Integrantes : LLERENA MAMANI GERARD

INTRODUCCION

La liberalizacin y la globalizacin de los servicios financieros, junto con la creciente sofisticacin de la tecnologa financiera, estn haciendo cada vez ms diversas y complejas las actividades de los bancos en trminos de Seguridad.

En otros tiempos la seguridad de la informacin era fcilmente administrable, slo bastaba con resguardar los documentos ms importantes bajo llave y mantener seguros a los empleados que poseen el conocimiento poniendo guardias de seguridad. Hoy en da es ms difcil.

Los sistemas electrnicos entraron en las oficinas y obligaron a los sistemas de seguridad a evolucionar para mantenerse al da con la tecnologa cambiante. Luego, los negocios, an las empresas ms pequeas, se conectaron a Internet (una amplia red pblica con pocas reglas y sin guardianes). Las computadoras no atacan a las empresas, lo hace la gente. Los empleados bien capacitados tienen mayores oportunidades de detectar y prevenir los incidentes de seguridad antes de que la empresa sufra algn dao. Pero para que los empleados sean activos, se requiere que entiendan como reconocer, responder e informar los problemas lo cual constituye la piedra angular de la empresa con conciencia de seguridad lo que nosotros llamamos cultura de seguridad

1. DATOS GENERALES DE LA EMPRESA

La caja municipal de ahorro y crdito de Arequipa inicio operaciones el 10 de marzo de 1986 como institucin de intermediacin financiera de derecho publico, con autonoma econmica, financiera y adminstrativa. La entidad fue autorizada a funcionar mediante resolucin SBS N 042-86 y se rige por el decreto supremo N15790 EF , la ley general del sistema financiero y la ley general de sociedades.

El principal objetivo de la caja es ser lder en el sector de las empresas dedicadas a las microfinanzas del pas. Durante el ejercicio 2012, CMAC Arequipa , en lnea con un plan estratgico, estuvo inmerso en la apertura de nuevas agencias , cajeros automaticos y corresponsales, otorgndoles una mayor cobertura de mercado

SECTOR DE LA ACTIVIDAD A LA QUE SE DEDICA LA EMPRESA La actividad a la que se dedica la empresa CMAC AREQUIPA es financiero DEFINICION DEL GIRO ESPECFICO DE LA EMPRESA: Banca

Actividad a la que se dedican los empleados 4.1 En actividades adjetivas o de soporte 4.2 En actividades sustantivas (produccin o venta) 4.3 En tecnologa de Informacin

Nmero
11

15

13

DIRECTORIO DE LA EMPRESA

A la fecha del presente informe, el directorio del CMAC Arequipa se encuentra conformado por las siguientes personas: Sr. Alberto Vicente Arredondo Polar Presidente del Directorio , Representante de Cofide. Sr.Antonio victor Morales Gonzales Vicepresidente del Directorio , Representante de la Municipalidad Provincial de Arequipa Sr. Cesar Arriaga Pacheco Director, Representante del Clero. Sr. Diego Muoz Najar Rodrigo Director , Representante de la Camara de Comercio e industria de Arequipa. Sr. Edgardo Paredes Briceo Director , Representante de la Municipalidad Provincial de Arequipa. Sr. Jorge Luis Caceres Arce Director Representante de la Municipalidad Provincial de Arequipa Lic. Leslie Carol Chirinos Gutierrez Director , Representante de los Pequeos Comerciantes o Productores de la Region Arequipa.

PLANA GERENCIAL

PROCESO Y OPERACIONES DE LA EMPRESA

Transacciones Retiros Depsitos Cobros Pagos Prestaciones Financiamientos

DESCRIPCIN LA ORGANIZACIN DE LA EMPRESA

DESCRIPCIN DE LAS UBICACIONES GEOGRFICAS EN DONDE TIENE OPERACIONES LA EMPRESA

La Caja CMAC Arequipa cuenta con 85 agencias a nivel nacional, de las cuales 25 se ubican en Arequipa y las oficinas restantes en los departamentos de Apurimac , Ayacucho , Cusco , Huanuco,Ica , Junin, Lima, Madre de Dios, Moquegua, Pasco, Puno, Tacna, Ucayali. Adicionalmente el cuarto trimestre de 2012 conto con 15 locales compartidos con el Banco de la Nacion, 126 cajeros automaticos y 586 cajeros corresponsales.

