UNIVERSIDAD NACIONAL MAYOR DE SAN...

UNIVERSIDAD NACIONAL MAYOR DE SAN MARCOSFundada en 1551

FACULTAD DE CIENCIAS MATEMÁTICAS

E.A.P. DE COMPUTACIÓN

“PLAN DE SEGURIDAD INFORMÁTICA PARA UNA ENTIDAD FINANCIERA”

TRABAJO MONOGRÁFICO

Para optar el Título Profesional de:

LICENCIADA

AUTORA

NORMA EDITH CÓRDOVA RODRÍGUEZ

LIMA – PERÚ2003

DEDICATORIADEDICATORIA

Este trabajo va dedicado a la UniversidadNacional Mayor de San Marcos, a la que ledebo mi formación profesional y los éxitos

que he alcanzado.

I N D I C E

INTRODUCCION

CAPITULO I.

OBJETIVOS Y ALCANCES

1.1 Objetivos.................................................................................................................1

CAPITULO II

METODOLOGÍA Y PROCEDIMIENTOS UTILIZADO

2.1 Metodología ESA....................................................................................................3

CAPITULO III

DIAGNÓSTICO DE LA SITUACIÓN ACTUAL DE LA ADMINISTRACIÓN DE

LA SEGURIDAD DE INFORMACIÓN

3.1 Evaluación ............................................................................................................53.2 Alcances ............................................................................................................6

CAPITULO IV

SEGURIDAD DE LA INFORMACIÓN – ROLES Y ESTRUCTURA

ORGANIZACIONAL

4.1 Situación actual.....................................................................................................84.2 Roles y responsabilidades de la estructura organizacional de seguridad de

información.....................................................................................................94.3 Organización del area de seguridad informática propuesta ............. 13

CAPITULO V

EVALUACIÓN DE RIESGOS, AMENAZAS Y VULNERABILIDADES

5.1 Matriz de uso y estrategia de tecnología ....................................................... 165.2 Matriz de evaluación de amenazas y vulnerabilidades ............................... 265.3 Matriz de iniciativas del negocio / procesos .................................................. 38

CAPITULO VI

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN

6.1 Definición..............................................................................................................48

6.2 Cumplimiento obligatorio ...................................................................................49

6.3 Organización de la Seguridad ..........................................................................49

6.3.1 Estructura organizacional................................................................. 496.3.2 Acceso por parte de terceros........................................................... 506.3.3 Outsourcing......................................................................................... 51

6.4 Evaluacion de riesgo ..........................................................................................51

6.4.1 Inventario de activos.......................................................................... 526.4.2 Clasificación del acceso de la información.................................... 536.4.3 Definiciones........................................................................................ 54

6.4.4 Aplicación de controles para la información clasificada.............. 546.4.5 Análisis de riesgo............................................................................... 57

6.4.6 Cumplimiento ...................................................................................... 57 6.4.7 Aceptación de riesgo......................................................................... 58

6.5 Seguridad del personal......................................................................................58

6.5.1 Seguridad en la definición de puestos de trabajo y recursos ..... 596.5.2 Capacitación de usuarios ................................................................. 606.5.3 Procedimientos de respuesta ante incidentes de seguridad..... 61

6.5.3.1 Registro de fallas ............................................................................. 626.5.3.2 Intercambios de información y correo electrónico...................... 626.5.3.3 Seguridad para media en tránsito ................................................. 64

6.6 Seguridad física de las instalaciones de procesamiento de datos .............64

6.6.1 Protección de las instalaciones de los centros de datos............. 646.6.2 Control de acceso a las instalaciones de cómputo ...................... 656.6.3 Acuerdo con regulaciones y leyes................................................... 66

6.7 Administración de comunicaciones y operaciones........................................66

6.7.1 Procedimientos y responsabilidades operacionales .................... 666.7.1.1 Procedimientos operativos documentados.................................. 666.7.1.2 Administración de operaciones realizadas por terceros............ 676.7.1.3 Control de cambios operacionales................................................ 676.7.1.4 Administración de incidentes de seguridad................................. 686.7.1.5 Separación de funciones de operaciones y desarrollo .............. 68

6.7.2 Protección contra virus...................................................................... 696.7.3 Copias de respaldo............................................................................ 70

6.8 Control de acceso de datos...............................................................................71

6.8.1 Identificación de usuarios ................................................................. 71

6.8.2 Seguridad de contraseñas................................................................ 726.8.2.1 Estructura .......................................................................................... 726.8.2.2 Vigencia............................................................................................. 736.8.2.3 Reutilización de contraseñas ......................................................... 736.8.2.4 Intentos fallidos de ingreso............................................................. 736.8.2.5 Seguridad de contraseñas ............................................................. 74

6.8.3 Control de transacciones .................................................................. 746.8.4 Control de producción y prueba ...................................................... 756.8.5 Controles de acceso de programas ................................................ 766.8.6 Administración de acceso de usuarios........................................... 766.8.7 Responsabilidades del usuario........................................................ 786.8.8 Seguridad de computadoras ............................................................ 796.8.9 Control de acceso a redes................................................................ 80

6.8.9.1 Conexiones con redes externas.................................................... 806.8.9.2 Estándares generales ..................................................................... 816.8.9.3 Política del uso de servicio de redes ............................................ 826.8.9.4 Segmentación de redes.................................................................. 836.8.9.5 Análisis de riesgo de red ................................................................ 836.8.9.6 Acceso remoto(dial-in) .................................................................... 836.8.9.7 Encripción de los datos................................................................... 84

6.8.10 Control de acceso al sistema operativo ......................................... 846.8.10.1 Estándares generales ................................................................... 846.8.10.2 Limitaciones de horario................................................................. 846.8.10.3 Administración de contraseñas ................................................... 856.8.10.4 Inactividad del sistema.................................................................. 856.8.10.5 Estándares de autenticación en los sistemas........................... 85

6.8.11 Control de acceso de aplicación...................................................... 856.8.11.1 Restricciones de acceso a información...................................... 866.8.11.2 Aislamiento de sistemas críticos................................................. 86

6.8.12 Monitoreo del acceso y uso de los sistemas................................. 866.8.12.1 Sincronización del reloj................................................................. 866.8.12.2 Responsabilidades generales...................................................... 876.8.12.3 Registro de eventos del sistema................................................. 87

6.8.13 Computación móvil y teletrabajo ..................................................... 876.8.13.1 Responsabilidades generales...................................................... 876.8.13.2 Acceso remoto ............................................................................... 88

6.9 Desarrollo y mantenimiento de los sistemas..................................................89

6.9.1 Requerimientos de seguridad de sistemas.................................... 896.9.1.1 Control de cambios.......................................................................... 896.9.1.2 Análisis y especificación de los requerimientos de seguridad . 90

6.9.2 Seguridad en sistemas de aplicación............................................. 906.9.2.1 Desarrollo y prueba de aplicaciones............................................. 90

6.10 Cumplimiento normativo ...................................................................................91

6.10.1 Registros ............................................................................................. 91

6.10.2 Revisión de la política de seguridad y cumplimiento técnico ..... 926.10.3 Propiedad de los programas ............................................................ 926.10.4 Copiado de software adquirido y alquilado.................................... 92

6.11 Consideraciones de auditoria de sistemas .....................................................93

6.11.1 Protección de las herramientas de auditoria ................................. 936.11.2 Controles de auditoria de sistemas................................................. 93

6.12 Política de Comercio Electrónico .....................................................................94

6.12.1 Términos e información de comercio electrónico ......................... 956.12.1.1 Recolección de información y privacidad .................................. 956.12.1.2 Divulgación ..................................................................................... 95

6.12.2 Transferencia electrónica de fondos............................................... 96

6.13 Información almacenada en medios digitales y físicos ................................97

6.13.1 Etiquetado de la información............................................................ 976.13.2 Copiado de la información................................................................ 976.13.3 Distribución de la información.......................................................... 986.13.4 Almacenamiento de la información................................................. 986.13.5 Eliminación de la información .......................................................... 99

CAPITULO VII

PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL

7.1 Clasificación de información...........................................................................1027.2 Seguridad de red y comunicaciones.............................................................1037.3 Inventario de accesos a los sistemas...........................................................1067.4 Adaptación de contratos con proveedores ..................................................1077.5 Campaña de concientización de usuarios. ..................................................1087.6 Verificación y adaptación de los sistemas del banco.................................1097.7 Estandarización de la configuración del software base.............................1107.8 Revisión, y adaptación de procedimientos complementarios...................1117.9 Cronograma tentativo de implementación...................................................113

CONCLUSIONES Y RECOMENDACIONES ........................................................114

ANEXOS

A. Diseño de arquitectura de seguridad de red ................................................118

B. Circular n° g-105-2002 publicada por la Superintendencia de Banca ySeguros (SBS) sobre riesgos de tecnología de información.....................121

C. Detalle: Diagnostico de la Situacion Actual de la Administración de los riesgosde tecnologia de la informacion......................................................................132

BIBLIOGRAFÍA.. ..............................................................................................154

Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM

RESUMEN

La liberalización y la globalización de los servicios financieros, junto con la

creciente sofisticación de la tecnología financiera, están haciendo cada vez

más diversas y complejas las actividades de los bancos en términos de

Seguridad.

En otros tiempos la seguridad de la información era fácilmente administrable,

sólo bastaba con resguardar los documentos más importantes bajo llave y

mantener seguros a los empleados que poseen el conocimiento poniendo

guardias de seguridad. Hoy en día es más difícil.

Los sistemas electrónicos entraron en las oficinas y obligaron a los sistemas de

seguridad a evolucionar para mantenerse al día con la tecnología cambiante.

Luego, hace unos 5 años, los negocios, aún las empresas más pequeñas, se

conectaron a Internet (una amplia red pública con pocas reglas y sin

guardianes).

De manera similar a otro tipo de crímenes, el cuantificar los gastos y pérdidas

en seguridad de la información o crímenes cibernéticos es muy difícil. Se

tiende a minimizar los incidentes por motivos muchas veces justificables.

Por otro lado el objetivo fundamental de la seguridad no es proteger los

sistemas, sino reducir los riesgos y dar soporte a las operaciones del negocio.

La computadora más segura del mundo es aquella que está desconectada de

cualquier red, enterrada profundamente en algún oscuro desierto y rodeada de

guardias armados, pero es también la más inútil.



La seguridad es sólo uno de los componentes de la administración de riesgos –

minimizar la exposición de la empresa y dar soporte a su capacidad de lograr

su misión. Para ser efectiva, la seguridad debe estar integrada a los procesos

del negocio y no delegada a algunas aplicaciones técnicas.

Los incidentes de seguridad más devastadores tienden más a ser internos que

externos. Muchos de estos incidentes involucran a alguien llevando a cabo una

actividad autorizada de un modo no autorizado. Aunque la tecnología tiene

cierta ingerencia en limitar esta clase de eventos internos, las verificaciones y

balances como parte de los procesos del negocio son mucho más efectivos.

Las computadoras no atacan a las empresas, lo hace la gente. Los empleados

bien capacitados tienen mayores oportunidades de detectar y prevenir los

incidentes de seguridad antes de que la empresa sufra algún daño. Pero para

que los empleados sean activos, se requiere que entiendan como reconocer,

responder e informar los problemas – lo cual constituye la piedra angular de la

empresa con conciencia de seguridad lo que nosotros llamamos “cultura de

seguridad”.

El presente trabajo describe como se define un Plan de Seguridad para una

entidad financiera, empieza por definir la estructura organizacional (roles y

funciones), después pasa a definir las políticas para finalmente concluir con un

plan de implementación o adecuación a las políticas anteriormente definidas.



ABSTRACT

The liberalization and globalization of the financial services with the increasing

sophistication of the financial technology are facing more complex banking

activities in terms of security.

Long time ago, security information was easily management, just it was enough

guard the more important documents under the keys and placed employees;

who has the knowledge; safe, just placing bodyguards; nowadays it is harder.

The electronics systems got in the office and made systems security evolved to

be updated with the technology changes. Then, 5 years ago, the business; even

the small companies were connected to Internet (a public network with few

rules and without security).

In a similar way of other kind of crimes, measure security IT expenses and lost

or cybernetic crimes are very difficult. People tend to minimize incidents for

justifying reasons.

By the other hand, the main objective of IT Security is not to protect the

systems; it is to reduce risks and to support the business operations. The most

secure computer in the world is which is disconnected form the network, placed

deeply in any dark desert and be surrounded by armed bodyguards, but it is

also the most useless.

Security is just one of the components of risk management - minimize the

exposition of the business and support the capacity of meet his mission. To be

effective, security must be integrated through the business process and not

delegate to some technical applications.



The more destructive security incidents tend mostly to be internal instead of

external. Many of these involve someone taking an authorized activity in a way

non-authorized. Although technology has some concern in limit these kind of

internal events, the verifications and balances as part of the business process

are more effective.

Computers does not attack enterprises, people do it. Employees with

knowledge have more opportunities to detect and prevent security incidents

before the enterprises suffer a damage. But to make employees more concern,

we need that they understand, reply and inform security incidents – which is the

most important thing inside the enterprise with security concern, which is called

“security culture”.

The present work describes how you can define a Security Plan for a financial

enterprise, begin defining the Organizational structure (roles and

responsibilities), then define the policies and finally ends with the

Implementation Plan which are the activities to meet the policies before

mentioned.



INTRODUCCIÓN

Los eventos mundiales recientes han generado un mayor sentido de urgencia

que antes con respecto a la necesidad de tener mayor seguridad - física y de

otro tipo. Las empresas pueden haber reforzado las medidas de seguridad,

pero nunca se sabe cuándo o cómo puede estar expuesta. A fin de brindar la

más completa protección empresarial, se requiere de un sistema exhaustivo de

seguridad. Es vital implementar un plan de seguridad. Sin embargo,

implementar un plan proactivo que indique cómo sobrevivir a los múltiples

escenarios también preparará a las empresas en el manejo de las amenazas

inesperadas que podría afrontar en el futuro.

La mayoría de las empresas ha invertido tiempo y dinero en la construcción de

una infraestructura para la tecnología de la información que soporte su

compañía, esa infraestructura de TI podría resultar ser una gran debilidad si se

ve comprometida. Para las organizaciones que funcionan en la era de la

informática interconectadas y con comunicación electrónica, las políticas de

información bien documentadas que se comunican, entienden e implementen

en toda la empresa, son herramientas comerciales esenciales en el entorno

actual para minimizar los riesgos de seguridad.

Imagine lo que sucedería si:

• La información esencial fuera robada, se perdiera, estuviera en peligro,

fuera alterada o borrada.

• Los sistemas de correo electrónico no funcionaran durante un día o más.

¿Cuánto costaría esta improductividad?

• Los clientes no pudieran enviar órdenes de compra a través de la red

durante un prolongado periodo de tiempo.



Prepararse para múltiples escenarios parece ser la tendencia creciente. En un

informe publicado por Giga Information Group con respecto a las tendencias de

TI estimadas para el año 2002, se espera que los ejecutivos corporativos se

interesen cada vez más en la prevención de desastres físicos, ciberterrorismo y

espionaje de libre competencia. Implementar una política de seguridad

completa le da valor intrínseco a su empresa. También mejorará la credibilidad

y reputación de la empresa y aumentará la confianza de los accionistas

principales, lo que le dará a la empresa una ventaja estratégica.

¿Cómo desarrollar una política de seguridad?

• Identifique y evalúe los activos: Qué activos deben protegerse y cómo

protegerlos de forma que permitan la prosperidad de la empresa.

• Identifique las amenazas: ¿Cuáles son las causas de los potenciales

problemas de seguridad? Considere la posibilidad de violaciones a la

seguridad y el impacto que tendrían si ocurrieran.

Estas amenazas son externas o internas:

o Amenazas externas: Se originan fuera de la organización y son

los virus, gusanos, caballos de Troya, intentos de ataques de los

hackers, retaliaciones de ex-empleados o espionaje industrial.

o Amenazas internas: Son las amenazas que provienen del

interior de la empresa y que pueden ser muy costosas porque el

infractor tiene mayor acceso y perspicacia para saber donde

reside la información sensible e importante. Las amenazas

internas también incluyen el uso indebido del acceso a Internet

por parte de los empleados, así como los problemas que podrían



ocasionar los empleados al enviar y revisar el material ofensivo a

través de Internet.

• Evalué los riesgos: Éste puede ser uno de los componentes más

desafiantes del desarrollo de una política de seguridad. Debe calcularse

la probabilidad de que ocurran ciertos sucesos y determinar cuáles tiene

el potencial para causar mucho daño. El costo puede ser más que

monetario - se debe asignar un valor a la pérdida de datos, la privacidad,

responsabilidad legal, atención pública indeseada, la pérdida de clientes

o de la confianza de los inversionistas y los costos asociados con las

soluciones para las violaciones a la seguridad.

• Asigne las responsabilidades: Seleccione un equipo de desarrollo que

ayude a identificar las amenazas potenciales en todas las áreas de la

empresa. Sería ideal la participación de un representante por cada

departamento de la compañía. Los principales integrantes del equipo

serían el administrador de redes, un asesor jurídico, un ejecutivo

superior y representantes de los departamentos de Recursos Humanos

y Relaciones Públicas.

• Establezca políticas de seguridad: Cree una política que apunte a los

documentos asociados; parámetros y procedimientos, normas, así como

los contratos de empleados. Estos documentos deben tener información

específica relacionada con las plataformas informáticas, las plataformas

tecnológicas, las responsabilidades del usuario y la estructura

organizacional. De esta forma, si se hacen cambios futuros, es más fácil

cambiar los documentos subyacentes que la política en sí misma.

• Implemente una política en toda la organización: La política que se

escoja debe establecer claramente las responsabilidades en cuanto a la

seguridad y reconocer quién es el propietario de los sistemas y datos



específicos. También puede requerir que todos los empleados firmen la

declaración; si la firman, debe comunicarse claramente. Éstas son las

tres partes esenciales de cumplimiento que debe incluir la política:

o Cumplimiento: Indique un procedimiento para garantizar el

cumplimiento y las consecuencias potenciales por incumplimiento.

o Funcionarios de seguridad: Nombre individuos que sean

directamente responsables de la seguridad de la información.

Asegúrese de que no es la misma persona que supervisa,

implementa o revisa la seguridad para que no haya conflicto de

intereses.

o Financiación: Asegúrese de que a cada departamento se le haya

asignado los fondos necesarios para poder cumplir

adecuadamente con la política de seguridad de la compañía.

• Administre el programa de seguridad: Establezca los procedimientos

internos para implementar estos requerimientos y hacer obligatorio su

cumplimiento.

Consideraciones importantes

A través del proceso de elaboración de una política de seguridad, es importante

asegurarse de que la política tenga las siguientes características:

• Se pueda implementar y hacer cumplir

• Sea concisa y fácil de entender

• Compense la protección con la productividad



Una vez la política se aprueba totalmente, debe hacerse asequible a todos los

empleados porque, en ultima instancia, ellos son responsables de su éxito. Las

políticas deben actualizarse anualmente (o mejor aún cada seis meses) para

reflejar los cambios en la organización o cultura.

Se debe mencionar que no debe haber dos políticas de seguridad iguales

puesto que cada empresa es diferente y los detalles de la política dependen de

las necesidades exclusivas de cada una. Sin embargo, usted puede comenzar

con un sistema general de políticas de seguridad y luego personalizarlo de

acuerdo con sus requerimientos específicos, limitaciones de financiación e

infraestructura existente.

Una política completa de seguridad de la información es un recurso valioso que

amerita la dedicación de tiempo y esfuerzo. La política que adopte su empresa

brinda una base sólida para respaldar el plan general de seguridad. Y una base

sólida sirve para respaldar una empresa sólida.

BANCO ABC

En el presente trabajo desarrollaremos el Plan de Seguridad para una entidad

financiera a la cual llamaremos el Banco ABC.

El Banco ABC es un banco de capital extranjero, tiene 35 agencias a nivel

nacional, ofrece todos los productos financieros conocidos, posee presencia en

Internet a través de su pagina web, es un banco mediano cuenta con 500

empleados y es regulado por la Superintendencia de Banca y Seguros.

A lo largo de todo el desarrollo del trabajo describiremos mas en detalle su

estructura interna, evaluaremos los riesgos a los cuales están expuestos, para

lo cual se realizara un diagnostico objetivo de la situación actual y como se

deben contrarrestar, para finalmente terminar diseñando el Plan de Seguridad y



las principales actividades que deben ejecutarse para la implementación de las

políticas de seguridad.

A continuación describiremos brevemente la situación actual de los aspectos

más importantes en la elaboración del Plan de Seguridad; como son la

organización, el propio Plan y la adecuación al Plan.

A) Organización de seguridad de la información

Actualmente el Banco cuenta con un área de seguridad informática

recientemente constituida, los roles y responsabilidades del área no han sido

formalizados y las tareas desempeñadas por el área se limitan por ahora al

control de accesos de la mayoría de sistemas del Banco. Algunas tareas

correspondientes a la administración de seguridad son desarrolladas por el

área de sistemas como la administración de red, firewalls y bases de datos,

otras tareas son realizadas directamente por las áreas usuarias, y finalmente

otras responsabilidades como la elaboración de las políticas y normas de

seguridad, concientización de los usuarios, monitoreo de incidentes de

seguridad, etc., no han sido asignadas formalmente a ninguna de las áreas.

En este sentido, en el presente trabajo detallamos los roles y responsabilidades

relacionadas a la administración de seguridad de la información que involucra

no solamente a miembros de las áreas de seguridad informática y sistemas

como administradores de seguridad de información y custodios de información,

sino a los gerentes y jefes de las unidades de negocio como propietarios de

información, y a los usuarios en general.

B) Diseño del plan de seguridad de la información

Para el diseño del Plan de seguridad de la información se desarrollaran las

siguientes etapas:



- Evaluación de riesgos, amenazas y vulnerabilidades

Para la definición del alcance de las políticas y estándares y con el propósito de

identificar las implicancias de seguridad del uso y estrategia de tecnología,

amenazas y vulnerabilidades y nuevas iniciativas del negocio, se desarrollarán

un conjunto de entrevistas con las Gerencias del Banco, personal del área de

sistemas, auditoria interna y el área de seguridad informática. Producto de la

consolidación de la información obtenida en dichas entrevistas se elaborará

unas matrices que se presentarán en el capítulo N° V del presente documento.

- Políticas de seguridad de información.

Con el objetivo de contar con una guía para la protección de información del

Banco, se elaborarán las políticas y estándares de seguridad de la información,

tomando en cuenta el estándar de seguridad de información ISO 17799, los

requerimientos de la Circular N° G-105-2002 publicada por la Superintendencia

de Banca y Seguros (SBS) sobre Riesgos de Tecnología de Información y las

normas establecidas internamente por el Banco.

- Diseño de arquitectura de seguridad de red.

Con el objetivo de controlar las conexiones de la red del Banco con

entidades externas y monitorear la actividad realizada a través de dichas

conexiones, se elaborará una propuesta de arquitectura de red la cual

incluye dispositivos de monitoreo de intrusos y herramientas de inspección

de contenido.



C) Plan de Implementación

De la identificación de riesgos amenazas y vulnerabilidades relacionadas

con la seguridad de la información del Banco, se lograron identificar las

actividades más importantes a ser realizadas por el Banco con el propósito

de alinear las medidas de seguridad implementadas para proteger la

información del Banco, con las Políticas de seguridad y estándares

elaborados.

Este plan de alto nivel incluye una descripción de la actividad a ser

realizada, las etapas incluidas en su desarrollo y el tiempo estimado de

ejecución.

El Autor



Capítulo I

OBJETIVOS Y ALCANCES

1.1 Objetivos

El objetivo del presente trabajo es realizar un diagnostico de la situación actual

en cuanto a la seguridad de información que el Banco ABC actualmente

administra y diseñar un Plan de Seguridad de la Información (PSI) que permita

desarrollar operaciones seguras basadas en políticas y estándares claros y

conocidos por todo el personal del Banco. Adicionalmente, el presente trabajo

contempla la definición de la estrategia y los proyectos más importantes que

deben ser llevados a cabo para culminar con el Plan de Implementación.

La reglamentación que elaboró la SBS con respecto a los riesgos de

tecnología forma parte de un proceso de controles que se irán implementando,

tal como lo muestra el gráfico siguiente, los primeros controles fueron

enfocados hacia los riesgos propios del negocio (financieros y de capital), y él

ultima en ser reglamentado es el que nos aboca hoy, que es el diseño de un

Plan de Seguridad Informática (PSI) para esta entidad financiera.



Gráfico de Evolución de las regulaciones de la Superintendencia de

Banca y Seguros

RiesgosFinancieros

Riesgos deNegocios

Riesgos deOperaciones

• Estructura• Rentabilidad• Adec. Capital• De Crédito• De liquidez• De Tasa de

Interés• De Mercado• De Moneda

• Riesgo dePolítica

• Riesgo País• Riesgo

Sistémico

• RiesgoPolítico

• Riesgo deCrisisBancarias

• Otros

• Procesos• Tecnología• Personas• Eventos

1. Plan de Seguridad Informática PSI



Capítulo II

METODOLOGÍA Y PROCEDIMIENTOS UTILIZADOS

2.1 Metodología ESA

La estrategia empleada para la planificación y desarrollo del presente trabajo,

está basada en la metodología Enterprise Security Arquitecture (ESA) para el

diseño de un modelo de seguridad, como marco general establece el diseño de

políticas, normas y procedimientos de seguridad para el posterior desarrollo de

controles sobre la información de la empresa.

E v a l u a c i ó n d e R i e s g o& V u l n e r a b i l i d a d

Estra teg ía d eT e c n o l o g í a & U s o

Pol í t ica

A r q u i t e c t u r a d e S e g u r i d a d& E s t á n d a r e s T e c n i c o s

M o d e l o d e S e g u r i d a d

G u í a s y P r o c e d i m i e n t o s

A d m i n i t r a t i v o s y d e U s u a r i o F ina l

P r o c e s o s d e

R e c u p e r a c í o n

P r o c e s o s d e

E j e c u c i ó n

P r o c e s o s d e

M o n i t o r e o

In ic ia t ivas & P r o c e s o sd e N e g o c i o s

Co

mp

ro

mis

o d

e l

a A

lta G

er

en

cia

Estructura de Administración de Seguridad de Información

Pr

og

ra

ma d

e E

ntr

en

am

ien

to y

Co

nc

ien

tiz

ac

iónVis ión y Es tra teg ia de Segur idad

A m e n a z a s

En el desarrollo del trabajo se utilizaron los siguientes procedimientos de

trabajo:



1. Entrevistas para la identificación de riesgos amenazas y vulnerabilidades de

la organización con el siguiente personal de la empresa:

- Gerente de División de Negocios.

- Gerente de División de Riesgos

- Gerente de División de Administración y Operaciones

- Gerente de División de Finanzas

- Gerente de División de Negocios Internacionales

- Gerente de Negocios Internacionales

- Gerente de Asesoría Legal

- Auditor de Sistemas

- Gerente de Sistemas

- Gerente Adjunto de Seguridad Informática

- Asistente de Seguridad Informática

2. Definición y discusión de la organización del área de seguridad informática.

3. Elaboración de las políticas de seguridad de información del Banco

tomando como referencia el estándar para seguridad de información ISO

17799, los requerimientos de la Circular N° G-105-2002 publicada por la

Superintendencia de Banca y Seguros (SBS) sobre Riesgos de Tecnología

de Información y las normas internas del Banco referidas a la seguridad de

información.

4. Evaluación de la arquitectura de red actual y diseño de una propuesta de

arquitectura de red.



