de contratos con proveedores ..................................................107
Campaa de concientizacin de usuarios. ..................................................108
Verificacin y adaptacin de los sistemas del banco.................................109
Estandarizacin de la configuracin del software base.............................110
Revisin, y adaptacin de procedimientos complementarios...................111
Cronograma tentativo de implementacin...................................................113
B.
C.
BIBLIOGRAFA.. ..............................................................................................154
RESUMEN
Se
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
ABSTRACT
The liberalization and globalization of the financial services with the increasing
sophistication of the financial technology are facing more complex banking
activities in terms of security.
Long time ago, security information was easily management, just it was enough
guard the more important documents under the keys and placed employees;
who has the knowledge; safe, just placing bodyguards; nowadays it is harder.
The electronics systems got in the office and made systems security evolved to
be updated with the technology changes. Then, 5 years ago, the business; even
the small companies were connected to Internet (a public network with few
rules and without security).
In a similar way of other kind of crimes, measure security IT expenses and lost
or cybernetic crimes are very difficult. People tend to minimize incidents for
justifying reasons.
By the other hand, the main objective of IT Security is not to protect the
systems; it is to reduce risks and to support the business operations. The most
secure computer in the world is which is disconnected form the network, placed
deeply in any dark desert and be surrounded by armed bodyguards, but it is
also the most useless.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
The present work describes how you can define a Security Plan for a financial
enterprise,
begin
responsibilities),
defining
then
define
the
the
Organizational
policies
and
structure
finally
(roles
ends
with
and
the
Implementation Plan which are the activities to meet the policies before
mentioned.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
INTRODUCCIN
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
el
impacto
que
tendran
si
ocurrieran.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
los
fondos
necesarios
para
poder
cumplir
Consideraciones importantes
A travs del proceso de elaboracin de una poltica de seguridad, es importante
asegurarse de que la poltica tenga las siguientes caractersticas:
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Una vez la poltica se aprueba totalmente, debe hacerse asequible a todos los
empleados porque, en ultima instancia, ellos son responsables de su xito. Las
polticas deben actualizarse anualmente (o mejor an cada seis meses) para
reflejar los cambios en la organizacin o cultura.
Se debe mencionar que no debe haber dos polticas de seguridad iguales
puesto que cada empresa es diferente y los detalles de la poltica dependen de
las necesidades exclusivas de cada una. Sin embargo, usted puede comenzar
con un sistema general de polticas de seguridad y luego personalizarlo de
acuerdo con sus requerimientos especficos, limitaciones de financiacin e
infraestructura existente.
Una poltica completa de seguridad de la informacin es un recurso valioso que
amerita la dedicacin de tiempo y esfuerzo. La poltica que adopte su empresa
brinda una base slida para respaldar el plan general de seguridad. Y una base
slida sirve para respaldar una empresa slida.
BANCO ABC
En el presente trabajo desarrollaremos el Plan de Seguridad para una entidad
financiera a la cual llamaremos el Banco ABC.
El Banco ABC es un banco de capital extranjero, tiene 35 agencias a nivel
nacional, ofrece todos los productos financieros conocidos, posee presencia en
Internet a travs de su pagina web, es un banco mediano cuenta con 500
empleados y es regulado por la Superintendencia de Banca y Seguros.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Con el objetivo de contar con una gua para la proteccin de informacin del
Banco, se elaborarn las polticas y estndares de seguridad de la informacin,
tomando en cuenta el estndar de seguridad de informacin ISO 17799, los
requerimientos de la Circular N G-105-2002 publicada por la Superintendencia
de Banca y Seguros (SBS) sobre Riesgos de Tecnologa de Informacin y las
normas establecidas internamente por el Banco.
-
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
C) Plan de Implementacin
El Autor
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Captulo I
OBJETIVOS Y ALCANCES
1.1
Objetivos
La
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Riesgos
Financieros
Riesgos de
Negocios
Riesgos de
Operaciones
Estructura
Rentabilidad
Adec. Capital
De Crdito
De liquidez
De Tasa de
Inters
De Mercado
De Moneda
Riesgo de
Poltica
Riesgo Pas
Riesgo
Sistmico
Procesos
Tecnologa
Personas
Eventos
Riesgo
Poltico
Riesgo de
Crisis
Bancarias
Otros
1.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Captulo II
C o m p r o m i sde
o la Alta
Gerencia
Iniciativas & P r o c e s o s
de Negocios
Estratega d e
Tecnologa & Uso
Evaluacin de Riesgo
& Vulnerabilidad
Poltica
Modelo de Seguridad
Arquitectura de Seguridad
& Estndares Tecnicos
Guas y Procedimientos
Adminitrativos y de Usuario Final
Procesos de
Ejecucin
Procesos de
Monitoreo
Procesos de
Recuperacon
P r o g r a m de
a E n t r e n a m i e nyt oConcientizacin
E s t r u c t u r a de Administracin de S e g u r i d a d de I n f o r m a c i n
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Auditor de Sistemas
Gerente de Sistemas
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Captulo III
3.1
Evaluacin
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
3.2 Alcances
El alcance del diagnstico de la situacin de administracin del riesgo de
Tecnologa de Informacin, en adelante TI, comprende la revisin de las
siguientes funciones al interior del rea de sistemas:
Administracin del rea de Tecnologa de Informacin
- Estructura organizacional
-
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Aspectos Evaluados
Grado de
Cumplimiento
2.1
2.1.1.
Seguridad Lgica
2.1.2
Seguridad de Personal
2.1.3
2.1.4
Clasificacin de Seguridad
Procedimientos de respaldo
6.1
6.2
6.3
Subcontratacin
Cumplimiento normativo
Privacidad de la informacin
10
Auditoria de Sistemas
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Captulo IV
4.1
Situacin actual
Las labores de seguridad realizadas por el rea de sistemas son las siguientes:
-
Control de red
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Verificar que cada activo de informacin del Banco haya sido asignado a un
propietario el cual debe definir los requerimientos de seguridad como
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Custodio de Informacin:
Es el responsable de la administracin diaria de la seguridad en los sistemas
de informacin y el monitoreo del cumplimiento de las polticas de seguridad en
los sistemas que se encuentran bajo su administracin. Sus responsabilidades
son:
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Usuario:
Las responsabilidades de los usuarios finales, es decir, aquellas personas que
utilizan informacin del Banco como parte de su trabajo diario estn definidas a
continuacin:
Propietario de Informacin:
Los propietarios de informacin son los gerentes y jefes de las unidades de
negocio, los cuales, son responsables de la informacin que se genera y se
utiliza en las operaciones de su unidad. Las reas de negocios deben ser
conscientes de los riesgos de tal forma que sea posible tomar decisiones para
disminuir los mismos.
Entre las responsabilidades de los propietarios de informacin se tienen:
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Auditoria Interna:
El personal de auditoria interna es responsable de monitorear el cumplimiento
de los estndares y guas definidas en las polticas internas. Una estrecha
relacin del rea de auditoria interna con el rea de seguridad informtica es
crtica para la proteccin de los activos de informacin. Por lo tanto dentro del
plan anual de evaluacin del rea de auditoria interna se debe incluir la
evaluacin peridica de los controles de seguridad de informacin definidos por
el Banco.
Auditoria interna debe colaborar con el rea de seguridad informtica en la
identificacin de amenazas y vulnerabilidades referentes a la seguridad de
informacin del Banco.
4.3
comit).
Gerente de Sistemas.
Auditor de Sistemas.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Comit de
Coordinacin de
Seguridad de la
Informcin
Gerente de
Administracin y
Operaciones
Seguridad
Informtica
Sistemas
Contralora
General
Recursos
Humanos
Operaciones
Administracin
Gerente de Divisin de
Administracin y
Operaciones
(Presidente del Comit)
Gerente de
Sistemas
Jefe de
Departamente de
Riesgo Operativo y
Tecnolgico
Auditor de
Sistemas
Jefe de Seguridad
Informtica
(Responsable)
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Captulo V
Tecnologa
Implicancia de seguridad
Estndar o medida de
seguridad a aplicar
Actual
Windows NT,
Estndar de mejores
Windows 2000
Windows NT
Sistema Operativo.