CULTURA INFORMATICA DE LA EMPRESA

Indicador de cultura informtica Personal Capacitado 8.1 PCs (no usadas por personal de sistemas) 8.2 Terminales (no usadas por personal de sistemas)
2 2 2 2

Nmero

Actividades soportadas por PCs

Existe

Personal Capacitado

8.3 Correo electrnico

Todos

8.4 Procesador de Palabras

8.5 Hoja electrnica de clculo 8.6 Base de datos de usuario 8.7 Desarrollo de sistemas por usuario

S
S S S

Todos
T

Todos Todos Todos

CONTEXTO INFORMATICO
Proceso
1.1 Planeacin estratgica de sistemas 1.2 Desarrollo de sistemas 1.3 Evolucin o mantenimiento de sistemas

Interno
S Si S

Outsourcing
S S No

1.4 Integracin de paquetes de software

1.5 Capacitacin 1.6 Proceso de datos en ambientes de trabajo en batch 1.7 Atender requerimientos de usuarios 1.8 Administrar servicios de terceros

S
No S S S

S
S S No No

1.9 Administrar proyectos

1.10 Coordinacin con outsourcing 1.11 Administrar la infraestructura informtica 1.12 Investigacin y desarrollo de tecnologa 1.13 Adquisicin de tecnologa

S
S S No No

S
S S S S

PRINCIPIOS INFORMTICOS RELATIVOS A LOS PROVEEDORES

Componente 3.1 Hardware 3.2 Sistema operativo 3.3 Computadoras personales 3.4 Bases de datos 3.5 Software de aplicacin 3.6 CASE 3.7 Office automation 3.8 Redes (LAN) Proveedor 1 Proveedor 2 Proveedor 3
Hp LG

Proveedor n

Os

Linux

W.seven

Toshiba

Hp

MysQL

M.Acces

Excel

FILOSOFIA DE DESARROLLO
Componente 4.1 Sistemas Abiertos 4.2 Cliente Servidor 4.4 Ingeniera de informacin 4.5 Data Warehouse 4.6 Orientacin a objetos 4.7 CASE S S S S S Upper

UTILIZACION EN PROCESOS INFORMATICOS

2.2.7.1 2.2.7.2 2.2.7.3 Planeacin estratgica de sistemas Desarrollo de sistemas Evolucin o mantenimiento de sistemas S S S

2.2.7.4
2.2.7.5 2.2.7.6 2.2.7.7 2.2.7.8 2.2.7.9

Integracin de paquetes de software

Administracin de la infraestructura informtica Soporte a usuarios Capacitacin Proceso de datos en ambientes de trabajo en batch Atencin a requerimientos de usuario

S
S S S S S

2.2.7.10 Coordinacin de outsourcing

ARQUITECTURA DE COMUNIACIONES DE LA EMPRESA

En CMAC Arequipa se cuenta con redes de area local, pueden compartir informacin, ya que todas las computadoras estn conectadas a una red LAN. Cuenta con : Servidores de Archivos : procesadores de texto, hojas de calculo Servidores de Bases de Datos : tablas, ndices. Servidores de transacciones : valida y genera Servidores de Groupware: Seguimiento de operaciones Servidores de Objetos: videos, imgenes, objetos multimedia Servidores Web: browser especifico La empresa tambin posee una red WAN con la sede central, de cercado con con las otras sedes que estn en distintos distritos.

2. SEGURIDAD FISICA

3. DESARROLLO DE LA POLITICA DE SEGURIDAD

Identificacion Y Evaluacin De Los Activos

Identificacin de las amenazas

Cules son las causas de los potenciales problemas de seguridad? Considere la posibilidad de violaciones a la seguridad y el impacto que tendran si ocurrieran. Estas amenazas son externas o internas:

Amenazas externas: Se originan fuera de la organizacin y son los virus, gusanos, caballos de Troya, intentos de ataques de los hackers, retaliaciones de exempleados o espionaje industrial. Amenazas internas: Son las amenazas que provienen del interior de la empresa y que pueden ser muy costosas porque el infractor tiene mayor acceso y perspicacia para saber donde reside la informacin sensible e importante

Evaluacin de los riesgos

ste puede ser uno de los componentes ms desafiantes del desarrollo de una poltica de seguridad. Debe calcularse la probabilidad de que ocurran ciertos sucesos y determinar cules tiene el potencial para causar mucho dao. El costo puede ser ms que monetario - se debe asignar un valor a la prdida de datos, la privacidad, responsabilidad legal, atencin pblica indeseada, la prdida de clientes o de la confianza de los inversionistas y los costos asociados con las soluciones para las violaciones a la seguridad

Establecer polticas de seguridad

Creando una poltica que apunte a los documentos asociados; parmetros y procedimientos, normas, as como los contratos de empleados. Estos documentos deben tener informacin especfica relacionada con las plataformas informticas, las plataformas tecnolgicas, las responsabilidades del usuario y la estructura organizacional. De esta forma, si se hacen cambios futuros, es ms fcil cambiar los documentos subyacentes que la poltica en s misma

Implementacin una poltica en toda la organizacin La poltica que se escoja debe establecer claramente las responsabilidades en cuanto a la seguridad y reconocer quin es el propietario de los sistemas y datos especficos. Tambin puede requerir que todos los empleados firmen la declaracin; si la firman, debe comunicarse claramente

Cumplimiento Indique un procedimiento para garantizar el cumplimiento y las consecuencias potenciales por incumplimiento.