Capítulo III

DIAGNÓSTICO DE LA SITUACIÓN ACTUAL DE LA ADMINISTRACIÓN DE LA

SEGURIDAD DE INFORMACIÓN

3.1 Evaluación

Efectuada nuestra revisión de la administración de riesgos de tecnología de

información del Banco hemos observado que el Plan de Seguridad de

Información (PSI) no ha sido desarrollado. Si bien hemos observado la

existencia de normas, procedimientos y controles que cubren distintos aspectos

de la seguridad de la información, se carece en general de una metodología,

guía o marco de trabajo que ayude a la identificación de riesgos y

determinación de controles para mitigar los mismos.

Dentro de los distintos aspectos a considerar en la seguridad de la Información,

se ha podido observar que se carece de Políticas de seguridad de la

Información y de una Clasificación de Seguridad de los activos de Información

del Banco. Cabe mencionar que se ha observado la existencia de controles, en

el caso de la Seguridad Lógica, sobre los accesos a los sistemas de

información así como procedimientos establecidos para el otorgamiento de

dichos accesos. De igual manera se ha observado controles establecidos con

respecto a la seguridad física y de personal.

Sin embargo, estos controles no obedecen a una definición previa de una

Política de Seguridad ni de una evaluación de riesgos de seguridad de la

información a nivel de todo el Banco. Los controles establecidos a la fecha son

producto de evaluaciones particulares efectuadas por las áreas involucradas o

bajo cuyo ámbito de responsabilidad recae cierto aspecto de la seguridad.



3.2 Alcances

El alcance del diagnóstico de la situación de administración del riesgo de

Tecnología de Información, en adelante TI, comprende la revisión de las

siguientes funciones al interior del área de sistemas:

• Administración del área de Tecnología de Información

- Estructura organizacional

- Función de seguridad a dedicación exclusiva

- Políticas y procedimientos para administrar los riesgos de TI

- Subcontratación de recursos.

• Actividades de desarrollo y mantenimiento de sistemas informáticos

• Seguridad de la Información

- Administración de la Seguridad de la Información.

- Aspectos de la seguridad de la información (lógica, personal y física y

ambiental)

- Inventario periódico de activos asociados a TI

• Operaciones computarizadas

- Administración de las operaciones y comunicaciones

- Procedimientos de respaldo

- Planeamiento para la continuidad de negocios

- Prueba del plan de continuidad de negocios

Asimismo, comprende la revisión de los siguientes aspectos:

• Cumplimiento normativo

• Privacidad de la información

• Auditoria de sistemas

El siguiente cuadro muestra el grado de cumplimiento en los aspectos

relacionados a la adecuación del Plan de Seguridad:



Aspectos EvaluadosGrado de

Cumplimiento

1 Estructura de la seguridad de la Información

2 Plan de seguridad de la Información

2.1 Políticas, estándares y procedimientos de seguridad.

2.1.1. Seguridad Lógica

2.1.2 Seguridad de Personal

2.1.3 Seguridad Física y Ambiental

2.1.4 Clasificación de Seguridad

3 Administración de las operaciones y comunicaciones

4 Desarrollo y mantenimiento de sistemas informáticos

5 Procedimientos de respaldo

6 Plan de continuidad de negocios

6.1 Planeamiento para la Continuidad de Negocios

6.2Criterios para el diseño e implementación del Plan de

continuidad de Negocios

6.3 Prueba del Plan de Continuidad de Negocios

7 Subcontratación

8 Cumplimiento normativo

9 Privacidad de la información

10 Auditoria de Sistemas

Una descripción mas detallada de los aspectos evaluados pueden ser

encontrados en el Anexo C.



Capítulo IV

SEGURIDAD DE LA INFORMACIÓN – ROLES Y ESTRUCTURA

ORGANIZACIONAL

4.1 Situación actual

La administración de seguridad de información se encuentra distribuida

principalmente entre las áreas de sistemas y el área de seguridad informática.

En algunos casos, la administración de accesos es realizada por la jefatura o

gerencia del área que utiliza la aplicación.

Las labores de seguridad realizadas actualmente por el área de seguridad

informática son las siguientes:

- Creación y eliminación de usuarios

- Verificación y asignación de perfiles en las aplicaciones

Las labores de seguridad realizadas por el área de sistemas son las siguientes:

- Control de red

- Administración del firewall

- Administración de accesos a bases de datos

Las funciones de desarrollo y mantenimiento de políticas y estándares de

seguridad no están definidas dentro de los roles de la organización.

Cabe mencionar que el acceso con privilegio administrativo al computador

central es restringido, el área de seguridad informática define una contraseña,

la cual es enviada a la oficina de seguridad (Gerencia de Administración) en un

sobre cerrado, en caso de necesitarse acceso con dicho privilegio, la

contraseña puede ser obtenida por el gerente de sistemas o el jefe de soporte



técnico y producción, solicitando el sobre a la oficina de seguridad. Luego

deben realizar un informe sobre la actividad realizada en el computador central.

4.2 ROLES Y RESPONSABILIDADES DE LA ESTRUCTURA

ORGANIZACIONAL DE SEGURIDAD DE INFORMACIÓN

El área organizacional encargada de la administración de seguridad de

información debe soportar los objetivos de seguridad de información del Banco.

Dentro de sus responsabilidades se encuentran la gestión del plan de

seguridad de información así como la coordinación de esfuerzos entre el

personal de sistemas y los empleados de las áreas de negocios, siendo éstos

últimos los responsables de la información que utilizan. Asimismo, es

responsable de promover la seguridad de información a lo largo de la

organización con el fin de incluirla en el planeamiento y ejecución de los

objetivos del negocio.

Es importante mencionar que las responsabilidades referentes a la seguridad

de información son distribuidas dentro de toda la organización y no son de

entera responsabilidad del área de seguridad informática, en ese sentido

existen roles adicionales que recaen en los propietarios de la información, los

custodios de información y el área de auditoria interna.

Los propietarios de la información deben verificar la integridad de su

información y velar por que se mantenga la disponibilidad y confidencialidad de

la misma.

Los custodios de información tienen la responsabilidad de monitorear el

cumplimiento de las actividades encargadas y el área de auditoria interna debe

monitorear el cumplimiento de la política de seguridad y el cumplimiento

adecuado de los procesos definidos para mantener la seguridad de

información.



A continuación presentamos los roles y responsabilidades relacionadas a la

administración de seguridad de información:

Área de Seguridad Informática.

El área organizacional encargada de la administración de seguridad de

información tiene como responsabilidades:

• Establecer y documentar las responsabilidades de la organización en

cuanto a seguridad de información.

• Mantener la política y estándares de seguridad de información de la

organización.

• Identificar objetivos de seguridad y estándares del Banco (prevención de

virus, uso de herramientas de monitoreo, etc.)

• Definir metodologías y procesos relacionados a la seguridad de información.

• Comunicar aspectos básicos de seguridad de información a los empleados

del Banco. Esto incluye un programa de concientización para comunicar

aspectos básicos de seguridad de información y de las políticas del Banco.

• Desarrollar controles para las tecnologías que utiliza la organización. Esto

incluye el monitoreo de vulnerabilidades documentadas por los

proveedores.

• Monitorear el cumplimiento de la política de seguridad del Banco.

• Controlar e investigar incidentes de seguridad o violaciones de seguridad.

• Realizar una evaluación periódica de vulnerabilidades de los sistemas que

conforman la red de datos del Banco.

• Evaluar aspectos de seguridad de productos de tecnología, sistemas o

aplicaciones utilizados en el Banco.

• Asistir a las gerencias de división en la evaluación de seguridad de las

iniciativas del negocio.

• Verificar que cada activo de información del Banco haya sido asignado a un

“propietario” el cual debe definir los requerimientos de seguridad como



políticas de protección, perfiles de acceso, respuesta ante incidentes y sea

responsable final del mismo.

• Administrar un programa de clasificación de activos de información,

incluyendo la identificación de los propietarios de las aplicaciones y datos.

• Coordinación de todas las funciones relacionadas a seguridad, como

seguridad física, seguridad de personal y seguridad de información

almacenada en medios no electrónicos.

• Desarrollar y administrar el presupuesto de seguridad de información.

• Reportar periódicamente a la gerencia de Administración y Operaciones.

• Administración de accesos a las principales aplicaciones del Banco.

• Elaborar y mantener un registro con la relación de los accesos de los

usuarios sobre los sistemas y aplicaciones del Banco y realizar revisiones

periódicas de la configuración de dichos accesos en los sistemas.

• Controlar aspectos de seguridad en el intercambio de información con

entidades externas.

• Monitorear la aplicación de los controles de seguridad física de los

principales activos de información.

Custodio de Información:

Es el responsable de la administración diaria de la seguridad en los sistemas

de información y el monitoreo del cumplimiento de las políticas de seguridad en

los sistemas que se encuentran bajo su administración. Sus responsabilidades

son:

• Administrar accesos a nivel de red (sistema operativo).

• Administrar accesos a nivel de bases de datos.

• Administrar los accesos a archivos físicos de información almacenada en

medios magnéticos (diskettes, cintas), ópticos (cd´s) o impresa.

• Implementar controles definidos para los sistemas de información,

incluyendo investigación e implementación de actualizaciones de seguridad



de los sistemas (service packs, fixes, etc.) en coordinación con el área de

seguridad informática.

• Desarrollar procedimientos de autorización y autenticación.

• Monitorear el cumplimiento de la política y procedimientos de seguridad en

los activos de información que custodia.

• Investigar brechas e incidentes de seguridad.

• Entrenar a los empleados en aspectos de seguridad de información en

nuevas tecnologías o sistemas implantados bajo su custodia.

• Asistir y administrar los procedimientos de backup, recuperación y plan de

continuidad de sistemas.

Usuario:

Las responsabilidades de los usuarios finales, es decir, aquellas personas que

utilizan información del Banco como parte de su trabajo diario están definidas a

continuación:

• Mantener la confidencialidad de las contraseñas de aplicaciones y sistemas.

• Reportar supuestas violaciones de la seguridad de información.

• Asegurarse de ingresar información adecuada a los sistemas.

• Adecuarse a las políticas de seguridad del Banco.

• Utilizar la información del Banco únicamente para los propósitos

autorizados.

Propietario de Información:

Los propietarios de información son los gerentes y jefes de las unidades de

negocio, los cuales, son responsables de la información que se genera y se

utiliza en las operaciones de su unidad. Las áreas de negocios deben ser

conscientes de los riesgos de tal forma que sea posible tomar decisiones para

disminuir los mismos.

Entre las responsabilidades de los propietarios de información se tienen:

• Asignar los niveles iniciales de clasificación de información.



• Revisión periódica de la clasificación de la información con el propósito de

verificar que cumpla con los requerimientos del negocio.

• Asegurar que los controles de seguridad aplicados sean consistentes con la

clasificación realizada.

• Determinar los criterios y niveles de acceso a la información.

• Revisar periódicamente los niveles de acceso a los sistemas a su cargo.

• Determinar los requerimientos de copias de respaldo para la información

que les pertenece.

• Tomar las acciones adecuadas en caso de violaciones de seguridad.

• Verificar periódicamente la integridad y coherencia de la información

producto de los procesos de su área.

Auditoria Interna:

El personal de auditoria interna es responsable de monitorear el cumplimiento

de los estándares y guías definidas en las políticas internas. Una estrecha

relación del área de auditoria interna con el área de seguridad informática es

crítica para la protección de los activos de información. Por lo tanto dentro del

plan anual de evaluación del área de auditoria interna se debe incluir la

evaluación periódica de los controles de seguridad de información definidos por

el Banco.

Auditoria interna debe colaborar con el área de seguridad informática en la

identificación de amenazas y vulnerabilidades referentes a la seguridad de

información del Banco.

4.3 ORGANIZACIÓN DEL AREA DE SEGURIDAD INFORMÁTICA

PROPUESTA

Dado el volumen de operaciones y la criticidad que presenta la información

para el negocio del Banco y tomando en cuenta las mejores prácticas de la

industria, es necesaria la existencia de un área organizacional que administre

la seguridad informática. Como requisito indispensable, esta área debe ser



independiente de la Gerencia de Sistemas, la cual en muchos casos es la

ejecutora de las normas y medidas de seguridad elaboradas.

Este proceso de independización de la administración de la seguridad del área

de sistemas ya fue iniciado por el Banco al crear el área de seguridad

informática, la cual, reporta a la Gerencia de división de Administración y

Operaciones.

Considerando la falta de recursos con el perfil requerido que puedan ser

rápidamente reasignados, el proceso de entendimiento y asimilación de las

responsabilidades, los roles definidos correspondientes al área de seguridad

informática, y la necesidad de implementar un esquema adecuado de

seguridad, proponemos definir una estructura organizacional de seguridad

transitoria en la cual se creará un comité de coordinación de seguridad de la

información para la definición de los objetivos del área y el monitoreo de las

actividades de la misma.

El comité de coordinación de seguridad de la información, estará conformado

por las siguientes personas:

• Gerente de división de Administración y Operaciones (presidente del

comité).

• Jefe del área de seguridad informática (responsable del comité).

• Gerente de Sistemas.

• Auditor de Sistemas.

• Jefe del departamento de Riesgo Operativo y Tecnológico.



Gerente deAdministración y

Operaciones

SistemasContraloría

General OperacionesRecursosHumanos Administración

SeguridadInformática

Comité deCoordinación deSeguridad de la

Információn

Fig. 1: Estructura organizacional transitoria propuesta para la

administración de la seguridad de información.

Gerente deSistemas

Jefe deDepartamente de

Riesgo Operativo yTecnológico

Auditor deSistemas

Jefe de SeguridadInformática

(Responsable)

Gerente de División deAdministración y

Operaciones(Presidente del Comité)

Fig. 2: Organización del Comité de coordinación de Seguridad de la

Información.

Este comité, determinará el gradual traslado de las responsabilidades de

seguridad al área de seguridad informática, monitoreará las labores realizadas

por el área, colaborando a su vez con el entendimiento de la plataforma

tecnológica, los procesos del negocio del Banco y la planificación inicial de

actividades que desarrollará el área a corto plazo.



El comité de coordinación deberá reunirse con una frecuencia quincenal, con la

posibilidad de convocar reuniones de emergencia en caso de existir alguna

necesidad que lo amerite.

Es importante resaltar que luego que el área de seguridad informática haya

logrado una asimilación de sus funciones, un entendimiento de los procesos del

negocio del Banco y una adecuada interrelación con las gerencias de las

distintas divisiones del Banco, el jefe de área de seguridad informática debe

reportar directamente al Gerente de división de Administración y Operaciones,

convirtiéndose el comité de coordinación de seguridad informática, en un ente

consultivo, dejando la labor de monitoreo a la gerencia de división.



Capítulo V

EVALUACIÓN DE RIESGOS, AMENAZAS Y VULNERABILIDADES

Con el propósito de obtener un adecuado entendimiento de la implicancia que

tiene el uso de tecnología, las amenazas y vulnerabilidades, así como las

iniciativas del negocio sobre la seguridad de la información del Banco, se

efectuaron entrevistas, de las cuales se obtuvo las siguientes tres matrices, que

nos muestran la implicancia en seguridad que presentan cada uno de los

factores mencionados anteriormente, así como el estándar o medida a aplicar

para minimizar los riesgos correspondientes.

5.1 Matriz de uso y estrategia de tecnología

Esta matriz muestra la tecnología utilizada actualmente por el Banco y los

cambios estratégicos planificados que impactan en ella, las implicancias de

seguridad asociadas al uso de tecnología y los estándares o medidas

propuestas para minimizar los riesgos generados por la tecnología empleada.

Tecnología Implicancia de seguridadEstándar o medida de

seguridad a aplicar

Actual

Windows NT,

Windows 2000

Se debe contar con controles

de acceso adecuados a la data

y sistemas soportados por el

Sistema Operativo.

Estándar de mejores

prácticas de seguridad para

Windows NT



Windows 2000.




seguridad a aplicar

OS/400 Se debe contar con controles

de acceso adecuados a la data

y sistemas soportados por el

computador Central. Los

controles que posee este

servidor deben ser lo más

restrictivos posibles pues es el

blanco potencial de la mayoría

de intentos de acceso no

autorizado.



OS/400.

Base de datos

SQL Server

Se debe contar con controles

de acceso a información de los

sistemas que soportan el

negocio de la Compañía.



bases de datos SQL Server.

Banca electrónica

a través de

Internet.

• El servidor Web se

encuentra en calidad de

"hosting" en Telefónica

Data, se debe asegurar

que el equipo cuente con

las medidas de seguridad

necesarias, tanto físicas

como lógicas.

• La transmisión de los datos

es realizada a través de un

medio público (Internet), se

debe contar con medidas

adecuadas para mantener

• Estándares de

encripción de

información transmitida.

• Cláusulas de

confidencialidad y

delimitación de

responsabilidades en

contratos con

proveedores.

• Acuerdos de nivel de

servicios con

proveedores, en los

cuales se detalle el




seguridad a aplicar

la confidencialidad de la

información (encripción de

la data).

• El servidor Web que es

accedido por los clientes

puede ser blanco potencial

de actividad vandálica con

el propósito de afectar la

imagen del Banco.

• La disponibilidad del

sistema es un factor clave

para el éxito del servicio.

porcentaje mínimo de

disponibilidad del

sistema.

• Evaluación

independiente de la

seguridad del servidor

que brinda el servicio, o

acreditación de la misma

por parte del proveedor.

Banca telefónica • Transmisión de información

por medios públicos sin

posibilidad de protección

adicional.

• Imposibilidad de mantener

la confidencialidad de las

operaciones con el

proveedor del servicio

telefónico.

• Posibilidad de obtención de

números de tarjeta y

contraseñas del canal de

transmisión telefónico.

• Establecimiento de

límites adecuados a las

operaciones realizadas

por vía telefónica.

• Posibilidad de registrar

el número telefónico

origen de la llamada.

• Controles en los

sistemas de grabación

de llamadas telefónica.

• Evaluar la posibilidad de

notificar al cliente de

manera automática e

inmediata luego de

realizada la operación.




seguridad a aplicar

Sistema Central

Core Bancario

• El sistema central es el

sistema que soporta gran

parte de los procesos del

negocio del Banco, por lo

tanto, todo acceso no

autorizado al servidor

representa un riesgo

potencial para el negocio.

• Estándar de mejores

prácticas de seguridad

para OS/400.

• Revisión periódica de los

accesos otorgados a los

usuarios del sistema.

• Monitoreo periódico de

la actividad realizada en

el servidor.

• Verificación del control

dual de aprobación en

transacciones sensibles.

MIS (Management

Information

System)

• El acceso a repositorios de

información sensible debe

ser restringido

adecuadamente.

• Estándares de seguridad

de Windows 2000, bases

de datos.

• Adecuados controles de

acceso y otorgamiento

de perfiles a la

aplicación.

Desarrollo de

aplicaciones para

las unidades de

negocio, en

periodos muy

cortos.

• Los proyectos de desarrollo

en periodos muy cortos,

comprenden un acelerado

desarrollo de sistemas; la

aplicación de medidas de

seguridad, debería

encontrarse incluida en el

desarrollo del proyecto.



para Windows 2000,

OS/400.

• Metodología para el

desarrollo de

aplicaciones.

• Procedimientos de




seguridad a aplicar

• El tiempo de pase a

producción de un nuevo

sistema que soportará un

producto estratégico, es

muy importante para el

éxito del negocio, lo cual

puede originar que no se

tomen las medidas de

seguridad necesarias antes

del pase a producción de

los nuevos sistemas.

control de cambios.

• Evaluación de

requerimientos de

seguridad de los

sistemas antes de su

pase a producción.



para aplicaciones

distribuidas.

Computadoras

personales.

• Se debe contar con

adecuados controles de

acceso a información

existente en computadoras

personales.

• Se requieren adecuados

controles de accesos a la

información de los sistemas

desde las computadoras

personales de usuarios.

• La existencia de diversos

sistemas operativos en el

parque de computadores

personales, tales como,

Windows 95, Windows 98,

Windows NT, Windows

• Concientización y

entrenamiento de los

usuarios en temas de

seguridad de la

información.

• Implementación de

mayores controles de

seguridad para

computadoras

personales.

• Finalización del proyecto

de migración de la

plataforma de

computadoras

personales al sistema

operativo Windows 2000




seguridad a aplicar

2000 Professional,

Windows XP, impide

estandarizar la

configuración de los

sistemas.

• Debe existir un control

sobre los dispositivos que

pudieran facilitar fuga de

información (disqueteras,

grabadoras de cd's,

impresoras personales,

etc.)

• Se debe controlar y

monitorear las aplicaciones

y sistemas instalados en

las PC´s

y Windows XP.

• Estándares de mejores


para estaciones de

trabajo.

• Actualización periódica

de inventarios del

software instalado.


carpetas compartidas.

• Monitoreo de actividad

de los usuarios,

sistemas de detección

de intrusos.

Correo electrónico • Posibilidad de

interceptación no

autorizada de mensajes de

correo electrónico.

• Riesgo de acceso no

autorizado a información

del servidor.

• Posibilidad de utilización de

recursos por parte de

personas no autorizadas,

para enviar correo

• Se debe contar con

estándares de encripción

para los mensajes de

correo electrónico que

contengan información

confidencial.



para Windows NT y

Lotus Notes.

• Configuración de anti-




seguridad a aplicar

electrónico a terceros (relay

no autorizado).

• Posibilidad de recepción de

correo inservible (SPAM).

relay.

• Implementación de un

sistema de seguridad del

contenido SMTP.

Conexión a

Internet y redes

públicas / Firewall.

• Riesgos de accesos no

autorizados desde Internet

y redes externas hacia los

sistemas del Banco.

• Adecuado uso del acceso a

Internet por parte de los

usuarios.

• Los dispositivos que

permiten controlar accesos,

tales como, firewalls,

servidores proxy, etc.

Deben contar con medidas

de seguridad adecuadas

para evitar su manipulación

por personas no

autorizadas.

• Riesgo de acceso no

autorizado desde socios de

negocios hacia los

sistemas de La Compañía.

• Políticas de seguridad.



para servidores

Windows NT, Windows

2000, correo electrónico,

servidores Web y

equipos de

comunicaciones.

• Delimitación de

responsabilidades

referentes a la seguridad

de información en

contratos con

proveedores.

• Mejores prácticas de

seguridad para

configuración de

Firewalls.

• Diseño e

implementación de una

arquitectura de

seguridad de




seguridad a aplicar

red.Utilización de

sistemas de detección

de intrusos.

• Especificación de

acuerdos de nivel de

servicio con el

proveedor.

• Controles y filtros para el

acceso a Internet.

En Proyecto

Cambios en la

infraestructura de

red.

• Los cambios en la

infraestructura de red

pueden generar nuevas

puertas de entrada a

intrusos si los cambios no

son realizados con una

adecuada planificación.

• Una falla en la

configuración de equipos

de comunicaciones puede

generar falta de

disponibilidad de sistemas.

• Un diseño de red

inadecuado puede facilitar

el ingreso no autorizado a

la red de datos.

• Elaboración de una

arquitectura de red con

medidas de seguridad

adecuadas.

• Establecer controles de

acceso adecuados a la

configuración de los

equipos de

comunicaciones.

• Plan de migración de

infraestructura de red.

Software de Riesgo de acceso no • Estándar de seguridad




seguridad a aplicar

administración

remota de PC´s y

servidores.

autorizado a las consolas de

administración y agentes de

administración remota.

para Windows NT

• Estándar de seguridad

para Windows 2000


para Windows XP

• Controles de acceso

adecuados a las

consolas y agentes de

administración remota.


adecuados

procedimientos para

tomar control remoto de

PC´s o servidores.

• Adecuada configuración

del registro (log) de

actividad realizada

mediante administración

remota.

Migración de

servidores

Windows NT

Server a Windows

2000 Server.

• Posibilidad de error en el

traslado de los usuarios y

permisos de acceso a los

directorios de los nuevos

servidores.

• Posibilidad de existencia de

vulnerabilidades no

conocidas anteriormente.


para Windows 2000.

• Procedimientos de

control de cambios.

• Plan de migración a

Windows 2000.





seguridad a aplicar

Implantación de

Datawarehouse.

• Información sensible

almacenada en un

repositorio centralizado,

requiere de controles de

acceso adecuados.


sistema debe ser alta para

no afectar las operaciones

que soporta.

• Estándares de

Seguridad para Windows

2000.


en bases de datos SQL.

• Plan de implantación de

Datawarehouse.

• Procedimientos para

otorgamiento de perfiles.


5.2 Matriz de Evaluación de Amenazas y Vulnerabilidades

En esta matriz se muestra los riesgos y amenazas identificadas, las

implicancias de seguridad y los estándares o medidas de seguridad necesarias

para mitigar dicha amenaza.

Amenaza /

VulnerabilidadImplicancia de Seguridad

Estándar o medida de

seguridad a aplicar

Riesgos/ Amenazas

Interés en obtener

información

estratégica del

Banco, por parte

de competidores

de negocio.

La existencia de información

atractiva para competidores de

negocio tales como

información de clientes e

información de marketing

implica la aplicación de

controles adecuados para el


para servidores

Windows 2000,

Windows NT y OS/400.

• Control de acceso a las

aplicaciones del Banco.

Revisión y depuración



Amenaza /



seguridad a aplicar

acceso a información. periódica de los accesos

otorgados.

• Restricciones en el

manejo de información

enviada por correo

electrónico hacia redes

externas, extraída en

disquetes o cd´s e

información impresa.

• Verificación de la

información impresa en

reportes, evitar mostrar

información innecesaria

en ellos.


Interés en obtener

beneficios

económicos

mediante actividad

fraudulenta.

Debido al volumen de dinero

que es administrado por es

administrado por una entidad

financiera, la amenaza de

intento de fraude es una

posibilidad muy tentadora

tanto para personal interno del

Banco, así como para personal

externo.


para Windows NT,

Windows 2000, OS/400

y bases de datos SQL.

• Controles de accesos a

los menús de las

aplicaciones.

• Revisiones periódicas de

los niveles de accesos

de los usuarios.

• Evaluación periódica de

la integridad de la



Amenaza /



seguridad a aplicar

información por parte del

propietario de la misma.


los registros (logs) de los

sistemas y operaciones

realizadas.

• Mejores prácticas para

configuración de

firewalls, servidores y

equipos de

comunicaciones.

Actividad

vandálica

realizada por

“hackers” o

“crackers”

• La actividad desarrollada

por “hackers” o “crackers”

de sistemas, puede afectar

la disponibilidad, integridad

y confidencialidad de la

información del negocio.

Estos actos vandálicos

pueden ser desarrollados

por personal interno o

externo al Banco.

• Adicionalmente si dicha

actividad es realizada

contra equipos que

proveen servicios a los

clientes (página Web del

banco) la imagen y


para servidores

Windows 2000.


para servidores

Windows NT.

• Delimitación de

responsabilidades y

sanciones en los

contratos con

proveedores de servicios

en calidad de “hosting”.

• Verificación de

evaluaciones periódicas

o certificaciones de la

seguridad de los



Amenaza /



seguridad a aplicar

reputación del Banco se

podría ver afectada en un

grado muy importante.

sistemas en calidad de

“hosting”.

• Concientización y

compromiso formal de

los usuarios en temas

relacionados a la

seguridad de

información.

• Políticas de Seguridad.

Pérdida de

información

producto de

infección por virus

informático.

• El riesgo de pérdida de

información por virus

informático es alto si no se

administra adecuadamente

el sistema Antivirus y los

usuarios no han sido

concientizados en

seguridad de información

• Adecuada arquitectura e

implementación del

sistema antivirus.

• Verificación periódica de

la actualización del

antivirus de

computadoras

personales y servidores.

• Generación periódica de

reportes de virus

detectados y

actualización de

antivirus.

Fuga de

información a

través del personal

que ingresa de

manera temporal

• Los accesos otorgados al

personal temporal deben

ser controlados

adecuadamente, asimismo

la actividad realizada por

• Control adecuado de los

accesos otorgados.

• Depuración periódica de

accesos otorgados a los

sistemas.