Estndar de mejores
prcticas de seguridad para
Windows 2000.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Tecnologa
OS/400
Estndar o medida de
Implicancia de seguridad
seguridad a aplicar
Estndar de mejores
OS/400.
Estndar de mejores
SQL Server
negocio de la Compaa.
Banca electrnica
El servidor Web se
Estndares de
a travs de
encuentra en calidad de
encripcin de
Internet.
"hosting" en Telefnica
informacin transmitida.
Clusulas de
confidencialidad y
delimitacin de
responsabilidades en
como lgicas.
contratos con
proveedores.
es realizada a travs de un
Acuerdos de nivel de
servicios con
proveedores, en los
cuales se detalle el
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Tecnologa
Estndar o medida de
Implicancia de seguridad
seguridad a aplicar
la confidencialidad de la
porcentaje mnimo de
informacin (encripcin de
disponibilidad del
la data).
sistema.
Evaluacin
independiente de la
el propsito de afectar la
acreditacin de la misma
La disponibilidad del
sistema es un factor clave
para el xito del servicio.
Banca telefnica
Transmisin de informacin
Establecimiento de
posibilidad de proteccin
operaciones realizadas
adicional.
por va telefnica.
Imposibilidad de mantener
Posibilidad de registrar
la confidencialidad de las
el nmero telefnico
operaciones con el
origen de la llamada.
Controles en los
telefnico.
sistemas de grabacin
Posibilidad de obtencin de
de llamadas telefnica.
nmeros de tarjeta y
Evaluar la posibilidad de
notificar al cliente de
transmisin telefnico.
manera automtica e
inmediata luego de
realizada la operacin.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Tecnologa
Sistema Central
Estndar o medida de
Implicancia de seguridad
Core Bancario
El sistema central es el
seguridad a aplicar
Estndar de mejores
prcticas de seguridad
para OS/400.
autorizado al servidor
representa un riesgo
Monitoreo peridico de
la actividad realizada en
el servidor.
MIS (Management
El acceso a repositorios de
Estndares de seguridad
Information
System)
ser restringido
de datos.
adecuadamente.
Adecuados controles de
acceso y otorgamiento
de perfiles a la
aplicacin.
Desarrollo de
Estndar de mejores
aplicaciones para
prcticas de seguridad
las unidades de
comprenden un acelerado
negocio, en
desarrollo de sistemas; la
OS/400.
periodos muy
aplicacin de medidas de
cortos.
seguridad, debera
desarrollo de
encontrarse incluida en el
aplicaciones.
Metodologa para el
Procedimientos de
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Tecnologa
Estndar o medida de
Implicancia de seguridad
seguridad a aplicar
control de cambios.
El tiempo de pase a
produccin de un nuevo
Evaluacin de
requerimientos de
producto estratgico, es
seguridad de los
sistemas antes de su
pase a produccin.
Estndar de mejores
prcticas de seguridad
para aplicaciones
distribuidas.
personales.
Concientizacin y
adecuados controles de
entrenamiento de los
acceso a informacin
usuarios en temas de
existente en computadoras
seguridad de la
personales.
informacin.
Se requieren adecuados
Implementacin de
controles de accesos a la
mayores controles de
seguridad para
computadoras
personales de usuarios.
personales.
La existencia de diversos
sistemas operativos en el
de migracin de la
parque de computadores
plataforma de
computadoras
personales al sistema
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Tecnologa
Estndar o medida de
Implicancia de seguridad
seguridad a aplicar
2000 Professional,
Windows XP, impide
y Windows XP.
estandarizar la
prcticas de seguridad
configuracin de los
para estaciones de
sistemas.
trabajo.
Actualizacin peridica
de inventarios del
software instalado.
informacin (disqueteras,
grabadoras de cd's,
impresoras personales,
Estndares de mejores
Monitoreo peridico de
carpetas compartidas.
Monitoreo de actividad
etc.)
de los usuarios,
Se debe controlar y
sistemas de deteccin
de intrusos.
y sistemas instalados en
las PCs
Correo electrnico
Posibilidad de
interceptacin no
estndares de encripcin
autorizada de mensajes de
correo electrnico.
Riesgo de acceso no
contengan informacin
autorizado a informacin
confidencial.
del servidor.
Estndares de mejores
Posibilidad de utilizacin de
prcticas de seguridad
para Windows NT y
personas no autorizadas,
Lotus Notes.
Configuracin de anti-
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Tecnologa
Estndar o medida de
Implicancia de seguridad
seguridad a aplicar
Implementacin de un
Posibilidad de recepcin de
contenido SMTP.
Riesgos de accesos no
Polticas de seguridad.
Internet y redes
Estndares de mejores
pblicas / Firewall.
prcticas de seguridad
para servidores
usuarios.
servidores Web y
equipos de
comunicaciones.
Conexin a
relay.
Delimitacin de
responsabilidades
referentes a la seguridad
de seguridad adecuadas
de informacin en
contratos con
por personas no
proveedores.
autorizadas.
Mejores prcticas de
Riesgo de acceso no
seguridad para
configuracin de
Firewalls.
sistemas de La Compaa.
Diseo e
implementacin de una
arquitectura de
seguridad de
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Tecnologa
Estndar o medida de
Implicancia de seguridad
seguridad a aplicar
red.Utilizacin de
sistemas de deteccin
de intrusos.
Especificacin de
acuerdos de nivel de
servicio con el
proveedor.
En Proyecto
Cambios en la
Los cambios en la
Elaboracin de una
infraestructura de
infraestructura de red
red.
medidas de seguridad
puertas de entrada a
adecuadas.
Establecer controles de
acceso adecuados a la
adecuada planificacin.
configuracin de los
Una falla en la
equipos de
configuracin de equipos
comunicaciones.
de comunicaciones puede
generar falta de
Plan de migracin de
infraestructura de red.
disponibilidad de sistemas.
Un diseo de red
inadecuado puede facilitar
el ingreso no autorizado a
la red de datos.
Software de
Riesgo de acceso no
Estndar de seguridad
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Tecnologa
Estndar o medida de
Implicancia de seguridad
administracin
remota de PCs y
administracin y agentes de
servidores.
administracin remota.
seguridad a aplicar
para Windows NT
Estndar de seguridad
para Windows 2000
Estndar de seguridad
para Windows XP
Controles de acceso
adecuados a las
consolas y agentes de
administracin remota.
Establecimiento de
adecuados
procedimientos para
tomar control remoto de
PCs o servidores.
Adecuada configuracin
del registro (log) de
actividad realizada
mediante administracin
remota.
Migracin de
Posibilidad de error en el
servidores
Windows NT
Server a Windows
2000 Server.
servidores.
Procedimientos de
control de cambios.
Posibilidad de existencia de
vulnerabilidades no
Estndares de seguridad
Plan de migracin a
Windows 2000.
Polticas de seguridad.
conocidas anteriormente.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Tecnologa
Implantacin de
Estndar o medida de
Implicancia de seguridad
Datawarehouse.
Informacin sensible
seguridad a aplicar
almacenada en un
repositorio centralizado,
2000.
requiere de controles de
acceso adecuados.
Estndares de
La disponibilidad del
Estndar de seguridad
Plan de implantacin de
Datawarehouse.
que soporta.
Procedimientos para
otorgamiento de perfiles.
Polticas de seguridad.
Amenaza /
Estndar o medida de
Implicancia de Seguridad
Vulnerabilidad
seguridad a aplicar
Riesgos/ Amenazas
Inters en obtener
La existencia de informacin
informacin
para servidores
estratgica del
Windows 2000,
informacin de clientes e
Windows NT y OS/400.
de competidores
informacin de marketing
de negocio.
implica la aplicacin de
Revisin y depuracin
Estndares de seguridad
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Amenaza /
Vulnerabilidad
Estndar o medida de
Implicancia de Seguridad
seguridad a aplicar
acceso a informacin.
Restricciones en el
manejo de informacin
enviada por correo
electrnico hacia redes
externas, extrada en
disquetes o cds e
informacin impresa.