Financiacin Asegrese de que a cada departamento se le haya asignado los fondos necesarios para poder cumplir adecuadamente con la poltica de seguridad de la compaa.

CMAC AREQUIPA

En el presente trabajo desarrollaremos el Plan de Seguridad para la entidad financiera CMAC AREQUIPA.El Banco CMAC AREQUIPA es un banco de capital local , ofrece todos los productos financieros conocidos, posee presencia en Internet a travs de su pagina web, es un banco mediano. A lo largo de todo el desarrollo del trabajo describiremos mas en detalle su estructura interna, evaluaremos los riesgos a los cuales estn expuestos, para lo cual se realizara un diagnostico objetivo de la situacin actual y como se deben contrarrestar, para finalmente terminar diseando el Plan de Seguridad y las principales actividades que deben ejecutarse para la implementacin de las polticas de seguridad.

OBJETIVOS

El objetivo del presente trabajo es realizar un diagnostico de la situacin actual en cuanto a la seguridad de informacin que CMAC Arequipa actualmente administra y disear un Plan de Seguridad de la Informacin (PSI) que permita desarrollar operaciones seguras basadas en polticas y estndares claros y conocidos por todo el personal de la Caja.

DIAGNOSTICO DE LA SITUACION ACTUAL DE LA ADMINISTRACIN DE LA SEGURIDAD DE INFORMACIN

Evaluacion Efectuada nuestra revisin de la administracin de riesgos de tecnologa de informacin del Banco hemos observado que el Plan de Seguridad de Informacin (PSI) no ha sido desarrollado. Si bien hemos observado la existencia de normas, procedimientos y controles que cubren distintos aspectos de la seguridad de la informacin, se carece en general de una metodologa, gua o marco de trabajo que ayude a la identificacin de riesgos y determinacin de controles para mitigar los mismos

SEGURIDAD DE LA INFORMACIN ROLES Y ESTRUCTURA ORGANIZACIONAL

Situacion Actual

La administracin de seguridad de informacin se encuentra distribuida principalmente entre las reas de sistemas y el rea de seguridad informtica. En algunos casos, la administracin de accesos es realizada por la jefatura o gerencia del rea que utiliza la aplicacin. Las labores de seguridad realizadas actualmente por el rea de seguridad informtica son las siguientes:
Creacin y eliminacin de usuarios Verificacin y asignacin de perfiles en las aplicaciones Las labores de seguridad realizadas por el rea de sistemas son las siguientes: Control de red Administracin del firewall Administracin de accesos a bases de datos

ROLES Y RESPONSABILIDADES DE LA ESTRUCTURA

El rea organizacional encargada de la administracin de seguridad de informacin debe soportar los objetivos de seguridad de informacin del Banco. Dentro de sus responsabilidades se encuentran la gestin del plan de seguridad de informacin as como la coordinacin de esfuerzos entre el personal de sistemas y los empleados de las reas de negocios, siendo stos ltimos los responsables de la informacin que utilizan. Asimismo, es responsable de promover la seguridad de informacin a lo largo de la organizacin con el fin de incluirla en el planeamiento y ejecucin de los objetivos del negocio

REA DE SEGURIDAD INFORMTICA

El rea organizacional encargada de la administracin de seguridad de informacin tiene como responsabilidades: Establecer y documentar las responsabilidades de la organizacin en cuanto a seguridad de informacin. Mantener la poltica y estndares de seguridad de informacin de la organizacin.

Identificar objetivos de seguridad y estndares del Banco (prevencin de virus, uso de herramientas de monitoreo, etc.)

Definir metodologas y procesos relacionados a la seguridad de informacin.

ORGANIZACIN DEL AREA DE SEGURIDAD INFORMATICA PROPUESTA

Dado el volumen de operaciones y la criticidad que presenta la informacin para el negocio del Banco y tomando en cuenta las mejores prcticas de la industria, es necesaria la existencia de un rea organizacional que administre la seguridad informtica.