Amenaza /



seguridad a aplicar

en sustitución de

empleados en

vacaciones.

los mismos en los sistemas

debe ser periódicamente

monitoreada.

• El personal temporal podría

realizar actividad no

autorizada, la cual podría

ser detectada cuando haya

finalizado sus labores en el

Banco.

• Restricciones en acceso

a correo electrónico y

transferencia de

archivos hacia Internet.


y revisión periódica de

los registros (logs) de

aplicaciones y sistema

operativo.

Vulnerabilidades

No se cuenta con

un inventario de

perfiles de acceso

a las aplicaciones.

El control sobre la actividad de

los usuarios en los sistemas es

llevado a cabo en muchos

casos, mediante perfiles de

usuarios controlando así los

privilegios de acceso a los

sistemas.

• Se debe contar con un

inventario de los

accesos que poseen los

usuarios sobre las

aplicaciones.


los perfiles y accesos de

los usuarios por parte

del propietario de la

información.

Exceso de

contraseñas

manejadas por los

usuarios.

La necesidad de utilizar

contraseñas distintas para

cada sistema o aplicación del

Banco, puede afectar la

seguridad en la medida que el

usuario no sea capaz de

• Uniformizar dentro de lo

posible la estructura de

las contraseñas

empleadas y sus fechas

de renovación.

• Implementar un sistema



Amenaza /



seguridad a aplicar

retener en la memoria, la

relación de nombres de

usuario y contraseñas

utilizadas en todos los

sistemas. La necesidad de

anotar las contraseñas por

parte de los usuarios, expone

las mismas a acceso por parte

de personal no autorizado.

de Servicio de directorio,

el cual permita al usuario

identificarse en él, y

mediante un proceso

automático, éste lo

identifique en los

sistemas en los cuales

posee acceso.

Existencia de

usuarios del área

de desarrollo y

personal temporal

con acceso al

entorno de

producción.

El ambiente de producción

debe contar con controles de

acceso adecuados con

respecto los usuarios de

desarrollo, esto incluye las

aplicaciones y bases de datos

de las mismas.

• Inventario y depuración

de perfiles de acceso

que poseen los usuarios

de desarrollo en el

entorno de producción.

• Adecuada segregación

de funciones del

personal del área de

sistemas.

• Procedimiento de pase a

producción.

Aplicaciones cuyo

acceso no es

controlado por el

área de seguridad

informática.

El área de seguridad

informática debe participar en

el proceso de asignación de

accesos a las aplicaciones del

Banco y verificar que la

solicitud de accesos sea

coherente con el cargo del

• Formalización de roles y

responsabilidades del

área de seguridad

informática.

• Traslado de la

responsabilidad del

control de accesos a



Amenaza /



seguridad a aplicar

usuario.

El gerente que aprueba la

solicitud es el responsable de

los accesos que solicita para

los usuarios de su área.

aplicaciones al área de

seguridad informática.

Falta de

conciencia en

seguridad por

parte del personal

del Banco.

El personal del Banco es el

vínculo entre la política de

seguridad y su implementación

final para aplicar la política de

seguridad, se pueden

establecer controles y un

monitoreo constante, pero la

persona es siempre el punto

más débil de la cadena de

seguridad, este riesgo se

puede incrementar si el

usuario no recibe una

adecuada capacitación y

orientación en seguridad de

información.

• Programa de

capacitación del Banco

en temas relacionados a

la seguridad de

información.

• Capacitación mediante

charlas, videos,

presentaciones, afiches,

etc., los cuales

recuerden

permanentemente al

usuario la importancia

de la seguridad de

información.

Falta de personal

con conocimientos

técnicos de

seguridad

informática.

Para una adecuada

administración de la seguridad

informática se requiere

personal capacitado que

pueda cumplir las labores de

elaboración de políticas y

administración de seguridad

• Capacitación del

personal técnico en

temas de seguridad de

información o inclusión

nuevo de personal con

conocimientos de

seguridad de



Amenaza /



seguridad a aplicar

en el área de seguridad

informática, así como

implementación de controles y

configuración de sistemas en

el área de sistemas.

información para las

áreas de seguridad

informática y sistemas.

Falta de controles

adecuados para la

información que

envían los

usuarios hacia

Internet.

El acceso hacia Internet por

medios como correo

electrónico, ftp (file transfer

protocol) o incluso web en

algunos casos, puede facilitar

la fuga de información

confidencial del Banco.

El Banco ha invertido en la

implementación de una

herramienta para el filtrado de

las páginas web que son

accedidas por los usuarios, se

debe asegurar que dicho

control sea adecuadamente

aplicado.

Vulnerabilidades:

• No existen controles

adecuados sobre el

personal autorizado a

enviar correo electrónico al

exterior.

• Configuración adecuada

del servidor Proxy y la

herramienta Surf

Control.

• Generación periódica de

reportes de la

efectividad de los

controles aplicados.

• Implementación de una

adecuada arquitectura

de red.


la configuración de

Firewalls.

• Implementación y

administración de

herramientas para la

inspección del contenido

de los correos

electrónicos enviados.



Amenaza /



seguridad a aplicar

• No existen herramientas de

inspección de contenido

para correo electrónico.

• Se pudo observar que

usuarios que no se han

identificado en el dominio

del Banco, pueden acceder

al servicio de navegación a

través del servidor Proxy.

No existen

controles

adecuados para la

información

almacenada en las

computadoras

personales.

Existe información

almacenada en las

computadoras personales de

los usuarios que requiere

ciertos niveles de seguridad.

Los usuarios deben contar con

procedimientos para realizar

copias de respaldo de su

información importante.

Vulnerabilidades:

• El sistema operativo

Windows 95/98 no permite

otorgar niveles apropiados

de seguridad a la

información existente en

ellas.

• No existe un procedimiento

para verificación periódica

• Establecimiento de un

procedimiento formal

que contemple la

generación de copia de

respaldo de información

importante de los

usuarios.

• Concluir el proceso de

migración del sistema

operativo de las

computadoras

personales a Windows

2000 Professional o

Windows XP.

• Concientización de

usuarios en temas

relacionados a la

seguridad de la



Amenaza /



seguridad a aplicar

de las carpetas

compartidas por los

usuarios.

• El procedimiento para

realizar copias de respaldo

de la información

importante no es conocido

por todos los usuarios.

información.

Arquitectura de red

inapropiada para

controlar accesos

desde redes

externas.

Posibilidad de acceso no

autorizado a sistemas por

parte de personal externo al

Banco.

Vulnerabilidades:

• Existencia de redes

externas se conectan con

la red del Banco sin la

protección de un firewall.

• Los servidores de acceso

público no se encuentran

aislados de la red interna.

• Diseño de arquitectura

de seguridad de red.


de elementos de control

de conexiones

(firewalls).


administración de

herramientas de

seguridad.

Fuga de

información

estratégica

mediante

sustracción de

computadores

Es posible obtener la

información existente en las

computadoras portátiles de los

gerentes del banco mediante

el robo de las mismas.

• Programas para

encripción de la data

confidencial existente en

los discos duros de las

computadoras portátiles.



Amenaza /



seguridad a aplicar

portátiles.

Acceso no

autorizado a través

de enlaces

inalámbricos.

• El riesgo de contar con

segmentos de red

inalámbricos sin medidas

de seguridad específicas

para este tipo de enlaces,

radica en que cualquier

persona podría conectar un

equipo externo al Banco

incluso desde un edificio

cercano.

• Evaluación del alcance

de la red inalámbrica.

• Separación del

segmento de red

inalámbrico mediante un

Firewall.

• Verificación periódica de

la actividad realizada

desde la red

inalámbrica.

• Utilización de encripción

.

Controles de

acceso hacia

Internet desde la

red interna.

• Posibilidad de acceso no

autorizado desde la red

interna de datos hacia

equipos de terceros en

Internet.

• Posibilidad de fuga de

información.

• Posibilidad de realización

de actividad ilegal en

equipos de terceros a

través de Internet.

• Implementación de una

adecuada arquitectura

de red.

• Configuración adecuada

de servidor Proxy.


la configuración de

Firewalls.


administración de

herramientas para la

seguridad del contenido

de los correos

electrónicos enviados.



Amenaza /



seguridad a aplicar


la actividad, mediante el

análisis de los registros

(logs) de los sistemas.

5.3 Matriz de Iniciativas del Negocio / Procesos

En esta matriz se muestra las iniciativas y operaciones del negocio que poseen

alta implicancia en seguridad y los estándares o medidas de seguridad a ser

aplicados para minimizar los riesgos generados por ellas.

Iniciativa del

NegocioImplicancia de Seguridad


seguridad a aplicar

Iniciativas del Negocio

Implantación de

Datawarehouse.

• Información sensible

almacenada en un

repositorio centralizado,

requiere de controles de

acceso adecuados.


sistema debe ser alta para

no afectar las operaciones

que soporta.


prácticas de

seguridad para

Windows NT


prácticas de

seguridad para

Windows

• Plan de implantación

de Datawarehouse.

• Procedimientos para

otorgamiento de

perfiles.



Iniciativa del



seguridad a aplicar


una arquitectura de

red segura.

Proyecto de

tercerización del

Call Center

• Consulta de información

existente en los sistemas

por parte de terceros.

• Registro de información en

los sistemas por parte de

terceros.


responsabilidades y

obligaciones

referentes a la

seguridad de la

información del

Banco, en los

contratos con

terceros.



servicio.

• Adecuados controles

de acceso a la

información

registrada en el

sistema

Proyecto de

comunicación con

Conasev utilizando

firmas digitales

(Requerimiento de

Conasev)

• El acceso de personal no

autorizado a los medios de

almacenamiento de llaves

de encripción (media,

smartcards, impresa)

debilita todo el sistema de

encripción de la

• Estándares de

seguridad para la

manipulación y

revocación de llaves

de encripción.


controles de acceso a



Iniciativa del



seguridad a aplicar

información.

• Para los procesos de firma

y encripción de la

información se requiere el

ingreso de contraseñas,

estas contraseñas deben

ser mantenidas en forma

confidencial.

dispositivos y llaves

de encripción.

Digitalización

(scanning) de

poderes y firmas.

• La disposición de estos

elementos en medios

digitales requiere de

adecuados niveles de

protección para evitar su

acceso no autorizado y

utilización con fines

ilegales.

• Aplicación de

estándares de

seguridad de la

plataforma que

contiene dicha

información.

• Encripción de la data

digitalizada.

• Restricción de

accesos a los

poderes y firmas

tanto a nivel de

aplicación, como a

nivel de sistema

operativo.

Tercerización de

operaciones de

sistemas y Help

Desk.

• La administración de

equipos críticos de la red

del Banco por parte de

terceros representa un

• Cláusulas de

confidencialidad y

establecimiento claro

de responsabilidades



Iniciativa del



seguridad a aplicar

riesgo en especial por la

posibilidad de fuga de

información confidencial.

de los proveedores

en los contratos,

especificación de

penalidades en caso

de incumplimiento.

• Monitoreo periódico

de las operaciones

realizadas por

personal externo,

incluyendo la revisión

periódica de sus

actividades en los

registros (logs) de

aplicaciones y

sistema operativo.

• Evitar otorgamiento

de privilegios

administrativos a

personal externo,

para evitar

manipulación de

registros.

Proyecto de

interconexión del

Sistema Swift a la

red de datos del

Banco.

• El sistema SWIFT se

encuentra en un segmento

aislado de la red de datos

del Banco por razones de

seguridad de información.


prácticas de

seguridad para

servidores Windows

NT



Iniciativa del



seguridad a aplicar

• Al unir el sistema Swift a la

red de datos del Banco,

dicho sistema se va a

encontrar expuesto a

intentos de acceso no

autorizados por parte de

equipos que comprenden

la red de datos.

• Controles de acceso

a la aplicación

SWIFT.

• Estándares de

encripción de datos

entre el sistema Swift

y los terminales que

se comunican con él.

Operaciones del Negocio

Almacenamiento

de copias de

respaldo realizado

por Hermes.

• Las cintas de backup

guardan información

confidencial del negocio del

banco, adicionalmente

deben encontrarse

disponibles para ser

utilizadas en una

emergencia y la

información que guardan

debe mantenerse íntegra.

• Acuerdos de

confidencialidad y

tiempo de respuesta

en los contratos con

el proveedor.

• Pruebas del tiempo

de respuesta del

proveedor para

transportar las cintas

de backup en caso de

emergencia.

• Verificación periódica

del estado de las

cintas.

Procesamiento de

transacciones de

tarjetas de crédito

• El almacenamiento de

información por parte de

terceros podría representar

• Acuerdos de

confidencialidad y

tiempo de respuesta



Iniciativa del



seguridad a aplicar

y débito realizado

por Unibanca.

una fuente de divulgación

no autorizada de

información del Banco y

sus clientes.

• El acceso a los sistemas

por parte de terceros debe

ser controlado para evitar

la realización de actividad

no autorizada.

en contratos con el

proveedor.

• Estándares de

encripción de

información

transmitida.

Almacenamiento

de Documentos

realizado por

terceros “File

Service”





no autorizada de


sus clientes.


información debe realizarse

de manera adecuada para

mantener la disponibilidad

de los documentos y evitar

su deterioro.

• Acuerdos de

confidencialidad y

tiempo de respuesta

en contratos con

proveedores.


del grado de deterioro

de la documentación.

Impresión y

ensobrado de

estados de cuenta

realizado por

Napatek





no autorizada de

• Acuerdos de

confidencialidad en

contratos con

proveedores.

• Estándares de



Iniciativa del



seguridad a aplicar


sus clientes.

• El envío de información

sensible al proveedor debe

ser realizado por un canal

de transmisión seguro, o

en su defecto debe contar

con medidas de encripción,

que impidan su utilización

en caso de ser

interceptada.


transmitidos por

correo electrónico.

• Verificación de

integridad de la data

transmitida.

Envío de

información

sensible a clientes

y entidades

recaudadoras vía

correo electrónico

• Se debe asegurar que la

información sensible

transmitida a los clientes

cuente con medidas de

seguridad adecuadas las

cuales permitan garantizar

el cumplimiento de normas

como el secreto bancario.

• Estándares de


transmitidos.

Almacenamiento

físico de

información

realizada al interior

del Banco.

• El Banco almacena

documentos importantes

de clientes, muchos de

ellos con información

confidencial, asimismo

existe información en otros

medios como discos duros,

cintas, etc., que albergan

• Clasificación y

etiquetado de la

información.


controles físicos de

acceso a la

información de

acuerdo a su



Iniciativa del



seguridad a aplicar

información importante. Se

debe asegurar que dicha

información cuente con

medidas de seguridad

adecuadas que aseguren

la integridad, disponibilidad

y confidencialidad de la

información.

clasificación.


condiciones

apropiadas de

almacenamiento para

evitar su deterioro.

• Mantenimiento de un

registro de entrada y

salida de activos de

los archivos.

Acceso de

personal de

Rehder a la red de

datos del Banco.

• Todo acceso de personal

externo a la red de datos

del Banco representa un

riesgo potencial de acceso

no autorizado a los

sistemas.

• Cláusulas de

confidencialidad y



de los proveedores

en los contratos,

especificación de

penalidades en caso

de incumplimiento.

• Monitoreo de

actividad realizada

por personal externo.

• Restricciones de

acceso a Internet

configurados en el

firewall.

Centro de • Los sistemas ubicados en • Especificación de



Iniciativa del



seguridad a aplicar

Contingencia

ubicado en el TIC

de Telefónica

Data.

Telefónica Data deben

encontrarse siempre

disponibles para ser

utilizados en casos de

emergencia.

• Se debe asegurar la

integridad de la información

existente en los sistemas

de respaldo y el grado de

actualización de la misma

con respecto al sistema en

producción.


servicio y

penalidades en caso

de incumplimiento en

contratos con

proveedores.

• Pruebas del centro de

contingencia.


de la disponibilidad

de los sistemas y

grado de

actualización de la

información.

Atención en Front

Office.

• Las aplicaciones y los

sistemas de

comunicaciones deben

encontrarse disponibles en

todo momento para no

afectar la atención a los

clientes.

• Los periodos de

indisponibilidad deben ser

medidos.

• Acuerdos de niveles

de servicio en

contratos con

proveedores de

comunicaciones.


de disponibilidad de

los sistemas.


métricas de

rendimiento y

disponibilidad de los

sistemas.



Iniciativa del



seguridad a aplicar

Soporte de IBM al

Servidor AS/400.

• El servidor AS/400 es el

que soporta la mayor

cantidad de procesos del

negocio del Banco, por lo

tanto se debe asegurar que

el proveedor debe ser

capaz de restaurar los

servicios del servidor en el

menor tiempo posible.

• Asimismo dado que el

proveedor accede

periódicamente al equipo,

existe el riesgo de acceso

no autorizado a

información existente en el

mismo.

• Cláusulas de

confidencialidad y



de los proveedores

en los contratos,

especificación de

penalidades en caso

de incumplimiento.

• Asignación de un

usuario distinto al

utilizado por personal

del Banco con los

privilegios mínimos

necesarios.

• Inspección del log de

actividades del

proveedor luego de

realizar

mantenimiento al

equipo.



Capítulo VI

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN

En este capitulo se elaboraran las políticas de seguridad con el propósito de

proteger la información de la empresa, estas servirán de guía para la

implementación de medidas de seguridad que contribuirán a mantener la

integridad, confidencialidad y disponibilidad de los datos dentro de los sistemas

de aplicación, redes, instalaciones de cómputo y procedimientos manuales.

El documento de políticas de seguridad ha sido elaborado tomando como base

la siguiente documentación:

- Estándar de seguridad de la información ISO 17799

- Requerimientos de la Circular N° G-105-2002 de la Superintendencia

de Banca y Seguros (SBS) sobre Riesgos de Tecnología de Información.

- Normas internas del Banco referidas a seguridad de información.

6.1 Definición

Una Política de seguridad de información es un conjunto de reglas aplicadas a

todas las actividades relacionadas al manejo de la información de una entidad,

teniendo el propósito de proteger la información, los recursos y la reputación de

la misma.

Propósito

El propósito de las políticas de seguridad de la información es proteger la

información y los activos de datos del Banco. Las políticas son guías para

asegurar la protección y la integridad de los datos dentro de los sistemas de

aplicación, redes, instalaciones de cómputo y procedimientos manuales.



6.2 CUMPLIMIENTO OBLIGATORIO

El cumplimiento de las políticas y estándares de seguridad de la información es

obligatorio y debe ser considerado como una condición en los contratos del

personal.

El Banco puede obviar algunas de las políticas de seguridad definidas en este

documento, únicamente cuando se ha demostrado claramente que el

cumplimiento de dichas políticas tendría un impacto significativo e inaceptable

para el negocio. Toda excepción a las políticas debe ser documentada y

aprobada por el área de seguridad informática y el área de auditoria interna,

detallando el motivo que justifica el no-cumplimiento de la política.

6.3 ORGANIZACIÓN DE LA SEGURIDAD

En esta política se definen los roles y responsabilidades a lo largo de la

organización con respecto a la protección de recursos de información. Esta

política se aplica a todos los empleados y otros asociados con el Banco, cada

uno de los cuales cumple un rol en la administración de la seguridad de la

información. Todos los empleados son responsables de mantener un ambiente

seguro, en tanto que el área de seguridad informática debe monitorear el

cumplimiento de la política de seguridad definida y realizar las actualizaciones

que sean necesarias, producto de los cambios en el entorno informático y las

necesidades del negocio.

6.3.1 Estructura Organizacional

En la administración de la seguridad de la información participan todos los

empleados siguiendo uno o más de los siguientes roles:

- Área de Seguridad Informática

- Usuario

- Custodio de información

- Propietario de información

- Auditor interno



Los roles y funciones de administración de la seguridad de la información de

cada uno de estas personas están detalladas en el Capitulo IV.

6.3.2 Acceso por parte de terceros

El Banco debe establecer para terceros al menos las mismas

restricciones de acceso a la información que a un usuario interno.

Además, el acceso a la información debe limitarse a lo mínimo

indispensable para cumplir con el trabajo asignado. Las excepciones

deben ser analizadas y aprobadas por el área de seguridad informática.

Esto incluye tanto acceso físico como lógico a los recursos de información

del Banco.

Todo acceso por parte de personal externo debe ser autorizado por un

responsable interno, quien asume la responsabilidad por las acciones que

pueda realizar el mismo. El personal externo debe firmar un acuerdo de

no-divulgación antes de obtener acceso a información del Banco.

Proveedores que requieran acceso a los sistemas de información del

Banco deben tener acceso únicamente cuando sea necesario.

Todas las conexiones que se originan desde redes o equipos externos al

Banco, deben limitarse únicamente a los servidores y aplicaciones

necesarios. Si es posible, estos servidores destino de las conexiones

deben estar físicamente o lógicamente separados de la red interna del

Banco.

Los contratos relacionados a servicios de tecnologías de información

deben ser aprobados por el área legal del Banco, y en el caso de que

afecten la seguridad o las redes de la organización deben ser aprobados

adicionalmente por el área de seguridad informática. Bajo determinadas

condiciones, como en la ejecución de servicios críticos para el negocio, el

Banco debe considerar efectuar una revisión independiente de la

estructura de control interno del proveedor.



En los contratos de procesamiento de datos externos se debe especificar

los requerimientos de seguridad y acciones a tomar en caso de violación

de los contratos. Todos los contratos deben incluir una cláusula donde se

establezca el derecho del Banco de nombrar a un representante

autorizado para evaluar la estructura de control interna del proveedor.

6.3.3 Outsourcing

Todos los contratos de Outsourcing deben incluir lo siguiente:

- Acuerdos sobre políticas y controles de seguridad.

- Determinación de niveles de disponibilidad aceptable.

- El derecho del Banco de auditar los controles de seguridad de

información del proveedor.

- Determinación de los requerimientos legales del Banco.

- Metodología del proveedor para mantener y probar cíclicamente la

seguridad del sistema.

- Que el servicio de procesamiento y la información del Banco objeto

de la subcontratación estén aislados, en todo momento y bajo

cualquier circunstancia.

El proveedor es responsable de inmediatamente informar al responsable

del contrato de cualquier brecha de seguridad que pueda comprometer

información del Banco. Cualquier empleado del Banco debe informar de

violaciones a la seguridad de la información por parte de proveedores al

área de seguridad informática.

6.4 EVALUACION DE RIESGO

El costo de las medidas y controles de seguridad no debe exceder la

pérdida que se espera evitar. Para la evaluación del riesgo se deben de

seguir los siguientes pasos:

- Clasificación del acceso de la información



- Ejecución del análisis del riesgo identificando áreas vulnerables, pérdida

potencial y selección de controles y objetivos de control para mitigar los

riesgos, de acuerdo a los siguientes estándares.

6.4.1 Inventario de activos

Los inventarios de activos ayudan a garantizar la vigencia de una

protección eficaz de los recursos, y también pueden ser necesarios para

otros propósitos de la empresa, como los relacionados con sanidad y

seguridad, seguros o finanzas (administración de recursos). El proceso de

compilación de un inventario de activos es un aspecto importante de la

administración de riesgos. Una organización debe contar con la capacidad

de identificar sus activos y el valor relativo e importancia de los mismos.

Sobre la base de esta información, la organización puede entonces,

asignar niveles de protección proporcionales al valor e importancia de los

activos. Se debe elaborar y mantener un inventario de los activos

importantes asociados a cada sistema de información. Cada activo debe

ser claramente identificado y su propietario y clasificación en cuanto a

seguridad deben ser acordados y documentados, junto con la ubicación

vigente del mismo (importante cuando se emprende una recuperación

posterior a una pérdida o daño). Ejemplos de activos asociados a

sistemas de información son los siguientes:

- Recursos de información: bases de datos y archivos, documentación

de sistemas, manuales de usuario, material de capacitación,

procedimientos operativos o de soporte, planes de continuidad,

disposiciones relativas a sistemas de emergencia para la reposición de

información perdida (“fallback”), información archivada;

- Recursos de software: software de aplicaciones, software de sistemas,

herramientas de desarrollo y utilitarios;

- Activos físicos: equipamiento informático (procesadores, monitores,

computadoras portátiles, módems), equipos de comunicaciones



(routers, PBXs, máquinas de fax, contestadores automáticos), medios

magnéticos (cintas y discos), otros equipos técnicos (suministro de

electricidad, unidades de aire acondicionado), mobiliario, lugares de

emplazamiento;

- Servicios: servicios informáticos y de comunicaciones, utilitarios

generales, por Ej. calefacción, iluminación, energía eléctrica, aire

acondicionado.

6.4.2 Clasificación del acceso de la información

Toda la información debe de ser clasificada como Restringida,

Confidencial, Uso Interno o General de acuerdo a lo definido en el capitulo

4.2.1. La clasificación de información debe de ser documentada por el

Propietario, aprobada por la gerencia responsable y distribuida a los

Custodios durante el proceso de desarrollo de sistemas o antes de la

distribución de los documentos o datos.

La clasificación asignada a un tipo de información, solo puede ser

cambiada por el propietario de la información, luego de justificar

formalmente el cambio en dicha clasificación.

La información que existe en más de un medio (por ejemplo, documento

fuente, registro electrónico, reporte o red) debe de tener la misma

clasificación sin importar el formato.

Frecuentemente, la información deja de ser sensible o crítica después de

un cierto período de tiempo, verbigracia, cuando la información se ha

hecho pública. Este aspecto debe ser tomado en cuenta por el propietario

de la información, para realizar una reclasificación de la misma, puesto

que la clasificación por exceso (“over- classification”) puede traducirse en

gastos adicionales innecesarios para la organización.

La información debe de ser examinada para determinar el impacto en el

Banco si fuera divulgada o alterada por medios no autorizados. A

continuación detallamos algunos ejemplos de información sensible:



q Datos de interés para la competencia:

- Estrategias de marketing

- Listas de clientes

- Fechas de renovación de créditos

- Tarifaciones

- Datos usados en decisiones de inversión

q Datos que proveen acceso a información o servicios:

- Llaves de encripción o autenticación

- Contraseñas

q Datos protegidos por legislación de privacidad vigente

- Registros del personal

- Montos de los pasivos de clientes

- Datos históricos con 10 años de antigüedad

q Datos que tienen un alto riesgo de ser blanco de fraude u otra actividad

ilícita:

- Datos contables utilizados en sistemas

- Sistemas que controlan desembolsos de fondos

6.4.3 Definiciones

Restringida: Información con mayor grado de sensibilidad; el acceso a

esta información debe de ser autorizado caso por caso.

Confidencial: Información sensible que solo debe ser divulgada a

aquellas personas que la necesiten para el cumplimiento de sus

funciones.

Uso Interno: Datos generados para facilitar las operaciones diarias;

deben de ser manejados de una manera discreta, pero no requiere de

medidas elaboradas de seguridad.

General: Información que es generada específicamente para su

divulgación a la población general de usuarios.



6.4.4 Aplicación de controles para la información clasificada

Las medidas de seguridad a ser aplicadas a los activos de información

clasificados, incluyen pero no se limitan a las siguientes:

6.4.4.1 Información de la Compañía almacenada en formato digital

• Todo contenedor de información en medio digital (CD´s, cintas de

backup, diskettes, etc.) debe presentar una etiqueta con la clasificación

correspondiente.

• La información en formato digital clasificada como de acceso “General”,

puede ser almacenada en cualquier sistema de la Compañía. Sin

embargo se deben tomar las medidas necesarias para no mezclar

información “General” con información correspondiente a otra

clasificación.

• Todo usuario, antes de transmitir información clasificada como

“Restringida” o “Confidencial”, debe asegurarse que el destinatario de la

información esté autorizado a recibir dicha información.

• Todo usuario que requiere acceso a información clasificada como

“Restringida” o “Confidencial”, debe ser autorizado por el propietario de

la misma. Las autorizaciones de acceso a este tipo de información

deben ser documentadas.