Verificacin de la
informacin impresa en
reportes, evitar mostrar
informacin innecesaria
en ellos.
Polticas de seguridad.
Estndares de seguridad
Inters en obtener
beneficios
econmicos
mediante actividad
financiera, la amenaza de
fraudulenta.
Controles de accesos a
aplicaciones.
Revisiones peridicas de
los niveles de accesos
de los usuarios.
Evaluacin peridica de
la integridad de la
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Amenaza /
Estndar o medida de
Implicancia de Seguridad
Vulnerabilidad
seguridad a aplicar
informacin por parte del
propietario de la misma.
Revisiones peridicas de
los registros (logs) de los
sistemas y operaciones
realizadas.
Actividad
La actividad desarrollada
Estndares de seguridad
vandlica
para servidores
realizada por
Windows 2000.
hackers o
la disponibilidad, integridad
crackers
y confidencialidad de la
para servidores
Windows NT.
Estndares de seguridad
Delimitacin de
responsabilidades y
sanciones en los
externo al Banco.
contratos con
Adicionalmente si dicha
proveedores de servicios
actividad es realizada
en calidad de hosting.
Verificacin de
evaluaciones peridicas
o certificaciones de la
banco) la imagen y
seguridad de los
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Amenaza /
Estndar o medida de
Implicancia de Seguridad
Vulnerabilidad
seguridad a aplicar
sistemas en calidad de
hosting.
Concientizacin y
compromiso formal de
los usuarios en temas
relacionados a la
seguridad de
informacin.
Prdida de
El riesgo de prdida de
Polticas de Seguridad.
Adecuada arquitectura e
informacin
implementacin del
producto de
informtico es alto si no se
sistema antivirus.
administra adecuadamente
informtico.
la actualizacin del
antivirus de
concientizados en
computadoras
seguridad de informacin
personales y servidores.
Verificacin peridica de
Generacin peridica de
reportes de virus
detectados y
actualizacin de
antivirus.
Fuga de
informacin a
ser controlados
que ingresa de
adecuadamente, asimismo
manera temporal
sistemas.
accesos otorgados.
Depuracin peridica de
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Amenaza /
Estndar o medida de
Implicancia de Seguridad
Vulnerabilidad
seguridad a aplicar
en sustitucin de
empleados en
a correo electrnico y
vacaciones.
monitoreada.
transferencia de
realizar actividad no
Restricciones en acceso
Adecuada configuracin
y revisin peridica de
aplicaciones y sistema
Banco.
operativo.
Vulnerabilidades
No se cuenta con
un inventario de
inventario de los
perfiles de acceso
a las aplicaciones.
aplicaciones.
sistemas.
Revisiones peridicas de
los perfiles y accesos de
los usuarios por parte
del propietario de la
informacin.
Exceso de
La necesidad de utilizar
contraseas
posible la estructura de
las contraseas
usuarios.
de renovacin.
Uniformizar dentro de lo
Implementar un sistema
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Amenaza /
Vulnerabilidad
Estndar o medida de
Implicancia de Seguridad
seguridad a aplicar
retener en la memoria, la
de Servicio de directorio,
relacin de nombres de
usuario y contraseas
identificarse en l, y
mediante un proceso
sistemas. La necesidad de
automtico, ste lo
identifique en los
posee acceso.
de personal no autorizado.
Existencia de
El ambiente de produccin
de perfiles de acceso
de desarrollo y
personal temporal
de desarrollo en el
con acceso al
entorno de produccin.
entorno de
produccin.
de las mismas.
Inventario y depuracin
Adecuada segregacin
de funciones del
personal del rea de
sistemas.
Procedimiento de pase a
produccin.
Aplicaciones cuyo
El rea de seguridad
acceso no es
responsabilidades del
controlado por el
el proceso de asignacin de
rea de seguridad
rea de seguridad
informtica.
informtica.
Formalizacin de roles y
Traslado de la
responsabilidad del
control de accesos a
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Amenaza /
Vulnerabilidad
Estndar o medida de
Implicancia de Seguridad
seguridad a aplicar
usuario.
aplicaciones al rea de
seguridad informtica.
solicitud es el responsable de
los accesos que solicita para
los usuarios de su rea.
Falta de
conciencia en
seguridad por
seguridad y su implementacin
en temas relacionados a
la seguridad de
del Banco.
seguridad, se pueden
informacin.
establecer controles y un
Programa de
Capacitacin mediante
charlas, videos,
presentaciones, afiches,
ms dbil de la cadena de
recuerden
puede incrementar si el
permanentemente al
usuario la importancia
adecuada capacitacin y
de la seguridad de
orientacin en seguridad de
informacin.
informacin.
Falta de personal
con conocimientos
administracin de la seguridad
personal tcnico en
tcnicos de
informtica se requiere
temas de seguridad de
seguridad
informacin o inclusin
informtica.
elaboracin de polticas y
conocimientos de
administracin de seguridad
seguridad de
Capacitacin del
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Amenaza /
Estndar o medida de
Implicancia de Seguridad
Vulnerabilidad
seguridad a aplicar
en el rea de seguridad
informtica, as como
reas de seguridad
implementacin de controles y
informtica y sistemas.
configuracin de sistemas en
el rea de sistemas.
Falta de controles
adecuados para la
informacin que
herramienta Surf
envan los
Control.
usuarios hacia
Internet.
la fuga de informacin
reportes de la
efectividad de los
El Banco ha invertido en la
controles aplicados.
implementacin de una
Configuracin adecuada
Generacin peridica de
Implementacin de una
adecuada arquitectura
de red.
la configuracin de
Firewalls.
aplicado.
Implementacin y
administracin de
Vulnerabilidades:
herramientas para la
No existen controles
adecuados sobre el
de los correos
personal autorizado a
electrnicos enviados.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Amenaza /
Estndar o medida de
Implicancia de Seguridad
Vulnerabilidad
seguridad a aplicar
No existen herramientas de
inspeccin de contenido
para correo electrnico.
No existen
Existe informacin
controles
almacenada en las
procedimiento formal
adecuados para la
computadoras personales de
que contemple la
informacin
generacin de copia de
almacenada en las
respaldo de informacin
computadoras
importante de los
personales.
usuarios.
copias de respaldo de su
Establecimiento de un
Concluir el proceso de
informacin importante.
Vulnerabilidades:
operativo de las
El sistema operativo
computadoras
personales a Windows
2000 Professional o
de seguridad a la
Windows XP.
informacin existente en
Concientizacin de
ellas.
usuarios en temas
No existe un procedimiento
relacionados a la
seguridad de la
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Amenaza /
Estndar o medida de
Implicancia de Seguridad
Vulnerabilidad
seguridad a aplicar
de las carpetas
informacin.
El procedimiento para
realizar copias de respaldo
de la informacin
importante no es conocido
por todos los usuarios.
Diseo de arquitectura
inapropiada para
controlar accesos
desde redes
Banco.
de elementos de control
externas.
Vulnerabilidades:
de conexiones
(firewalls).
Existencia de redes
externas se conectan con
de seguridad de red.
Adecuada configuracin
Implementacin y
administracin de
proteccin de un firewall.
herramientas de
seguridad.
pblico no se encuentran
aislados de la red interna.
Fuga de
Es posible obtener la
informacin
encripcin de la data
estratgica
confidencial existente en
mediante
sustraccin de
computadoras porttiles.
Programas para
computadores
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Amenaza /
Estndar o medida de
Implicancia de Seguridad
Vulnerabilidad
seguridad a aplicar
porttiles.
Acceso no
autorizado a travs
segmentos de red
de enlaces
inalmbricos.
de seguridad especficas
segmento de red
inalmbrico mediante un
Firewall.
de la red inalmbrica.
Separacin del
Verificacin peridica de
la actividad realizada
desde la red
cercano.
inalmbrica.
Utilizacin de encripcin
.
Controles de
Posibilidad de acceso no
Implementacin de una
acceso hacia
adecuada arquitectura
Internet desde la
de red.
red interna.
equipos de terceros en
Internet.