Como requisito indispensable, esta rea debe ser independiente de la Gerencia de Sistemas, la cual en muchos casos es la ejecutora de las normas y medidas de seguridad elaboradas. Este proceso de independizacin de la administracin de la seguridad del rea de sistemas ya fue iniciado por el Banco al crear el rea de seguridad informtica, la cual, reporta a la Gerencia de divisin de Administracin y Operaciones. Plan de Seguridad Informtica para una entidad Financiera

4. EVALUACION DE AMENAZAS Y VULNERABILIDADES

Con el propsito de obtener un adecuado entendimiento de la implicancia que tiene el uso de tecnologa, las amenazas y vulnerabilidades, as como las iniciativas del negocio sobre la seguridad de la informacin del Banco, se efectuaron entrevistas, de las cuales se obtuvo las siguientes tres matrices, que nos muestran la implicancia en seguridad que presentan cada uno de los factores mencionados anteriormente, as como el estndar o medida a aplicar para minimizar los riesgos correspondientes

MATRIZ DE USO Y ESTRATEGIA DE TECNOLOGIA

Tecnologia Windows seven SO Linux

Implicancia Seguridad

de Estandar o medida de Seguridad a aplicar Estandar de mejores practica de seguridad para Windows seven Estandar de mejores practicas de Seguridad para Linux

Se debe contar con controles de acceso adecuados a la data y sistemas soportados por le Sistema Operativo

Base de datos SQL Server

Se debe contar con Estandar de mejores controles de acceso a practicas de seguirdad para informacin de los bases de datos SQL Server sistemas que soportan el negocio de la Compaa.

Banca Electronica travs de Internet

a El servidor Web se encuentra en calidad de hosting en telefona data, se debe asegurar que el equipo cuente con las medidas de seguridad necesaria, tanto fsicas como lgicas. La transmisin de los datos es realizada a travs de un medio pblico (Internet), se debe contar con medidas adecuadas para mantener la confidencialidad de la informacin (encripcin de la data). El servidor Web que es accedido por los clientes puede ser blanco potencial de actividad vandlica con el propsito de afectar la imagen del Banco. La disponibilidad del sistema es un factor clave para el xito del servicio.

- Estndares de encripcin de informacin transmitida. Clusulas de confidencialidad y delimitacin de responsabilidades en contratos con proveedores Acuerdos de nivel de servicios con proveedores, en los cuales se detalle el porcentaje mnimo de disponibilidad del sistema. Evaluacin independiente de la seguridad del servidor que brinda el servicio, o acreditacin de la misma por parte del proveedor.

Banca Electronica

Transmisin de informacin por medios pblicos sin posibilidad de proteccin adicional.

Establecimiento de lmites adecuados a las operaciones realizadas por va telefnica. Posibilidad de registrar el nmero telefnico Imposibilidad de mantener origen de la llamada. la confidencialidad de las Controles en los operaciones con el sistemas de grabacin proveedor del servicio de llamadas telefnica. telefnico. Evaluar la posibilidad de notificar al cliente de Posibilidad de obtencin de manera automtica e nmeros de tarjeta y inmediata luego de contraseas del canal de realizada la operacin transmisin telefnico.

Computadoras personales.

Se debe contar con adecuados controles de acceso a informacin existente en computadoras personales. Se requieren adecuados controles de accesos a la informacin de los sistemas desde las computadoras personales de usuarios. La existencia de diversos sistemas operativos en el parque de computadores personales, Debe existir un control sobre los dispositivos que pudieran facilitar fuga de informacin (disqueteras, grabadoras de cd's, impresoras personales, etc.) Se debe controlar y monitorear las aplicaciones y sistemas instalados en las PCs

Concientizacin y entrenamiento de los usuarios en temas de seguridad de la informacin. Implementacin de mayores controles de seguridad para computadoras personales. Finalizacin del proyecto de migracin de la plataforma de computadoras personales al sistema operativo usado. Actualizacin peridica de inventarios del software instalado. Monitoreo peridico de carpetas compartidas. Monitoreo de actividad de los usuarios, sistemas de deteccin de intrusos.

Correo electrnico

Posibilidad de interceptacin no autorizada de mensajes de correo electrnico. Riesgo de acceso no autorizado a informacin del servidor. Posibilidad de utilizacin de recursos por parte de personas no autorizadas, para enviar correo electrnico a terceros (relay no autorizado). Posibilidad de recepcin de correo inservible (SPAM).

Se debe contar con estndares de encripcin para los mensajes de correo electrnico que contengan informacin confidencial. Estndares de mejores prcticas de seguridad para Windows 7 ,Linux Implementacin de un sistema de seguridad del contenido SMTP.