• La clasificación asignada a un tipo de información, solo puede ser

cambiada por el propietario de la información, luego de justificar

formalmente el cambio en dicha clasificación.

• Información en formato digital, clasificada como “Restringida”, debe ser

encriptada con un método aprobado por los encargados de la

administración de seguridad de la información, cuando es almacenada

en cualquier medio (disco duro, disquetes, cintas, CDs, etc.).



• Es recomendable el uso de técnicas de encripción para la información

clasificada como “Restringida” o “Confidencial”, transmitida a través de la

red de datos del Banco.

• Toda transmisión de Información clasificada como “Restringida”,

“Confidencial” o de “Uso Interno” realizada hacia o a través de redes

externas a la Compañía debe realizarse utilizando un medio de

transmisión seguro o utilizando técnicas de encripción aprobadas.

• Todo documento en formato digital, debe presentar la clasificación

correspondiente en la parte superior (cabecera) e inferior (pié de página)

de cada página del documento.

• Los medios de almacenamiento, incluyendo discos duros de

computadoras, que albergan información clasificada como “Restringida”,

deben ser ubicados en ambientes cerrados diseñados para el

almacenamiento de dicho tipo de información. En lugar de protección

física, la información clasificada como “Restringida”, podría ser protegida

con técnicas de encripción aprobadas por la Compañía.

6.4.4.2 Información de la Compañía almacenada en formato no

digital

• Todo documento o contenedor de información debe ser etiquetado como

“Restringida”, “Confidencial”, de “Uso interno” o de Acceso “General”,

dependiendo de la clasificación asignada.

• Todo documento que presente información clasificada como

“Confidencial” o “Restringida”, debe ser etiquetado en la parte superior e

inferior de cada página con la clasificación correspondiente.

• Todo documento clasificado como “Confidencial” o “Restringido” debe

contar con una carátula en la cual se muestre la clasificación de la

información que contiene.



• Los activos de información correspondiente a distintos niveles de

clasificación, deben ser almacenados en distintos contenedores, de no ser

posible dicha distinción, se asignará el nivel más critico de la información

identificada a todo el contenedor de información.

• El ambiente donde se almacena la información clasificada como

“Restringida”, debe contar con adecuados controles de acceso y

asegurado cuando se encuentre sin vigilancia. El acceso debe ser

permitido solo al personal formalmente autorizado. Personal de limpieza

debe ingresar al ambiente acompañado por personal autorizado.

• Solo el personal formalmente autorizado debe tener acceso a información

clasificada como “Restringida” o “Confidencial”

• Los usuarios que utilizan documentos con información “Confidencial” o

“Restringida” deben asegurarse de:

- Almacenarlos en lugares adecuados

- Evitar que usuarios no autorizados accedan a dichos documentos

- Destruir los documentos si luego de su utilización dejan de ser

necesarios

6.4.5 Análisis de riesgo

Los Propietarios de la información y custodios son conjuntamente

responsables del desarrollo de análisis de riesgos anual de los sistemas a

su cargo. Como parte del análisis se debe identificar las aplicaciones de

alta criticidad como críticas para la recuperación ante desastres. Es

importante identificar:

- Áreas vulnerables

- Pérdida potencial

- Selección de controles y objetivos de control para mitigar los riesgos,

indicando las razones para su inclusión o exclusión (Seguridad de



datos, Plan de respaldo/recuperación, Procedimientos estándar de

operación)

Adicionalmente, un análisis de riesgo debe de ser conducido luego de

cualquier cambio significativo en los sistemas, en concordancia con el

clima cambiante de las operaciones en el negocio del Banco.

El análisis de riesgo debe tener un propósito claramente definido y

delimitado, existiendo dos posibilidades: cumplimiento con los controles

y/o medidas de protección o la aceptación del riesgo.

6.4.6 Cumplimiento

El cumplimiento satisfactorio del proceso de evaluación del riesgo se

caracteriza por:

- Identificación y clasificación correcta de los activos a ser protegidos.

- Aplicación consistente y continua de los controles y/o medidas para

mitigar el riesgo (seguridad efectiva de datos, recuperación ante

desastres adecuado)

- Detección temprana de los riesgos, reporte adecuado de pérdidas, así

como una respuesta oportuna y efectiva ante las perdidas ya

materializadas.

6.4.7 Aceptación de riesgo

La gerencia responsable puede obviar algún control o requerimiento de

protección y aceptar el riesgo identificado solo cuando ha sido

claramente demostrado que las opciones disponibles para lograr el

cumplimiento han sido identificadas y evaluadas, y que éstas tendrían un

impacto significativo y no aceptable para el negocio.

La aceptación de riesgo por falta de cumplimiento de los controles y/o

medidas de protección debe ser documentada, revisada por las partes



involucradas, comunicada por escrito y aceptada por las áreas

responsables de la administración de la seguridad.

6.5 SEGURIDAD DEL PERSONAL

Los estándares relacionados al personal deben ser aplicados para asegurarse

que los empleados sean seleccionados adecuadamente antes de ser

contratados, puedan ser fácilmente identificados mientras formen parte del

Banco y que el acceso sea revocado oportunamente cuando un empleado es

despedido o transferido. Deben desarrollarse estándares adicionales para

asegurar que el personal sea consciente de todas sus responsabilidades y

acciones apropiadas en el reporte de incidentes.

Esta política se aplica a todos los empleados, personal contratado y

proveedores.

Los empleados son los activos más valiosos del Banco. Sin embargo, un

gran número de problemas de seguridad de cómputo pueden ser causados

por descuido o desinformación. Se deben de implementar procedimientos

para manejar estos riesgos y ayudar al personal del Banco a crear un

ambiente de trabajo seguro.

Medidas de precaución deben de ser tomadas cuando se contrata,

transfiere y despide a los empleados. Deben de establecerse controles

para comunicar los cambios del personal y los requerimientos de recursos

de cómputo a los responsables de la administración de la seguridad de la

información. Es crucial que estos cambios sean atendidos a tiempo.

6.5.1 Seguridad en la definición de puestos de trabajo y recursos

El departamento de Recursos Humanos debe de notificar al área de

seguridad informática, la renuncia o despido de los empleados así como

el inicio y fin de los periodos de vacaciones de los mismos. Cuando se

notifique un despido o transferencia, el Custodio de información debe de

asegurarse que el identificador de usuario sea revocado. Cuando se



notifique una transferencia o despido, el área de seguridad debe de

asegurarse que las fichas o placas sean devueltas al Banco. Cualquier

ítem entregado al empleado o proveedor como computadoras portátiles,

llaves, tarjetas de identificación, software, datos, documentación,

manuales, etc. deben de ser entregados a su gerente o al área de

Recursos Humanos.

La seguridad es responsabilidad de todos los empleados y personas

involucradas con el Banco. Por ende, todos los empleados, contratistas,

proveedores y personas con acceso a las instalaciones e información del

Banco deben de acatar los estándares documentados en la política de

seguridad del Banco e incluir la seguridad como una de sus

responsabilidades principales.

Todos los dispositivos personales de información, como por ejemplo

computadoras de propiedad de los empleados o asistentes digitales

personales (PDA – Personal Digital Assistant), que interactúen con los

sistemas del Banco, deben ser aprobados y autorizados por la gerencia

del Banco.

6.5.2 Capacitación de usuarios

Es responsabilidad del área de seguridad informática promover

constantemente la importancia de la seguridad a todos los usuarios de los

sistemas de información. El programa de concientización en seguridad

debe de contener continuas capacitaciones y charlas, adicionalmente se

puede emplear diversos métodos como afiches, llaveros, mensajes de

log-in, etc., los cuales recuerden permanentemente al usuario el papel

importante que cumplen en el mantenimiento de la seguridad de la

información.



Orientación para los empleados y/o servicios de terceros nuevos

Cuando se contrate a un empleado nuevo y/o el servicio de algún tercero,

se debe de entregar la política de seguridad así como las normas y

procedimientos para el uso de las aplicaciones y los sistemas de

información del Banco. Asimismo se debe entregar un resumen escrito de

las medidas básicas de seguridad de la información.

El personal de terceros debe recibir una copia del acuerdo de no

divulgación firmado por el Banco y por el proveedor de servicios de

terceros así como orientación con respecto a su responsabilidad en la

confidencialidad de la información del Banco.

Entre otros aspectos se debe considerar:

- El personal debe de ser comunicado de las implicancias de seguridad

en relación a las responsabilidades de su trabajo

- Una copia firmada de la política de seguridad de información debe de

ser guardada en el archivo del empleado

Concientización periódica

Estudios muestran que la retención y el conocimiento aplicable se

incrementa considerablemente cuando el tema es sujeto a revisión. Los

usuarios deben de ser informados anualmente sobre la importancia de la

seguridad de la información. Un resumen escrito de la información básica

debe de ser entregada nuevamente a cada empleado y una copia firmada

debe de ser guardada en sus archivos.

La capacitación en seguridad debe de incluir, pero no estar limitado, a los

siguientes aspectos:

- Requerimientos de identificador de usuario y contraseña

- Seguridad de PC, incluyendo protección de virus

- Responsabilidades de la organización de seguridad de información

- Concientización de las técnicas utilizadas por “hackers”

- Programas de cumplimiento



- Guías de acceso a Internet

- Guías de uso del correo electrónico

- Procesos de monitoreo de seguridad de la información utilizados

- Persona de contacto para información adicional

6.5.3 Procedimientos de respuesta ante incidentes de seguridad

El personal encargado de la administración de seguridad debe ser

plenamente identificado por todos los empleados del Banco.

Si un empleado del Banco detecta o sospecha la ocurrencia de un

incidente de seguridad, tiene la obligación de notificarlo al personal de

seguridad informática. Si se sospecha la presencia de un virus en un

sistema, el usuario debe desconectar el equipo de la red de datos,

notificar al área de seguridad informática quien trabajará en coordinación

con el área de soporte técnico, para la eliminación del virus antes de

restablecer la conexión a la red de datos. Es responsabilidad del usuario

(con la apropiada asistencia técnica) asegurarse que el virus haya sido

eliminado por completo del sistema antes de conectar nuevamente el

equipo a la red de datos.

Si un empleado detecta una vulnerabilidad en la seguridad de la

información debe notificarlo al personal encargado de la administración de

la seguridad, asimismo, está prohibido para el empleado realizar pruebas

de dicha vulnerabilidad o aprovechar ésta para propósito alguno.

El área de seguridad informática debe documentar todos los reportes de

incidentes de seguridad.

Cualquier error o falla en los sistemas debe ser notificado a soporte

técnico, quién determinará si el error es indicativo de una vulnerabilidad

en la seguridad.

Las acciones disciplinarias tomadas contra socios de negocio o

proveedores por la ocurrencia de una violación de seguridad, deben ser



consistentes con la magnitud de la falta, ellas deben ser coordinadas con

el área de Recursos Humanos.

6.5.3.1 Registro de fallas

El personal encargado de operar los sistemas de información debe

registrar todos lo errores y fallas que ocurren en el procesamiento de

información o en los sistemas de comunicaciones. Estos registros deben

incluir lo siguiente:

- Nombre de la persona que reporta la falla

- Hora y fecha de ocurrencia de la falla

- Descripción del error o problema

- Responsable de solucionar el problema

- Descripción de la respuesta inicial ante el problema

- Descripción de la solución al problema

- Hora y fecha en la que se solucionó el problema

Los registros de fallas deben ser revisados semanalmente. Los registros

de errores no solucionados deben permanecer abiertos hasta que se

encuentre una solución al problema. Además, estos registros deben ser

almacenados para una posterior verificación independiente.

6.5.3.2 Intercambios de información y correo electrónico

Los mensajes de correo electrónico deben ser considerados de igual

manera que un memorándum formal, son considerados como parte de

los registros del Banco y están sujetos a monitoreo y auditoria. Los

sistemas de correo electrónico no deben ser utilizados para lo siguiente:

- Enviar cadenas de mensajes

- Enviar mensajes relacionados a seguridad, exceptuando al personal

encargado de la administración de la seguridad de la información

- Enviar propaganda de candidatos políticos



- Actividades ilegales, no éticas o impropias

- Actividades no relacionadas con el negocio del Banco

- Diseminar direcciones de correo electrónico a listas públicas

No deben utilizarse reglas de reenvío automático a direcciones que no

pertenecen a la organización. No existe control sobre los mensajes de

correo electrónico una vez que estos se encuentran fuera de la red del

Banco.

Deben establecerse controles sobre el intercambio de información del

Banco con terceros para asegurar la confidencialidad e integridad de la

información, y que se respete la propiedad intelectual de la misma. Debe

tomarse en consideración:

- Acuerdos para el intercambio de software

- Seguridad de media en tránsito

- Controles sobre la transmisión mediante redes

Debe establecerse un proceso formal para aprobar la publicación de

información del Banco. El desarrollo de páginas Web programables o

inteligentes (utilizando tecnologías como CGI o ASP) debe considerarse

como desarrollo de software y debe estar sujeto a los mismos controles.

La información contenida en sistemas públicos no debe contener

información restringida, confidencial o de uso interno. De igual manera,

los equipos que brindan servicios Web, correo electrónico, comercio

electrónico u otros servicios públicos no deben almacenar información

restringida, confidencial o de uso interno. Antes que un empleado del

Banco libere información que no sea de uso general debe verificarse la

identidad del individuo u organización recipiente utilizando firmas

digitales, referencias de terceros, conversaciones telefónicas u otros

mecanismos similares.

Debe establecerse controles sobre equipos de oficina como teléfonos,

faxes e impresoras que procesan información sensible del Banco.



Información restringida o confidencial solo debe imprimirse en equipos

específicamente designados para esta tarea.

6.5.3.3 Seguridad para media en tránsito

La información a ser transferida en media digital o impresa debe ser

etiquetada con la clasificación de información respectiva y detallando

claramente el remitente y recipiente del mismo. La información enviada

por servicios postales debe ser protegida de accesos no autorizados

mediante la utilización de:

- Paquetes sellados o lacrados

- Entrega en persona

- Firmado y sellado de un cargo

6.6 SEGURIDAD FÍSICA DE LAS INSTALACIONES DE

PROCESAMIENTO DE DATOS

Se deben implementar medidas de seguridad física para asegurar la

integridad de las instalaciones y centros de cómputo. Las medidas de

protección deben ser consistentes con el nivel de clasificación de los

activos y el valor de la información procesada y almacenada en las

instalaciones.

6.6.1 Protección de las instalaciones de los centros de datos

Un centro de procesamiento de datos o de cómputo es definido como

cualquier edificio o ambiente dentro de un edificio que contenga equipos

de almacenamiento, proceso o transmisión de información. Estos incluyen

pero no se limitan a los siguientes:

- Mainframe, servidores, computadoras personales y periféricos

- Consolas de administración

- Librerías de cassettes o DASD

- Equipos de telecomunicaciones



- Centrales telefónicas, PBX

- Armarios de alambrado eléctrico o cables

Los controles deben de ser evaluados anualmente para compensar

cualquier cambio con relación a los riesgos físicos.

Los gerentes que estén planeando o revisando cualquier ambiente

automatizado, incluyendo el uso de las computadoras personales, deben

contactarse con el personal encargado de la administración de la

seguridad de la información para asistencia en el diseño de los controles

físicos de seguridad.

6.6.2 Control de acceso a las instalaciones de cómputo

El acceso a cualquier instalación de cómputo debe estar restringido

únicamente al personal autorizado.

Todas las visitas deben ser identificadas y se debe mantener un registro

escrito de las mismas. Estas visitas deben ser en compañía de un

empleado durante la permanencia en las instalaciones de computo.

Si bien es recomendable que los proveedores de mantenimiento, a

quienes se les otorga acceso continuo a las áreas sensibles, estén

siempre acompañados por un empleado autorizado de la empresa, puede

resultar poco práctico en algunos casos.

Todo el personal en las instalaciones de cómputo deben de portar un

carné, placa o ficha de identificación. Sistemas automatizados de

seguridad para acceso físico deben de ser instalados en centros de

cómputo principales. Centros pequeños pueden controlar el acceso físico

mediante el uso de candados de combinación o llaves.

Medidas apropiadas como guardias o puertas con alarmas, deben de ser

utilizadas para proteger las instalaciones durante las horas no laborables.

El retiro de cualquier equipo o medio electrónico de las instalaciones de

cómputo debe de ser aprobado por escrito por personal autorizado.



6.6.3 Acuerdo con regulaciones y leyes

Los controles de seguridad física deben de estar en acuerdo con las

regulaciones existentes de fuego y seguridad, así como con los

requerimientos contractuales de los seguros contratados.

6.7 ADMINISTRACIÓN DE COMUNICACIONES Y OPERACIONES

La administración de las comunicaciones y operaciones del Banco, son

esenciales para mantener un adecuado nivel de servicio a los clientes. Los

requerimientos de seguridad deben ser desarrollados e implementados

para mantener el control sobre las comunicaciones y las operaciones.

Los procedimientos operacionales y las responsabilidades para mantener

accesos adecuados a los sistemas, así como el control y la disponibilidad

de los mismos, deben ser incluidas en las funciones operativas del Banco.

Todas las comunicaciones e intercambios de información, tanto dentro de

las instalaciones y sistemas del Banco como externas a ella, deben ser

aseguradas, de acuerdo al valor de la información protegida.

6.7.1 Procedimientos y Responsabilidades Operacionales

6.7.1.1 Procedimientos operativos documentados

Todos los procedimientos de operación de los sistemas deben ser

documentados y los cambios realizados a dichos procedimientos deben

ser autorizados por la gerencia respectiva.

Todos los procedimientos de encendido y apagado de los equipos deben

ser documentados; dichos procedimientos deben incluir el detalle de

personal clave a ser contactado en caso de fallas no contempladas en el

procedimiento regular documentado.

Todas las tareas programadas en los sistemas para su realización

periódica, deben ser documentadas. Este documento debe incluir tiempo



de inicio, tiempo de duración de la tarea, procedimientos en caso de

falla, entre otros.

Los procedimientos para resolución de errores deben ser documentados,

entre ellos se debe incluir:

− Errores en la ejecución de procesos por lotes

− Fallas o apagado de los sistemas

− Códigos de error en la ejecución de procesos por lotes

− Información de los contactos que podrían colaborar con la resolución

de errores.

6.7.1.2 Administración de operaciones realizadas por terceros

Todos los procesos de operación realizados por terceros deben ser

sujetos a una evaluación de riesgos de seguridad y se debe desarrollar

procedimientos para administrar estos riesgos.

- Asignación de responsables para la supervisión de dichas

actividades

- Determinar si se procesará información crítica.

- Determinar los controles de seguridad a implementar

- Evaluar el cumplimiento de los estándares de seguridad del Banco.

- Evaluar la implicancia de dichas tareas en los planes de contingencia

del negocio

- Procedimientos de respuesta ante incidentes de seguridad

- Evaluar el cumplimiento de los estándares del Banco referentes a

contratos con terceros.

6.7.1.3 Control de cambios operacionales

Todos los cambios realizados en los sistemas del Banco, a excepción de

los cambios de emergencia, deben seguir los procedimientos de

cambios establecidos.



Solo el personal encargado de la administración de la seguridad puede

realizar o aprobar un cambio de emergencia. Dicho cambio debe ser

documentado y aprobado en un periodo máximo de 24 horas luego de

haberse producido el cambio.

Los roles del personal involucrado en la ejecución de los cambios en los

sistemas deben encontrarse debidamente especificados.

Los cambios deben ser aprobados por la gerencia del área usuaria, el

personal encargado de la administración de la seguridad de la

información y el encargado del área de sistemas. Todos los

requerimientos de cambios deben ser debidamente documentados,

siguiendo los procedimientos para cambios existentes en el Banco.

Antes de la realización de cualquier cambio a los sistemas se debe

generar copias de respaldo de dichos sistemas.

6.7.1.4 Administración de incidentes de seguridad

Luego de reportado el incidente de seguridad, éste debe ser investigado

por el área de seguridad informática. Se debe identificar la severidad del

incidente para la toma de medidas correctivas.

El personal encargado de la administración de la seguridad debe realizar

la investigación de los incidentes de forma rápida y confidencial.

Se debe mantener una documentación de todos los incidentes de

seguridad ocurridos en el Banco.

Se debe mantener intacta la evidencia que prueba la ocurrencia de una

violación de seguridad producida tanto por entes internos o externos,

para su posterior utilización en procesos legales en caso de ser

necesario.



6.7.1.5 Separación de funciones de operaciones y desarrollo

El ambiente de prueba debe de mantenerse siempre separado del

ambiente de producción, debiendo existir controles de acceso

adecuados para cada uno de ellos.

El ambiente de producción es aquel en el cual residen los programas

ejecutables de producción y los datos necesarios para el funcionamiento

de los mismos. Solo el personal autorizado a efectuar los cambios en los

sistemas debe contar con privilegios de escritura en los mismos.

Los programas compiladores no deben ser instalados en los sistemas en

producción, todo el código debe ser compilado antes de ser transferido

al ambiente de producción.

Las pruebas deben de realizarse utilizando datos de prueba. Sin

embargo, copias de datos de producción pueden ser usadas para las

pruebas, siempre y cuando los datos sean autorizados por el propietario

y manejados de manera confidencial.

El personal de desarrollo puede tener acceso de solo lectura a los datos

de producción. La actualización de los permisos de acceso a los datos

de producción debe de ser autorizada por el propietario de información y

otorgada por un periodo limitado.

Se deben utilizar estándares de nombres para distinguir el conjunto de

nombres de las tareas y de los datos, del modelo y de los ambientes de

producción.

Un procedimiento de control de cambio debe de asegurar que todos los

cambios del modelo y ambientes de producción hayan sido revisados y

aprobados por el (los) gerente(s) apropiados.

6.7.2 Protección contra virus

El área de seguridad informática debe realizar esfuerzos para determinar

el origen de la infección por virus informático, para evitar la reinfección de

los equipos del Banco.



La posesión de virus o cualquier programa malicioso está prohibida a

todos los usuarios. Se tomarán medidas disciplinarias en caso se

encuentren dichos programas en computadoras personales de usuarios.

Todos los archivos adjuntos recibidos a través del correo electrónico

desde Internet deben ser revisados por un antivirus antes de ejecutarlos.

Asimismo está prohibido el uso de diskettes y discos compactos

provenientes de otra fuente que no sea la del mismo BANCO ABC, a

excepción de los provenientes de las interfaces con organismos

reguladores, proveedores y clientes, los cuales necesariamente deben

pasar por un proceso de verificación y control en el área de Sistemas

(Help Desk), antes de ser leídos.

El programa antivirus debe encontrarse habilitado en todos las

computadoras del Banco y debe ser actualizado periódicamente. En caso

de detectar fallas en el funcionamiento de dichos programas éstas deben

ser comunicadas al área de soporte técnico. El programa antivirus debe

ser configurado para realizar revisiones periódicas para la detección de

virus en los medios de almacenamiento de las computadoras del Banco.

Debe contarse con un procedimiento para la actualización periódica de los

programas antivirus y el monitoreo de los virus detectados.

Es obligación del personal del Banco, emplear sólo los programas cuyas

licencias han sido obtenidas por el Banco y forman parte de su plataforma

estándar. Asimismo, se debe evitar compartir directorios o archivos con

otros usuarios; en caso de ser absolutamente necesario, coordinar con la

Gerencia respectiva y habilitar el acceso sólo a nivel de lectura,

informando al Departamento de Producción y Soporte Técnico.

Todo el personal del Banco debe utilizar los protectores de pantalla y/o

papel tapiz autorizados por la Institución; el estándar es:

Papel Tapiz: BANCO ABC

Protector de Pantalla: BANCO ABC.



6.7.3 Copias de respaldo

Los Custodios de información deben definir un cronograma para la

retención y rotación de las copias de respaldo, basado en los

requerimientos establecidos por los Propietarios de información,

incluyendo el almacenamiento en uno o más ubicaciones distintos a las

del centro de cómputo. Los Custodios de información son también

responsables de asegurar que se generen copias de respaldo del

software de los servidores del Banco, y que las políticas de manipulación

de información se ejercen para las copias de respaldo trasladadas o

almacenadas fuera de los locales del Banco. Debe formalmente definirse

procedimientos para la creación y recuperación de copias de respaldo.

Trimestralmente deben efectuarse pruebas para probar la capacidad de

restaurar información en caso sea necesario. Estas pruebas deben

efectuarse en un ambiente distinto al ambiente de producción.

Los usuarios deben generar copias de respaldo de información crítica

transfiriendo o duplicando archivos a la carpeta personal establecida para

dicho fin por la Gerencia de Sistemas, la cual se encuentra ubicada en

uno de los servidores del Banco. Deben generarse copias de respaldo de

estos servidores según un cronograma definido por los Custodios de

información.

Las cintas con copias de respaldo deben ser enviadas a un local remoto

periódicamente, basándose en un cronograma determinado por la

gerencia del Banco.

Los mensajes electrónicos, así como cualquier información considerada

importante, deben ser guardados en copias de respaldo y retenidos por

dispositivos automáticos.



6.8 CONTROL DE ACCESO DE DATOS

La información manejada por los sistemas de información y las redes

asociadas debe estar adecuadamente protegida contra modificaciones no

autorizadas, divulgación o destrucción. El uso inteligente de controles de

acceso previene errores o negligencias del personal, así como reduce la

posibilidad del acceso no autorizado.

6.8.1 Identificación de Usuarios

Cada usuario de un sistema automatizado debe de ser identificado de

manera única, y el acceso del usuario así como su actividad en los

sistemas debe de ser controlado, monitoreado y revisado.

Cada usuario de un sistema debe tener un código de identificación que no

sea compartido con otro usuario. Para lograr el acceso a los sistemas

automatizados, se requiere que el usuario provea una clave que solo sea

conocida por él.

Debe establecerse un procedimiento para asegurar que el código de

identificación de un usuario sea retirado de todos los sistemas cuando un

empleado es despedido o transferido.

Los terminales y computadoras personales deben bloquearse luego de

quince (15) minutos de inactividad. El usuario tendrá que autenticarse

antes de reanudar su actividad.

El usuario debe ser instruido en el uso correcto de las características de

seguridad del terminal y funciones de todas las plataformas, estaciones de

trabajo, terminales, computadoras personales, etc., y debe cerrar la

sesión o bloquear la estación de trabajo cuando se encuentre

desatendida.

Todos los consultores, contratistas, proveedores y personal temporal

deben tener los derechos de acceso cuidadosamente controlados. El

acceso solo debe ser válido hasta el final del trimestre o incluso antes,

dependiendo de la terminación del contrato.



Todos los sistemas deben proveer pistas de auditoria del ingreso a los

sistemas y violaciones de los mismos. A partir de estos datos, los

custodios de los sistemas deben elaborar reportes periódicos los cuales

deben ser revisados por el área de seguridad informática. Estos reportes

también deben incluir la identidad del usuario, y la fecha y hora del

evento. Si es apropiado, las violaciones deben ser reportadas al gerente

del individuo. Violaciones repetitivas o significantes o atentados de

accesos deben ser reportados al gerente a cargo de la persona y al área

de seguridad de la información.

6.8.2 Seguridad de contraseñas

6.8.2.1 Estructura

Todas las contraseñas deben tener una longitud mínima de ocho (8)

caracteres y no deben contener espacios en blanco.

Las contraseñas deben ser difíciles de adivinar. Palabras de diccionario,

identificadores de usuario y secuencias comunes de caracteres, como

por ejemplo “12345678” o “QWERTY”, no deben ser empleadas. Así

mismo, detalles personales como los nombres de familiares, número de

documento de identidad, número de teléfono o fechas de cumpleaños no

deben ser usadas salvo acompañados con otros caracteres adicionales

que no tengan relación directa. Las contraseñas deben incluir al menos

un carácter no alfanumérico. Las contraseñas deben contener al menos

un carácter alfabético en mayúscula y uno en minúscula.