Posibilidad de fuga de
Configuracin adecuada
de servidor Proxy.
informacin.
la configuracin de
Posibilidad de realizacin
Firewalls.
de actividad ilegal en
Implementacin y
equipos de terceros a
administracin de
travs de Internet.
herramientas para la
seguridad del contenido
de los correos
electrnicos enviados.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Amenaza /
Vulnerabilidad
Estndar o medida de
Implicancia de Seguridad
seguridad a aplicar
Monitoreo peridico de
la actividad, mediante el
anlisis de los registros
(logs) de los sistemas.
Iniciativa del
Implicancia de Seguridad
Estndar o medida de
Negocio
seguridad a aplicar
Datawarehouse.
Informacin sensible
Estndar de mejores
almacenada en un
prcticas de
repositorio centralizado,
seguridad para
requiere de controles de
Windows NT
acceso adecuados.
Estndar de mejores
La disponibilidad del
prcticas de
seguridad para
Windows
que soporta.
Plan de implantacin
de Datawarehouse.
Procedimientos para
otorgamiento de
perfiles.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Iniciativa del
Implicancia de Seguridad
Negocio
Estndar o medida de
seguridad a aplicar
Implementacin de
una arquitectura de
red segura.
Proyecto de
Consulta de informacin
Especificacin de
tercerizacin del
responsabilidades y
Call Center
obligaciones
Registro de informacin en
referentes a la
seguridad de la
terceros.
informacin del
Banco, en los
contratos con
terceros.
Especificacin de
acuerdos de nivel de
servicio.
Adecuados controles
de acceso a la
informacin
registrada en el
sistema
Proyecto de
El acceso de personal no
Estndares de
comunicacin con
seguridad para la
Conasev utilizando
almacenamiento de llaves
manipulacin y
firmas digitales
de encripcin (media,
revocacin de llaves
(Requerimiento de
smartcards, impresa)
de encripcin.
Conasev)
Implementacin de
controles de acceso a
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Iniciativa del
Implicancia de Seguridad
Negocio
Estndar o medida de
seguridad a aplicar
informacin.
dispositivos y llaves
de encripcin.
y encripcin de la
informacin se requiere el
ingreso de contraseas,
estas contraseas deben
ser mantenidas en forma
confidencial.
Digitalizacin
La disposicin de estos
Aplicacin de
(scanning) de
elementos en medios
estndares de
poderes y firmas.
digitales requiere de
seguridad de la
adecuados niveles de
plataforma que
contiene dicha
acceso no autorizado y
informacin.
ilegales.
Encripcin de la data
digitalizada.
Restriccin de
accesos a los
poderes y firmas
tanto a nivel de
aplicacin, como a
nivel de sistema
operativo.
Tercerizacin de
La administracin de
Clusulas de
operaciones de
confidencialidad y
sistemas y Help
establecimiento claro
Desk.
terceros representa un
de responsabilidades
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Iniciativa del
Implicancia de Seguridad
Negocio
Estndar o medida de
seguridad a aplicar
de los proveedores
posibilidad de fuga de
en los contratos,
informacin confidencial.
especificacin de
penalidades en caso
de incumplimiento.
Monitoreo peridico
de las operaciones
realizadas por
personal externo,
incluyendo la revisin
peridica de sus
actividades en los
registros (logs) de
aplicaciones y
sistema operativo.
Evitar otorgamiento
de privilegios
administrativos a
personal externo,
para evitar
manipulacin de
registros.
Proyecto de
El sistema SWIFT se
Estndar de mejores
interconexin del
encuentra en un segmento
prcticas de
Sistema Swift a la
seguridad para
servidores Windows
Banco.
seguridad de informacin.
NT
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Iniciativa del
Implicancia de Seguridad
Negocio
Estndar o medida de
seguridad a aplicar
Controles de acceso
a la aplicacin
dicho sistema se va a
SWIFT.
encontrar expuesto a
Estndares de
intentos de acceso no
encripcin de datos
la red de datos.
se comunican con l.
Acuerdos de
de copias de
guardan informacin
confidencialidad y
respaldo realizado
tiempo de respuesta
por Hermes.
banco, adicionalmente
deben encontrarse
el proveedor.
utilizadas en una
de respuesta del
emergencia y la
proveedor para
de backup en caso de
emergencia.
Verificacin peridica
del estado de las
cintas.
Procesamiento de
El almacenamiento de
Acuerdos de
transacciones de
confidencialidad y
tarjetas de crdito
tiempo de respuesta
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Iniciativa del
Implicancia de Seguridad
Negocio
Estndar o medida de
seguridad a aplicar
y dbito realizado
en contratos con el
por Unibanca.
no autorizada de
proveedor.
Estndares de
sus clientes.
encripcin de
informacin
transmitida.
El almacenamiento de
Acuerdos de
de Documentos
confidencialidad y
realizado por
tiempo de respuesta
terceros File
en contratos con
Service
no autorizada de
proveedores.
Verificacin peridica
sus clientes.
El almacenamiento de
de la documentacin.
El almacenamiento de
Acuerdos de
ensobrado de
confidencialidad en
estados de cuenta
contratos con
realizado por
proveedores.
Napatek
no autorizada de
Estndares de
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Iniciativa del
Implicancia de Seguridad
Negocio
Estndar o medida de
seguridad a aplicar
encripcin de datos
sus clientes.
transmitidos por
El envo de informacin
correo electrnico.
Verificacin de
integridad de la data
de transmisin seguro, o
transmitida.
Estndares de
informacin
informacin sensible
encripcin de datos
sensible a clientes
transmitidos.
y entidades
recaudadoras va
correo electrnico
Almacenamiento
El Banco almacena
Clasificacin y
fsico de
documentos importantes
etiquetado de la
informacin
de clientes, muchos de
informacin.
realizada al interior
del Banco.
confidencial, asimismo
controles fsicos de
acceso a la
informacin de
acuerdo a su
Implementacin de
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Iniciativa del
Implicancia de Seguridad
Negocio
Estndar o medida de
seguridad a aplicar
informacin importante. Se
debe asegurar que dicha
clasificacin.
Establecimiento de
condiciones
medidas de seguridad
apropiadas de
almacenamiento para
la integridad, disponibilidad
evitar su deterioro.
y confidencialidad de la
informacin.
Mantenimiento de un
registro de entrada y
salida de activos de
los archivos.
Acceso de
Clusulas de
personal de
confidencialidad y
Rehder a la red de
establecimiento claro
de responsabilidades
no autorizado a los
de los proveedores
sistemas.
en los contratos,
especificacin de
penalidades en caso
de incumplimiento.
Monitoreo de
actividad realizada
por personal externo.
Restricciones de
acceso a Internet
configurados en el
firewall.
Centro de
Especificacin de
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Iniciativa del
Implicancia de Seguridad
Negocio
Estndar o medida de
seguridad a aplicar
Contingencia
acuerdos de nivel de
ubicado en el TIC
encontrarse siempre
servicio y
de Telefnica
penalidades en caso
Data.
utilizados en casos de
de incumplimiento en
emergencia.
contratos con
Se debe asegurar la
proveedores.
integridad de la informacin
contingencia.
de respaldo y el grado de
Verificacin peridica
actualizacin de la misma
de la disponibilidad
de los sistemas y
produccin.
grado de
actualizacin de la
informacin.
Atencin en Front
Office.
Acuerdos de niveles
sistemas de
de servicio en
comunicaciones deben
contratos con
encontrarse disponibles en
proveedores de
comunicaciones.
Verificacin peridica
clientes.
de disponibilidad de
Los periodos de
los sistemas.
Implementacin de
mtricas de
rendimiento y
disponibilidad de los
sistemas.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Iniciativa del
Implicancia de Seguridad
Negocio
Soporte de IBM al
Servidor AS/400.
El servidor AS/400 es el
Estndar o medida de
seguridad a aplicar
Clusulas de
confidencialidad y
establecimiento claro
de responsabilidades
de los proveedores
en los contratos,
especificacin de
penalidades en caso
de incumplimiento.