Conexin a Internet y redes pblicas / Firewall

Riesgos de accesos no autorizados desde Internet y redes externas hacia los sistemas del Banco. Adecuado uso del acceso a Internet por parte de los usuarios. Los dispositivos que permiten controlar accesos, tales como, firewalls, servidores proxy, etc. Deben contar con medidas de seguridad adecuadas para evitar su manipulacin por personas no autorizadas. Riesgo de acceso no autorizado desde socios de negocios hacia los sistemas de La Compaa

Polticas de seguridad. Estndares de mejores prcticas de seguridad para servidores , correo electrnico, servidores Web y equipos de comunicaciones. Delimitacin de responsabilidades referentes a la seguridad de informacin en contratos con proveedores. Mejores prcticas de seguridad para configuracin de Firewalls. Diseo e implementacin de una arquitectura de seguridad de red.Utilizacin de sistemas de deteccin de intrusos. Especificacin de acuerdos de nivel de servicio con el proveedor. Controles y filtros para el acceso a Internet.

Implantacin de Datawarehouse.

Informacin sensible almacenada en un repositorio centralizado, requiere de controles de acceso adecuados. La disponibilidad del sistema debe ser alta para no afectar las operaciones que soporta.

Estndar de seguridad en bases de datos SQL. Plan de implantacin de Datawarehouse. Procedimientos para otorgamiento de perfiles. Polticas de seguridad.

5. MATRIZ DE EVALUACION DE AMENAZAS Y VULNERABILIDADES

En esta matriz se muestra los riesgos y amenazas identificadas, las implicancias de seguridad y los estndares o medidas de seguridad necesarias para mitigar dicha amenaza

Amenaza/ Vulnerabilidad

Implicancia de Seguridad Inters en obtener La existencia de Informacin estratgica del informacin atractiva para Banco, por parte competidores de de competidores de negocio tales como negocio. informacin de clientes e informacin de marketing implica la aplicacin de controles adecuados para el acceso a informacin.

Estndar o Medida de Seguridad a aplicar Estndares de seguridad para servidores Control de acceso a las aplicaciones del Banco,Revisin y depuracin peridica de los accesos otorgados. Restricciones en el manejo de informacin enviada por correo electrnico hacia redes externas, extrada en cds , usbs, informacin impresa. Verificacin de la informacin impresa en reportes, evitar mostrar informacin innecesaria en ellos. Polticas de seguridad

Inters en obtener Beneficios econmicos mediante actividad fraudulenta.

Debido al volumen de dinero que es administrado por es administrado por una entidad financiera, la amenaza de intento de fraude es una posibilidad muy tentadora tanto para personal interno del Banco, as como para personal externo.

Controles de accesos a los mens de las aplicaciones. Revisiones peridicas de los niveles de accesos de los usuarios. Evaluacin peridica de la integridad de la informacin por parte del propietario de la misma. Revisiones peridicas de los registros (logs) de los sistemas y operaciones realizadas. Mejores prcticas para configuracin de firewalls, servidores y equipos de comunicaciones

Actividad vandlica realizada por hackers o crackers

La actividad desarrollada por hackers o crackers de sistemas, puede afectar la disponibilidad, integridad y confidencialidad de la informacin del negocio. Estos actos vandlicos pueden ser desarrollados por personal interno o externo al Banco. Adicionalmente si dicha actividad es realizada contra equipos que proveen servicios a los clientes (pgina Web del banco) la imagen y reputacin del Banco se podra ver afectada en un grado muy importante.

Delimitacin de responsabilidades y sanciones en los contratos con proveedores de servicios en calidad de hosting. Verificacin de evaluaciones peridicas o certificaciones de la seguridad de los sistemas en calidad de hosting. Concientizacin y compromiso formal de los usuarios en temas relacionados a la seguridad de informacin. Polticas de Seguridad

Prdida de informacin El riesgo de prdida de producto de infeccin por informacin por virus virus informtico. informtico es alto si no se administra adecuadamente el sistema Antivirus y los usuarios no han sido concientizados en seguridad de informacin

Adecuada arquitectura e implementacin del sistema antivirus. Verificacin peridica de la actualizacin del antivirus de computadoras personales y servidores. Generacin peridica de reportes de virus detectados y actualizacin de antivirus.

Fuga de informacin a travs del personal que ingresa de manera temporal en sustitucin de empleados en vacaciones

Los accesos otorgados al personal temporal deben ser controlados adecuadamente, asimismo la actividad realizada por los mismos en los sistemas debe ser peridicamente monitoreada. El personal temporal podra realizar actividad no autorizada, la cual podra ser detectada cuando haya finalizado sus labores en el Banco.

Control adecuado de los accesos otorgados. Depuracin peridica de accesos otorgados a los sistemas. Restricciones en acceso a correo electrnico y transferencia de archivos hacia Internet

Falta de personal con conocimientos tcnicos de seguridad informtica.

Para una adecuada administracin de la seguridad informtica se requiere personal capacitado que pueda cumplir las labores de elaboracin de polticas y administracin de seguridad en el rea de seguridad informtica, as como implementacin de controles y configuracin de sistemas en el rea de sistemas.

Capacitacin del personal tcnico en temas de seguridad de informacin o inclusin nuevo de personal con conocimientos de seguridad de informacin para las reas de seguridad informtica y sistemas

Falta de controles El acceso hacia Internet por adecuados para la medios como correo informacin que electrnico, ftp (file transfer envan los usuarios hacia protocol) o incluso web en Internet. algunos casos, puede facilitar la fuga de informacin confidencial del Banco. El Banco ha invertido en la implementacin de una herramienta para el filtrado de las pginas web que son accedidas por los usuarios, se debe asegurar que dicho control sea adecuadamente aplicado.

Configuracin adecuada del servidor Proxy y la herramienta Surf Control. Generacin peridica de reportes de la efectividad de los controles aplicados. Implementacin de una adecuada arquitectura de red. Mejores prcticas para la configuracin de Firewalls. Implementacin y administracin de herramientas para la inspeccin del contenido de los correos electrnicos enviados.

No existen controles adecuados para la informacin almacenada en las computadoras personales.

Existe informacin almacenada en las computadoras personales de los usuarios que requiere ciertos niveles de seguridad. Los usuarios deben contar con procedimientos para realizar copias de respaldo de su informacin importante Arquitectura de red Posibilidad de acceso no inapropiada para autorizado a sistemas por controlar accesos desde parte de personal externo redes externas. al Banco. Vulnerabilidades: Existencia de redes externas se conectan con la red del Banco sin la proteccin de un firewall. Los servidores de acceso pblico no se encuentran aislados de la red interna.

Establecimiento de un procedimiento formal que contemple la generacin de copia de respaldo de informacin importante de los usuarios. Concluir el proceso de migracin del sistema operativo de las computadoras personales Diseo de arquitectura de seguridad de red. Adecuada configuracin de elementos de control de conexiones (firewalls). Implementacin y administracin de herramientas de seguridad.

Fuga de informacin Estratgica mediante sustraccin de computadores portatiles

Es posible obtener la informacin existente en las computadoras porttiles de los gerentes del banco mediante el robo de las mismas Acceso no autorizado a El riesgo de contar con travs de enlaces segmentos de red inalmbricos. inalmbricos sin medidas de seguridad especficas para este tipo de enlaces, radica en que cualquier persona podra conectar un equipo externo al Banco incluso desde un edificio cercano.

Programas para encripcin de la data confidencial existente en los discos duros de las computadoras porttiles

Evaluacin del alcance de la red inalmbrica. Separacin del segmento de red inalmbrico mediante un Firewall. Verificacin peridica de la actividad realizada desde la red inalmbrica. Utilizacin de encripcin

7. PLAN PARA IMPLEMENTAR POLITICAS DE INFORMACION

Se elaboraran las polticas de seguridad con el propsito de proteger la informacin de la empresa, estas servirn de gua para la implementacin de medidas de seguridad que contribuirn a mantener la integridad, confidencialidad y disponibilidad de los datos dentro de los sistemas de aplicacin, redes, instalaciones de cmputo y procedimientos manuales

PROPOSITO

El propsito de las polticas de seguridad de la informacin es proteger la informacin y los activos de datos del Banco. Las polticas son guas para asegurar la proteccin y la integridad de los datos dentro de los sistemas de aplicacin, redes, instalaciones de cmputo y procedimientos manuales

ORGANIZACIN DE LA SEGURIDAD

Acceso por parte de terceros El Banco debe establecer para terceros al menos las mismas restricciones de acceso a la informacin que a un usuario interno. Adems, el acceso a la informacin debe limitarse a lo mnimo indispensable para cumplir con el trabajo asignado. Las excepciones deben ser analizadas y aprobadas por el rea de seguridad informtica. Esto incluye tanto acceso fsico como lgico a los recursos de informacin del Banco. Todo acceso por parte de personal externo debe ser autorizado por un responsable interno, quien asume la responsabilidad por las acciones que pueda realizar el mismo.

Outsourcing
Todos los contratos de Outsourcing deben incluir losiguiente:

Acuerdos sobre polticas y controles de seguridad. Determinacin de niveles de disponibilidad aceptable. El derecho del Banco de auditar los controles de seguridad de informacin del proveedor. Determinacin de los requerimientos legales del Banco. Metodologa del proveedor para mantener y probar cclicamente la seguridad del sistema. Que el servicio de procesamiento y la informacin del Banco objeto de la subcontratacin estn aislados, en todo momento y bajo cualquier circunstancia.

EVALUACION DEL RIESGO

Inventario de activos Los inventarios de activos ayudan a garantizar la vigencia de una proteccin eficaz de los recursos, y tambin pueden ser necesarios para otros propsitos de la empresa, como los relacionados con sanidad y seguridad, seguros o finanzas (administracin de recursos). Se debe elaborar y mantener un inventario de los activos importantes asociados a cada sistema de informacin. Cada activo debe ser claramente identificado y su propietario y clasificacin en cuanto a seguridad deben ser acordados y documentados, junto con la ubicacin vigente del mismo (importante cuando se emprende una recuperacin posterior a una prdida o dao). Ejemplos de activos asociados a sistemas de informacin son los siguientes

Recursos de informacin Recursos de software Activos fsicos Servicios

Clasificacin del acceso de la informacin La clasificacin asignada a un tipo de informacin, solo puede ser cambiada por el propietario de la informacin, luego de justificar formalmente el cambio en dicha clasificacin. La informacin que existe en ms de un medio (por ejemplo, documento fuente, registro electrnico, reporte o red) debe de tener la misma clasificacin sin importar el formato. La informacin debe de ser examinada para determinar el impacto en el Banco si fuera divulgada o alterada por medios no autorizados. A continuacin detallamos algunos ejemplos de informacin sensible:

Datos de inters para la competencia

- Estrategias de marketing - Listas de clientes - Fechas de renovacin de crditos - Tarifaciones - Datos usados en decisiones de inversin

Datos que proveen acceso a informacin o servicios

- Llaves de encripcin o autenticacin - Contraseas

Datos protegidos por legislacin de privacidad vigente

- Registros del personal - Montos de los pasivos de clientes - Datos histricos con 10 aos de antigedad

Aplicacin de controles para la informacin clasificada

Todo contenedor de informacin en medio digital (CDs, cintas de backup, usb, etc.) debe presentar una etiqueta con la clasificacin correspondiente. La informacin en formato digital clasificada como de acceso General, puede ser almacenada en cualquier sistema de la Compaa. Sin embargo se deben tomar las medidas necesarias para no mezclar informacin General con informacin correspondiente a otra clasificacin Todo usuario que requiere acceso a informacin clasificada como Restringida o Confidencial, debe ser autorizado por el propietario de la misma. Las autorizaciones de acceso a este tipo de informacin deben ser documentadas. La clasificacin asignada a un tipo de informacin, solo puede ser cambiada por el propietario de la informacin, luego de justificar formalmente el cambio en dicha clasificacin.

SEGURIDAD PERSONAL

Los estndares relacionados al personal deben ser aplicados para asegurarse que los empleados sean seleccionados adecuadamente antes de ser contratados, puedan ser fcilmente identificados mientras formen parte del Banco y que el acceso sea revocado oportunamente cuando un empleado es despedido o transferido. Deben desarrollarse estndares adicionales para asegurar que el personal sea consciente de todas sus responsabilidades y acciones apropiadas en el reporte de incidentes. Esta poltica se aplica a todos los empleados, personal contratado y proveedores. Los empleados son los activos ms valiosos del Banco. Sin embargo, un gran nmero de problemas de seguridad de cmputo pueden ser causados por descuido o desinformacin. Se deben de implementar procedimientos para manejar estos riesgos y ayudar al personal del Banco a crear un ambiente de trabajo seguro.

Capacitacin de usuarios Es responsabilidad del rea de seguridad informtica promover constantemente la importancia de la seguridad a todos los usuarios de los sistemas de informacin. El programa de concientizacin en seguridad debe de contener continuas capacitaciones y charlas, adicionalmente se puede emplear diversos mtodos como afiches, llaveros, mensajes de log-in, etc., los cuales recuerden permanentemente al usuario el papel importante que cumplen en el mantenimiento de la seguridad de la informacin.

Concientizacin peridica Estudios muestran que la retencin y el conocimiento aplicable se incrementa considerablemente cuando el tema es sujeto a revisin. Los usuarios deben de ser informados anualmente sobre la importancia de la seguridad de la informacin. Un resumen escrito de la informacin bsica debe de ser entregada nuevamente a cada empleado y una copia firmada debe de ser guardada en sus archivos. La capacitacin en seguridad debe de incluir, pero no estar limitado, a los siguientes aspectos:

- Requerimientos de identificador de usuario y contrasea - Seguridad de PC, incluyendo proteccin de virus - Responsabilidades de la organizacin de seguridad de informacin - Concientizacin de las tcnicas utilizadas por hackers - Programas de cumplimiento - Guas de acceso a Internet - Guas de uso del correo electrnico - Procesos de monitoreo de seguridad de la informacin utilizados - Persona de contacto para informacin adicional

Procedimientos de respuesta ante incidentes de seguridad El personal encargado de la administracin de seguridad debe ser plenamente identificado por todos los empleados del Banco. Si un empleado del Banco detecta o sospecha la ocurrencia de un incidente de seguridad, tiene la obligacin de notificarlo al personal de seguridad informtica. Si se sospecha la presencia de un virus en un sistema, el usuario debe desconectar el equipo de la red de datos, notificar al rea de seguridad informtica quien trabajar en coordinacin con el rea de soporte tcnico, para la eliminacin del virus antes de restablecer la conexin a la red de datos

Es responsabilidad del usuario (con la apropiada asistencia tcnica) asegurarse que el virus haya sido eliminado por completo del sistema antes de conectar nuevamente el equipo a la red de datos.

Registro de fallas El personal encargado de operar los sistemas de informacin debe registrar todos lo errores y fallas que ocurren en el procesamiento de informacin o en los sistemas de comunicaciones. Estos registros deben incluir lo siguiente:

Nombre de la persona que reporta la falla Hora y fecha de ocurrencia de la falla Descripcin del error o problema Responsable de solucionar el problema Descripcin de la respuesta inicial ante el problema Descripcin de la solucin al problema Hora y fecha en la que se solucion el problema
Los registros de fallas deben ser revisados semanalmente. Los registros de errores no solucionados deben permanecer abiertos hasta que se encuentre una solucin al problema. Adems, estos registros deben ser almacenados para una posterior verificacin independiente.

Intercambios de informacin y correo electrnico Los mensajes de correo electrnico deben ser considerados de igual manera que un memorndum formal, son considerados como parte de los registros del Banco y estn sujetos a monitoreo y auditoria. Los sistemas de correo electrnico no deben ser utilizados para lo siguiente:

- Enviar cadenas de mensajes - Enviar mensajes relacionados a seguridad, exceptuando al personal encargado de la administracin de la seguridad de la informacin Enviar propaganda de candidatos polticos - Actividades ilegales, no ticas o impropias - Actividades no relacionadas con el negocio del Banco - Diseminar direcciones de correo electrnico a listas pblicas

SEGURIDAD FISICA DE LAS INSTALACIONES DE PROCESAMIENTO DE DATOS

Se deben implementar medidas de seguridad fsica para asegurar la integridad de las instalaciones y centros de cmputo. Las medidas de proteccin deben ser consistentes con el nivel de clasificacin de los activos y el valor de la informacin procesada y almacenada en las instalaciones

Control de acceso a las instalaciones de cmputo El acceso a cualquier instalacin de cmputo debe estar restringido nicamente al personal autorizado. Todas las visitas deben ser identificadas y se debe mantener un registro escrito de las mismas. Estas visitas deben ser en compaa de un empleado durante la permanencia en las instalaciones de computo. Todo el personal en las instalaciones de cmputo deben de portar un carn, placa o ficha de identificacin. Sistemas automatizados de seguridad para acceso fsico deben de ser instalados en centros de cmputo principales. Centros pequeos pueden controlar el acceso fsico mediante el uso de candados de combinacin o llaves.

Proteccin contra virus El rea de seguridad informtica debe realizar esfuerzos para determinar el origen de la infeccin por virus informtico, para evitar la reinfeccin de los equipos del Banco. La posesin de virus o cualquier programa malicioso est prohibida a todos los usuarios. Se tomarn medidas disciplinarias en caso se encuentren dichos programas en computadoras personales de usuarios. Todos los archivos adjuntos recibidos a travs del correo electrnico desde Internet deben ser revisados por un antivirus antes de ejecutarlos. El programa antivirus debe encontrarse habilitado en todos las computadoras del Banco y debe ser actualizado peridicamente. En caso de detectar fallas en el funcionamiento de dichos programas stas deben ser comunicadas al rea de soporte tcnico. El programa antivirus debe ser configurado para realizar revisiones peridicas para la deteccin de virus en los medios de almacenamiento de las computadoras del Banco. Debe contarse con un procedimiento para la actualizacin peridica de los programas antivirus y el monitoreo de los virus detectados.

Todo el personal del Banco debe utilizar los protectores de pantalla y/o papel tapiz autorizados por la Institucin; el estndar es:
Papel Tapiz : CMAC Arequipa Protector de Pantalla : CMAC Arequipa