6.8.2.2 Vigencia

Todas las contraseñas deben expirar dentro de un periodo que no

exceda los noventa (90) días. Cada gerente debe determinar un máximo

periodo de vigencia de las contraseñas, el cual es recomendable no sea

menos de (30) días.



6.8.2.3 Reutilización de contraseñas

No debe permitirse la reutilización de ninguna de las 5 últimas

contraseñas. Esto asegura que los usuarios no utilicen las mismas

contraseñas en intervalos regulares. Los usuarios no deben poder

cambiar sus contraseñas más de una vez al día.

A los usuarios con privilegios administrativos, no se les debe permitir la

reutilización de las últimas 13 contraseñas.

6.8.2.4 Intentos fallidos de ingreso

Todos los sistemas deben estar configurados para deshabilitar los

identificadores de los usuarios en caso de ocurrir (3) intentos fallidos de

autenticación.

En los casos que los sistemas utilizados no soporten controles para las

características establecidas para la estructura, vigencia, reutilización e

intentos fallidos de ingreso, se debe documentar la excepción a la

política, detallando la viabilidad de modificar la aplicación para soportar

las características establecidas para las contraseñas.

6.8.2.5 Seguridad de contraseñas

Es importante que todos los empleados protejan sus contraseñas,

debiéndose seguir las siguientes regulaciones:

- Bajo ninguna circunstancia, se debe escribir las contraseñas en

papel, o almacenarlas en medios digitales no encriptados.

- Las contraseñas no deben ser divulgadas a ningún otro usuario salvo

bajo el pedido de un gerente, con autorización del área de seguridad

informática y auditoria interna. Si se divulga la contraseña, esta debe

ser cambiada durante el próximo ingreso.

- El usuario autorizado es responsable de todas las acciones

realizadas por alguna persona a quién se le ha comunicado la

contraseña o identificador de usuario.



- Los sistemas no deben mostrar la contraseña en pantalla o en

impresiones, para prevenir que éstas sean observadas o

recuperadas.

- Las contraseñas deben estar siempre encriptadas cuando se

encuentren almacenadas o cuando sean transmitidas a través de

redes.

- El control de acceso a archivos, bases de datos, computadoras y

otros sistemas de recursos mediante contraseñas compartidas está

prohibido.

6.8.3 Control de transacciones

Los empleados deben tener acceso únicamente al conjunto de

transacciones en línea requeridas para ejecutar sus tareas asignadas.

Este conjunto de transacciones debe estar claramente definido para

prevenir alguna ocurrencia de fraude y malversación.

El conjunto de transacciones debe ser definido durante el proceso de

desarrollo de sistemas, revisado periódicamente y mantenido por la

gerencia Propietaria.

El acceso para la ejecución de transacciones sensibles debe ser

controlado mediante una adecuada segregación de tareas. Por ejemplo,

los usuarios que tengan permiso para registrar instrucciones de pago no

deben poder verificar o aprobar su propio trabajo.

Toda operación realizada en los sistemas que afecten información

sensible como saldos operativos contables, deben contar con controles

duales de aprobación, dichos controles de aprobación deben ser

asignados con una adecuada segregación de funciones.

Reportes de auditoria de transacciones sensibles o de alto valor deben

ser revisadas por la gerencia usuaria responsable en intervalos regulares

apropiados. Los reportes deben incluir la identidad del usuario, la fecha y

la hora del evento.



6.8.4 Control de producción y prueba

El ambiente de prueba debe mantenerse siempre separado del ambiente

de producción, se deben implementar controles de acceso adecuados en

ambos ambientes.

Las pruebas deben realizarse utilizando datos de prueba. Sin embargo,

copias de datos de producción pueden ser usadas para las pruebas,

siempre y cuando los datos sean autorizados por el Propietario y

manejados de manera confidencial.

El personal de desarrollo puede tener acceso de sólo lectura a los datos

de producción. La actualización de los permisos de acceso a los datos de

producción debe ser autorizada por el propietario y otorgada por un

periodo limitado.

Estándares de nombres deben ser utilizados para distinguir los datos y

programas de desarrollo y producción.

Un procedimiento de control de cambios debe asegurar que todos los

cambios del modelo y ambientes de producción hayan sido revisados y

aprobados por el (los) gerente(s) apropiados, y el personal encargado de

la administración de la seguridad de la información.

Los programas de producción, sistemas operativos y librerías de

documentación deben ser considerados datos confidenciales y ser

protegidos.

Debe realizarse una adecuada segregación de tareas dentro del área de

procesamiento de datos o sistemas. Las tareas del personal de soporte

de aplicación, soporte técnico, y operadores del centro de datos deben

estar claramente definidas y sus permisos de acceso a los datos deben

basarse en los requerimientos específicos de su trabajo.

6.8.5 Controles de acceso de programas

Los controles de acceso de programas deben asegurar que los usuarios

no puedan acceder a la información sin autorización.



Los programas deben poder generar una pista de auditoria de todos los

accesos y violaciones.

Las violaciones de los controles de acceso deben ser registradas y

revisadas por el propietario o por el personal del área de sistemas

custodio de los datos. Las violaciones de seguridad deben ser reportadas

al gerente del empleado y al área responsable de la administración de la

seguridad de la información.

Se debe tener cuidado particular en todos los ambientes para asegurar

que ninguna persona tenga control absoluto. Los operadores de sistemas,

por ejemplo, no deben tener acceso ilimitado a los identificadores de

superusuario. Dichos identificadores de usuario, son solo necesarios

durante una emergencia y deben ser cuidadosamente controlados por la

gerencia usuaria, quien debe realizar un monitoreo periódico de su

utilización.

6.8.6 Administración de acceso de usuarios

La asignación de identificadores de usuario especiales o privilegiados

(como cuentas administrativas y supervisores) debe ser revisada cada 3

meses.

Los propietarios de la información son responsables de revisar los

privilegios de los sistemas periódicamente y de retirar todos aquellos que

ya no sean requeridos por los usuarios. Es recomendable realizar

revisiones trimestralmente debido al continuo cambio de los ambientes de

trabajo y la importancia de los datos.

Es responsabilidad del propietario de la información y de los

administradores de sistemas ver que los privilegios de acceso estén

alineados con las necesidades del negocio, sean asignados basándose

en requerimientos y que se comunique la lista correcta de accesos al área

de sistemas de información.



En las situaciones donde los usuarios con accesos a información

altamente sensible sean despedidos, los supervisores deben coordinar

directamente con el área de seguridad informática para eliminar el acceso

de ese usuario.

Se debe buscar el desarrollo de soluciones técnicas para evitar el uso de

accesos privilegiados innecesarios.

Luego del despido o renuncia de algún empleado, es responsabilidad del

jefe del empleado revisar cualquier archivo físico o digital elaborado o

modificado por el usuario. El gerente debe también asignar la propiedad

de dicha información a la persona relevante así como determinar la

destrucción de los archivos innecesarios.

Todos los usuarios que tienen acceso a las cuentas privilegiadas deben

tener sus propias cuentas personales para uso del negocio. Por ende, los

administradores de sistemas y empleados con acceso a cuentas

privilegiadas deben usar sus cuentas personales para realizar actividades

de tipo no privilegiadas.

Cuentas de usuario que no son utilizadas por noventa (90) días deben ser

automáticamente deshabilitadas. Las cuentas que no han sido utilizadas

por un periodo largo demuestran que el acceso de información de ese

sistema no es necesario. Los custodios de la información deben informar

al propietario de la información la existencia de las cuentas inactivas.

Todos los accesos a los sistemas de información deben estar controlados

mediante un método de autenticación incluyendo una combinación

mínima de identificador de usuario/contraseña. Dicha combinación debe

proveer la verificación de la identidad del usuario.

Para los usuarios con tareas similares, se debe utilizar grupos o controles

de acceso relacionados a roles para asignar permisos y accesos a las

cuentas del individuo.

Todos los usuarios de los sistemas de información deben de tener un

identificador de usuario único que sea válido durante el período laboral del



usuario. Los identificadores de usuarios no deben de ser utilizados por

otros individuos incluso luego de que el usuario original haya renunciado o

haya sido despedido.

Los sistemas no deben permitir que los usuarios puedan tener sesiones

múltiples para un mismo sistema, salvo bajo autorización específica del

propietario de la información.

6.8.7 Responsabilidades del usuario

Todo equipo de cómputo, alquilado o de propiedad del Banco, así como

los servicios compartidos facturados a cada unidad de negocio serán

usados solo para actividades relacionadas al negocio del Banco.

Los sistemas del Banco no pueden ser usados para desarrollar software

para negocios personales o externos al Banco.

Los equipos no deben ser usados para preparar documentos para uso

externo, salvo bajo la aprobación escrita del gerente del área usuaria.

Se debe implementar protectores de pantallas en todas las computadoras

personales y servidores, activándose luego de cinco (5) minutos de

inactividad.

Toda la actividad realizada utilizando un identificador de usuario

determinado, es de responsabilidad del empleado a quién le fue asignado.

Por consiguiente, los usuarios no deben compartir la información de su

identificador con otros o permitir que otros empleados utilicen su

identificador de usuario para realizar cualquier acción. También, los

usuarios están prohibidos de realizar cualquier acción utilizando un

identificador que no sea el propio.

6.8.8 Seguridad de computadoras

Se debe mantener un inventario actualizado de todo el software y

hardware existente en el Banco, la responsabilidad del mantenimiento del



inventario es del jefe de producción de la gerencia de sistemas. Todo

traslado o asignación de equipos debe ser requerida por el gerente del

área usuaria, es de responsabilidad del jefe de producción de la gerencia

de sistemas, la verificación y realización del requerimiento.

Es de responsabilidad del usuario, efectuar un correcto uso del equipo de

cómputo que le fue asignado, así como de los programas en él instalados;

cualquier cambio y/o traslado deberá ser solicitado con anticipación por su

respectiva Gerencia. Asimismo el usuario debe verificar que cualquier

cambio y/o traslado del Equipo de Cómputo que le fue asignado, se

realice por personal de Soporte Técnico, así como también la instalación o

retiro de software.

Cualquier microcomputador, computadora personal o portátil / notebook

perteneciente al Banco debe ser únicamente utilizada para propósitos de

negocios. Estas computadoras pueden ser utilizadas de las siguientes

maneras:

- Como un terminal comunicándose con otra computadora

- Como una computadora aislada que realice su propio procesamiento

sin comunicación con ninguna otra computadora

Medidas apropiadas de seguridad de computadoras personales, como los

programas de seguridad de computadoras personales o los candados

físicos, deben ser utilizados en relación con los datos y aplicaciones en

ejecución.

Sin importar su uso, las medidas de seguridad deben ser implementadas

en todas las microcomputadoras y computadoras personales:

- Una vez habilitada la computadora, ésta no debe dejarse desatendida,

incluso por un periodo corto.

- Todo los disquetes, cintas, CD´s y otros dispositivos de

almacenamiento de información incluyendo información impresa, que

contengan datos sensibles deben ser guardados en un ambiente

seguro cuando no sean utilizados.



- El acceso a los datos almacenados en un microcomputador debe ser

limitado a los usuarios apropiados.

Los discos duros no deben contener datos sensibles salvo en las

computadoras cuyo acceso físico sea restringido o que tengan instalados

un programa de seguridad y que los accesos a la computadora y a sus

archivos sean controlados adecuadamente.

Los disquetes no deben ser expuestos a temperaturas altas o a

elementos altamente magnéticos.

Deben generarse copias de respaldo de documentos y datos de manera

periódica, asimismo, deben desarrollarse procedimientos para su

adecuada restauración en el caso de pérdida.

Todos los programas instalados en las computadoras deben ser legales,

aprobados y periódicamente inventariados.

Solo los programas adquiridos o aprobados por el Banco, serán

instalados en las computadoras del Banco.

El uso de programas de juegos, de distribución gratuita (freeware o

shareware) o de propiedad personal está prohibido, salvo que éste sea

aprobado por la gerencia y se haya revisado la ausencia de virus en el

mismo.

6.8.9 Control de acceso a redes

6.8.9.1 Conexiones con redes externas

Los sistemas de red son vulnerables y presentan riesgos inherentes a su

naturaleza y complejidad. Los accesos remotos (dial-in) y conexiones

con redes externas, exponen a los sistemas del Banco a niveles

mayores de riesgo. Asegurando que todos los enlaces de una red

cuenten con adecuados niveles de seguridad, se logra que los activos

más valiosos de las unidades de negocio estén protegidos de un ataque

directo o indirecto.



Todas las conexiones realizadas entre la red interna del Banco e

Internet, deben ser controladas por un firewall para prevenir accesos no

autorizados. El área de seguridad de información debe aprobar todas las

conexiones con redes o dispositivos externos.

El acceso desde Internet hacia la red interna del Banco no debe ser

permitido sin un dispositivo de fuerte autenticación o certificado basado

en utilización de contraseñas dinámicas.

El esquema de direccionamiento interno de la red no debe ser visible

desde redes o equipos externos. Esto evita que “hackers” u otras

personas pueden obtener fácilmente información sobre la estructura de

red del Banco y computadoras internas.

Para eliminar las vulnerabilidades inherentes al protocolo TCP/IP,

ruteadores y firewalls deben rechazar conexiones externas que

parecieran originarias de direcciones internas (ip spoofing).

6.8.9.2 Estándares generales

Los accesos a los recursos de información deben solicitar como mínimo

uno de los tres factores de autenticación:

- Factor de conocimiento: algo que solo el usuario conoce. Por

ejemplo: contraseña o PIN.

- Factor de posesión: algo que solo el usuario posee. Por ejemplo:

smartcard o token.

- Factor biométrico: algo propio de las características biológicas del

usuario. Por ejemplo: lectores de retina o identificadores de voz.

La posibilidad de efectuar encaminamiento y re-direccionamiento de

paquetes, debe ser configurada estrictamente en los equipos que

necesiten realizar dicha función.

Todos los componentes de la red deben mostrar el siguiente mensaje

de alerta en el acceso inicial.



“Aviso de alerta: Estos sistemas son de uso exclusivo del personal y

agentes autorizados del Banco. El uso no autorizado está prohibido y

sujeto a penalidades legales”.

Todos los componentes de la red de datos deben ser identificados de

manera única y su uso restringido. Esto incluye la protección física de

todos los puntos vulnerables de una red.

Las estaciones de trabajo y computadoras personales deben ser

bloqueadas mediante la facilidad del sistema operativo, mientras se

encuentren desatendidas.

Todos los dispositivos de red, así como el cableado deben ser ubicado

de manera segura.

Cualquier unidad de control, concentrador, multiplexor o procesador de

comunicación ubicado fuera de una área con seguridad física, debe

estar protegido de un acceso no autorizado.

6.8.9.3 Política del uso de servicio de redes

Todas las conexiones de red internas y externas deben cumplir con las

políticas del Banco sobre servicios de red y control de acceso. Es

responsabilidad del área de sistemas de información y seguridad de

información determinar lo siguiente:

- Elementos de la red que pueden ser accedidos

- El procedimiento de autorización para la obtención de acceso

- Controles para la protección de la red.

Todos los servicios habilitados en los sistemas deben contar con una

justificación coherente con las necesidades del negocio. Los riesgos

asociados a los servicios de red deben determinarse y ser resueltos

antes de la implementación del servicio. Algunos servicios estrictamente

prohibidos incluyen TFTP e IRC/Chat.



6.8.9.4 Segmentación de redes

La arquitectura de red del Banco debe considerar la separación de redes

que requieran distintos niveles de seguridad. Esta separación debe

realizarse de acuerdo a la clase de información albergada en los

sistemas que constituyen dichas redes. Esto debe incluir equipos de

acceso público.

6.8.9.5 Análisis de riesgo de red

Cualquier nodo de la red de datos, debe asumir el nivel de sensibilidad

de la información o actividad de procesamiento de datos más sensible al

que tenga acceso. Se deben implementar controles que compensen los

riesgos más altos.

6.8.9.6 Acceso remoto(dial-in)

Los usuarios que ingresen a los sistemas del Banco mediante acceso

remoto (dial-in) deben ser identificados antes de obtener acceso a los

sistemas. Por lo tanto, dicho acceso debe ser controlado por un equipo

que permita la autenticación de los usuarios al conectarse a la red de

datos.

Técnicas y productos apropiadas para el control de los accesos remotos

(dial-in) incluyen:

- Técnicas de identificación de usuarios: Técnicas que permitan

identificar de manera unívoca al usuario que inicia la conexión, es

recomendable que la técnica elegida utilice por lo menos 2 de los

factores de autenticación definidos anteriormente. Ejemplo: tokens

(dispositivos generadores de contraseñas dinámicas).

- Técnicas de identificación de terminales: Técnicas que permiten

identificar unívocamente al terminal remoto que realiza la conexión.

Ejemplo: callback (técnica que permite asegurar que el número

telefónico fuente de la conexión sea autorizado)



6.8.9.7 Encripción de los datos

Los algoritmos de encripción DES, 3DES y RSA son técnicas de

encripción aceptables para las necesidades de los negocios de hoy.

Estas pueden ser empleadas para satisfacer los requerimientos de

encripción de datos del Banco.

Las contraseñas, los códigos o números de identificación personal y los

identificadores de terminales de acceso remoto deben encontrarse

encriptados durante la transmisión y en su medio de almacenamiento. La

encripción de datos ofrece protección ante accesos no autorizados a la

misma; debe ser utilizada si luego de una evaluación de riesgo se

concluye que es necesaria.

6.8.10 Control de acceso al sistema operativo

6.8.10.1 Estándares generales

Los usuarios que posean privilegios de superusuario, deben utilizar el

mismo identificador con el que se autentican normalmente en los

sistemas. Los administradores deben otorgarle los privilegios especiales

a los identificadores de los usuarios que lo necesiten.

Todos los usuarios deben poseer un único identificador. El uso de

identificadores de usuario compartidos debe estar sujeto a autorización.

Cada cuenta de usuario debe poseer una contraseña asociada, la cual

solo debe ser conocida por el dueño del identificador de usuario.

Seguridad adicional puede ser añadida al proceso, como identificadores

biométricos o generadores de contraseñas dinámicas.

6.8.10.2 Limitaciones de horario

Las aplicaciones críticas deben estar sujetas a periodos de acceso

restringidos, el acceso a los sistemas en un horario distinto debe ser

deshabilitado o suspendido.



6.8.10.3 Administración de contraseñas

Los administradores de seguridad deben realizar pruebas mensuales

sobre la calidad de las contraseñas que son empleadas por los usuarios,

esta actividad puede involucrar el uso de herramientas para obtención

de contraseñas.

Todas las bases de datos o aplicaciones que almacenen contraseñas

deben ser aseguradas, de tal manera, que solo los administradores de

los sistemas tengan acceso a ellas.

6.8.10.4 Inactividad del sistema

Las sesiones en los sistemas que no se encuentren activas por mas de

30 minutos deben ser concluidas de manera automática.

Las computadoras personales, laptops y servidores, deben ser

configurados con un protector de pantalla con contraseña, cuando sea

aplicable. El periodo de inactividad para la activación del protector de

pantalla debe ser de 5 minutos.

Los sistemas deben forzar la reautenticación de los usuarios luego de 2

horas de inactividad.

6.8.10.5 Estándares de autenticación en los sistemas

Los sistemas, durante el proceso de autenticación, deben mostrar avisos

preventivos sobre los accesos no autorizados a los sistemas.

Los identificadores de los usuarios deben ser bloqueados luego de 3

intentos fallidos de autenticación en los sistemas, el desbloqueo de la

cuenta debe ser realizado manualmente por el administrador del

sistema.

Los sistemas deben ser configurados para no mostrar ninguna

información que pueda facilitar el acceso a los mismos, luego de intentos

fallidos de autenticación.



6.8.11 Control de acceso de aplicación

6.8.11.1 Restricciones de acceso a información

Para la generación de cuentas de usuario en los sistemas así como para

la asignación de perfiles, el gerente del área usuaria es el responsable

de presentar la ‘Solicitud de Usuarios y/o Perfiles de Acceso a los

Sistemas de Cómputo’, al área de Seguridad Informática, quien generará

los Usuarios y Contraseñas correspondientes, para luego remitirlas al

Departamento de Recursos Humanos, para que éste a su vez los

entregue al Usuario Final, con la confidencialidad requerida.

Se debe otorgar a los usuarios acceso solamente a la información

mínima necesaria para la realización de sus labores.

Esta tarea puede ser realizada utilizando una combinación de:

- Seguridad lógica de la aplicación.

- Ocultar opciones no autorizadas en los sistemas

- Restringir el acceso a línea de comando

- Limitar los permisos a los archivos de los sistemas (solo lectura)

- Controles sobre la información de salida de los sistemas (reportes,

consultas en línea, etc.)

6.8.11.2 Aislamiento de sistemas críticos

Basados en el tipo de información, las redes pueden requerir separación.

Los sistemas que procesan información muy crítica deben ser aislados

físicamente de sistemas que procesan información menos crítica.

6.8.12 Monitoreo del acceso y uso de los sistemas

6.8.12.1 Sincronización del reloj

Los relojes de todos los sistemas deben ser sincronizados para asegurar

la consistencia de todos los registros de auditoria. Debe desarrollarse un



procedimiento para el ajuste de cualquier desvío en la sincronización de

los sistemas.

6.8.12.2 Responsabilidades generales

Los administradores de los sistemas deben realizar monitoreo periódico

de los sistemas como parte de su rutina diaria de trabajo, este monitoreo

no debe estar limitado solamente a la utilización y performance del

sistema sino debe incluir el monitoreo del acceso de los usuarios a los

sistemas.

6.8.12.3 Registro de eventos del sistema

La actividad de los usuarios vinculada al acceso a información

clasificada como “confidencial” o “restringida” debe ser registrada para

su posterior inspección. El propietario de la información debe revisar

dicho registro mensualmente.

Todos los eventos de seguridad relevantes de una computadora que

alberga información confidencial, deben ser registrados en un log de

eventos de seguridad. Esto incluye errores en autenticación,

modificaciones de datos, utilización de cuentas privilegiadas, cambios en

la configuración de acceso a archivos, modificación a los programas o

sistema operativo instalados, cambios en los privilegios o permisos de

los usuarios o el uso de cualquier función privilegiada del sistema.

Los “logs” (bitácoras) de seguridad deben ser almacenados por un

periodo mínimo de 3 meses. Acceso a dichos logs debe ser permitido

solo a personal autorizado. En la medida de lo posible, los logs deben

ser almacenados en medios de “solo lectura”.



6.8.13 Computación móvil y teletrabajo

6.8.13.1 Responsabilidades generales

Los usuarios que realizan trabajo en casa con información del Banco,

pueden tener el concepto errado de que la seguridad de información solo

es aplicable en el trabajo en oficina, sin tomar en cuenta que algunas

amenazas de seguridad son comunes en ambos entornos de trabajo y

que incluso existen algunas nuevas amenazas en el trabajo en casa. El

personal que realiza trabajo en casa debe tener en cuenta las amenazas

de seguridad que existen en dicho entorno laboral y tomar las medidas

apropiadas para mantener la seguridad de información.

La utilización de programas para el control remoto de equipos como PC-

Anywhere está prohibida a menos que se cuente con el consentimiento

formal del administrador de seguridad. La utilización inapropiada de este

tipo de programas puede facilitar el acceso de un intruso a los sistemas

de información del Banco.

6.8.13.2 Acceso remoto

Medidas de seguridad adicionales deben ser implementadas para

proteger la información almacenada en dispositivos móviles. Entre las

medidas a tomarse se deben incluir:

- Encripción de los datos

- Contraseñas de encendido

- Concientización de usuarios

- Protección de la data transmitida hacia y desde dispositivos móviles.

Ej. VPN, SSL o PGP.

- Medidas de autenticación adicionales para obtener acceso a la red de

datos. Ej. SecureID tokens.



Con el propósito de evitar los problemas relacionados a virus

informáticos y propiedad de los datos existentes en computadoras

externas, solamente equipos del Banco deben ser utilizados para ser

conectados a su red de datos. La única excepción a este punto es la

conexión hacia el servidor de correo electrónico para recepción y envío

del correo electrónico.

Todos los accesos dial-in/dial-out deben contar con autorización del área

de seguridad informática y deben contar con la autorización respectiva

que justifique su necesidad para el desenvolvimiento del negocio.

6.9 DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS

El diseño de la infraestructura del Banco, las aplicaciones de negocio y las

aplicaciones del usuario final deben soportar los requerimientos generales de

seguridad documentados en la política de seguridad del Banco. Estos

requerimientos deben ser incorporados en cada paso del ciclo de desarrollo de

los sistemas, incluyendo todas las fases de diseño, desarrollo, mantenimiento y

producción.

Los requerimientos de seguridad y control deben estar:

- determinados durante cualquier diseño de sistemas,

- desarrollados dentro de la arquitectura del sistema

- implementados en la instalación final del sistema.

Adicionalmente, todo los procesos de desarrollo y soporte a estos sistemas

deben seguir los requerimientos de seguridad incluidos en esta política de

seguridad.

6.9.1 Requerimientos de seguridad de sistemas

6.9.1.1 Control de cambios

El área responsable de la administración de cambios debe retener todos

los formularios de solicitud de cambio, planes de cambio de programa y



resultados de pruebas de acuerdo con los estándares de retención de

registros del Banco. Los gerentes técnicos de las áreas son

responsables de retener una copia de la documentación de solicitud de

cambio pertinente a su respectiva área.

Los procedimientos de prueba deben estar documentados en los

formularios de solicitud de cambio. Si se notara problemas durante el

proceso de prueba, el proveedor debe documentar el problema, realizar

las modificaciones apropiadas en el ambiente de desarrollo y entregarlo

para que se vuelva a probar.

6.9.1.2 Análisis y especificación de los requerimientos de

seguridad

Para todos los sistemas desarrollados por o para el Banco, se debe

determinar los requerimientos de seguridad antes de comenzar la fase

de desarrollo de la aplicación. Durante la fase de diseño del sistema, los

propietarios de la información, el área de sistemas y el área de

seguridad de la información deben determinar un control adecuado para

el ambiente de la aplicación. Estos requerimientos deben incluir, pero no

están limitadas a:

- Control de acceso

- Autorización

- Criticidad del sistema

- Clasificación de la información

- Niveles de disponibilidad requeridos

- Confidencialidad e integridad de la información



6.9.2 Seguridad en sistemas de aplicación

6.9.2.1 Desarrollo y prueba de aplicaciones

Los procedimientos de prueba deben estar adecuadamente

documentados en los formularios de solicitud de cambio. El gerente del

desarrollador debe efectuar una revisión independiente de los resultados

de la unidad de prueba. Como resultado, se debe evidenciar una

aprobación formal por parte del gerente del desarrollador en el formulario

de solicitud de cambio.

Durante la prueba de integración, restricciones de acceso lógico deben

asegurar que los desarrolladores no tengan accesos de actualización y

que el código siendo probado no sea modificado sin consentimiento del

usuario. Copias de los datos de producción o conjuntos prediseñados de

datos de prueba deben ser usados para propósitos de prueba.

Todas las modificaciones significativas, mejoras grandes y sistemas

nuevos deben ser probados por los usuarios del sistema antes de la

instalación del software en el ambiente de producción. El plan de

aceptación del usuario debe incluir pruebas de todas las funciones

principales, procesos y sistemas de interfaces. Los procedimientos de

prueba deben ser adecuadamente documentados en los formularios de

solicitud de cambio.

Durante las pruebas de aceptación, restricciones lógicas de acceso

deben asegurar que los desarrolladores no tengan acceso de

actualización y que el código fuente siendo probado no pueda ser

modificado sin consentimiento escrito por el usuario. Si se notara

problemas, el usuario debe documentar el problema, el desarrollador

debe realizar las modificaciones apropiadas en el ambiente de desarrollo

y lo entregará para volver a probarlo.



6.10 CUMPLIMIENTO NORMATIVO

Toda ley, norma, regulación o acuerdo contractual debe ser documentado y

revisado por el área legal del Banco. Requerimientos específicos para

controles y otras actividades relacionadas a estas regulaciones legales

deben ser delegados al área organizacional respectiva, la cual es

responsable por el cumplimiento de la norma en cuestión.

Los recursos informáticos del Banco deben ser empleados exclusivamente

para tareas vinculadas al negocio.

6.10.1 Registros

Deben desarrollarse estándares de retención, almacenamiento, manejo y

eliminación de registros que son requeridos por normas legales u otras

regulaciones. Debe definirse un cronograma de retención para estos

registros que debe incluir:

- Tipo de información

- Regulaciones o leyes aplicables

- Fuentes de este tipo de información

- Tiempos de retención requeridos

- Requerimientos de traslado y almacenamiento

- Procedimientos de eliminación

- Requerimientos de control específicos estipulados en la norma

relacionada

6.10.2 Revisión de la política de seguridad y cumplimiento técnico

Los gerentes y jefes deben asegurarse que las responsabilidades de

seguridad sean cumplidas y las funciones relacionadas se ejecuten

apropiadamente.

Es responsabilidad del personal encargado de la administración de la

seguridad y de auditoria interna verificar el cumplimiento de las políticas



de seguridad. Las excepciones deben ser reportadas a la gerencia

apropiada.

6.10.3 Propiedad de los programas

Cualquier programa escrito por algún empleado del Banco dentro del

alcance de su trabajo así como aquellos adquiridos por el Banco son de

propiedad del Banco.

Los contratos para desarrollo externo deben acordarse por escrito y

deben señalar claramente el propietario de los derechos del programa. En

la mayoría de circunstancias, el Banco debería ser propietaria de todos

los programas de cómputo desarrollados, debiendo pagar los costos de

desarrollo.

Cada programa elaborado por desarrolladores propios del Banco o por

desarrolladores externos contratados por el Banco, debe contener la

información de derecho de autor correspondiente. Generalmente, el aviso

debe aparecer en cuando el usuario inicie la aplicación. Un aviso legible

también debe estar anexado a las copias de los programas almacenados

en dispositivos como cartuchos, cassettes, discos o disquetes.

6.10.4 Copiado de software adquirido y alquilado

Los contratos con proveedores y paquetes propietarios de software deben

definir claramente los límites de su uso. Los empleados están prohibidos

de copiar o utilizar dicho software de manera contraria a la provisión del

contrato. Toda infracción de los derechos de autor del software constituye

robo.

Los productos adquiridos o alquilados para ejecutarse en una unidad de

procesamiento o en un sitio particular no deben ser copiados y ejecutados

en procesadores adicionales sin algún acuerdo por parte del proveedor.



Los programas no pueden ser copiados salvo dentro del límite acordado

con el proveedor (por ejemplo, copias de respaldo para protección). Los

empleados o contratistas que realicen copias adicionales para evitar el

costo de adquisición de otro paquete serán hechos responsables de sus

acciones.

6.11 CONSIDERACIONES DE AUDITORIA DE SISTEMAS

6.11.1 Protección de las herramientas de auditoria

Todas las herramientas, incluyendo programas, aplicaciones,

documentación y papeles de trabajo, requeridos para la auditoria de

sistemas deben protegerse de amenazas posibles como se indica en esta

política de seguridad.

6.11.2 Controles de auditoria de sistemas

Todas las actividades de auditoria deben ser revisadas para el

planeamiento y la ejecución correcta de la auditoria. Esto incluye, pero no

se limita a lo siguiente:

- minimizar cualquier interrupción de las operaciones del negocio

- acuerdo de todas las actividades y objetivos de auditoria con la

gerencia

- límite del alcance de la evaluación de un ambiente controlado,

asegurando que no se brinde accesos impropios para la realización de

las tareas de auditoria

- identificación de los recursos y habilidades necesarias para cualquier

tarea técnica

- registro de todas las actividades y desarrollo de la documentación de

las tareas realizadas, procedimientos de auditoria, hallazgos y

recomendaciones.



6.12 POLÍTICA DE COMERCIO ELECTRÓNICO

El propósito de esta política es presentar un esquema para el

comportamiento aceptable cuando se realizan actividades de comercio

electrónico (e-commerce). Los controles definidos, tienen el propósito de

proteger el comercio electrónico de numerosas amenazas de red que

puedan resultar en actividad fraudulenta y divulgación o modificación de la

información.

Esta política se aplica a todos los empleados del Banco involucrados con

comercio electrónico y a los socios de comercio electrónico del Banco. Los

socios de comercio electrónico del Banco incluyen las unidades de negocio

de la organización, los clientes, socios comerciales y otros terceros.

El Banco debe asegurar la claridad de toda la información documentada y

divulgar la información necesaria para asegurar el uso apropiado del

comercio electrónico. El Banco y los socios de comercio electrónico deben

de someterse a la legislación nacional sobre el uso de la información de

clientes y las estadísticas derivadas.

Los documentos y transacciones electrónicas usadas en el comercio

electrónico deben ser legalmente admisibles. Las unidades de negocio

afiliadas del Banco deben demostrar que sus sistemas de cómputo

funcionan adecuadamente para establecer la autenticación de los

documentos y transacciones legales. Los sistemas de información usados

deben estar de acuerdo con los estándares de seguridad corporativos

antes de estar disponibles en producción.

Los sistemas de comercio electrónico deben publicar sus términos de

negocios a los clientes. El uso de autoridades de certificación y archivos



confiables de terceros deben estar documentados, de acuerdo con la

política de seguridad de información del Banco.

Actividades de roles y responsabilidades entre el Banco y los socios de

comercio electrónico deben de establecerse, documentarse y ser

soportadas por un acuerdo documentado que comprometa a ambos al

acuerdo de los términos de transacciones.

6.12.1 Términos e información de comercio electrónico

6.12.1.1 Recolección de información y privacidad

El Banco debe utilizar niveles apropiados de seguridad según el tipo de

información recolectada, mantenida y transferida a terceros debiendo

asegurarse de:

- Aplicar estándares corporativos de encripción y autenticación para la

transferencia de información sensible.

- Aplicar controles corporativos técnicos de seguridad para proteger los

datos mantenidos por computadoras; y

- Considerar la necesidad de que los terceros involucrados en las

transacciones de clientes, también mantengan niveles apropiados de

seguridad.

El Banco debe adoptar prácticas de información que manejen

cuidadosamente la información personal de los clientes. Todos los

sistemas de comercio electrónico del Banco deben seguir una política de

privacidad basada en principios de información, deben tomar medidas

apropiadas para proveer seguridad adecuada y respetar las preferencias

de los clientes con respecto al envío de mensajes de correo electrónico

no solicitados.



6.12.1.2 Divulgación

El Banco debe proveer suficiente información sobre la propia transacción

en línea, para permitir que los clientes tomen una decisión informada

sobre si ejecutar las transacciones en línea.

Información divulgada debe incluir, pero no estar limitada a:

- Términos de transacción;

- Disponibilidad de producto e información de envío; y

- Precios y costos.

El Banco debe también brindar al cliente las opciones de:

- Revisión y aprobación de la transacción; y

- Recepción de una confirmación.

6.12.2 Transferencia electrónica de fondos

Transacciones de valor, sobre redes de telecomunicación, que resulten de

movimientos de fondos, deben estar protegidas con medidas que sean

proporcionales a la pérdida potencial debido a error o fraude. En sistemas

donde el valor promedio de transacción excede los $50,000 o en los

cuales transacciones sobre los $100,000 sean frecuentes, se debe

verificar el origen de la transacción así como el contenido de la misma de

acuerdo a los estándares definidos por el Banco.

Para todos los casos en que un mensaje de transferencia electrónica de

fondos sea enviado sobre un circuito por lo menos se debe verificar el

origen del mensaje mediante un método apropiado considerando el riesgo

involucrado.

Algunas circunstancias requieren de la verificación de la ubicación física

del terminal que origina la transacción, mientras que en otras una

adecuada técnica usada para identificar el usuario del terminal es

suficiente.



Los sistemas que utilicen soluciones de encripción o autenticación deben

usar los estándares de ANSI aceptados.

La encripción de la información transmitida es necesaria cuando el origen

y el destino se encuentran conectados por un enlace físico de

comunicación que pueda ser accedido por un tercero. Las soluciones de

punto a punto son preferibles para redes multi-nodos.

Los datos de identificación personal como PIN’s, PIC’s y contraseñas no

deben ser transmitidas o almacenadas sin protección en cualquier medio.

Los sistemas nuevos que involucren el movimiento de fondos o

transacciones de valor sobre redes de telecomunicaciones debe

incorporar estos controles en su diseño.

Cualquier cambio en los sistemas o redes existentes, deben respetar

dichos controles.

6.13 INFORMACIÓN ALMACENADA EN MEDIOS DIGITALES Y

FÍSICOS

Toda información almacenada en cualquier dispositivo o medio del Banco,

incluyendo disquetes, reportes, códigos fuentes de programas de

computadora, correo electrónico y datos confidenciales de los clientes, es

propiedad del Banco.

Las prácticas de seguridad de datos deben ser consistentes para ser

efectivas. Los datos sensibles deben ser protegidos, sin importar la forma

en que sean almacenados.

6.13.1 Etiquetado de la información

Toda información impresa o almacenada en medios físicos transportables

(cintas de backup, cd´s, etc.) que sean confidenciales o restringidas,



deben estar claramente etiquetadas como tal, con letras grandes que

sean legibles sin la necesidad de un lector especial.

Todo documento o contenedor de información debe ser etiquetado como

“Restringida”, “Confidencial”, de “Uso interno” o de Acceso “General”,

dependiendo de la clasificación asignada.

Todo documento en formato digital o impreso, debe presentar una

etiqueta en la parte superior e inferior de cada página, con la clasificación

correspondiente.

Todo documento clasificado como “Confidencial” o “Restringido” debe

contar con una carátula en la cual se muestre la clasificación de la

información que contiene.

6.13.2 Copiado de la información

Reportes confidenciales y restringidos no deben ser copiados sin la

autorización del propietario de la información.

Reportes confidenciales pueden ser copiados sólo para los individuos

autorizados a conocer su contenido. Los gerentes son los responsables

de determinar dicha necesidad, para cada persona a la cual le sea

distribuido dicho reporte.

Los reportes restringidos deben ser controlados por un solo custodio,

quién es responsable de registrar los individuos autorizados que soliciten

el documento.

El copiado de cualquier dato restringido o confidencial almacenado en un

medio magnético debe ser aprobado por el propietario y clasificado al

igual que el original.

6.13.3 Distribución de la información

La información confidencial y restringida debe ser controlada cuando es

trasmitida por correo electrónico interno, externo o por courier. Si el



servicio de courier o correo externo es usado, se debe solicitar una

confirmación de entrega al receptor.

Los reportes confidenciales y otros documentos sensibles deben usarse

en conjunto con sobres confidenciales y estos últimos también ser

sellados. Materiales restringidos de alta sensibilidad deben enviarse con

un sobre etiquetado ‘Solo a ser abierto por el destinatario’. La entrega

personal es requisito para la información extremadamente sensible.

Los datos sensibles de la empresa que sean transportados a otra

instalación deben ser transportados en contenedores apropiados.

Todo usuario, antes de transmitir información clasificada como

“Restringida” o “Confidencial”, debe asegurarse que el destinatario de la

información esté autorizado a recibir dicha información.

La transmisión de información clasificada como “Restringida” o

“Confidencial”, transmitida desde o hacia el Banco a través de redes

externas, debe realizarse utilizando un medio de transmisión seguro, es

recomendable el uso de técnicas de encripción para la información

transmitida.

6.13.4 Almacenamiento de la información

Los activos de información correspondiente a distintos niveles de

clasificación, deben ser almacenados en distintos contenedores.

La información etiquetada como “de uso interno” debe ser guardada de

manera que sea inaccesible a personas ajenas a la empresa. La

información “Confidencial o “Restringida” debe ser asegurada para que

esté sólo disponible a los individuos específicamente autorizados para

acceder a ella.

El ambiente donde se almacena la información clasificada como

“Restringida”, debe contar con adecuados controles de acceso y

asegurado cuando se encuentre sin vigilancia. El acceso debe ser



permitido solo al personal formalmente autorizado. Personal de limpieza

debe ingresar al ambiente acompañado por personal autorizado.

La información en formato digital clasificada como de acceso “General”,

puede ser almacenada en cualquier sistema del Banco. Sin embargo se

deben tomar las medidas necesarias para no mezclar información

“General” con información correspondiente a otra clasificación.

Información en Formato digital, clasificada como “Restringida”, debe ser

encriptada con un método aprobado por el área de seguridad informática,

cuando es almacenada en cualquier medio (disco duro, disquetes, cintas,

CD´s, etc.).

Los medios de almacenamiento, incluyendo discos duros de

computadoras, que albergan información clasificada como “Restringida”,

deben ser ubicados en ambientes cerrados diseñados para el

almacenamiento de dicho tipo de información.

Cuando información clasificada como “de uso Interno”, Confidencial o

Restringida se guarde fuera del Banco, debe ser almacenada en

instalaciones que cuenten con adecuados controles de acceso.

El envío y recepción de medios magnéticos para ser almacenados en

instalaciones alternas debe ser autorizado por el personal responsable de

los mismos y registrado en bitácoras apropiadas.

6.13.5 Eliminación de la información

La eliminación de documentos y otras formas de información deben

asegurar la confidencialidad de la información de las unidades de

negocio.



Se debe borrar los datos de los medios magnéticos, como cassettes,

disquetes, discos duros, DASD, que se dejen de usar en el Banco debido

a daño u obsolencia, antes de que estos sean eliminados.

En el caso de los equipos dañados, la empresa de reparación o

destrucción del equipo debe certificar que los datos hayan sido destruidos

o borrados.



Capítulo VII

PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL

Luego de la identificación de riesgos amenazas y vulnerabilidades se pudo

determinar el conjunto de actividades más importantes a ser realizadas por el

Banco, las cuales permitan alinear las medidas de seguridad existentes con las

exigidas por las Políticas de Seguridad elaboradas.

Estas actividades han sido agrupadas en un plan de implementación, el cual

contiene los objetivos de cada actividad, el tiempo estimado de ejecución y las

etapas a ser cubiertas en cada actividad identificada.

Las actividades a ser realizadas por el Banco son las siguientes:

- Clasificación de la Información

- Seguridad de red y comunicaciones

- Inventario de accesos a los sistemas

- Adaptación de contratos con proveedores

- Campaña de concientización de usuarios

- Verificación y adaptación de los sistemas del Banco

- Estandarización de la configuración del software base

- Revisión y adaptación de procedimientos complementarios.

Para cada actividad se ha elaborado una breve descripción (objetivo), las

tareas a ser desarrolladas (etapas), la relación de precedencia que presenta

con otras actividades y un tiempo estimado de duración. El tiempo estimado

para el desarrollo de cada etapa debe ser revisado antes de iniciar la misma y

puede sufrir variaciones de acuerdo a dicha evaluación final.



7.1 Clasificación de Información

Dependencia Ninguna

Tiempo estimado 16 – 22 semanas

Objetivo Con el objetivo de proteger los activos de información

de manera adecuada, se debe realizar un proyecto

para la clasificación de la información utilizada por las

distintas unidades de negocio, mediante la cual se

podrán definir los recursos apropiados y necesarios

para proteger los activos de información. El objetivo de

la clasificación es priorizar la utilización de recursos

para aquella información que requiere de mayores

niveles de protección.

Los criterios a ser empleados para la clasificación de

la información son los siguientes:

- Información Restringida (R): Información con

mayor grado de sensibilidad; el acceso a esta

información debe de ser autorizado caso por caso.

- Información Confidencial (C): Información

sensible que solo debe ser divulgada a aquellas

personas que la necesiten para el cumplimiento de

sus funciones.

- Información de Uso Interno (I): Datos generados

para facilitar las operaciones diarias; deben de ser

manejados de una manera discreta, pero no

requiere de medidas elaboradas de seguridad.

- Información General (G): Información que es

generada específicamente para su divulgación al

público en general.



Etapas - Elaboración de un inventario de activos de

información incluyendo información almacenada en

medios digitales e información impresa.

- Definición de responsables por activos identificados

- Clasificación de la información por parte de los

responsables definidos.

- Consolidación de los activos de información

clasificados.

- Determinación de las medidas de seguridad a ser

aplicados para cada activo clasificado.

- Implementación de las medidas de seguridad

determinadas previamente.

7.2 Seguridad de red y comunicaciones

Dependencia Ninguna

Tiempo

estimado

11 – 17 semanas

Objetivo Para evitar manipulación de los equipos de

comunicaciones por personal no autorizado y garantizar

que la configuración que poseen brinde mayor seguridad y

eficiencia a las comunicaciones, se requiere que los

equipos que soportan dicho servicio, se encuentren

adecuadamente configurados.

Etapas A. Adaptación de sistemas de comunicaciones a políticas

de seguridad. (Tiempo estimado: 3-5 semanas)

- Elaboración de un inventario de equipos de

comunicaciones (routers, switches, firewalls, etc)



- Elaboración de estándares de configuración para los

equipos de comunicaciones (basarse en la política de

seguridad definida, documentación de proveedores,

etc.)

- Evaluación de equipos identificados.

- Adaptación de los equipos a la política de seguridad.

B. Adaptación a la arquitectura de red propuesta. (Tiempo

estimado: 6-8 semanas)

B.1. Creación de la Extranet: Controlar mediante un

firewall la comunicación entre la red del Banco y redes

externas como Banca Red y Reuters, para evitar

actividad no autorizada desde dichas redes hacia los

equipos de la red del Banco.

B.2. Implementar una red DMZ para evitar el ingreso

de conexiones desde Internet hacia la red interna de

datos. Adicionalmente implementar un sistema de

inspección de contenido con el propósito de monitorear

la información que es transmitida vía correo electrónico

entre el Banco e Internet.

En la red DMZ se debe ubicar un servidor de

inspección de contenido, el cual trabajaría de la

siguiente manera:

a) Ingreso de correo electrónico: El servidor de

inspección de contenido, recibirá todos los correos

enviados desde Internet, revisará su contenido y



los enviará al servidor Lotus Notes, quién los

entregará a su destinatario final.

b) Salida de correo electrónico: El Servidor Lotus

Notes enviará el correo electrónico al servidor de

inspección de contenido, quién revisará el

contenido del mensaje, para transmitirlo a través de

Internet a su destino final.

Esta nueva red DMZ puede ser empleada para ubicar

nuevos equipos que brindarán servicios a través de

Internet en el futuro tales como FTP, Web, etc.

B.3. Implementar un sistema de Antivirus para

servicios de Internet (SMTP, FTP, HTTP).

Implementar un gateway antivirus de servicios de

Internet, a través del cual pasarán las

comunicaciones establecidas entre la red interna

del Banco e Internet. (duración aproximada: 1

semana)

B.4. Implementar un sistema de Alta Disponibilidad de

firewalls en las conexiones donde fluye

información crítica y se requiera una alta

disponibilidad de las comunicaciones. (duración

aproximada: 2 semanas)

B.5. Implementar un sistema de monitoreo de Intrusos

para detectar los intentos de intrusión o ataque

desde redes externas hacia la red de datos del

Banco. Asimismo se recomienda la



implementación del sistema en la red interna del

Banco donde se ubican servidores críticos para

detectar intentos de intrusión o ataque realizados

desde la red interna del Banco hacia los

servidores. (duración aproximada: 2 semanas)

C. Proyectos complementarios (tiempo estimado 2-4

semanas)

- Evaluación de seguridad de la red inalámbrica y

aplicación de controles de ser necesarios.

- Verificación de la configuración de:

- Servidor Proxy, Surf Control

- Firewall

- Servidor de correo electrónico

7.3 Inventario de accesos a los sistemas

Dependencia Ninguna

Tiempo

estimado

9 - 12 semanas

Objetivo Con el propósito de obtener un control adecuado sobre el

acceso de los usuarios a los sistemas del Banco, se debe

realizar un inventario de todos los accesos que poseen ellos

sobre cada uno de los sistemas. Este inventario debe ser

actualizado al modificar el perfil de acceso de algún usuario

y será utilizado para realizar revisiones periódicas de los

accesos otorgados en los sistemas.

Etapas - Elaboración de un inventario de las aplicaciones y



sistemas del Banco

- Elaboración de un inventario de los perfiles de acceso

de cada sistema

- Verificación de los perfiles definidos en los sistemas

para cada usuario

- Revisión y aprobación de los accesos por parte de las

gerencias respectivas

- Depurar los perfiles accesos de los usuarios a los

sistemas.

- Mantenimiento periódico del inventario.

7.4 Adaptación de contratos con proveedores

Dependencia Ninguna

Tiempo

estimado

24 semanas (tiempo parcial)

Objetivo Con el objetivo de asegurar el cumplimiento de las políticas

de seguridad del Banco en el servicio brindado por los

proveedores, es necesario realizar una revisión de los

mismos y su grado de cumplimiento respecto a las políticas

de seguridad definidas, de ser necesario dichos contratos

deben ser modificados para el cumplimiento de la política de

seguridad del Banco.

Etapas - Elaboración de cláusulas estándar referidas a

seguridad de información, para ser incluidas en los

contratos con proveedores

- Elaboración de un inventario de los contratos existentes

con proveedores

- Revisión de los contratos y analizar el grado de



cumplimiento de la política de seguridad.

- Negociar con los proveedores para la inclusión de las

cláusulas en los contratos.

7.5 Campaña de concientización de usuarios.

Dependencia Ninguna

Tiempoestimado

5-7 semanas

Objetivo Con el objetivo de lograr un compromiso y concientizaciónde los usuarios en temas referentes a seguridad deinformación del Banco, se debe realizar una campaña deconcientización del personal la cual esté orientada a todo elpersonal como conceptos básicos de seguridad y a gruposespecíficos con temas correspondientes a susresponsabilidades en la organización.

Etapas Definición del mensaje a transmitir y material a serempleado para los distintos grupos de usuarios, entre ellos:Personal en general: información general sobre seguridad,políticas y estándares incluyendo protección de virus,contraseñas, seguridad física, sanciones, correo electrónicoy uso de Internet.Personal de Sistemas: Políticas de seguridad, estándares ycontroles específicos para la tecnología y aplicacionesutilizadas.Gerencias y jefaturas: Monitoreo de seguridad,responsabilidades de supervisión, políticas de sanción.Identificación del personal de cada departamento que seencargará de actualizar a su propio grupo en temas deseguridad.Establecimiento de un cronograma de capacitación, el cualdebe incluir, empleados nuevos, requerimientos anuales decapacitación, actualizaciones.Desarrollo el cronograma de presentaciones.- Realizar la campaña según el cronograma elaborado,asegurándose de mantener un registro actualizado de lacapacitación de cada usuario.



7.6 Verificación y adaptación de los sistemas del Banco.

Dependencia Actividad A.

Tiempo

estimado

20 – 30 semanas

bjetivo Con el objetivo de asegurar el cumplimiento de la política de

seguridad en los controles existentes, se debe verificar el

grado de cumplimiento de las políticas de seguridad en los

sistemas del Banco y adaptarlos en caso de verificar su

incumplimiento.

Etapas - Elaboración de un inventario de las aplicaciones

existentes, incluyendo los servicios brindados a clientes

como banca electrónica y banca telefónica.

- Elaboración de un resumen de los requisitos que deben

cumplir las aplicaciones según la política y estándares

de seguridad.

- Evaluación del grado de cumplimiento de la política de

seguridad para cada una de las aplicaciones existentes

y la viabilidad de su modificación para cumplir con la

política de seguridad, elaborando la relación de cambios

que deben ser realizados en cada aplicación.

- Adaptación de los sistemas a la política de seguridad

(diseño, desarrollo, pruebas, actualización de la

documentación, etc.)

- Estandarización de controles para contraseñas de los

sistemas.

- Los sistemas no requerirán modificaciones si su

adaptación no es viable.

- Pase a producción de sistemas adaptados.



7.7 Estandarización de la configuración del software base

Dependencia Ninguna

Tiempo

estimado

12 semanas

Objetivo Con el objetivo de proteger adecuadamente la información

existente en servidores y computadores personales, se debe

realizar una adecuada configuración de los parámetros de

seguridad del software base que soporta las aplicaciones

del Banco.

Etapas - Finalización el proceso de migración de computadores

personales a Windows XP o Windows 2000

Professional.

- Elaboración de un inventario de sistema operativo de

servidores y computadores personales.

- Elaboración de estándares de configuración para

Windows XP Professional, Windows 2000 Professional,

Windows NT Server, SQL Server y OS/400.

- Elaboración de un inventario de bases de datos

existentes.

- Evaluación de los de sistemas identificados.

- Adaptación del software base a la política de seguridad.

7.8 Revisión, y adaptación de procedimientos complementarios

Dependencia Actividad B.

Tiempo

estimado

8 semanas



Objetivo Adaptar los procedimientos y controles complementarios del

Banco de acuerdo a lo estipulado en las políticas de

seguridad.

Etapas - Revisión y adaptación de controles y estándares para

desarrollo de sistemas

- Elaboración de procedimientos de monitoreo,

incluyendo procedimientos para verificación periódica

de carpetas compartidas, generación de copias de

respaldo de información de usuarios, aplicación de

controles de seguridad para información en

computadores portátiles, etc.

- Elaboración de procedimientos de monitoreo y reporte

sobre la administración de los sistemas y herramientas

de seguridad, entre ellas: antivirus, servidores de

seguridad del contenido, servidor Proxy, servidor

firewall, sistema de detección de intrusos.

- Establecimiento de controles para la información

transmitida a clientes y proveedores.

- Revisión y establecimiento de controles para el

almacenamiento físico de información.

- Revisión y establecimiento de controles para personal

externo que realiza labores utilizando activos de

información del Banco para el Banco (Soporte Técnico,

Rehder, proveedores, etc.)

7.9 Cronograma tentativo de implementación

Los proyectos antes mencionados deben ser liderados por el área de seguridad informática y sus responsables deben

ser definidos individualmente para cada uno de ellos. A continuación se presenta un cronograma sugerido para la

realización de las actividades correspondientes al presente plan de implementación:

ACTIVIDAD Mes1

Mes2

Mes3

Mes4

Mes5

Mes6

Mes7

Mes8

Mes9

Mes10

Clasificación de Información

Seguridad de red y comunicaciones

Inventario de Accesos a los sistemas

Adaptación de contratos con proveedores

Campaña de concientización de usuarios.

Verificación y adaptación de los sistemas delBanco.

Estandarización de la configuración del softwarebase

Revisión y adaptación de procedimientoscomplementarios

Nota: La duración de los proyectos está sujeta a variaciones dependientes a la situación existente y el análisis realizadoprevio a cada actividad



CONCLUSIONES Y RECOMENDACIONES

Dentro de las principales conclusiones y recomendaciones más importantes

tenemos:

• Para nadie es un secreto la importancia de implementar un programa

completo de seguridad de la información. Sin embargo, crear un

programa de seguridad con componentes "bloqueadores de cookies"

rara vez produce resultados efectivos. Lo más efectivo es utilizar una

metodología comprobada que diseñe el programa de seguridad con

base en las necesidades de su empresa, recuerde cada empresa es

diferente.

• La clave para desarrollar con éxito un programa efectivo de seguridad

de la información consiste en recordar que las políticas, estándares y

procedimientos de seguridad de la información son un grupo de

documentos interrelacionados. La relación de los documentos es lo que

dificulta su desarrollo, aunque es muy poderosa cuando se pone en

práctica. Muchas organizaciones ignoran esta interrelación en un

esfuerzo por simplificar el proceso de desarrollo. Sin embargo, estas

mismas relaciones son las que permiten que las organizaciones exijan y

cumplan los requerimientos de seguridad.

• ¿Por qué las organizaciones necesitan una Política de Seguridad

de la Información?

Por lo general se argumenta que las organizaciones requieren una

Política de Seguridad de la Información para cumplir con sus

"requerimientos de seguridad de la información". Ciertamente, muchas

organizaciones no tienen requerimientos de seguridad de la información



como tal, sino que tienen necesidades empresariales que deben

desarrollar e implementar. Las empresas, especialmente las compañías

cotizadas en bolsa y las organizaciones gubernamentales, están sujetas

a las reglamentaciones operacionales de los gobiernos estatales y

locales, así como de los organismos que reglamentan la industria. En el

caso de las compañías cotizadas en bolsa, los funcionarios corporativos

deben ser diligentes en sus operaciones y tener responsabilidad

fiduciaria ante los accionistas - estas estipulaciones jurídicas requieren

efectivamente que la organización proteja la información que utiliza, a la

que tiene acceso o que crea para que la compañía opere con eficiencia

y rentabilidad. Entonces surge la necesidad de proteger la información

la necesidad no es académica, ni es creada por los "genios técnicos"

que buscan justificar su existencia en la organización.

• ¿La seguridad de la información siempre requiere inversión

adicional?

Las empresas podrían o no necesitar más recursos, esto depende del

enfoque adoptado por la organización para el desarrollo de las políticas.

Una Política de Seguridad de la Información generalmente exige que

todos en la organización protejan la información para que la empresa

pueda cumplir con sus responsabilidades reglamentarias, jurídicas y

fiduciarias. Se usa mal y con frecuencia las palabras "generalmente" y

"proteger" para justificar mayor inversión cuando no es necesaria. Esto

puede parecer contrario a la intuición, pero la inversión adicional para

proteger la información no siempre garantiza el éxito. Pero si es

recomendable tener un presupuesto asignado para cumplir con estos

fines. Para evaluar las necesidades de inversión, debe consultar estas

"reglas" en orden secuencial:



Regla Nº 1: Saber qué información tiene y donde se encuentra.

Regla Nº 2: Saber el valor de la información que se tiene y la dificultad

de volverla a crear si se daña o pierde.

Regla Nº 3: Saber quiénes están autorizados para acceder a la

información y que pueden hacer con ella.

Regla Nº 4: Saber la velocidad con que puede acceder a la información

si no está disponible por alguna razón (por pérdida, modificación no

autorizada, etc.)

Estas cuatro reglas son aparentemente simples. Sin embargo, las

respuestas permitirán el diseño e implementación de un programa de

protección a la información puesto que las respuestas pueden ser muy

difíciles. No toda la información tiene el mismo valor y por lo tanto no

requiere el mismo nivel de protección (con el costo que implica).

• Es clave entender por qué se necesita proteger la información,

desde un punto de vista comercial es clave determinar la necesidad de

tener una Política de Seguridad de la Información. Para ello, se

necesitara saber cuál es la información y en donde se encuentra para

que pueda proceder a definir los controles que se necesitan para

protegerla.

• Características principales de una Política de Seguridad de la

Información:

ü Debe estar escrita en lenguaje simple, pero jurídicamente viable

ü Debe basarse en las razones que tiene la empresa para proteger

la información

ü Debe ser consistente con las demás políticas organizacionales



ü Debe hacerse cumplir - se exige y mide el cumplimiento

ü Debe tener en cuenta los aportes hechos por las personas

afectadas por la política

ü Debe definir el papel y responsabilidades de las personas,

departamentos y organizaciones para los que aplica la política

ü No debe violar las políticas locales, estatales

ü Debe definir las consecuencias en caso de incumplimiento de la

política

ü Debe estar respaldada por documentos "palpables", como los

estándares y procedimientos para la seguridad de la información,

que se adapten a los cambios en las operaciones de las

empresas, las necesidades, los requerimientos jurídicos y los

cambios tecnológicos.

ü Debe ser aprobada y firmada por el gerente general de la

organización. No obtener este compromiso significa que el

cumplimiento de la política es opcional - situación que hará que

fracase las políticas de protección de la información.

• Redactar una política para la seguridad de la información puede ser

sencillo comparado con su implementación y viabilidad. La política

organizacional y las presiones por lo general aseguran que habrá

dificultad y consumo de tiempo para crear y adoptar una Política de

Seguridad de la Información, a menos que un "líder fuerte" dirija el

programa de políticas. Esta persona generalmente es un "político", una

persona influyente, un facilitador y sobretodo una persona que sepa



escuchar, para que pueda articular y aclarar las inquietudes y temores

de las personas respecto a la introducción de una nueva política.



ANEXOS

A. DISEÑO DE ARQUITECTURA DE SEGURIDAD DE RED

ARQUITECTURA DE SEGURIDAD DE RED

Con el propósito de incrementar la seguridad de la plataforma tecnológica del

Banco, se realizó un análisis de su actual arquitectura de red principalmente en

el control de conexiones con redes externas. Producto de dicho análisis se

diseño una nueva arquitectura de red, la cual posee controles de acceso para

las conexiones y la ubicación recomendada para los detectores de intrusos a

ser implementados por el Banco.

A continuación se muestra el diagrama con la arquitectura de red propuesta.

Fig 1: Arquitectura de red propuesta.



Para lograr implementar esta arquitectura de red, se deben realizar un conjunto

de cambios los cuales se detallan a continuación:

1. Creación de la Extranet: Controlar mediante un firewall la comunicación

entre la red del Banco y redes externas como Banca Red y Reuters,

para evitar actividad no autorizada desde dichas redes hacia los equipos

de la red del Banco.

2. Implementar una red DMZ para evitar el ingreso de conexiones desde

Internet hacia la red interna de datos. Adicionalmente implementar un

sistema de inspección de contenido con el propósito de monitorear la

información que es transmitida vía correo electrónico entre el Banco e

Internet.

En la red DMZ se debe ubicar un servidor de inspección de contenido, el

cual trabajaría de la siguiente manera:

a. Ingreso de correo electrónico: El servidor de inspección de

contenido, recibirá todos los correos enviados desde Internet,

revisará su contenido y los enviará al servidor Lotus Notes,

quién los entregará a su destinatario final.

b. Salida de correo electrónico: El Servidor Lotus Notes enviará

el correo electrónico al servidor de inspección de contenido,

quién revisará el contenido del mensaje, para transmitirlo a

través de Internet a su destino final.

Esta nueva red DMZ puede ser empleada para ubicar nuevos equipos

que brindarán servicios a través de Internet en el futuro tales como FTP,

Web, etc.

3. Para controlar el ingreso de virus informáticos desde Internet, así como

para prevenir el envío de mensajes electrónicos conteniendo virus

informático, se recomienda implementar un primer nivel de protección



antivirus mediante un sistema de inspección de servicios de Internet.

Este sistema inspeccionará la información recibida desde Internet, así

como la información enviada hacia otras entidades vía Internet Este

sistema debe inspeccionar la navegación de los usuarios (HTTP -

HyperText Transfer Protocol), la transferencia de archivos (FTP – File

Transfer Protocol) y el intercambio de corroe electrónico (SMTP –

Simple mail Transfer Protocol).

4. Luego de implementados los cambios previamente detallados, el

Firewall se torna en un punto crítico para las comunicaciones del Banco,

por lo cual se requiere implementar un sistema de Alta Disponibilidad de

Firewalls, el cual permita garantizar que el canal de comunicación

permanezca disponible en caso de falla de uno de los Firewalls.

5. Con el propósito de prevenir la realización de actividad no autorizada

desde redes externas hacia la red del Banco y desde la red interna del

Banco hacia los servidores y hacia Internet, se debe implementar un

sistema de detección de intrusos que inspeccione el tráfico que circula

por segmentos de red estratégicos tales como:

- Internet, para detectar la actividad sospechosa proveniente desde

Internet.

- Red DMZ, para detectar la actividad dirigida contra los servidores

públicos que logró atravesar el Firewall.

- Extranet, para detectar actividad realizada desde las redes externas

con las que se posee conexión.

- Puntos estratégicos de la red interna, los cuales permitan detectar la

actividad realizada contra los equipos críticos del Banco.



B. CIRCULAR N° G-105-2002 PUBLICADA POR LA SUPERINTENDENCIA

DE BANCA Y SEGUROS (SBS) SOBRE RIESGOS DE TECNOLOGÍA DE

INFORMACIÓN

Lima, 22 de febrero de 2002

CIRCULAR Nº G - 105 - 2002

-----------------------------------------------

Ref.: Riesgos de tecnología de

información

-----------------------------------------------

Señor

Gerente General

Sírvase tomar nota que, en uso de las atribuciones conferidas por el numeral 7 del

artículo 349º de la Ley General del Sistema Financiero y del Sistema de Seguros y

Orgánica de la Superintendencia de Banca y Seguros - Ley Nº 26702 y sus

modificatorias, en adelante Ley General, y por la Resolución SBS N° 1028-2001

del 27 de diciembre de 2001, con la finalidad de establecer criterios mínimos para

la identificación y administración de los riesgos asociados a la tecnología de

información, a que se refiere el artículo 10º del Reglamento para la Administración

de los Riesgos de Operación, aprobado mediante la Resolución SBS Nº 006-2002

del 4 de enero de 2002, esta Superintendencia ha considerado conveniente

establecer las siguientes disposiciones:

Alcance

Artículo 1º.- Las disposiciones de la presente norma son aplicables a las empresas

señaladas en los artículos 16° y 17° de la Ley General, al Banco Agropecuario, a



la Corporación Financiera de Desarrollo S.A. (COFIDE), al Banco de la Nación, a

la Fundación Fondo de Garantía para Préstamos a la Pequeña Industria (FOGAPI)

y a las derramas y cajas de beneficios que se encuentren bajo la supervisión de

esta Superintendencia, en adelante empresas.

Definiciones

Artículo 2º .- Para efectos de la presente norma, serán de aplicación las siguientes

definiciones:

a. Información: Cualquier forma de registro electrónico, óptico, magnético o en

otros medios similares, susceptible de ser procesada, distribuida y

almacenada.

b. Ley General: Ley N° 26702, Ley General del Sistema Financiero y del

Sistema de Seguros y Orgánica de la Superintendencia de Banca y

Seguros.

c. Proceso crítico: Proceso considerado indispensable para la continuidad de

las operaciones y servicios de la empresa, y cuya falta o ejecución

deficiente puede tener un impacto financiero significativo para la empresa.

d. Reglamento: Reglamento para la Administración de los Riesgos de

Operación aprobado por Resolución SBS N° 006-2002 del 4 de enero de

2002.

e. Riesgos de operación: Entiéndase por riesgos de operación a la posibilidad

de ocurrencia de pérdidas financieras por deficiencias o fallas en los

procesos internos, en la tecnología de información, en las personas o por

ocurrencia de eventos externos adversos.

f. Riesgos de tecnología de información: Los riesgos de operación asociados

a los sistemas informáticos y a la tecnología relacionada a dichos sistemas,



que pueden afectar el desarrollo de las operaciones y servicios que realiza

la empresa al atentar contra la confidencialidad, integridad y disponibilidad

de la información, entre otros criterios.

g. Seguridad de la información: Característica de la información que se logra

mediante la adecuada combinación de políticas, procedimientos, estructura

organizacional y herramientas informáticas especializadas a efectos que

dicha información cumpla los criterios de confidencialidad, integridad y

disponibilidad.

h. Objetivo de control: Una declaración del propósito o resultado deseado

mediante la implementación de controles apropiados en una actividad de

tecnología de información particular.

Responsabilidad de la empresa

Artículo 3°.- Las empresas deben establecer e implementar las políticas y

procedimientos necesarios para administrar de manera adecuada y prudente los

riesgos de tecnología de información, incidiendo en los procesos críticos

asociados a dicho riesgo, considerando las disposiciones contenidas en la

presente norma, en el Reglamento, y en el Reglamento del Sistema de Control

Interno aprobado mediante la Resolución SBS Nº 1040-99 del 26 de noviembre de

1999.

La administración de dicho riesgo debe permitir el adecuado cumplimiento de los

siguientes criterios de control interno:

i. Eficacia. La información debe ser relevante y pertinente para los objetivos

de negocio y ser entregada en una forma adecuada y oportuna conforme

las necesidades de los diferentes niveles de decisión y operación de la

empresa.



ii. Eficiencia. La información debe ser producida y entregada de forma

productiva y económica.

iii. Confidencialidad. La información debe ser accesible sólo a aquellos que

se encuentren debidamente autorizados.

iv. Integridad. La información debe ser completa, exacta y válida.

v. Disponibilidad. La información debe estar disponible en forma organizada

para los usuarios autorizados cuando sea requerida.

vi. Cumplimiento normativo. La información debe cumplir con los criterios y

estándares internos de la empresa, las regulaciones definidas externamente

por el marco legal aplicable y las correspondientes entidades reguladoras,

así como los contenidos de los contratos pertinentes.

Estructura organizacional y procedimientos

Artículo 4°.- Las empresas deben definir y mantener una estructura organizacional

y procedimientos que les permita administrar adecuadamente los riesgos

asociados a la tecnología de información, consistente con su tamaño y naturaleza,

así como con la complejidad de las operaciones que realizan.

Administración de la seguridad de información

Artículo 5º.- Las empresas deberán establecer, mantener y documentar un sistema

de administración de la seguridad de la información, en adelante "Plan de

Seguridad de la información - (PSI)". El PSI debe incluir los activos de tecnología

que deben ser protegidos, la metodología usada, los objetivos de control y

controles, así como el grado de seguridad requerido.

Las actividades mínimas que deben desarrollarse para implementar el PSI, son las

siguientes:



a. Definición de una política de seguridad.

b. Evaluación de riesgos de seguridad a los que está expuesta la información

c. Selección de controles y objetivos de control para reducir, eliminar o evitar

los riesgos identificados, indicando las razones de su inclusión o exclusión.

d. Plan de implementación de los controles y procedimientos de revisión

periódicos.

e. Mantenimiento de registros adecuados que permitan verificar el

cumplimiento de las normas, estándares, políticas, procedimientos y otros

definidos por la empresa, así como mantener pistas adecuadas de

auditoria.

Las empresas bancarias y las empresas de operaciones múltiples que accedan al

módulo 3 de operaciones a que se refiere el artículo 290º de la Ley General

deberán contar con una función de seguridad a dedicación exclusiva.

Subcontratación (outsourcing)

Artículo 6º.- La empresa es responsable y debe verificar que se mantengan las

características de seguridad de la información contempladas en la presente

norma, incluso cuando ciertas funciones o procesos críticos puedan ser objeto de

una subcontratación. Para ello se tendrá en cuenta lo dispuesto en la Primera

Disposición Final y Transitoria del Reglamento. Asimismo, la empresa debe

asegurarse y verificar que el proveedor del servicio sea capaz de aislar el

procesamiento y la información objeto de la subcontratación, en todo momento y

bajo cualquier circunstancia.

En caso que las empresas deseen realizar su procesamiento principal en el

exterior, requerirán de la autorización previa y expresa de esta Superintendencia.



Las empresas que a la fecha de vigencia de la presente norma se encontrasen en

la situación antes señalada, deberán solicitar la autorización correspondiente. Para

la evaluación de estas autorizaciones, las empresas deberán presentar

documentación que sustente lo siguiente:

a) La forma en que la empresa asegurará el cumplimiento de la presente

circular y la Primera Disposición Final y Transitoria del Reglamento.

b) La empresa, así como los representantes de quienes brindarán el servicio

de procesamiento en el exterior, deberán asegurar adecuado acceso a la

información con fines de supervisión, en tiempos razonables y a solo

requerimiento.

Aspectos de la seguridad de información

Artículo 7°.- Para la administración de la seguridad de la información, las

empresas deberán tomar en consideración los siguientes aspectos:

7.1 Seguridad lógica

Las empresas deben definir una política para el control de accesos, que incluya los

criterios para la concesión y administración de los accesos a los sistemas de

información, redes y sistemas operativos, así como los derechos y atributos que se

confieren.

Entre otros aspectos, debe contemplarse lo siguiente:

a) Procedimientos formales para la concesión, administración de derechos y

perfiles, así como la revocación de usuarios. Revisiones periódicas deben

efectuarse sobre los derechos concedidos a los usuarios.

b) Los usuarios deben contar con una identificación para su uso personal, de

tal manera que las posibles responsabilidades puedan ser seguidas e

identificadas.

c) Controles especiales sobre utilidades del sistema y herramientas de

auditoria.



d) Seguimiento sobre el acceso y uso de los sistemas y otras instalaciones

físicas, para detectar actividades no autorizadas.

e) Usuarios remotos y computación móvil.

7.2 Seguridad de personal

Las empresas deben definir procedimientos para reducir los riesgos asociados al

error humano , robo, fraude o mal uso de activos, vinculados al riesgo de

tecnología de información. Al establecer estos procedimientos, deberá tomarse en

consideración, entre otros aspectos, la definición de roles y responsabilidades

establecidos sobre la seguridad de información, verificación de antecedentes,

políticas de rotación y vacaciones, y entrenamiento.

7.3 Seguridad física y ambiental

Las empresas deben definir controles físicos al acceso, daño o interceptación de

información. El alcance incluirá las instalaciones físicas, áreas de trabajo,

equipamiento, cableado, entre otros bienes físicos susceptibles a riesgos de

seguridad.

Se definirán medidas adicionales para las áreas de trabajo con necesidades

especiales de seguridad, como los centros de procesamiento, entre otras zonas en

que se maneje información que requiera de alto nivel de protección.

7.4 Clasificación de seguridad

Las empresas deben realizar un inventario periódico de activos asociados a la

tecnología de información que tenga por objetivo proveer la base para una

posterior clasificación de seguridad de dichos activos. Esta clasificación debe

indicar el nivel de riesgo existente para la empresa en caso de falla sobre la

seguridad, así como las medidas apropiadas de control que deben asociarse a las

clasificaciones.



Administración de las operaciones y comunicaciones

Artículo 8º.- Las empresas deben establecer medidas de administración de las

operaciones y comunicaciones que entre otros aspectos contendrán lo siguiente:

- Control sobre los cambios en el ambiente operativo, que incluye cambios en

los sistemas de información, las instalaciones de procesamiento y los

procedimientos.

- Control sobre los cambios del ambiente de desarrollo al de producción.

- Separación de funciones para reducir el riesgo de error o fraude.

- Separación del ambiente de producción y el de desarrollo.

- Controles preventivos y de detección sobre el uso de software de

procedencia dudosa, virus y otros similares.

- Seguridad sobre las redes, medios de almacenamiento y documentación de

sistemas.

- Seguridad sobre correo electrónico.

- Seguridad sobre banca electrónica.

Desarrollo y mantenimiento de sistemas informáticos - Requerimientos de

seguridad

Artículo 9º.- Para la administración de la seguridad en el desarrollo y

mantenimiento de sistemas informáticos, se debe tomar en cuenta, entre otros, los

siguientes criterios:

a) Incluir en el análisis de requerimientos para nuevos sistemas o mejoras a

los sistemas actuales, controles sobre el ingreso de información, el

procesamiento y la información de salida.

b) Aplicar técnicas de encriptación sobre la información crítica que debe ser

protegida.

c) Definir controles sobre la implementación de aplicaciones antes del ingreso

a producción.

d) Controlar el acceso a las librerías de programas fuente.



e) Mantener un estricto y formal control de cambios, que será debidamente

apoyado por sistemas informáticos en el caso de ambientes complejos o

con alto número de cambios.

Procedimientos de respaldo

Artículo 10º.- Las empresas deben establecer procedimientos de respaldo

regulares y periódicamente validados. Estos procedimientos deben incluir las

medidas necesarias para asegurar que la información esencial pueda ser

recuperada en caso de falla en los medios o luego de un desastre. Estas medidas

serán coherentes con lo requerido en el Plan de Continuidad.

La empresa debe conservar la información de respaldo y los procedimientos de

restauración en una ubicación remota, a suficiente distancia para no verse

comprometida ante un daño en el centro principal de procesamiento.

Planeamiento para la continuidad de negocios

Artículo 11º.- Las empresas, bajo responsabilidad de la Gerencia y el Directorio,

deben desarrollar y mantener un "Plan de Continuidad de Negocios" (PCN), que

tendrá como objetivo asegurar un nivel aceptable de operatividad de los procesos

críticos, ante fallas mayores internas o externas.

Criterios para el diseño e implementación del Plan de Continuidad de

Negocios

Artículo 12º.- Para el desarrollo del PCN se debe realizar previamente una

evaluación de riesgos asociados a la seguridad de la información. Culminada la

evaluación, se desarrollarán sub-planes específicos para mantener o recuperar los

procesos críticos de negocios ante fallas en sus activos, causadas por eventos

internos (virus, errores no esperados en la implementación, otros), o externos (falla

en las comunicaciones o energía, incendio, terremoto, proveedores, otros).



Prueba del Plan de Continuidad de Negocios

Artículo 13º.- La prueba del PCN es una herramienta de la dirección para controlar

los riesgos sobre la continuidad de operación y sobre la disponibilidad de la

información, por lo que la secuencia, frecuencia y profundidad de la prueba del

PCN, deberá responder a la evaluación formal y prudente que sobre dicho riesgo

realice cada empresa.

En todos los casos, mediante una única prueba o una secuencia de ellas, según lo

considere adecuado cada empresa de acuerdo a su evaluación de riesgos, los

principales aspectos del PCN deberán ser probados cuando menos cada dos

años.

Anualmente, dentro del primer mes del ejercicio, se enviará a la Superintendencia

el programa de pruebas correspondiente, en que se indicará las actividades a

realizar durante el ciclo de 2 años y una descripción de los objetivos a alcanzar en

el año que se inicia.

Cumplimiento formativo

Artículo 14º.- La empresa deberá asegurar que los requerimientos legales,

contractuales, o de regulación sean cumplidos, y cuando corresponda,

incorporados en la lógica interna de las aplicaciones informáticas.

Privacidad de la información

Artículo 15º .- Las empresas deben adoptar medidas que aseguren

razonablemente la privacidad de la información que reciben de sus clientes y

usuarios de servicios, conforme la normatividad vigente sobre la materia.

Auditoria Interna y Externa

Artículo 16º.- La Unidad de Auditoria Interna deberá incorporar en su Plan Anual

de Trabajo la evaluación del cumplimiento de lo dispuesto en la presente norma.

Asimismo, las Sociedades de Auditoria Externa deberán incluir en su informe



sobre el sistema de control interno comentarios dirigidos a indicar si la entidad

cuenta con políticas y procedimientos para la administración de los riesgos de

tecnología de información, considerando asimismo, el cumplimiento de lo

dispuesto en la presente norma.

Auditoria de sistemas

Artículo 17º.- Las empresas bancarias y aquellas empresas autorizadas a operar

en el Módulo 3 conforme lo señalado en el artículo 290° de la Ley General,

deberán contar con un servicio permanente de auditoria de sistemas, que

colaborará con la Auditoria interna en la verificación del cumplimiento de los

criterios de control interno para las tecnologías de información, así como en el

desarrollo del Plan de Auditoria.

El citado servicio de auditoria de sistemas tomará en cuenta, cuando parte del

procesamiento u otras funciones sean realizadas por terceros, que es necesario

conducir su revisión con los mismos estándares exigidos a la empresa, por lo que

tomará en cuenta las disposiciones indicadas en la Primera Disposición Final y

Transitoria del Reglamento.

Las empresas autorizadas para operar en otros módulos, para la verificación del

cumplimiento antes señalado, deberán asegurar una combinación apropiada de

auditoria interna y/o externa, compatible con el nivel de complejidad y perfil de

riesgo de la empresa. La Superintendencia dispondrá un tratamiento similar a las

empresas pertenecientes al módulo 3, cuando a su criterio la complejidad de sus

sistemas informáticos y su perfil de riesgo así lo amerite.

Información a la Superintendencia

Artículo 18°.- El informe anual que las empresas deben presentar a la

Superintendencia, según lo dispuesto en el Artículo 13° del Reglamento, deberá



incluir los riesgos de operación asociados a la tecnología de información, como

parte integral de dicha evaluación, para lo cual se sujetará a lo dispuesto en dicho

Reglamento y a lo establecido en la presente norma.

Sanciones

Artículo 19°.- En caso de incumplimiento de las disposiciones contenidas en la

presente norma, la Superintendencia aplicará las sanciones correspondientes de

conformidad con lo establecido en el Reglamento de Sanciones.

Plan de adecuación

Artículo 20°.- En el Plan de Adecuación señalado en el segundo párrafo de la

Cuarta Disposición Final y Transitoria del Reglamento, las empresas deberán

incluir un sub-plan para la adecuación a las disposiciones contenidas en la

presente norma.

Plazo de adecuación

Artículo 21°.- Las empresas contarán con un plazo de adecuación a las

disposiciones de la presente norma que vence el 30 de junio de 2003

Atentamente,

SOCORRO HEYSEN ZEGARRA

Superintendente de Banca y Seguros (e)



C. DETALLE: DIAGNOSTICO DE LA SITUACION ACTUAL DE LA

ADMINISTRACIÓN DE LOS RIESGOS DE TECNOLOGIA DE LA

INFORMACION

La siguiente matriz muestra puntos específicos de la situación actual en cuanto

a la administración de seguridad y los compara contra los requerimientos de la

Circular G-105-2002 de la Superintendencia, contempla los siguientes

aspectos:

1. Estructura de la organización de seguridad de la información

1.1 Roles y responsabilidades

2. Plan de seguridad de la información

2.1 Políticas, estándares y procedimientos de seguridad

2.2 Seguridad lógica

2.3 Seguridad de personal

2.4 Seguridad física y ambiental

2.5 Clasificación de seguridad

3. Administración de las operaciones y comunicaciones.

4. Desarrollo y mantenimiento de sistemas informáticos.

5. Procedimientos de respaldo.

6. Subcontratación (Relación y status de los contratos con terceros en

temas críticos)

7. Cumplimiento normativo

8. Privacidad de la información

9. Auditoria interna y externa

El detalle de la evaluación de las áreas mencionadas se muestra en una matriz

cuyo contenido es el siguiente:



- Situación Actual: Muestra un resumen de la situación encontrada en el

Banco a partir de la información relevada durante las entrevistas y de los

documentos entregados.

- Mejores Practicas: Muestra un resumen de las mejores prácticas en el

sector y los requerimientos mencionadas en la Circular G105-2002 de la

SBS uno de los motivos del presente trabajo.

- Análisis de Brecha: Muestra de manera gráfica la brecha existente entre la

situación actual y los requerimientos de la SBS y las mejores prácticas del

sector.

Situación Actual SBS, Mejores Prácticas

Análisis

De

Brecha

1 ESTRUCTURA ORGANIZACIONAL PARA LA ADMINISTRACIÓN DE RIESGOS DE TECNOLOGÍA DE INFORMACIÓN

1. El Banco cuenta con las siguientes unidades:

División de Riesgo: Órgano dependiente de la

Gerencia General, encargado de medir y controlar

la calidad y capacidad de endeudamiento de los

clientes, con el objeto de mantener adecuados

niveles de riesgo crediticio, tanto para aquellos

que se encuentren en evaluación, como aquellos

que ya han sido utilizados y se encuentran en

pleno proceso de cumplimiento de reembolsos.

Asimismo, los riesgos denominados

genéricamente Riesgos de Mercado. Cuenta con

un departamento de Riesgos Operativos y

Tecnológicos a cargo de la Srta. Patricia

Pacheco.

Area de Seguridad: Órgano encargado de velar

por la seguridad de las instalaciones del Banco,

así como del personal y Clientes que se

Se debería contemplar los


- Definición y mantenimiento de

una estructura organizacional

que permita administrar

adecuadamente los riesgos

asociados a la tecnología de

información.