Asignacin de un
proveedor accede
usuario distinto al
peridicamente al equipo,
no autorizado a
privilegios mnimos
informacin existente en el
necesarios.
mismo.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Captulo VI
6.1
Definicin
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
6.2
CUMPLIMIENTO OBLIGATORIO
ORGANIZACIN DE LA SEGURIDAD
Usuario
Custodio de informacin
Propietario de informacin
Auditor interno
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Datos que tienen un alto riesgo de ser blanco de fraude u otra actividad
ilcita:
- Datos contables utilizados en sistemas
- Sistemas que controlan desembolsos de fondos
6.4.3 Definiciones
Restringida: Informacin con mayor grado de sensibilidad; el acceso a
esta informacin debe de ser autorizado caso por caso.
Confidencial: Informacin sensible que solo debe ser divulgada a
aquellas personas que la necesiten para el cumplimiento de sus
funciones.
Uso Interno: Datos generados para facilitar las operaciones diarias;
deben de ser manejados de una manera discreta, pero no requiere de
medidas elaboradas de seguridad.
General: Informacin que es generada especficamente para su
divulgacin a la poblacin general de usuarios.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
General
con
informacin
correspondiente
otra
clasificacin.
Todo usuario, antes de transmitir informacin clasificada como
Restringida o Confidencial, debe asegurarse que el destinatario de la
informacin est autorizado a recibir dicha informacin.
Todo usuario que requiere acceso a informacin clasificada como
Restringida o Confidencial, debe ser autorizado por el propietario de
la misma. Las autorizaciones de acceso a este tipo de informacin
deben ser documentadas.
La clasificacin asignada a un tipo de informacin, solo puede ser
cambiada por el propietario de la informacin, luego de justificar
formalmente el cambio en dicha clasificacin.
Informacin en formato digital, clasificada como Restringida, debe ser
encriptada con un mtodo aprobado por los encargados de la
administracin de seguridad de la informacin, cuando es almacenada
en cualquier medio (disco duro, disquetes, cintas, CDs, etc.).
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
medios
de
almacenamiento,
incluyendo
discos
duros
de
6.4.4.2
documento
que
presente
informacin
clasificada
como
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Concientizacin peridica
Estudios muestran que la retencin y el conocimiento aplicable se
incrementa considerablemente cuando el tema es sujeto a revisin. Los
usuarios deben de ser informados anualmente sobre la importancia de la
seguridad de la informacin. Un resumen escrito de la informacin bsica
debe de ser entregada nuevamente a cada empleado y una copia firmada
debe de ser guardada en sus archivos.
La capacitacin en seguridad debe de incluir, pero no estar limitado, a los
siguientes aspectos:
-
Programas de cumplimiento
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Registro de fallas
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
6.6
Entrega en persona
FSICA
DE
LAS
INSTALACIONES
DE
PROCESAMIENTO DE DATOS
Se deben implementar medidas de seguridad fsica para asegurar la
integridad de las instalaciones y centros de cmputo. Las medidas de
proteccin deben ser consistentes con el nivel de clasificacin de los
activos y el valor de la informacin procesada y almacenada en las
instalaciones.
6.6.1 Proteccin de las instalaciones de los centros de datos
Un centro de procesamiento de datos o de cmputo es definido como
cualquier edificio o ambiente dentro de un edificio que contenga equipos
de almacenamiento, proceso o transmisin de informacin. Estos incluyen
pero no se limitan a los siguientes:
-
Consolas de administracin
Equipos de telecomunicaciones
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Asignacin
de
responsables
para
la
supervisin
de
dichas
actividades
-
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
6.7.1.5
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
establecidos
por
los
Propietarios
de
informacin,
Las cintas con copias de respaldo deben ser enviadas a un local remoto
peridicamente, basndose en un cronograma determinado por la
gerencia del Banco.
Los mensajes electrnicos, as como cualquier informacin considerada
importante, deben ser guardados en copias de respaldo y retenidos por
dispositivos automticos.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Todos los sistemas deben proveer pistas de auditoria del ingreso a los
sistemas y violaciones de los mismos. A partir de estos datos, los
custodios de los sistemas deben elaborar reportes peridicos los cuales
deben ser revisados por el rea de seguridad informtica. Estos reportes
tambin deben incluir la identidad del usuario, y la fecha y hora del
evento. Si es apropiado, las violaciones deben ser reportadas al gerente
del individuo. Violaciones repetitivas o significantes o atentados de
accesos deben ser reportados al gerente a cargo de la persona y al rea
de seguridad de la informacin.
Estructura
Todas las contraseas deben tener una longitud mnima de ocho (8)
caracteres y no deben contener espacios en blanco.
Las contraseas deben ser difciles de adivinar. Palabras de diccionario,
identificadores de usuario y secuencias comunes de caracteres, como
por ejemplo 12345678 o QWERTY, no deben ser empleadas. As
mismo, detalles personales como los nombres de familiares, nmero de
documento de identidad, nmero de telfono o fechas de cumpleaos no
deben ser usadas salvo acompaados con otros caracteres adicionales
que no tengan relacin directa. Las contraseas deben incluir al menos
un carcter no alfanumrico. Las contraseas deben contener al menos
un carcter alfabtico en mayscula y uno en minscula.
6.8.2.2
Vigencia
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
6.8.2.3
Reutilizacin de contraseas
Seguridad de contraseas
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
para
prevenir
que
stas
sean
observadas
recuperadas.
-
Los programas deben poder generar una pista de auditoria de todos los
accesos y violaciones.
Las violaciones de los controles de acceso deben ser registradas y
revisadas por el propietario o por el personal del rea de sistemas
custodio de los datos. Las violaciones de seguridad deben ser reportadas
al gerente del empleado y al rea responsable de la administracin de la
seguridad de la informacin.
Se debe tener cuidado particular en todos los ambientes para asegurar
que ninguna persona tenga control absoluto. Los operadores de sistemas,
por ejemplo, no deben tener acceso ilimitado a los identificadores de
superusuario. Dichos identificadores de usuario, son solo necesarios
durante una emergencia y deben ser cuidadosamente controlados por la
gerencia usuaria, quien debe realizar un monitoreo peridico de su
utilizacin.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
los
disquetes,
cintas,
CDs
otros
dispositivos
de
6.8.9.2
Estndares generales
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
6.8.9.3
Todas las conexiones de red internas y externas deben cumplir con las
polticas del Banco sobre servicios de red y control de acceso. Es
responsabilidad del rea de sistemas de informacin y seguridad de
informacin determinar lo siguiente:
- Elementos de la red que pueden ser accedidos
- El procedimiento de autorizacin para la obtencin de acceso
- Controles para la proteccin de la red.
Todos los servicios habilitados en los sistemas deben contar con una
justificacin coherente con las necesidades del negocio. Los riesgos
asociados a los servicios de red deben determinarse y ser resueltos
antes de la implementacin del servicio. Algunos servicios estrictamente
prohibidos incluyen TFTP e IRC/Chat.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
6.8.9.4
Segmentacin de redes
Acceso remoto(dial-in)
Los usuarios que ingresen a los sistemas del Banco mediante acceso
remoto (dial-in) deben ser identificados antes de obtener acceso a los
sistemas. Por lo tanto, dicho acceso debe ser controlado por un equipo
que permita la autenticacin de los usuarios al conectarse a la red de
datos.
Tcnicas y productos apropiadas para el control de los accesos remotos
(dial-in) incluyen:
-
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
6.8.9.7
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
de
seguridad.
Esto
incluye
errores
en
autenticacin,
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
La utilizacin de programas para el control remoto de equipos como PCAnywhere est prohibida a menos que se cuente con el consentimiento
formal del administrador de seguridad. La utilizacin inapropiada de este
tipo de programas puede facilitar el acceso de un intruso a los sistemas
de informacin del Banco.
6.8.13.2 Acceso remoto
Medidas de seguridad adicionales deben ser implementadas para
proteger la informacin almacenada en dispositivos mviles. Entre las
medidas a tomarse se deben incluir:
- Encripcin de los datos
- Contraseas de encendido
- Concientizacin de usuarios
- Proteccin de la data transmitida hacia y desde dispositivos mviles.
Ej. VPN, SSL o PGP.
- Medidas de autenticacin adicionales para obtener acceso a la red de
datos. Ej. SecureID tokens.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Todos los accesos dial-in/dial-out deben contar con autorizacin del rea
de seguridad informtica y deben contar con la autorizacin respectiva
que justifique su necesidad para el desenvolvimiento del negocio.
6.9 DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS
El diseo de la infraestructura del Banco, las aplicaciones de negocio y las
aplicaciones del usuario final deben soportar los requerimientos generales de
seguridad documentados en la poltica de seguridad del Banco. Estos
requerimientos deben ser incorporados en cada paso del ciclo de desarrollo de
los sistemas, incluyendo todas las fases de diseo, desarrollo, mantenimiento y
produccin.
Los requerimientos de seguridad y control deben estar:
- determinados durante cualquier diseo de sistemas,
- desarrollados dentro de la arquitectura del sistema
- implementados en la instalacin final del sistema.
Adicionalmente, todo los procesos de desarrollo y soporte a estos sistemas
deben seguir los requerimientos de seguridad incluidos en esta poltica de
seguridad.
6.9.1 Requerimientos de seguridad de sistemas
6.9.1.1
Control de cambios
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
procedimientos
de
prueba
deben
estar
adecuadamente
6.10
CUMPLIMIENTO NORMATIVO
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Los programas no pueden ser copiados salvo dentro del lmite acordado
con el proveedor (por ejemplo, copias de respaldo para proteccin). Los
empleados o contratistas que realicen copias adicionales para evitar el
costo de adquisicin de otro paquete sern hechos responsables de sus
acciones.
6.11
las
herramientas,
incluyendo
programas,
aplicaciones,
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
6.12
Esta poltica se aplica a todos los empleados del Banco involucrados con
comercio electrnico y a los socios de comercio electrnico del Banco. Los
socios de comercio electrnico del Banco incluyen las unidades de negocio
de la organizacin, los clientes, socios comerciales y otros terceros.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
manejen
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
6.12.1.2 Divulgacin
El Banco debe proveer suficiente informacin sobre la propia transaccin
en lnea, para permitir que los clientes tomen una decisin informada
sobre si ejecutar las transacciones en lnea.
Informacin divulgada debe incluir, pero no estar limitada a:
- Trminos de transaccin;
- Disponibilidad de producto e informacin de envo; y
- Precios y costos.
El Banco debe tambin brindar al cliente las opciones de:
- Revisin y aprobacin de la transaccin; y
- Recepcin de una confirmacin.
6.12.2 Transferencia electrnica de fondos
Transacciones de valor, sobre redes de telecomunicacin, que resulten de
movimientos de fondos, deben estar protegidas con medidas que sean
proporcionales a la prdida potencial debido a error o fraude. En sistemas
donde el valor promedio de transaccin excede los $50,000 o
en los
INFORMACIN
ALMACENADA
EN
MEDIOS
DIGITALES
FSICOS
Toda informacin almacenada en cualquier dispositivo o medio del Banco,
incluyendo disquetes, reportes, cdigos fuentes de programas de
computadora, correo electrnico y datos confidenciales de los clientes, es
propiedad del Banco.
Las prcticas de seguridad de datos deben ser consistentes para ser
efectivas. Los datos sensibles deben ser protegidos, sin importar la forma
en que sean almacenados.
6.13.1 Etiquetado de la informacin
Toda informacin impresa o almacenada en medios fsicos transportables
(cintas de backup, cds, etc.) que sean confidenciales o restringidas,
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
deben estar claramente etiquetadas como tal, con letras grandes que
sean legibles sin la necesidad de un lector especial.
Todo documento o contenedor de informacin debe ser etiquetado como
Restringida, Confidencial, de Uso interno o de Acceso General,
dependiendo de la clasificacin asignada.
Todo documento en formato digital o impreso, debe presentar una
etiqueta en la parte superior e inferior de cada pgina, con la clasificacin
correspondiente.
Todo documento clasificado como Confidencial o Restringido debe
contar con una cartula en la cual se muestre la clasificacin de la
informacin que contiene.
6.13.2 Copiado de la informacin
Reportes confidenciales y restringidos no deben ser copiados sin la
autorizacin del propietario de la informacin.
Reportes confidenciales pueden ser copiados slo para los individuos
autorizados a conocer su contenido. Los gerentes son los responsables
de determinar dicha necesidad, para cada persona a la cual le sea
distribuido dicho reporte.
Los reportes restringidos deben ser controlados por un solo custodio,
quin es responsable de registrar los individuos autorizados que soliciten
el documento.
El copiado de cualquier dato restringido o confidencial almacenado en un
medio magntico debe ser aprobado por el propietario y clasificado al
igual que el original.
6.13.3 Distribucin de la informacin
La informacin confidencial y restringida debe ser controlada cuando es
trasmitida por correo electrnico interno, externo o por courier. Si el
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
usuario,
antes
de
transmitir
informacin
clasificada
como
transmisin
de
informacin
clasificada
como
Restringida
Los
medios
de
almacenamiento,
incluyendo
discos
duros
de
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Captulo VII
Clasificacin de la Informacin
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
7.1
Clasificacin de Informacin
Dependencia
Ninguna
Tiempo estimado
16 22 semanas
Objetivo
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Etapas
clasificados.
Determinacin de las medidas de seguridad a ser
7.2
Dependencia
Ninguna
Tiempo
11 17 semanas
estimado
Objetivo
Para
evitar
manipulacin
de
los
equipos
de
Elaboracin
de
un
inventario
de
equipos
de
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
de
contenido,
quin
revisar
el
B.3. Implementar
servicios
de
un
sistema
Internet
de
(SMTP,
Antivirus
FTP,
para
HTTP).
travs
del
cual
pasarn
las
en
informacin
las
crtica
conexiones
y
se
donde
requiera
una
fluye
alta
Asimismo
se
recomienda
la
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
C.
7.3
Firewall
Dependencia
Ninguna
Tiempo
9 - 12 semanas
estimado
Objetivo
Etapas
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Dependencia
Ninguna
Tiempo
estimado
Objetivo
Etapas
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
7.5
Dependencia
Ninguna
Tiempo
estimado
Objetivo
5-7 semanas
Etapas
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
7.6
Dependencia
Actividad A.
Tiempo
20 30 semanas
estimado
bjetivo
Etapas
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
7.7
Dependencia
Ninguna
Tiempo
12 semanas
estimado
Objetivo
Etapas
7.8
Dependencia
Actividad B.
Tiempo
8 semanas
estimado
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Objetivo
Etapas
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
7.9
Los proyectos antes mencionados deben ser liderados por el rea de seguridad informtica y sus responsables deben
ser definidos individualmente para cada uno de ellos. A continuacin se presenta un cronograma sugerido para la
realizacin de las actividades correspondientes al presente plan de implementacin:
ACTIVIDAD
Mes Mes
1
2
Clasificacin de Informacin
Seguridad de red y comunicaciones
Inventario de Accesos a los sistemas
Adaptacin de contratos con proveedores
Campaa de concientizacin de usuarios.
Verificacin y adaptacin de los sistemas del
Banco.
Estandarizacin de la configuracin del software
base
Revisin y adaptacin de procedimientos
complementarios
Nota: La duracin de los proyectos est sujeta a variaciones dependientes a la situacin existente y el anlisis realizado
previo a cada actividad
CONCLUSIONES Y RECOMENDACIONES
la
Informacin?