- La unidad de riesgo deberá

contar con un responsable de

la administración del riesgo de

TI.

- La responsabilidad de la

seguridad de la Información

debería ser ejercida de forma

exclusiva.

- El Departamento de Riesgos

Operativos y Tecnológicos




Análisis

De

Brecha

encuentran y transitan en ellas.

Area de Seguridad Informática : Enfocada a los

aspectos de accesos a los aplicativos y sistemas.

Área que originalmente formo parte de Soporte

Técnico (Agosto 2001). No considera en sus

funciones las referentes a seguridad de la

plataforma y de la información.

Auditoria de Sistemas: Entre otras, sus

funciones son las de:

- Efectuar evaluaciones periódicas de la

capacidad y apropiada utilización de los

recursos de cómputo.

- Verificar el cumplimiento de las normas y

procedimientos referidos a las Áreas de

Desarrollo de Sistemas y Soporte

Tecnológico, participando junto con estas

instancias y los usuarios directos durante el

ciclo de desarrollo de sistemas para la

implantación de adecuados controles internos

y pistas de auditoria, incluyendo su posterior

evaluación y seguimiento.

Se ha observado que la documentación existente

con respecto a las distintas áreas se encuentra

desactualizada.

No existe dentro de la estructura roles

equivalentes al de Oficial de Seguridad.

debería contar con una

estructura acorde con los

riesgos de tecnología

evaluados para Banco y definir

indicadores que ayuden a

monitorear los mismos.

- El Departamento de Riesgos

Operativos y Tecnológicos

debería definir los

mencionados indicadores en

conjunto con el área de

sistemas del Banco.

2 PLAN DE SEGURIDAD DE LA INFORMACIÓN




Análisis

De

Brecha

2 El Banco no cuenta con un plan de Seguridad de

la Información formalmente documentado que

guíe las distintas normas con que cuenta el

Banco referentes a los riesgos y seguridad de la

Tecnología de Información.

Se deberían contemplar los


- Definición de una política de

seguridad.

- Evaluación de riesgos de

seguridad a los que está

expuesta la información.

- Inventario de riesgos de

seguridad de la información.

- Selección de controles y

objetivos de control para

reducir, eliminar y evitar los

riesgos identificados, indicando

las razones de su inclusión o

exclusión

- Plan de implementación de los

controles y procedimientos de

revisión periódicos.

- Mantenimiento de registros

adecuados que permitan

verificar el cumplimiento de las

normas, estándares, políticas,

procedimientos y otros

definidos por la empresa, así

como mantener pistas de

auditoria.

2.1 POLÍTICAS, ESTÁNDARES Y PROCEDIMIENTOS DE SEGURIDAD

2.1 El Banco no cuenta con políticas de seguridad

formalmente documentadas que indiquen los

procedimientos de seguridad a ser adoptados

La definición de una política de

seguridad debería contemplar:

- Declaración escrita de la




Análisis

De

Brecha

para salvaguardar la información de posibles

pérdidas en la integridad, disponibilidad y

confidencialidad.

Sin embargo, se ha observado la existencia de

controles específicos en distintos aspectos de la

seguridad de la Información, que detallamos a

continuación.

política.

- Definición de la propiedad de la

Política.

- Políticas debidamente

comunicadas.

- Autoridad definida para realizar

cambios en la Política.

- Aprobación por el área legal.

- Alineamiento de la política con

la organización.

- Definición de responsabilidades

de la seguridad.

- Confirmación de usuarios de

conocimiento de la política.

2.2 SEGURIDAD LÓGICA

2.2 Hemos observado la existencia, entre otros

aspectos, de:

- Procedimientos definidos en el área de

sistemas para la concesión y administración

de perfiles y accesos a usuarios, incluyendo

la revocación y revisiones periódicas de los

mismos.

- Accesos a los sistemas de información del

Banco controlados al nivel de red de datos y

aplicación, para lo cual cada usuario cuenta

con IDs y contraseñas de uso estrictamente

personal y de responsabilidad de los

usuarios.

- Controles de acceso a herramientas de

La Seguridad Lógica debería

contemplar los siguientes aspectos:

- Definición de procedimientos

formales para la administración

de perfiles y usuarios.

- Identificación única de

usuarios.

- Controles sobre el uso de

herramientas de auditoria y

utilidades sensibles del

sistema.

- Controles sobre el acceso y

uso de los sistemas y otras

instalaciones físicas.




Análisis

De

Brecha

auditoria en los sistemas de información.

- Controles de acceso parciales a utilidades

sensibles del sistema.

- Generación parcial de pistas de auditoria en

los sistemas de información.

Hemos observado que no cuenta con:

- Controles de acceso a utilidades sensibles

del sistema sobre estaciones de trabajo

Win98/95.

- Habilitación de opciones de auditoria en los

sistemas operativos de red.

- Procedimientos de revisión de pistas de

auditoria que contemplen no solo los registros

del computador central.

- Controles sobre usuarios

remotos y computación móvil.

- Administración restringida de

los equipos de acceso remoto y

configuración de seguridad del

mismo.

2.3 SEGURIDAD DE PERSONAL

Hemos observado que el Banco se encuentra en

un proceso de normalización llevado a cabo por el

área de RRHH y la de OyM el cual incluye entre

otros aspectos:

- Formalización de normas y procedimientos de

las distintas áreas del Banco.

- Identificación de información relevante a

entregar a los nuevos trabajadores por área

de trabajo.

- Normalización de entrega de dicha

información a los actuales trabajadores

incluyendo documento de confirmación de

conocimiento.

Se debería considerar:

- Procedimientos de revisión de

datos en el proceso de

selección de personal previo a

su contratación (Ex.

Referencias de carácter,

verificación de estudios,

revisión de crédito –si aplica- y

revisión independiente de

identidad)

- Entrega formal de las políticas

de manejo de información

confidencial a los nuevos




Análisis

De

Brecha

Adicionalmente hemos observado que RRHH

considera dentro del proceso de evaluación de

personal nuevo, la verificación de distintos

aspectos de personales a modo de preselección o

filtro de personal idóneo para el Banco.

integrantes del Banco.

- Definición apropiada de

responsabilidad sobre la

seguridad es parte de los

términos y condiciones de la

aceptación del empleo (ex.

Términos en el contrato).

- Difusión de las políticas con

respecto al monitoreo de

actividades en la red y

sistemas de información, antes

entregar IDs a usuarios.

2.4 SEGURIDAD FÍSICA Y AMBIENTAL

Hemos observado la existencia, entre otros

aspectos, de:

- Controles de acceso adecuados a sus activos

físicos e instalaciones

- Normas de control de acceso físico a áreas

sensibles establecidos y en proceso de

mejora en el caso de la oficina principal.

- Monitoreo constante de las instalaciones del

Banco.

- Controles ambientales así como medidas

preventivas y correctivas ante incendios.

- Existen procedimientos definidos para el

deshecho de papeles de trabajo.

- Las copias de respaldo son almacenadas de

manera segura.

- Generadores de respaldo y UPS para red de

Se debería considerar los


Áreas seguras

Procedimientos de reubicación de

empleados

- Controles de áreas de carga y

descarga.

- Controles físicos de entrada.

- Seguridad del perímetro físico

de las instalaciones.

- Procedimientos de Remoción o

reubicación de activos.

- Aseguramiento de oficinas,

áreas de trabajo y facilidades.




Análisis

De

Brecha

datos .

Sin embargo encontramos deficiencias en los


- Las medidas de seguridad existentes no se

extienden a la Información como activo de

valor del Banco y no existen normas

adecuadas con respecto al resguardo de la

misma cuando se trata de activos físicos

(equipos o elementos de almacenamiento de

información, documentos impresos, etc.).

- No existe un programa de concientización

para el usuario con respecto al cuidado

necesario para con la información.

- No existe una norma en uso sobre “mesas y

pantallas limpias”.

El programa de mantenimiento preventivo de los

equipos del Banco se encuentra incompleto al

considerar únicamente al computador central.

Seguridad de Equipos

Aseguramiento de Cableado

- Acciones y planes de

mantenimiento de equipos

Protección de equipos

Normas de seguridad para laptops.

- Fuentes de poder redundantes.

- Procedimientos de eliminación

o uso reiterado seguro de

equipos de manera segura

Controles generales

- Política de “mesa limpia”

- Política de “pantallas limpias”

2.5 CLASIFICACIÓN DE SEGURIDAD

El Banco cuenta con inventarios de software,

licencias y hardware razonablemente

actualizados

Sin embargo carece de inventarios de

información, servicios y proveedores así como de

una clasificación de los elementos mencionados

con respecto a su nivel de riesgo dentro del

Banco.

Se debería considerar los


- Un catálogo de todos los

activos físicos de la

organización, indicando tipo de

activo, ubicación física,

responsable y nivel de

criticidad.

- Un catálogo de todos los

activos de software tales como




Análisis

De

Brecha

herramientas de desarrollo,

aplicaciones, etc. Debe indicar

entre otros, vendedor,

ubicación lógica y física,

responsable, nivel de criticidad,

clasificación de la información,

etc.

- Un catálogo o descripción de

alto nivel de todos los activos

de información mas

importantes de la organización.

Debe indicar información como

tipo de data, ubicación lógica o

física, responsable o dueño de

la información, clasificación de

la información y nivel de

criticidad.

- Un listado de todos los

servicios tales como

comunicaciones, cómputo,

servicios generales, etc. y

documentar la información

relativa a los proveedores del

servicio. Debería incluir entre

otros, persona de contacto con

el proveedor, procedimientos

de servicios de emergencia,

criticidad y unidades de

negocio afectadas por el

servicio.

- Clasificación de los sistemas

de información y/o grupos de




Análisis

De

Brecha

data según su criticidad y sus

características de

confidencialidad, integridad y

disponibilidad.

- Asignación de la

responsabilidad de clasificación

- Procedimientos de

mantenimiento de la

clasificación

3 ADMINISTRACIÓN DE OPERACIONES Y COMUNICACIONES

El Banco cuenta con:

Procedimientos y responsabilidades de

operación.

- Documentación no formalizada relativa a los

procedimientos de operaciones en los

sistemas de información

- Procesos de revisión y reporte de

conformidad de dichas operaciones.

Controles establecidos relativos a cambios en

los sistemas de información.

Control en cambios operacionales.

- Adecuada separación de las facilidades de

los ambientes de producción y las de

desarrollo.

- Un Sistema a través del cual se administran

las actividades de:

- Cambios a los programas;

- Pase a producción; y

Se deberían considerar los


Procedimientos y

responsabilidades de operación.

- Documentación formal de todos

los procedimientos de

operación así como

procedimientos y niveles de

autorización definidos para su

mantenimiento.

- Programación de trabajos o

procesos debe ser

correctamente documentada,

así como el resultado de dichas

ejecuciones.

Administración de facilidades

externas.

- Todo procesos realizado en o

por un tercero, debe ser




Análisis

De

Brecha

- Administración de versiones

- Adecuada segregación de funciones en

labores de pase a producción de sistemas.

- Limitación de operadores a través de menús

de acceso.

Protección contra software malicioso.

- Controles de protección contra virus y

software malicioso y procedimientos de

revisión periódica del cumplimiento o

efectividad de dichos controles, tanto por

parte del área de sistemas como por parte del

auditor de sistemas.

Segregación de funciones

- Todas las funciones mencionadas se

mantienen independientes. Sin embargo,

cabe mencionar que el actual Auditor de

Sistemas del Banco perteneció al equipo de

soporte del área de sistemas y mantiene

acceso a datos de producción y desarrollo.

Posee acceso también a la línea de

comandos de ambos entornos.

- Asimismo, eventualmente usuarios finales

tienen acceso a la línea de comandos;

restringida a tareas puntuales. No existe

control formal sobre estas actividades.

Operaciones de verificación

evaluado con respecto a los

riesgos y seguridad para

desarrollar procedimientos que

mitiguen dichos riesgos.

Control en cambios

operacionales.

- Todo cambio en la red de

datos, incluyendo software,

dispositivos, cableado o

equipos de comunicación debe

seguir procedimientos formales

definidos y adecuadamente

registrados.

- Roles y responsabilidades

deben ser claramente definidos

y las funciones adecuadamente

segregadas.

- Los cambios deben ser

adecuadamente aprobados.

- Los resultados de todo cambio

deben ser correctamente

documentados. Roles y

responsabilidades en las

actividades de pase a

producción correctamente

definidos y segregados.

- Adecuada separación de

ambientes de producción y

desarrollo.

- Estándar de administración de




Análisis

De

Brecha

- Procedimientos de generación y

almacenamiento de copias de contingencia

definidos.

- Se usan formatos de reporte de las

actividades de operación y generación de

copias de respaldo.

Administración de Red

- Se cuenta con un sistema Proxy y un filtro de

paquetes como elementos de protección de

red. No se cuenta con una DMZ ni con una

arquitectura de seguridad red apropiada con

respecto a la Internet.

Manipulación y seguridad de dispositivos de

almacenamiento de información.

- Las copias de respaldo se encuentran en una

localidad distinta y son aseguradas por un

tercero.

- No existen políticas con respecto al manejo

de otros dispositivos de almacenamiento de

información en el área de sistemas.

Intercambio de información y seguridad

- Controles y restricciones establecidas, no

documentadas ni formalizados, respecto al

uso del correo electrónico.

cambios definido, incluyendo

cambios de emergencia.

- Control de accesos a escritura

sobre sistemas en producción.

Administración de incidentes de

seguridad.

- Definición de procedimientos y

equipos de respuesta ante

incidentes de seguridad.

Segregación de funciones.

- Las actividades de desarrollo,

migración y operación de

sistemas, así como las de

administración de aplicaciones,

helpdesk, administración de red

y de IT deben ser

correctamente segregadas.

Planeamiento de sistemas.

- Procedimientos formales

definidos de planeamiento de

recursos.

Protección contra software

malicioso.

- Controles preventivos y

detección sobre el uso de

software de procedencia

dudosa, virus, etc.).




Análisis

De

Brecha

Operaciones de verificación

- Adecuado registro de fallas.

- Adecuados procedimientos de

generación de copias de

respaldo.

- Registros adecuados de todas

las actividades de operación.

Administración de Red

- Adecuados controles de

operación de red

implementados.

- Protección de la red y

comunicaciones usando

dispositivos de control de

accesos, procedimientos y

sistemas de monitoreo de red

(Detección de intrusos) y

procedimientos de reporte.

Manipulación y seguridad de

dispositivos de almacenamiento

de información.

- Aseguramiento sobre medios

de almacenamiento y

documentación de sistemas.

Intercambio de información

(Correo electrónico y otros) y

seguridad




Análisis

De

Brecha

- Controles de seguridad en el

Correo electrónico y cualquier

otro medio de transferencia de

información (Ex. Normas,

filtros, sistemas de protección

contra virus, etc.).

- Seguridad en la Banca

Electrónica.

4 DESARROLLO Y MANTENIMIENTO

El Banco cuenta con:

- Metodología de Desarrollo y Mantenimiento

de Aplicaciones que especifica las siguientes

actividades como tareas dentro de un

proyecto:

§ Definiciones

§ Perfil

§ Definiciones funcionales

§ Especificaciones funcionales

§ Diagrama de procesos

§ Prototipo

§ Plan de Trabajo

§ Definiciones técnicas

§ Diagrama de Contexto

§ Diagrama de flujo de datos

§ Modelo de datos

§ Cartilla técnica

§ Cartilla de operador

§ Cartilla de usuario

§ Pruebas y capacitación

§ Acta de conformidad de pruebas

Se debería considerar lo siguiente:

- Contar con metodologías y

estándares formales de

desarrollo y mantenimiento de

sistemas.

- Los requerimientos deben ser

definidos antes de la fase de

diseño y se debe determinar un

apropiado ambiente de control

para la aplicación, estos

requerimientos deben incluir:

§ Control de acceso

§ Autorización

§ Criticidad del

sistema

§ Clasificación de la

información

§ Disponibilidad del

sistema

§ Integridad y

confidencialidad de




Análisis

De

Brecha

§ Pase a producción

- Las aplicaciones cuentan con controles de

edición y cuando se requiere de controles en

totales, cuadres, etc. Estos son generalmente

definidos en las etapas de definición del

proyecto por los responsables de las áreas

usuarias y se deja documentado dichos

requerimientos de control.

- Procesos en lote ("batch") mantienen

actividades iniciales que validan la

información a procesar. Asimismo, para el

caso específico de Lotes Contables, se valida

la información inicial a procesar durante el

día, para evitar se retrase el procesamiento

por dicha actividad.

- Rutinas de consistencia de información que

se remite a otras entidades como COFIDE y

SBS, realizadas a través de un sistema

llamado SUCAVE.

- Librerías de rutinas ya estandarizadas y

revisadas para controles de fechas, campos

numéricos y cadenas de caracteres, totales

numéricos, cálculo de intereses, entre otros.

Sin embargo, cabe señalar que en algunos

casos estas rutinas se mantienen

independientes en cada programa y no en

una librería de rutinas que invoca todo

programa que lo necesite.

- Técnicas de encriptación para intercambio de

información con Unibanca, con la Cámara de

Compensación Electrónica y SUNAD

la información.

- Todas las aplicaciones deberán

tener rutinas de validación de

data.

- Toda la data debe ser revisada

periódicamente, a fin de

detectar inexactitud, cambios

no autorizados e integridad de

la información.

- Se deben definir controles para

prevenir que la data se vea

afectada por un mal

procesamiento.

- Se deben definir controles que

permitan revisar toda

información obtenida por un

sistema de información,

asegurando que sea completa,

correcta y solo disponible para

personal autorizado.

- Uso de técnicas de

encriptación estándar.

- Controles para el acceso a las

librerías de programa fuentes.

- Mantener un estricto y formal

control de cambios, que sea

debidamente apoyado por

sistemas informáticos en el

caso de ambientes complejos o

con alto número de cambios.




Análisis

De

Brecha

- Entornos independientes de desarrollo y

producción.

- La metodología de desarrollo y

mantenimiento de aplicaciones indica la

necesidad de una actividad de prueba de los

cambios y/o nuevos requerimientos; sin

embargo, no existe procedimientos

específicos definidos para la documentación

de las pruebas realizadas ni para la

conformidad de las mismas.

Cabe señalar que se mantiene versiones de los

programas fuente y compilados en los entornos

de Desarrollo y Producción. El sistema Fenix

administra los cambios y versiones del entorno de

desarrollo y la actualización en el entorno de

producción se encuentra a cargo del Jefe de

Soporte Técnico.

Los estándares de mantenimiento y desarrollo no

se encuentran completos.

- Procedimientos formales y

adecuados para las pruebas y

reportes de las mismas.

5 PROCEDIMIENTOS DE RESPALDO

Se cuenta con un procedimiento formalizado para

el respaldo de información del computador central

y de usuario final, este procedimiento establece:

- Para archivo de datos, se realiza con una

frecuencia diaria, dos copias y tres

generaciones.

- Para software base, se realiza con una

frecuencia diaria, dos copias y tres

generaciones.

Los procedimientos de generación

de copias de respaldo deberían

contar con los siguientes controles

clave:

- Aseguramiento de que el

proceso de generación de

copias de respaldo haya

culminado exitosamente.

- Procedimientos que




Análisis

De

Brecha

- Para los programas fuente, se realiza de

forma diaria, una copia en tres generaciones.

- Para la información de usuarios finales, se

realiza de forma diaria, una copia en tres

generaciones.

Todas las copias se guardan en la bóveda central

del Banco y de forma mensual se remiten a

almacenar en la empresa PROSEGUR.

Se encuentra en proceso de definición un

procedimiento de verificación de cintas, por la

antigüedad de las mismas.

Se mantiene información histórica desde el inicio

de actividades del Banco.

contemplen pruebas periódicas

de las copias de respaldo.

- El tiempo de almacenamiento

de las copias de respaldo debe

estar en concordancia con los

requisitos legales y normativos

vigentes.

- Se debería considerar:

- Generación de Plan de

Contingencias que abarque

todos los procesos críticos del

Banco y que se ha desarrollado

siguiendo una metodología

formal.

- Procedimientos revisión

periódica del plan.

- Creación de un equipo para

implementar el plan en el que

todos los miembros conocen




Análisis

De

Brecha

sus responsabilidades y cómo

deben cumplir con las tareas

asignadas.

- Existencia de preparativos

adecuados para asegurarse de

la continuidad del

procesamiento

computadorizado (existe centro

de procesamiento alterno).

- Una copia del plan de

contingencias se almacena en

una sede remota y será de fácil

acceso en caso de que

ocurriere cualquier forma de

desastre.

- Preparativos de contingencia

para el hardware y software de

comunicaciones y redes.

- Realización periódica un back-

up de los archivos de datos

críticos, los sistemas y

bibliotecas de programas

almacenándolo en una sede

remota cuyo tiempo de acceso

sea adecuado.

- Identificación del equipamiento

requerido por los especialistas

y se hicieron los preparativos

para su reemplazo.

- Se debería considerar lo siguiente:




Análisis

De

Brecha

- Revisión del impacto sobre el

negocio, previo al diseño del

Plan de continuidad de

negocios, identificando las

partes más expuestas a riesgo.

- Realizar revisión del impacto

en el negocio, estableciendo

los procedimientos a seguirse

en el caso de que ocurriera un

desastre (por ej. Explosión,

incendio, daño por tormenta,

pérdida de personal clave) en

cualquiera de las dependencias

operativas de la organización.

- Deberían existir planes de

contingencia para cada recurso

computadorizado.

- El plan de contingencias

debería contemplar las

necesidades de los

departamentos usuarios en

términos de traslados,

ubicación y operación.

- El plan de contingencias

debería asegurar que se

observen normas de seguridad

de información en caso de que

ocurriera un desastre.

- El cronograma para la

recuperación de cada función

debería ser revisado asegurando




Análisis

De

Brecha

que sea adecuado.

El plan de contingencias debería

probarse periódicamente para

asegurarse de que aún es viable y

efectivo.

6 SUBCONTRATACIÓN

Encontramos que el Banco tiene principalmente,

los siguientes servicios contratados:

- UNIBANCA: Procesamiento de transacciones

de tarjetas (diario)

- HERMES: Distribución de tarjetas de crédito y

débito. Información necesaria y tarjetas

recibidas de UNIBANCA. (diario)

- NAPATEK: Impresión de estados de cuenta y

“ensobrado”. Recibe información vía una

transferencia electrónica de archivos - "File

Transfer" (mensual).

- Rehder: Se transmite información de monto

facturado por cada cliente (e-mail) para el

seguro de desgravamenes (mensual).

- TELEFONICA: Centro de procesamiento de

datos de respaldo. Entrará en operatividad el

31 de Mayo.

- PROSEGUR: Almacenamiento de copias de

respaldo.

No se obtuvo información (contratos) relativa a los

servicios prestados por UNIBANCA.

El plan de contingencias debe

incluir la pérdida del servicio

prestado por terceros.

Los contratos de servicios con

terceros deberían incluir entre otros

aspectos, los siguientes:

- Requerimientos de seguridad y

las acciones que se tomarán de

no cumplirse el contrato.

- Acuerdos de controles de

seguridad y políticas a

aplicarse para garantizar el

cumplimiento de los

requerimientos.

- Determinación de los niveles

de servicio requeridos (Service

Level Agreements o SLA).

- El derecho de la entidad, y la

Superintendencia de Banca y

Seguros, o las personas que

ellos designen, de auditar el

ambiente de la empresa que




Análisis

De

Brecha

El Banco no cuenta con un procedimiento definido

para la inclusión de cláusulas relativas a la

confidencialidad, niveles de servicio, etc., en los

contratos de servicios prestados por terceros al

Banco.

brinda el servicio, para verificar

los controles de seguridad

aplicados a la data y los

sistemas.

- Documentación sobre los

controles físicos y lógicos,

empleados por la empresa que

brinda el servicio, para proteger

la confidencialidad, integridad y

disponibilidad de la información

y equipos de la entidad.

- Determinación de los

requerimientos legales,

incluyendo privacidad y

protección de la data.

- Procedimiento que asegure

que la empresa que brinda el

servicio realizará pruebas

periódicas para mantener la

seguridad de la data y los

sistemas.

- Cláusula sobre exclusividad de

equipos que procesan

información del Banco.

7 CUMPLIMIENTO NORMATIVO

El Banco ha implementado controles para el

cumplimiento normativo relativo al uso de

software licenciado, tales como:

- Controles manuales periódicos por parte del

área de sistemas y el área de auditoria de

sistemas.

Se debería contar con:

- Definición de responsable del

cumplimiento de las normas

emitidas por la

Superintendencia.




Análisis

De

Brecha

- Compromiso firmado por los usuarios

referente al software autorizado, tipificando el

incumplimiento como falta grave.

- Evaluación de software para auditorías de

software de forma automática.

- La información, tanto física como digital es

almacenada según períodos determinados

por ley.

- Existe un procedimiento de comunicación de

las normas legales emitidas aplicables a las

distintas áreas del Banco y el área de

auditoria interna realiza labores de control

con respecto a la implementación de dichas

normas.

Sin embargo:

- No existe un responsable definido en la

estructura del Banco encargado de mantener

actualizada sobre las normas emitidas por

organismos reguladores.

- Procedimientos de control

establecidos para el

cumplimiento de las normas

emitidas por la

Superintendencia.

- Control de cumplimiento de

normas sobre la propiedad

intelectual (licenciamiento de

software).

8 PRIVACIDAD DE LA INFORMACIÓN

El Banco no cuenta con:

- Un responsable asignado para la salvaguarda

de la privacidad de la información.

Si bien durante las diversas charlas realizadas en

los Comités se tocan temas referentes al secreto

bancario, no se han implementado controles

específicos en todas las áreas del Banco con el

fin de evitar la exposición de información sensible

Se debería contar con:

- Definición de responsabilidades

con respecto a la aplicación del

secreto bancario y de la

privicidad de la Información.

- Restricciones de acceso a

información en salvaguarda de

su privacidad y del secreto

bancario.




Análisis

De

Brecha

de los clientes y del Banco así como limitar el

acceso del personal a dicha información.

En el área de sistemas se han implementado

controles respecto a la limitación de acceso a

información de clientes y se ha registrado

evidencia de incidentes y acciones tomadas por

auditoria interna, dicha situación no se replica en

las distintas áreas del Banco.

- Existencia de autorizaciones

internas para la entrega y

transferencia de información.

9 AUDITORIA INTERNA Y EXTERNA

El Banco no cuenta con:

- Un área de auditoria interna que esta

incluyendo en su plan de auditoria el

cumplimiento de lo dispuesto en la norma G-

105-2002 de la Superintendencia.

Se debería considerar:

- La Unidad de Auditoria Interna

deberá incorporar en su Plan

Anual de Trabajo la evaluación

del cumplimiento de lo

dispuesto en la norma G-105-

2002 de la Superintendencia.

- Las sociedades de Auditoria

Externa deberán incluir en su

informe sobre el sistema de

control interno comentarios

dirigidos a indicar si la entidad

cuenta con políticas y

procedimientos para la

administración de los riesgos

de tecnología de información.

El Banco deberá contar con un

servicio permanente de auditoria de

sistemas.



BIBLIOGRAFÍA

1. Information Technology Security for Managers - Workshop sobre temas de

Seguridad – IBM Global Service. http://www.ibm.com/services/securite

2. ISO /IEC 17799:2000 http://www.iso1799.com

3. British Standard 7799

4. INFOSEC’S WORST NIGHTMARES

http://www.infosecuritymag.com/2002/nov/nightmares.shtml

5. ¿Como elaborar politicas de Seguridad efectivas?

http://www.symantec.com/region/mx/enterprisesecurity

UNIVERSIDAD NACIONAL MAYOR DE SAN...

Documents

Transcript of UNIVERSIDAD NACIONAL MAYOR DE SAN...