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
ANEXOS
A. DISEO DE ARQUITECTURA DE SEGURIDAD DE RED
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Srvase tomar nota que, en uso de las atribuciones conferidas por el numeral 7 del
artculo 349 de la Ley General del Sistema Financiero y del Sistema de Seguros y
Orgnica de la Superintendencia de Banca y Seguros - Ley N 26702 y sus
modificatorias, en adelante Ley General, y por la Resolucin SBS N 1028-2001
del 27 de diciembre de 2001, con la finalidad de establecer criterios mnimos para
la identificacin y administracin de los riesgos asociados a la tecnologa de
informacin, a que se refiere el artculo 10 del Reglamento para la Administracin
de los Riesgos de Operacin, aprobado mediante la Resolucin SBS N 006-2002
del 4 de enero de 2002, esta Superintendencia ha considerado conveniente
establecer las siguientes disposiciones:
Alcance
Artculo 1.- Las disposiciones de la presente norma son aplicables a las empresas
sealadas en los artculos 16 y 17 de la Ley General, al Banco Agropecuario, a
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Responsabilidad de la empresa
Artculo 3.- Las empresas deben establecer e implementar las polticas y
procedimientos necesarios para administrar de manera adecuada y prudente los
riesgos de tecnologa de informacin, incidiendo en los procesos crticos
asociados a dicho riesgo, considerando las disposiciones contenidas en la
presente norma, en el Reglamento, y en el Reglamento del Sistema de Control
Interno aprobado mediante la Resolucin SBS N 1040-99 del 26 de noviembre de
1999.
La administracin de dicho riesgo debe permitir el adecuado cumplimiento de los
siguientes criterios de control interno:
i.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
ii.
iii.
iv.
v.
vi.
Las actividades mnimas que deben desarrollarse para implementar el PSI, son las
siguientes:
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
de
registros
adecuados
que
permitan
verificar
el
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Separacin
del
ambiente
de
produccin
el
de
desarrollo.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
15
.-
Las
empresas
deben
adoptar
medidas
que
aseguren
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Las empresas autorizadas para operar en otros mdulos, para la verificacin del
cumplimiento antes sealado, debern asegurar una combinacin apropiada de
auditoria interna y/o externa, compatible con el nivel de complejidad y perfil de
riesgo de la empresa. La Superintendencia dispondr un tratamiento similar a las
empresas pertenecientes al mdulo 3, cuando a su criterio la complejidad de sus
sistemas informticos y su perfil de riesgo as lo amerite.
Informacin a la Superintendencia
Artculo 18.- El informe anual que las empresas deben presentar a la
Superintendencia, segn lo dispuesto en el Artculo 13 del Reglamento, deber
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Atentamente,
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
1.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
De
Brecha
Se
debera
contemplar
los
siguientes aspectos:
Divisin de Riesgo: rgano dependiente de la
Definicin y mantenimiento de
que
adecuadamente
asociados a la tecnologa de
informacin.
los
riesgos
departamento
Tecnolgicos
de
cargo
Riesgos
de
la
Operativos
Srta.
Patricia
administrar
los
riesgos
denominados
permita
TI.
La
responsabilidad
de
la
seguridad de la Informacin
Pacheco.
El Departamento de Riesgos
Operativos
Tecnolgicos
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Anlisis
Situacin Actual
De
Brecha
debera
contar
con
estructura
acorde
riesgos
de
indicadores
Auditoria
de
Sistemas:
Entre
otras,
sus
Efectuar
peridicas
de
la
tecnologa
que
ayuden
Tecnolgicos
debera
definir
los
mencionados
indicadores
en
conjunto
evaluaciones
los
El Departamento de Riesgos
Operativos
con
una
con
el
rea
de
de
Sistemas
Soporte
existe
dentro
de
la
estructura
roles
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Anlisis
Situacin Actual
De
Brecha
Se
siguientes aspectos:
deberan
contemplar
los
Evaluacin
seguridad
de
a
riesgos
los
de
que
est
expuesta la informacin.
Inventario
de
riesgos
de
seguridad de la informacin.
Seleccin
objetivos
de
de
controles
control
para
Mantenimiento
de
adecuados
registros
que
permitan
otros
mantener
pistas
de
auditoria.
2.1 POLTICAS, ESTNDARES Y P ROCEDIMIENTOS DE S EGURIDAD
2.1
Declaracin
escrita
de
la
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Anlisis
Situacin Actual
De
Brecha
en
la
integridad,
disponibilidad
poltica.
confidencialidad.
Definicin de la propiedad de la
Poltica.
Polticas
debidamente
comunicadas.
continuacin.
Definicin de responsabilidades
de la seguridad.
Confirmacin de usuarios de
conocimiento de la poltica.
La
aspectos, de:
debera
Definicin de procedimientos
formales para la administracin
de perfiles y usuarios.
mismos.
Identificacin
nica
de
usuarios.
Controles
sobre
herramientas
utilidades
sistema.
personal
de
responsabilidad
de
los
usuarios.
Lgica
Seguridad
de
el
uso
auditoria
sensibles
de
y
del
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Anlisis
Situacin Actual
De
Brecha
Controles
sobre
usuarios
Administracin
restringida
de
Se debera considerar:
Procedimientos de revisin de
datos
otros aspectos:
su
Referencias
de
carcter,
verificacin
de
estudios,
de trabajo.
revisin
Normalizacin
de
entrega
informacin
los
actuales
de
el
proceso
contratacin
de
(Ex.
independiente
de
identidad)
dicha
trabajadores
en
de
manejo
conocimiento.
confidencial
de
a
informacin
los
nuevos
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Anlisis
Situacin Actual
De
Brecha
Definicin
apropiada
responsabilidad
personal
seguridad
nuevo,
la
verificacin
de
distintos
de
sobre
es
parte
la
de
los
trminos y condiciones de la
aceptacin
del
empleo
(ex.
Trminos en el contrato).
al
actividades
monitoreo
en
la
de
red
Se
aspectos, de:
siguientes aspectos:
reas seguras
Procedimientos de reubicacin de
empleados
los
fsicos e instalaciones
considerar
Banco.
debera
Procedimientos de Remocin o
reubicacin de activos.
Aseguramiento
de
oficinas,
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Anlisis
Situacin Actual
De
Brecha
datos .
Seguridad de Equipos
Aseguramiento de Cableado
siguientes aspectos:
Acciones y planes de
mantenimiento de equipos
del
Banco
no
existen
normas
activos fsicos
Proteccin de equipos
uso
reiterado
seguro
de
Controles generales
Se
licencias
siguientes aspectos:
hardware
razonablemente
actualizados
Sin
embargo
carece
de
inventarios
de
debera
Un
considerar
catlogo
activos
de
fsicos
los
todos
de
los
la
activo,
responsable
Banco.
criticidad.
Un
ubicacin
catlogo
fsica,
nivel
de
de
todos
los
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Anlisis
Situacin Actual
De
Brecha
herramientas
de
desarrollo,
otros,
ubicacin
vendedor,
lgica
fsica,
Un catlogo o descripcin de
alto nivel de todos los activos
de
informacin
mas
importantes de la organizacin.
Debe indicar informacin como
tipo de data, ubicacin lgica o
fsica, responsable o dueo de
la informacin, clasificacin de
la
informacin
nivel
de
criticidad.
Un
listado
de
servicios
todos
tales
como
comunicaciones,
servicios
cmputo,
generales,
documentar
los
la
etc.
informacin
unidades
afectadas
por
de
el
servicio.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Anlisis
Situacin Actual
De
Brecha
de
confidencialidad, integridad y
disponibilidad.
Asignacin
de
la
responsabilidad de clasificacin
Procedimientos
de
mantenimiento
de
la
clasificacin
3 ADMINISTRACIN DE OPERACIONES Y COMUNICACIONES
El Banco cuenta con:
Se
deberan
considerar
los
siguientes aspectos:
Procedimientos
responsabilidades
de
operacin.
Procedimientos
responsabilidades de operacin.
procedimientos
de
operaciones
en
los
sistemas de informacin
Procesos
de
revisin
reporte
procedimientos
operacin
de
as
de
como
operaciones.
procedimientos y niveles de
mantenimiento.
conformidad
de
dichas
Programacin de trabajos o
procesos
correctamente
los
ambientes
de
produccin
las
de
ser
documentada,
ejecuciones.
desarrollo.
debe
Administracin
de
facilidades
externas.
Cambios a los programas;
Pase a produccin; y
un
tercero,
debe
ser
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Anlisis
Situacin Actual
De
Brecha
Administracin de versiones
Adecuada
segregacin
de
funciones
riesgos
en
seguridad
para
Control
en
cambios
operacionales.
Proteccin contra software malicioso.
Controles
de
proteccin
software
malicioso
revisin
peridica
del
contra
virus
procedimientos
cumplimiento
de
incluyendo
dispositivos,
software,
cableado
definidos
auditor de sistemas.
adecuadamente
registrados.
Segregacin de funciones
Roles
responsabilidades
las
mantienen
funciones
mencionadas
independientes.
Sin
se
embargo,
segregadas.
deben
Posee
documentados.
acceso
tambin
la
lnea
de
ser
ser
correctamente
Roles
responsabilidades
en
actividades
pase
de
produccin
y
las
a
correctamente
definidos y segregados.
deben
cambios
adecuadamente aprobados.
Los
Adecuada
ambientes
separacin
de
produccin
de
y
desarrollo.
Operaciones de verificacin
Estndar de administracin de
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Anlisis
Situacin Actual
De
Brecha
Procedimientos
de
generacin
cambios
Se
usan
formatos
de
reporte
de
incluyendo
cambios de emergencia.
definido,
las
Administracin de incidentes de
seguridad.
Administracin de Red
Definicin de procedimientos y
equipos
de
respuesta
ante
incidentes de seguridad.
Segregacin de funciones.
respecto a la Internet.
operacin
de
administracin de aplicaciones,
almacenamiento de informacin.
de
IT
deben
ser
correctamente segregadas.
tercero.
Planeamiento de sistemas.
Procedimientos
formales
definidos de planeamiento de
recursos.
Proteccin
malicioso.
Controles
contra
software
preventivos
deteccin
sobre
software
de
el
uso
y
de
procedencia
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Anlisis
Situacin Actual
De
Brecha
Operaciones de verificacin
de
copias
de
respaldo.
Administracin de Red
Adecuados
controles
de
operacin
de
red
implementados.
Proteccin
de
comunicaciones
dispositivos
accesos,
la
red
usando
de
control
procedimientos
de
y
de
intrusos)
procedimientos de reporte.
Manipulacin
seguridad
de
dispositivos de almacenamiento
de informacin.
almacenamiento
documentacin de sistemas.
Intercambio
de
informacin
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Anlisis
Situacin Actual
De
Brecha
Controles de seguridad en el
Correo electrnico y cualquier
otro medio de transferencia de
informacin
(Ex.
Normas,
Seguridad
en
la
Banca
Electrnica.
4 DESARROLLO Y MANTENIMIENTO
El Banco cuenta con:
Contar
con
metodologas
estndares
actividades
desarrollo y mantenimiento de
como
tareas
dentro
de
un
proyecto:
formales
de
sistemas.
Definiciones
Perfil
Definiciones funcionales
Especificaciones funcionales
Diagrama de procesos
para
Prototipo
Plan de Trabajo
Control de acceso
Definiciones tcnicas
Autorizacin
Diagrama de Contexto
Criticidad
Modelo de datos
Cartilla tcnica
Cartilla de operador
Cartilla de usuario
Pruebas y capacitacin
la
aplicacin,
estos
del
sistema
Clasificacin de la
informacin
Disponibilidad
del
sistema
Integridad
confidencialidad
y
de
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Anlisis
Situacin Actual
De
Brecha
Pase a produccin
la informacin.
data.
requerimientos de control.
no autorizados e integridad de
Procesos
en
lote
("batch")
iniciales
que
mantienen
validan
la
fin
de
la informacin.
afectada
procesamiento.
por
un
mal
revisar
toda
sistema
llamado SUCAVE.
personal autorizado.
estas
rutinas
se
mantienen
actividades
Uso
de
informacin,
tcnicas
de
encriptacin estndar.
de
apoyado
informticos
por
en
el
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Anlisis
Situacin Actual
De
Brecha
produccin.
La
Procedimientos
formales
metodologa
mantenimiento
de
de
desarrollo
aplicaciones
indica
la
y/o
embargo,
nuevos
no
requerimientos;
existe
sin
procedimientos
las
pruebas
realizadas
ni
para
la
5 PROCEDIMIENTOS DE R ESPALDO
Se cuenta con un procedimiento formalizado para
clave:
frecuencia
diaria,
dos
copias
tres
Aseguramiento
de
el
generacin
de
generaciones.
proceso
copias
frecuencia
culminado exitosamente.
diaria,
generaciones.
dos
copias
tres
de
que
de
respaldo
Procedimientos
haya
que
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Anlisis
Situacin Actual
De
Brecha
El tiempo de almacenamiento
generaciones.
Se debera considerar:
Generacin
de
Contingencias
Plan
que
de
abarque
una
metodologa
formal.
Procedimientos
revisin
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Anlisis
Situacin Actual
De
Brecha
Existencia
de
preparativos
continuidad
del
procesamiento
computadorizado (existe centro
de procesamiento alterno).
Una
copia
del
plan
de
contingencias se almacena en
una sede remota y ser de fcil
acceso
en
caso
de
que
Preparativos de contingencia
para el hardware y software de
comunicaciones y redes.
los
sistemas
de
programas
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Anlisis
Situacin Actual
De
Brecha
de
negocios,
continuidad
de
identificando
las
(por
ej.
Explosin,
Deberan
existir
planes
de
El
plan
de
debera
contingencias
contemplar
necesidades
las
de
departamentos
trminos
los
usuarios
de
en
traslados,
ubicacin y operacin.
-
El
plan
debera
de
contingencias
asegurar
que
se
El
cronograma
recuperacin
de
cada
para
la
funcin
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Anlisis
Situacin Actual
De
Brecha
peridicamente
para
incluir
la
prdida
del
servicio
de tarjetas (diario)
Informacin
necesaria
tarjetas
no cumplirse el contrato.
de
controles
de
seguridad
polticas
garantizar
el
para
cumplimiento
de
los
requerimientos.
TELEFONICA: Centro de procesamiento de
datos de respaldo. Entrar en operatividad el
31 de Mayo.
Acuerdos
aplicarse
Requerimientos de seguridad y
El derecho de la entidad, y la
Superintendencia de Banca y
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Anlisis
Situacin Actual
De
Brecha
los
aplicados
sistemas.
Banco.
controles
a
de
la
data
Documentacin
controles
seguridad
y
sobre
fsicos
los
los
lgicos,
Determinacin
de
requerimientos
incluyendo
los
legales,
privacidad
proteccin de la data.
Procedimiento
que
asegure
realizar
pruebas
que
procesan
normativo
controles para el
relativo
al
uso
de
emitidas
Superintendencia.
por
la
sistemas.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Anlisis
Situacin Actual
De
Brecha
Compromiso
firmado
por
los
usuarios
Procedimientos
de
establecidos
para
emitidas
Superintendencia.
el
por
Control
de
normas
sobre
por ley.
intelectual
control
la
cumplimiento
la
de
propiedad
(licenciamiento
de
software).
Sin embargo:
8 PRIVACIDAD DE LA INFORMACIN
El Banco no cuenta con:
Definicin de responsabilidades
con respecto a la aplicacin del
secreto
bancario
de
la
privicidad de la Informacin.
Restricciones
de
acceso
informacin en salvaguarda de
bancario.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Anlisis
Situacin Actual
De
Brecha
Existencia
internas
de
para
autorizaciones
la
entrega
transferencia de informacin.
En el rea de sistemas se han implementado
controles respecto a la limitacin de acceso a
informacin de clientes y se ha registrado
evidencia de incidentes y acciones tomadas por
auditoria interna, dicha situacin no se replica en
las distintas reas del Banco.
9 AUDITORIA INTERNA Y EXTERNA
El Banco no cuenta con:
Un
rea
incluyendo
de
en
Se debera considerar:
auditoria
su
plan
interna
de
que
auditoria
esta
el
105-2002 de la Superintendencia.
del
cumplimiento
de
lo
interno
comentarios
con
procedimientos
polticas
para
la
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
BIBLIOGRAFA
1.
2.
3.
4.
5.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM