Seguridad Informatica

Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
RESUMEN
La liberalización y la globalización de los servicios financieros, junto con la

creciente sofisticación de la tecnología financiera, están haciendo cada vez
más diversas y complejas las actividades de los bancos en términos de
Seguridad.
En otros tiempos la seguridad de la información era fácilmente administrable,

sólo bastaba con resguardar los documentos más importantes bajo llave y
mantener seguros a los empleados que poseen el conocimiento poniendo
guardias de seguridad. Hoy en día es más difícil.
Los sistemas electrónicos entraron en las oficinas y obligaron a los sistemas de

seguridad a evolucionar para mantenerse al día con la tecnología cambiante.
Luego, hace unos 5 años, los negocios, aún las empresas más pequeñas, se
conectaron a Internet (una amplia red pública con pocas reglas y sin
guardianes).
De manera similar a otro tipo de crímenes, el cuantificar los gastos y pérdidas

en seguridad de la información o crímenes cibernéticos es muy difícil. Se
tiende a minimizar los incidentes por motivos muchas veces justificables.
Por otro lado el objetivo fundamental de la seguridad no es proteger los

sistemas, sino reducir los riesgos y dar soporte a las operaciones del negocio.
La computadora más segura del mundo es aquella que está desconectada de
cualquier red, enterrada profundamente en algún oscuro desierto y rodeada de
guardias armados, pero es también la más inútil.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
La seguridad es sólo uno de los componentes de la administración de riesgos –

minimizar la exposición de la empresa y dar soporte a su capacidad de lograr
su misión. Para ser efectiva, la seguridad debe estar integrada a los procesos
del negocio y no delegada a algunas aplicaciones técnicas.
Los incidentes de seguridad más devastadores tienden más a ser internos que
externos. Muchos de estos incidentes involucran a alguien llevando a cabo una
actividad autorizada de un modo no autorizado. Aunque la tecnología tiene
cierta ingerencia en limitar esta clase de eventos internos, las verificaciones y
balances como parte de los procesos del negocio son mucho más efectivos.
Las computadoras no atacan a las empresas, lo hace la gente. Los empleados

bien capacitados tienen mayores oportunidades de detectar y prevenir los
incidentes de seguridad antes de que la empresa sufra algún daño. Pero para
que los empleados sean activos, se requiere que entiendan como reconocer,
responder e informar los problemas – lo cual constituye la piedra angular de la
empresa con conciencia de seguridad lo que nosotros llamamos “cultura de
seguridad”.
El presente trabajo describe como se define un Plan de Seguridad para una

entidad financiera, empieza por definir la estructura organizacional (roles y
funciones), después pasa a definir las políticas para finalmente concluir con un
plan de implementación o adecuación a las políticas anteriormente definidas.
ABSTRACT
The liberalization and globalization of the financial services with the increasing
sophistication of the financial technology are facing more complex banking
activities in terms of security.
Long time ago, security information was easily management, just it was enough
guard the more important documents under the keys and placed employees;
who has the knowledge; safe, just placing bodyguards; nowadays it is harder.
The electronics systems got in the office and made systems security evolved to
be updated with the technology changes. Then, 5 years ago, the business; even
the small companies were connected to Internet (a public network with few
rules and without security).
In a similar way of other kind of crimes, measure security IT expenses and lost
or cybernetic crimes are very difficult. People tend to minimize incidents for
justifying reasons.
By the other hand, the main objective of IT Security is not to protect the
systems; it is to reduce risks and to support the business operations. The most
secure computer in the world is which is disconnected form the network, placed
deeply in any dark desert and be surrounded by armed bodyguards, but it is
also the most useless.
Security is just one of the components of risk management - minimize the

exposition of the business and support the capacity of meet his mission. To be
effective, security must be integrated through the business process and not
delegate to some technical applications.
The more destructive security incidents tend mostly to be internal instead of

external. Many of these involve someone taking an authorized activity in a way
non-authorized. Although technology has some concern in limit these kind of
internal events, the verifications and balances as part of the business process
are more effective.
Computers does not attack enterprises, people do it. Employees with

knowledge have more opportunities to detect and prevent security incidents
before the enterprises suffer a damage. But to make employees more concern,
we need that they understand, reply and inform security incidents – which is the
most important thing inside the enterprise with security concern, which is called
“security culture”.
The present work describes how you can define a Security Plan for a financial
enterprise, begin defining the Organizational structure (roles and
responsibilities), then define the policies and finally ends with the
Implementation Plan which are the activities to meet the policies before
mentioned.
INTRODUCCIÓN
Los eventos mundiales recientes han generado un mayor sentido de urgencia

que antes con respecto a la necesidad de tener mayor seguridad - física y de
otro tipo. Las empresas pueden haber reforzado las medidas de seguridad,
pero nunca se sabe cuándo o cómo puede estar expuesta. A fin de brindar la
más completa protección empresarial, se requiere de un sistema exhaustivo de
seguridad. Es vital implementar un plan de seguridad. Sin embargo,
implementar un plan proactivo que indique cómo sobrevivir a los múltiples
escenarios también preparará a las empresas en el manejo de las amenazas
inesperadas que podría afrontar en el futuro.
La mayoría de las empresas ha invertido tiempo y dinero en la construcción de

una infraestructura para la tecnología de la información que soporte su
compañía, esa infraestructura de TI podría resultar ser una gran debilidad si se
ve comprometida. Para las organizaciones que funcionan en la era de la
informática interconectadas y con comunicación electrónica, las políticas de
información bien documentadas que se comunican, entienden e implementen
en toda la empresa, son herramientas comerciales esenciales en el entorno
actual para minimizar los riesgos de seguridad.
Imagine lo que sucedería si:
• La información esencial fuera robada, se perdiera, estuviera en peligro,

fuera alterada o borrada.
• Los sistemas de correo electrónico no funcionaran durante un día o más.

¿Cuánto costaría esta improductividad?
• Los clientes no pudieran enviar órdenes de compra a través de la red

durante un prolongado periodo de tiempo.
Prepararse para múltiples escenarios parece ser la tendencia creciente. En un

informe publicado por Giga Information Group con respecto a las tendencias de
TI estimadas para el año 2002, se espera que los ejecutivos corporativos se
interesen cada vez más en la prevención de desastres físicos, ciberterrorismo y
espionaje de libre competencia. Implementar una política de seguridad
completa le da valor intrínseco a su empresa. También mejorará la credibilidad
y reputación de la empresa y aumentará la confianza de los accionistas
principales, lo que le dará a la empresa una ventaja estratégica.
¿Cómo desarrollar una política de seguridad?
• Identifique y evalúe los activos: Qué activos deben protegerse y cómo

protegerlos de forma que permitan la prosperidad de la empresa.
• Identifique las amenazas: ¿Cuáles son las causas de los potenciales

problemas de seguridad? Considere la posibilidad de violaciones a la
seguridad y el impacto que tendrían si ocurrieran.
Estas amenazas son externas o internas:
o Amenazas externas: Se originan fuera de la organización y son

los virus, gusanos, caballos de Troya, intentos de ataques de los
hackers, retaliaciones de ex-empleados o espionaje industrial.
o Amenazas internas: Son las amenazas que provienen del

interior de la empresa y que pueden ser muy costosas porque el
infractor tiene mayor acceso y perspicacia para saber donde
reside la información sensible e importante. Las amenazas
internas también incluyen el uso indebido del acceso a Internet
por parte de los empleados, así como los problemas que podrían
ocasionar los empleados al enviar y revisar el material ofensivo a

través de Internet.
• Evalué los riesgos: Éste puede ser uno de los componentes más
desafiantes del desarrollo de una política de seguridad. Debe calcularse
la probabilidad de que ocurran ciertos sucesos y determinar cuáles tiene
el potencial para causar mucho daño. El costo puede ser más que
monetario - se debe asignar un valor a la pérdida de datos, la privacidad,
responsabilidad legal, atención pública indeseada, la pérdida de clientes
o de la confianza de los inversionistas y los costos asociados con las
soluciones para las violaciones a la seguridad.
• Asigne las responsabilidades: Seleccione un equipo de desarrollo que

ayude a identificar las amenazas potenciales en todas las áreas de la
empresa. Sería ideal la participación de un representante por cada
departamento de la compañía. Los principales integrantes del equipo
serían el administrador de redes, un asesor jurídico, un ejecutivo
superior y representantes de los departamentos de Recursos Humanos
y Relaciones Públicas.
• Establezca políticas de seguridad: Cree una política que apunte a los

documentos asociados; parámetros y procedimientos, normas, así como
los contratos de empleados. Estos documentos deben tener información
específica relacionada con las plataformas informáticas, las plataformas
tecnológicas, las responsabilidades del usuario y la estructura
organizacional. De esta forma, si se hacen cambios futuros, es más fácil
cambiar los documentos subyacentes que la política en sí misma.
• Implemente una política en toda la organización: La política que se

escoja debe establecer claramente las responsabilidades en cuanto a la
seguridad y reconocer quién es el propietario de los sistemas y datos
específicos. También puede requerir que todos los empleados firmen la

declaración; si la firman, debe comunicarse claramente. Éstas son las
tres partes esenciales de cumplimiento que debe incluir la política:
o Cumplimiento: Indique un procedimiento para garantizar el

cumplimiento y las consecuencias potenciales por incumplimiento.
o Funcionarios de seguridad: Nombre individuos que sean

directamente responsables de la seguridad de la información.
Asegúrese de que no es la misma persona que supervisa,
implementa o revisa la seguridad para que no haya conflicto de
intereses.
o Financiación: Asegúrese de que a cada departamento se le haya

asignado los fondos necesarios para poder cumplir
adecuadamente con la política de seguridad de la compañía.
• Administre el programa de seguridad: Establezca los procedimientos

internos para implementar estos requerimientos y hacer obligatorio su
cumplimiento.
Consideraciones importantes
A través del proceso de elaboración de una política de seguridad, es importante

asegurarse de que la política tenga las siguientes características:
• Se pueda implementar y hacer cumplir
• Sea concisa y fácil de entender
• Compense la protección con la productividad
Una vez la política se aprueba totalmente, debe hacerse asequible a todos los
empleados porque, en ultima instancia, ellos son responsables de su éxito. Las
políticas deben actualizarse anualmente (o mejor aún cada seis meses) para
reflejar los cambios en la organización o cultura.
Se debe mencionar que no debe haber dos políticas de seguridad iguales

puesto que cada empresa es diferente y los detalles de la política dependen de
las necesidades exclusivas de cada una. Sin embargo, usted puede comenzar
con un sistema general de políticas de seguridad y luego personalizarlo de
acuerdo con sus requerimientos específicos, limitaciones de financiación e
infraestructura existente.
Una política completa de seguridad de la información es un recurso valioso que

amerita la dedicación de tiempo y esfuerzo. La política que adopte su empresa
brinda una base sólida para respaldar el plan general de seguridad. Y una base
sólida sirve para respaldar una empresa sólida.
BANCO ABC
En el presente trabajo desarrollaremos el Plan de Seguridad para una entidad

financiera a la cual llamaremos el Banco ABC.
El Banco ABC es un banco de capital extranjero, tiene 35 agencias a nivel
nacional, ofrece todos los productos financieros conocidos, posee presencia en
Internet a través de su pagina web, es un banco mediano cuenta con 500
empleados y es regulado por la Superintendencia de Banca y Seguros.
A lo largo de todo el desarrollo del trabajo describiremos mas en detalle su

estructura interna, evaluaremos los riesgos a los cuales están expuestos, para
lo cual se realizara un diagnostico objetivo de la situación actual y como se
deben contrarrestar, para finalmente terminar diseñando el Plan de Seguridad y
las principales actividades que deben ejecutarse para la implementación de las

políticas de seguridad.
A continuación describiremos brevemente la situación actual de los aspectos

más importantes en la elaboración del Plan de Seguridad; como son la
organización, el propio Plan y la adecuación al Plan.
A) Organización de seguridad de la información
Actualmente el Banco cuenta con un área de seguridad informática

recientemente constituida, los roles y responsabilidades del área no han sido
formalizados y las tareas desempeñadas por el área se limitan por ahora al
control de accesos de la mayoría de sistemas del Banco. Algunas tareas
correspondientes a la administración de seguridad son desarrolladas por el
área de sistemas como la administración de red, firewalls y bases de datos,
otras tareas son realizadas directamente por las áreas usuarias, y finalmente
otras responsabilidades como la elaboración de las políticas y normas de
seguridad, concientización de los usuarios, monitoreo de incidentes de
seguridad, etc., no han sido asignadas formalmente a ninguna de las áreas.
En este sentido, en el presente trabajo detallamos los roles y responsabilidades
relacionadas a la administración de seguridad de la información que involucra
no solamente a miembros de las áreas de seguridad informática y sistemas
como administradores de seguridad de información y custodios de información,
sino a los gerentes y jefes de las unidades de negocio como propietarios de
información, y a los usuarios en general.
B) Diseño del plan de seguridad de la información
Para el diseño del Plan de seguridad de la información se desarrollaran las

siguientes etapas:
- Evaluación de riesgos, amenazas y vulnerabilidades
Para la definición del alcance de las políticas y estándares y con el propósito de

identificar las implicancias de seguridad del uso y estrategia de tecnología,
amenazas y vulnerabilidades y nuevas iniciativas del negocio, se desarrollarán
un conjunto de entrevistas con las Gerencias del Banco, personal del área de
sistemas, auditoria interna y el área de seguridad informática. Producto de la
consolidación de la información obtenida en dichas entrevistas se elaborará
unas matrices que se presentarán en el capítulo N° V del presente documento.
- Políticas de seguridad de información.
Con el objetivo de contar con una guía para la protección de información del
Banco, se elaborarán las políticas y estándares de seguridad de la información,
tomando en cuenta el estándar de seguridad de información ISO 17799, los
requerimientos de la Circular N° G-105-2002 publicada por la Superintendencia
de Banca y Seguros (SBS) sobre Riesgos de Tecnología de Información y las
normas establecidas internamente por el Banco.
- Diseño de arquitectura de seguridad de red.
Con el objetivo de controlar las conexiones de la red del Banco con

entidades externas y monitorear la actividad realizada a través de dichas
conexiones, se elaborará una propuesta de arquitectura de red la cual
incluye dispositivos de monitoreo de intrusos y herramientas de inspección
de contenido.
C) Plan de Implementación
De la identificación de riesgos amenazas y vulnerabilidades relacionadas

con la seguridad de la información del Banco, se lograron identificar las
actividades más importantes a ser realizadas por el Banco con el propósito
de alinear las medidas de seguridad implementadas para proteger la
información del Banco, con las Políticas de seguridad y estándares
elaborados.
Este plan de alto nivel incluye una descripción de la actividad a ser

realizada, las etapas incluidas en su desarrollo y el tiempo estimado de
ejecución.
El Autor
Capítulo I
OBJETIVOS Y ALCANCES
1.1 Objetivos
El objetivo del presente trabajo es realizar un diagnostico de la situación actual

en cuanto a la seguridad de información que el Banco ABC actualmente
administra y diseñar un Plan de Seguridad de la Información (PSI) que permita
desarrollar operaciones seguras basadas en políticas y estándares claros y
conocidos por todo el personal del Banco. Adicionalmente, el presente trabajo
contempla la definición de la estrategia y los proyectos más importantes que
deben ser llevados a cabo para culminar con el Plan de Implementación.
La reglamentación que elaboró la SBS con respecto a los riesgos de

tecnología forma parte de un proceso de controles que se irán implementando,
tal como lo muestra el gráfico siguiente, los primeros controles fueron
enfocados hacia los riesgos propios del negocio (financieros y de capital), y él
ultima en ser reglamentado es el que nos aboca hoy, que es el diseño de un
Plan de Seguridad Informática (PSI) para esta entidad financiera.
Gráfico de Evolución de las regulaciones de la Superintendencia de

Banca y Seguros
Riesgos Riesgos de Riesgos de

Financieros Negocios Operaciones
• Estructura • Riesgo de • Procesos

• Rentabilidad Política • Tecnología
• Adec. Capital • Riesgo País • Personas
• De Crédito • Riesgo • Eventos
• De liquidez Sistémico
• De Tasa de
Interés
• Riesgo
• De Mercado
Político
• De Moneda
• Riesgo de
Crisis
Bancarias
• Otros
1. Plan de Seguridad Informática PSI
Capítulo II
METODOLOGÍA Y PROCEDIMIENTOS UTILIZADOS
2.1 Metodología ESA

La estrategia empleada para la planificación y desarrollo del presente trabajo,
está basada en la metodología Enterprise Security Arquitecture (ESA) para el
diseño de un modelo de seguridad, como marco general establece el diseño de
políticas, normas y procedimientos de seguridad para el posterior desarrollo de
controles sobre la información de la empresa.
a E n t r e n a m i e nyt oConcientización
Visión y Estrategia de Seguridad
Gerencia
Iniciativas & P r o c e s o s Amenazas

de Negocios
Estrategía d e Evaluación de Riesgo
Tecnología & Uso & Vulnerabilidad
o la Alta
Política
C o m p r o m i sde
Modelo de Seguridad
Arquitectura de Seguridad
& Estándares Tecnicos
P r o g r a m de
Guías y Procedimientos
Adminitrativos y de Usuario Final
Procesos de Procesos de Procesos de

Ejecución Monitoreo Recuperacíon
E s t r u c t u r a de Administración de S e g u r i d a d de I n f o r m a c i ó n
En el desarrollo del trabajo se utilizaron los siguientes procedimientos de

trabajo:
1. Entrevistas para la identificación de riesgos amenazas y vulnerabilidades de

la organización con el siguiente personal de la empresa:
- Gerente de División de Negocios.

- Gerente de División de Riesgos
- Gerente de División de Administración y Operaciones
- Gerente de División de Finanzas
- Gerente de División de Negocios Internacionales
- Gerente de Negocios Internacionales
- Gerente de Asesoría Legal
- Auditor de Sistemas
- Gerente de Sistemas
- Gerente Adjunto de Seguridad Informática
- Asistente de Seguridad Informática
2. Definición y discusión de la organización del área de seguridad informática.
3. Elaboración de las políticas de seguridad de información del Banco

tomando como referencia el estándar para seguridad de información ISO
17799, los requerimientos de la Circular N° G-105-2002 publicada por la
Superintendencia de Banca y Seguros (SBS) sobre Riesgos de Tecnología
de Información y las normas internas del Banco referidas a la seguridad de
información.
4. Evaluación de la arquitectura de red actual y diseño de una propuesta de

arquitectura de red.
Capítulo III
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL DE LA ADMINISTRACIÓN DE LA

SEGURIDAD DE INFORMACIÓN
3.1 Evaluación
Efectuada nuestra revisión de la administración de riesgos de tecnología de
información del Banco hemos observado que el Plan de Seguridad de
Información (PSI) no ha sido desarrollado. Si bien hemos observado la
existencia de normas, procedimientos y controles que cubren distintos aspectos
de la seguridad de la información, se carece en general de una metodología,
guía o marco de trabajo que ayude a la identificación de riesgos y
determinación de controles para mitigar los mismos.
Dentro de los distintos aspectos a considerar en la seguridad de la Información,

se ha podido observar que se carece de Políticas de seguridad de la
Información y de una Clasificación de Seguridad de los activos de Información
del Banco. Cabe mencionar que se ha observado la existencia de controles, en
el caso de la Seguridad Lógica, sobre los accesos a los sistemas de
información así como procedimientos establecidos para el otorgamiento de
dichos accesos. De igual manera se ha observado controles establecidos con
respecto a la seguridad física y de personal.
Sin embargo, estos controles no obedecen a una definición previa de una

Política de Seguridad ni de una evaluación de riesgos de seguridad de la
información a nivel de todo el Banco. Los controles establecidos a la fecha son
producto de evaluaciones particulares efectuadas por las áreas involucradas o
bajo cuyo ámbito de responsabilidad recae cierto aspecto de la seguridad.
3.2 Alcances
El alcance del diagnóstico de la situación de administración del riesgo de
Tecnología de Información, en adelante TI, comprende la revisión de las
siguientes funciones al interior del área de sistemas:
• Administración del área de Tecnología de Información
- Estructura organizacional
- Función de seguridad a dedicación exclusiva
- Políticas y procedimientos para administrar los riesgos de TI
- Subcontratación de recursos.
• Actividades de desarrollo y mantenimiento de sistemas informáticos
• Seguridad de la Información
- Administración de la Seguridad de la Información.
- Aspectos de la seguridad de la información (lógica, personal y física y
ambiental)
- Inventario periódico de activos asociados a TI
• Operaciones computarizadas
- Administración de las operaciones y comunicaciones
- Procedimientos de respaldo
- Planeamiento para la continuidad de negocios
- Prueba del plan de continuidad de negocios
Asimismo, comprende la revisión de los siguientes aspectos:

• Cumplimiento normativo
• Privacidad de la información
• Auditoria de sistemas
El siguiente cuadro muestra el grado de cumplimiento en los aspectos

relacionados a la adecuación del Plan de Seguridad:
Grado de
Aspectos Evaluados
Cumplimiento
1 Estructura de la seguridad de la Información
2 Plan de seguridad de la Información
2.1 Políticas, estándares y procedimientos de seguridad.
2.1.1. Seguridad Lógica
2.1.2 Seguridad de Personal
2.1.3 Seguridad Física y Ambiental
2.1.4 Clasificación de Seguridad
3 Administración de las operaciones y comunicaciones
4 Desarrollo y mantenimiento de sistemas informáticos
5 Procedimientos de respaldo
6 Plan de continuidad de negocios
6.1 Planeamiento para la Continuidad de Negocios
Criterios para el diseño e implementación del Plan de

6.2
continuidad de Negocios
6.3 Prueba del Plan de Continuidad de Negocios
7 Subcontratación
8 Cumplimiento normativo
9 Privacidad de la información
10 Auditoria de Sistemas
Una descripción mas detallada de los aspectos evaluados pueden ser

encontrados en el Anexo C.
Capítulo IV
SEGURIDAD DE LA INFORMACIÓN – ROLES Y ESTRUCTURA

ORGANIZACIONAL
4.1 Situación actual

La administración de seguridad de información se encuentra distribuida
principalmente entre las áreas de sistemas y el área de seguridad informática.
En algunos casos, la administración de accesos es realizada por la jefatura o
gerencia del área que utiliza la aplicación.
Las labores de seguridad realizadas actualmente por el área de seguridad

informática son las siguientes:
- Creación y eliminación de usuarios
- Verificación y asignación de perfiles en las aplicaciones
Las labores de seguridad realizadas por el área de sistemas son las siguientes:
- Control de red
- Administración del firewall
- Administración de accesos a bases de datos
Las funciones de desarrollo y mantenimiento de políticas y estándares de

seguridad no están definidas dentro de los roles de la organización.
Cabe mencionar que el acceso con privilegio administrativo al computador
central es restringido, el área de seguridad informática define una contraseña,
la cual es enviada a la oficina de seguridad (Gerencia de Administración) en un
sobre cerrado, en caso de necesitarse acceso con dicho privilegio, la
contraseña puede ser obtenida por el gerente de sistemas o el jefe de soporte
técnico y producción, solicitando el sobre a la oficina de seguridad. Luego

deben realizar un informe sobre la actividad realizada en el computador central.
4.2 ROLES Y RESPONSABILIDADES DE LA ESTRUCTURA

ORGANIZACIONAL DE SEGURIDAD DE INFORMACIÓN
El área organizacional encargada de la administración de seguridad de
información debe soportar los objetivos de seguridad de información del Banco.
Dentro de sus responsabilidades se encuentran la gestión del plan de
seguridad de información así como la coordinación de esfuerzos entre el
personal de sistemas y los empleados de las áreas de negocios, siendo éstos
últimos los responsables de la información que utilizan. Asimismo, es
responsable de promover la seguridad de información a lo largo de la
organización con el fin de incluirla en el planeamiento y ejecución de los
objetivos del negocio.
Es importante mencionar que las responsabilidades referentes a la seguridad

de información son distribuidas dentro de toda la organización y no son de
entera responsabilidad del área de seguridad informática, en ese sentido
existen roles adicionales que recaen en los propietarios de la información, los
custodios de información y el área de auditoria interna.
Los propietarios de la información deben verificar la integridad de su
información y velar por que se mantenga la disponibilidad y confidencialidad de
la misma.
Los custodios de información tienen la responsabilidad de monitorear el

cumplimiento de las actividades encargadas y el área de auditoria interna debe
monitorear el cumplimiento de la política de seguridad y el cumplimiento
adecuado de los procesos definidos para mantener la seguridad de
información.
A continuación presentamos los roles y responsabilidades relacionadas a la

administración de seguridad de información:
Área de Seguridad Informática.

El área organizacional encargada de la administración de seguridad de
información tiene como responsabilidades:
• Establecer y documentar las responsabilidades de la organización en
cuanto a seguridad de información.
• Mantener la política y estándares de seguridad de información de la
organización.
• Identificar objetivos de seguridad y estándares del Banco (prevención de
virus, uso de herramientas de monitoreo, etc.)
• Definir metodologías y procesos relacionados a la seguridad de información.
• Comunicar aspectos básicos de seguridad de información a los empleados
del Banco. Esto incluye un programa de concientización para comunicar
aspectos básicos de seguridad de información y de las políticas del Banco.
• Desarrollar controles para las tecnologías que utiliza la organización. Esto
incluye el monitoreo de vulnerabilidades documentadas por los
proveedores.
• Monitorear el cumplimiento de la política de seguridad del Banco.
• Controlar e investigar incidentes de seguridad o violaciones de seguridad.
• Realizar una evaluación periódica de vulnerabilidades de los sistemas que
conforman la red de datos del Banco.
• Evaluar aspectos de seguridad de productos de tecnología, sistemas o
aplicaciones utilizados en el Banco.
• Asistir a las gerencias de división en la evaluación de seguridad de las
iniciativas del negocio.
• Verificar que cada activo de información del Banco haya sido asignado a un
“propietario” el cual debe definir los requerimientos de seguridad como
políticas de protección, perfiles de acceso, respuesta ante incidentes y sea

responsable final del mismo.
• Administrar un programa de clasificación de activos de información,
incluyendo la identificación de los propietarios de las aplicaciones y datos.
• Coordinación de todas las funciones relacionadas a seguridad, como
seguridad física, seguridad de personal y seguridad de información
almacenada en medios no electrónicos.
• Desarrollar y administrar el presupuesto de seguridad de información.
• Reportar periódicamente a la gerencia de Administración y Operaciones.
• Administración de accesos a las principales aplicaciones del Banco.
• Elaborar y mantener un registro con la relación de los accesos de los
usuarios sobre los sistemas y aplicaciones del Banco y realizar revisiones
periódicas de la configuración de dichos accesos en los sistemas.
• Controlar aspectos de seguridad en el intercambio de información con
entidades externas.
• Monitorear la aplicación de los controles de seguridad física de los
principales activos de información.
Custodio de Información:
Es el responsable de la administración diaria de la seguridad en los sistemas
de información y el monitoreo del cumplimiento de las políticas de seguridad en
los sistemas que se encuentran bajo su administración. Sus responsabilidades
son:
• Administrar accesos a nivel de red (sistema operativo).
• Administrar accesos a nivel de bases de datos.
• Administrar los accesos a archivos físicos de información almacenada en
medios magnéticos (diskettes, cintas), ópticos (cd´s) o impresa.
• Implementar controles definidos para los sistemas de información,
incluyendo investigación e implementación de actualizaciones de seguridad
de los sistemas (service packs, fixes, etc.) en coordinación con el área de

seguridad informática.
• Desarrollar procedimientos de autorización y autenticación.
• Monitorear el cumplimiento de la política y procedimientos de seguridad en
los activos de información que custodia.
• Investigar brechas e incidentes de seguridad.
• Entrenar a los empleados en aspectos de seguridad de información en
nuevas tecnologías o sistemas implantados bajo su custodia.
• Asistir y administrar los procedimientos de backup, recuperación y plan de
continuidad de sistemas.
Usuario:
Las responsabilidades de los usuarios finales, es decir, aquellas personas que
utilizan información del Banco como parte de su trabajo diario están definidas a
continuación:
• Mantener la confidencialidad de las contraseñas de aplicaciones y sistemas.
• Reportar supuestas violaciones de la seguridad de información.
• Asegurarse de ingresar información adecuada a los sistemas.
• Adecuarse a las políticas de seguridad del Banco.
• Utilizar la información del Banco únicamente para los propósitos
autorizados.
Propietario de Información:
Los propietarios de información son los gerentes y jefes de las unidades de
negocio, los cuales, son responsables de la información que se genera y se
utiliza en las operaciones de su unidad. Las áreas de negocios deben ser
conscientes de los riesgos de tal forma que sea posible tomar decisiones para
disminuir los mismos.
Entre las responsabilidades de los propietarios de información se tienen:
• Asignar los niveles iniciales de clasificación de información.
• Revisión periódica de la clasificación de la información con el propósito de

verificar que cumpla con los requerimientos del negocio.
• Asegurar que los controles de seguridad aplicados sean consistentes con la
clasificación realizada.
• Determinar los criterios y niveles de acceso a la información.
• Revisar periódicamente los niveles de acceso a los sistemas a su cargo.
• Determinar los requerimientos de copias de respaldo para la información
que les pertenece.
• Tomar las acciones adecuadas en caso de violaciones de seguridad.
• Verificar periódicamente la integridad y coherencia de la información
producto de los procesos de su área.
Auditoria Interna:
El personal de auditoria interna es responsable de monitorear el cumplimiento
de los estándares y guías definidas en las políticas internas. Una estrecha
relación del área de auditoria interna con el área de seguridad informática es
crítica para la protección de los activos de información. Por lo tanto dentro del
plan anual de evaluación del área de auditoria interna se debe incluir la
evaluación periódica de los controles de seguridad de información definidos por
el Banco.
Auditoria interna debe colaborar con el área de seguridad informática en la
identificación de amenazas y vulnerabilidades referentes a la seguridad de
información del Banco.
4.3 ORGANIZACIÓN DEL AREA DE SEGURIDAD INFORMÁTICA

PROPUESTA
Dado el volumen de operaciones y la criticidad que presenta la información
para el negocio del Banco y tomando en cuenta las mejores prácticas de la
industria, es necesaria la existencia de un área organizacional que administre
la seguridad informática. Como requisito indispensable, esta área debe ser
independiente de la Gerencia de Sistemas, la cual en muchos casos es la

ejecutora de las normas y medidas de seguridad elaboradas.
Este proceso de independización de la administración de la seguridad del área

de sistemas ya fue iniciado por el Banco al crear el área de seguridad
informática, la cual, reporta a la Gerencia de división de Administración y
Operaciones.
Considerando la falta de recursos con el perfil requerido que puedan ser

rápidamente reasignados, el proceso de entendimiento y asimilación de las
responsabilidades, los roles definidos correspondientes al área de seguridad
informática, y la necesidad de implementar un esquema adecuado de
seguridad, proponemos definir una estructura organizacional de seguridad
transitoria en la cual se creará un comité de coordinación de seguridad de la
información para la definición de los objetivos del área y el monitoreo de las
actividades de la misma.
El comité de coordinación de seguridad de la información, estará conformado

por las siguientes personas:
• Gerente de división de Administración y Operaciones (presidente del
comité).
• Jefe del área de seguridad informática (responsable del comité).
• Gerente de Sistemas.
• Auditor de Sistemas.
• Jefe del departamento de Riesgo Operativo y Tecnológico.
Gerente de
Comité de Administración y
Coordinación de Operaciones
Seguridad de la
Információn
Seguridad
Informática
Contraloría Recursos
Sistemas Operaciones Administración
General Humanos
Fig. 1: Estructura organizacional transitoria propuesta para la

administración de la seguridad de información.
Gerente de División de
Administración y
Operaciones
(Presidente del Comité)
Jefe de
Jefe de Seguridad
Gerente de Departamente de Auditor de
Informática
Sistemas Riesgo Operativo y Sistemas
(Responsable)
Tecnológico
Fig. 2: Organización del Comité de coordinación de Seguridad de la

Información.
Este comité, determinará el gradual traslado de las responsabilidades de

seguridad al área de seguridad informática, monitoreará las labores realizadas
por el área, colaborando a su vez con el entendimiento de la plataforma
tecnológica, los procesos del negocio del Banco y la planificación inicial de
actividades que desarrollará el área a corto plazo.
El comité de coordinación deberá reunirse con una frecuencia quincenal, con la

posibilidad de convocar reuniones de emergencia en caso de existir alguna
necesidad que lo amerite.
Es importante resaltar que luego que el área de seguridad informática haya

logrado una asimilación de sus funciones, un entendimiento de los procesos del
negocio del Banco y una adecuada interrelación con las gerencias de las
distintas divisiones del Banco, el jefe de área de seguridad informática debe
reportar directamente al Gerente de división de Administración y Operaciones,
convirtiéndose el comité de coordinación de seguridad informática, en un ente
consultivo, dejando la labor de monitoreo a la gerencia de división.
Capítulo V
EVALUACIÓN DE RIESGOS, AMENAZAS Y VULNERABILIDADES
Con el propósito de obtener un adecuado entendimiento de la implicancia que

tiene el uso de tecnología, las amenazas y vulnerabilidades, así como las
iniciativas del negocio sobre la seguridad de la información del Banco, se
efectuaron entrevistas, de las cuales se obtuvo las siguientes tres matrices, que
nos muestran la implicancia en seguridad que presentan cada uno de los
factores mencionados anteriormente, así como el estándar o medida a aplicar
para minimizar los riesgos correspondientes.
5.1 Matriz de uso y estrategia de tecnología

Esta matriz muestra la tecnología utilizada actualmente por el Banco y los
cambios estratégicos planificados que impactan en ella, las implicancias de
seguridad asociadas al uso de tecnología y los estándares o medidas
propuestas para minimizar los riesgos generados por la tecnología empleada.
Estándar o medida de
Tecnología Implicancia de seguridad
seguridad a aplicar
Actual
Windows NT, Se debe contar con controles Estándar de mejores
Windows 2000 de acceso adecuados a la data prácticas de seguridad para
y sistemas soportados por el Windows NT
Sistema Operativo. Estándar de mejores
prácticas de seguridad para
Windows 2000.
seguridad a aplicar
OS/400 Se debe contar con controles Estándar de mejores
de acceso adecuados a la data prácticas de seguridad para
y sistemas soportados por el OS/400.
computador Central. Los
controles que posee este
servidor deben ser lo más
restrictivos posibles pues es el
blanco potencial de la mayoría
de intentos de acceso no
autorizado.
Base de datos Se debe contar con controles Estándar de mejores
SQL Server de acceso a información de los prácticas de seguridad para
sistemas que soportan el bases de datos SQL Server.
negocio de la Compañía.
Banca electrónica • El servidor Web se • Estándares de
a través de encuentra en calidad de encripción de
Internet. "hosting" en Telefónica información transmitida.
Data, se debe asegurar • Cláusulas de
que el equipo cuente con confidencialidad y
las medidas de seguridad delimitación de
necesarias, tanto físicas responsabilidades en
como lógicas. contratos con
• La transmisión de los datos proveedores.
es realizada a través de un • Acuerdos de nivel de
medio público (Internet), se servicios con
debe contar con medidas proveedores, en los
adecuadas para mantener cuales se detalle el
seguridad a aplicar
la confidencialidad de la porcentaje mínimo de
información (encripción de disponibilidad del
la data). sistema.
• El servidor Web que es • Evaluación
accedido por los clientes independiente de la
puede ser blanco potencial seguridad del servidor
de actividad vandálica con que brinda el servicio, o
el propósito de afectar la acreditación de la misma
imagen del Banco. por parte del proveedor.
• La disponibilidad del
sistema es un factor clave
para el éxito del servicio.
Banca telefónica • Transmisión de información • Establecimiento de
por medios públicos sin límites adecuados a las
posibilidad de protección operaciones realizadas
adicional. por vía telefónica.
• Imposibilidad de mantener • Posibilidad de registrar
la confidencialidad de las el número telefónico
operaciones con el origen de la llamada.
proveedor del servicio • Controles en los
telefónico. sistemas de grabación
• Posibilidad de obtención de de llamadas telefónica.
números de tarjeta y • Evaluar la posibilidad de
contraseñas del canal de notificar al cliente de
transmisión telefónico. manera automática e
inmediata luego de
realizada la operación.
seguridad a aplicar
Sistema Central • El sistema central es el • Estándar de mejores
Core Bancario sistema que soporta gran prácticas de seguridad
parte de los procesos del para OS/400.
negocio del Banco, por lo • Revisión periódica de los
tanto, todo acceso no accesos otorgados a los
autorizado al servidor usuarios del sistema.
representa un riesgo • Monitoreo periódico de
potencial para el negocio. la actividad realizada en
el servidor.
• Verificación del control
dual de aprobación en
transacciones sensibles.
MIS (Management • El acceso a repositorios de • Estándares de seguridad
Information información sensible debe de Windows 2000, bases
System) ser restringido de datos.
adecuadamente. • Adecuados controles de
acceso y otorgamiento
de perfiles a la
aplicación.
Desarrollo de • Los proyectos de desarrollo • Estándar de mejores
aplicaciones para en periodos muy cortos, prácticas de seguridad
las unidades de comprenden un acelerado para Windows 2000,
negocio, en desarrollo de sistemas; la OS/400.
periodos muy aplicación de medidas de • Metodología para el
cortos. seguridad, debería desarrollo de
encontrarse incluida en el aplicaciones.
desarrollo del proyecto. • Procedimientos de
seguridad a aplicar
• El tiempo de pase a control de cambios.
producción de un nuevo • Evaluación de
sistema que soportará un requerimientos de
producto estratégico, es seguridad de los
muy importante para el sistemas antes de su
éxito del negocio, lo cual pase a producción.
puede originar que no se • Estándar de mejores
tomen las medidas de prácticas de seguridad
seguridad necesarias antes para aplicaciones
del pase a producción de distribuidas.
los nuevos sistemas.
Computadoras • Se debe contar con • Concientización y
personales. adecuados controles de entrenamiento de los
acceso a información usuarios en temas de
existente en computadoras seguridad de la
personales. información.
• Se requieren adecuados • Implementación de
controles de accesos a la mayores controles de
información de los sistemas seguridad para
desde las computadoras computadoras
personales de usuarios. personales.
• La existencia de diversos • Finalización del proyecto
sistemas operativos en el de migración de la
parque de computadores plataforma de
personales, tales como, computadoras
Windows 95, Windows 98, personales al sistema
Windows NT, Windows operativo Windows 2000
seguridad a aplicar
2000 Professional, y Windows XP.
Windows XP, impide • Estándares de mejores
estandarizar la prácticas de seguridad
configuración de los para estaciones de
sistemas. trabajo.
• Debe existir un control • Actualización periódica
sobre los dispositivos que de inventarios del
pudieran facilitar fuga de software instalado.
información (disqueteras, • Monitoreo periódico de
grabadoras de cd's, carpetas compartidas.
impresoras personales, • Monitoreo de actividad
etc.) de los usuarios,
• Se debe controlar y sistemas de detección
monitorear las aplicaciones de intrusos.
y sistemas instalados en
las PC´s
Correo electrónico • Posibilidad de • Se debe contar con
interceptación no estándares de encripción
autorizada de mensajes de para los mensajes de
correo electrónico. correo electrónico que
• Riesgo de acceso no contengan información
autorizado a información confidencial.
del servidor. • Estándares de mejores
• Posibilidad de utilización de prácticas de seguridad
recursos por parte de para Windows NT y
personas no autorizadas, Lotus Notes.
para enviar correo • Configuración de anti-
seguridad a aplicar
electrónico a terceros (relay relay.
no autorizado). • Implementación de un
• Posibilidad de recepción de sistema de seguridad del
correo inservible (SPAM). contenido SMTP.
Conexión a • Riesgos de accesos no • Políticas de seguridad.
Internet y redes autorizados desde Internet • Estándares de mejores
públicas / Firewall. y redes externas hacia los prácticas de seguridad
sistemas del Banco. para servidores
• Adecuado uso del acceso a Windows NT, Windows
Internet por parte de los 2000, correo electrónico,
usuarios. servidores Web y
• Los dispositivos que equipos de
permiten controlar accesos, comunicaciones.
tales como, firewalls, • Delimitación de
servidores proxy, etc. responsabilidades
Deben contar con medidas referentes a la seguridad
de seguridad adecuadas de información en
para evitar su manipulación contratos con
por personas no proveedores.
autorizadas. • Mejores prácticas de
• Riesgo de acceso no seguridad para
autorizado desde socios de configuración de
negocios hacia los Firewalls.
sistemas de La Compañía. • Diseño e
implementación de una
arquitectura de
seguridad de
seguridad a aplicar
red.Utilización de
sistemas de detección
de intrusos.
• Especificación de
acuerdos de nivel de
servicio con el
proveedor.
• Controles y filtros para el
acceso a Internet.
En Proyecto
Cambios en la • Los cambios en la • Elaboración de una
infraestructura de infraestructura de red arquitectura de red con
red. pueden generar nuevas medidas de seguridad
puertas de entrada a adecuadas.
intrusos si los cambios no • Establecer controles de
son realizados con una acceso adecuados a la
adecuada planificación. configuración de los
• Una falla en la equipos de
configuración de equipos comunicaciones.
de comunicaciones puede • Plan de migración de
generar falta de infraestructura de red.
disponibilidad de sistemas.
• Un diseño de red
inadecuado puede facilitar
el ingreso no autorizado a
la red de datos.
Software de Riesgo de acceso no • Estándar de seguridad
seguridad a aplicar
administración autorizado a las consolas de para Windows NT
remota de PC´s y administración y agentes de • Estándar de seguridad
servidores. administración remota. para Windows 2000
• Estándar de seguridad
para Windows XP
• Controles de acceso
adecuados a las
consolas y agentes de
administración remota.
• Establecimiento de
adecuados
procedimientos para
tomar control remoto de
PC´s o servidores.
• Adecuada configuración
del registro (log) de
actividad realizada
mediante administración
remota.
Migración de • Posibilidad de error en el • Estándares de seguridad
servidores traslado de los usuarios y para Windows 2000.
Windows NT permisos de acceso a los • Procedimientos de
Server a Windows directorios de los nuevos control de cambios.
2000 Server. servidores. • Plan de migración a
• Posibilidad de existencia de Windows 2000.
vulnerabilidades no • Políticas de seguridad.
conocidas anteriormente.
seguridad a aplicar
Implantación de • Información sensible • Estándares de
Datawarehouse. almacenada en un Seguridad para Windows
repositorio centralizado, 2000.
requiere de controles de • Estándar de seguridad
acceso adecuados. en bases de datos SQL.
• La disponibilidad del • Plan de implantación de
sistema debe ser alta para Datawarehouse.
no afectar las operaciones • Procedimientos para
que soporta. otorgamiento de perfiles.
• Políticas de seguridad.
5.2 Matriz de Evaluación de Amenazas y Vulnerabilidades

En esta matriz se muestra los riesgos y amenazas identificadas, las
implicancias de seguridad y los estándares o medidas de seguridad necesarias
para mitigar dicha amenaza.
Amenaza / Estándar o medida de

Implicancia de Seguridad
Vulnerabilidad seguridad a aplicar
Riesgos/ Amenazas
Interés en obtener La existencia de información • Estándares de seguridad
información atractiva para competidores de para servidores
estratégica del negocio tales como Windows 2000,
Banco, por parte información de clientes e Windows NT y OS/400.
de competidores información de marketing • Control de acceso a las
de negocio. implica la aplicación de aplicaciones del Banco.
controles adecuados para el Revisión y depuración

acceso a información. periódica de los accesos
otorgados.
• Restricciones en el
manejo de información
enviada por correo
electrónico hacia redes
externas, extraída en
disquetes o cd´s e
información impresa.
• Verificación de la
información impresa en
reportes, evitar mostrar
información innecesaria
en ellos.
• Políticas de seguridad.
Interés en obtener Debido al volumen de dinero • Estándares de seguridad
beneficios que es administrado por es para Windows NT,
económicos administrado por una entidad Windows 2000, OS/400
mediante actividad financiera, la amenaza de y bases de datos SQL.
fraudulenta. intento de fraude es una • Controles de accesos a
posibilidad muy tentadora los menús de las
tanto para personal interno del aplicaciones.
Banco, así como para personal • Revisiones periódicas de
externo. los niveles de accesos
de los usuarios.
• Evaluación periódica de
la integridad de la

información por parte del
propietario de la misma.
• Revisiones periódicas de
los registros (logs) de los
sistemas y operaciones
realizadas.
• Mejores prácticas para
configuración de
firewalls, servidores y
equipos de
comunicaciones.
Actividad • La actividad desarrollada • Estándares de seguridad
vandálica por “hackers” o “crackers” para servidores
realizada por de sistemas, puede afectar Windows 2000.
“hackers” o la disponibilidad, integridad • Estándares de seguridad
“crackers” y confidencialidad de la para servidores
información del negocio. Windows NT.
Estos actos vandálicos • Delimitación de
pueden ser desarrollados responsabilidades y
por personal interno o sanciones en los
externo al Banco. contratos con
• Adicionalmente si dicha proveedores de servicios
actividad es realizada en calidad de “hosting”.
contra equipos que • Verificación de
proveen servicios a los evaluaciones periódicas
clientes (página Web del o certificaciones de la
banco) la imagen y seguridad de los

reputación del Banco se sistemas en calidad de
podría ver afectada en un “hosting”.
grado muy importante. • Concientización y
compromiso formal de
los usuarios en temas
relacionados a la
seguridad de
información.
• Políticas de Seguridad.
Pérdida de • El riesgo de pérdida de • Adecuada arquitectura e
información información por virus implementación del
producto de informático es alto si no se sistema antivirus.
infección por virus administra adecuadamente • Verificación periódica de
informático. el sistema Antivirus y los la actualización del
usuarios no han sido antivirus de
concientizados en computadoras
seguridad de información personales y servidores.
• Generación periódica de
reportes de virus
detectados y
actualización de
antivirus.
Fuga de • Los accesos otorgados al • Control adecuado de los
información a personal temporal deben accesos otorgados.
través del personal ser controlados • Depuración periódica de
que ingresa de adecuadamente, asimismo accesos otorgados a los
manera temporal la actividad realizada por sistemas.

en sustitución de los mismos en los sistemas • Restricciones en acceso
empleados en debe ser periódicamente a correo electrónico y
vacaciones. monitoreada. transferencia de
• El personal temporal podría archivos hacia Internet.
realizar actividad no • Adecuada configuración
autorizada, la cual podría y revisión periódica de
ser detectada cuando haya los registros (logs) de
finalizado sus labores en el aplicaciones y sistema
Banco. operativo.
Vulnerabilidades
No se cuenta con El control sobre la actividad de • Se debe contar con un
un inventario de los usuarios en los sistemas es inventario de los
perfiles de acceso llevado a cabo en muchos accesos que poseen los
a las aplicaciones. casos, mediante perfiles de usuarios sobre las
usuarios controlando así los aplicaciones.
privilegios de acceso a los • Revisiones periódicas de
sistemas. los perfiles y accesos de
los usuarios por parte
del propietario de la
información.
Exceso de La necesidad de utilizar • Uniformizar dentro de lo
contraseñas contraseñas distintas para posible la estructura de
manejadas por los cada sistema o aplicación del las contraseñas
usuarios. Banco, puede afectar la empleadas y sus fechas
seguridad en la medida que el de renovación.
usuario no sea capaz de • Implementar un sistema

retener en la memoria, la de Servicio de directorio,
relación de nombres de el cual permita al usuario
usuario y contraseñas identificarse en él, y
utilizadas en todos los mediante un proceso
sistemas. La necesidad de automático, éste lo
anotar las contraseñas por identifique en los
parte de los usuarios, expone sistemas en los cuales
las mismas a acceso por parte posee acceso.
de personal no autorizado.
Existencia de El ambiente de producción • Inventario y depuración
usuarios del área debe contar con controles de de perfiles de acceso
de desarrollo y acceso adecuados con que poseen los usuarios
personal temporal respecto los usuarios de de desarrollo en el
con acceso al desarrollo, esto incluye las entorno de producción.
entorno de aplicaciones y bases de datos • Adecuada segregación
producción. de las mismas. de funciones del
personal del área de
sistemas.
• Procedimiento de pase a
producción.
Aplicaciones cuyo El área de seguridad • Formalización de roles y
acceso no es informática debe participar en responsabilidades del
controlado por el el proceso de asignación de área de seguridad
área de seguridad accesos a las aplicaciones del informática.
informática. Banco y verificar que la • Traslado de la
solicitud de accesos sea responsabilidad del
coherente con el cargo del control de accesos a

usuario. aplicaciones al área de
El gerente que aprueba la seguridad informática.
solicitud es el responsable de
los accesos que solicita para
los usuarios de su área.
Falta de El personal del Banco es el • Programa de
conciencia en vínculo entre la política de capacitación del Banco
seguridad por seguridad y su implementación en temas relacionados a
parte del personal final para aplicar la política de la seguridad de
del Banco. seguridad, se pueden información.
establecer controles y un • Capacitación mediante
monitoreo constante, pero la charlas, videos,
persona es siempre el punto presentaciones, afiches,
más débil de la cadena de etc., los cuales
seguridad, este riesgo se recuerden
puede incrementar si el permanentemente al
usuario no recibe una usuario la importancia
adecuada capacitación y de la seguridad de
orientación en seguridad de información.
información.
Falta de personal Para una adecuada • Capacitación del
con conocimientos administración de la seguridad personal técnico en
técnicos de informática se requiere temas de seguridad de
seguridad personal capacitado que información o inclusión
informática. pueda cumplir las labores de nuevo de personal con
elaboración de políticas y conocimientos de
administración de seguridad seguridad de

en el área de seguridad información para las
informática, así como áreas de seguridad
implementación de controles y informática y sistemas.
configuración de sistemas en
el área de sistemas.
Falta de controles El acceso hacia Internet por • Configuración adecuada
adecuados para la medios como correo del servidor Proxy y la
información que electrónico, ftp (file transfer herramienta Surf
envían los protocol) o incluso web en Control.
usuarios hacia algunos casos, puede facilitar • Generación periódica de
Internet. la fuga de información reportes de la
confidencial del Banco. efectividad de los
El Banco ha invertido en la controles aplicados.
implementación de una • Implementación de una
herramienta para el filtrado de adecuada arquitectura
las páginas web que son de red.
accedidas por los usuarios, se • Mejores prácticas para
debe asegurar que dicho la configuración de
control sea adecuadamente Firewalls.
aplicado. • Implementación y
administración de
Vulnerabilidades: herramientas para la
• No existen controles inspección del contenido
adecuados sobre el de los correos
personal autorizado a electrónicos enviados.
enviar correo electrónico al
exterior.

• No existen herramientas de
inspección de contenido
para correo electrónico.
• Se pudo observar que
usuarios que no se han
identificado en el dominio
del Banco, pueden acceder
al servicio de navegación a
través del servidor Proxy.
No existen Existe información • Establecimiento de un
controles almacenada en las procedimiento formal
adecuados para la computadoras personales de que contemple la
información los usuarios que requiere generación de copia de
almacenada en las ciertos niveles de seguridad. respaldo de información
computadoras Los usuarios deben contar con importante de los
personales. procedimientos para realizar usuarios.
copias de respaldo de su • Concluir el proceso de
información importante. migración del sistema
Vulnerabilidades: operativo de las
• El sistema operativo computadoras
Windows 95/98 no permite personales a Windows
otorgar niveles apropiados 2000 Professional o
de seguridad a la Windows XP.
información existente en • Concientización de
ellas. usuarios en temas
• No existe un procedimiento relacionados a la
para verificación periódica seguridad de la

de las carpetas información.
compartidas por los
usuarios.
• El procedimiento para
realizar copias de respaldo
de la información
importante no es conocido
por todos los usuarios.
Arquitectura de red Posibilidad de acceso no • Diseño de arquitectura

inapropiada para autorizado a sistemas por de seguridad de red.
controlar accesos parte de personal externo al • Adecuada configuración
desde redes Banco. de elementos de control
externas. Vulnerabilidades: de conexiones
• Existencia de redes (firewalls).
externas se conectan con • Implementación y
la red del Banco sin la administración de
protección de un firewall. herramientas de
• Los servidores de acceso seguridad.
público no se encuentran
aislados de la red interna.
Fuga de Es posible obtener la • Programas para
información información existente en las encripción de la data
estratégica computadoras portátiles de los confidencial existente en
mediante gerentes del banco mediante los discos duros de las
sustracción de el robo de las mismas. computadoras portátiles.
computadores

portátiles.
Acceso no • El riesgo de contar con • Evaluación del alcance
autorizado a través segmentos de red de la red inalámbrica.
de enlaces inalámbricos sin medidas • Separación del
inalámbricos. de seguridad específicas segmento de red
para este tipo de enlaces, inalámbrico mediante un
radica en que cualquier Firewall.
persona podría conectar un • Verificación periódica de
equipo externo al Banco la actividad realizada
incluso desde un edificio desde la red
cercano. inalámbrica.
• Utilización de encripción
.
Controles de • Posibilidad de acceso no • Implementación de una
acceso hacia autorizado desde la red adecuada arquitectura
Internet desde la interna de datos hacia de red.
red interna. equipos de terceros en • Configuración adecuada
Internet. de servidor Proxy.
• Posibilidad de fuga de • Mejores prácticas para
información. la configuración de
• Posibilidad de realización Firewalls.
de actividad ilegal en • Implementación y
equipos de terceros a administración de
través de Internet. herramientas para la
seguridad del contenido
de los correos
electrónicos enviados.

• Monitoreo periódico de
la actividad, mediante el
análisis de los registros
(logs) de los sistemas.
5.3 Matriz de Iniciativas del Negocio / Procesos

En esta matriz se muestra las iniciativas y operaciones del negocio que poseen
alta implicancia en seguridad y los estándares o medidas de seguridad a ser
aplicados para minimizar los riesgos generados por ellas.
Iniciativa del Estándar o medida de

Negocio seguridad a aplicar
Iniciativas del Negocio
Implantación de • Información sensible • Estándar de mejores
Datawarehouse. almacenada en un prácticas de
repositorio centralizado, seguridad para
requiere de controles de Windows NT
acceso adecuados. • Estándar de mejores
• La disponibilidad del prácticas de
sistema debe ser alta para seguridad para
no afectar las operaciones Windows
que soporta. • Plan de implantación
de Datawarehouse.
• Procedimientos para
otorgamiento de
perfiles.

• Implementación de
una arquitectura de
red segura.
Proyecto de • Consulta de información • Especificación de
tercerización del existente en los sistemas responsabilidades y
Call Center por parte de terceros. obligaciones
• Registro de información en referentes a la
los sistemas por parte de seguridad de la
terceros. información del
Banco, en los
contratos con
terceros.
• Especificación de
acuerdos de nivel de
servicio.
• Adecuados controles
de acceso a la
información
registrada en el
sistema
Proyecto de • El acceso de personal no • Estándares de
comunicación con autorizado a los medios de seguridad para la
Conasev utilizando almacenamiento de llaves manipulación y
firmas digitales de encripción (media, revocación de llaves
(Requerimiento de smartcards, impresa) de encripción.
Conasev) debilita todo el sistema de • Implementación de
encripción de la controles de acceso a

información. dispositivos y llaves
• Para los procesos de firma de encripción.
y encripción de la
información se requiere el
ingreso de contraseñas,
estas contraseñas deben
ser mantenidas en forma
confidencial.
Digitalización • La disposición de estos • Aplicación de
(scanning) de elementos en medios estándares de
poderes y firmas. digitales requiere de seguridad de la
adecuados niveles de plataforma que
protección para evitar su contiene dicha
acceso no autorizado y información.
utilización con fines • Encripción de la data
ilegales. digitalizada.
• Restricción de
accesos a los
poderes y firmas
tanto a nivel de
aplicación, como a
nivel de sistema
operativo.
Tercerización de • La administración de • Cláusulas de
operaciones de equipos críticos de la red confidencialidad y
sistemas y Help del Banco por parte de establecimiento claro
Desk. terceros representa un de responsabilidades

riesgo en especial por la de los proveedores
posibilidad de fuga de en los contratos,
información confidencial. especificación de
penalidades en caso
de incumplimiento.
• Monitoreo periódico
de las operaciones
realizadas por
personal externo,
incluyendo la revisión
periódica de sus
actividades en los
registros (logs) de
aplicaciones y
sistema operativo.
• Evitar otorgamiento
de privilegios
administrativos a
personal externo,
para evitar
manipulación de
registros.
Proyecto de • El sistema SWIFT se • Estándar de mejores
interconexión del encuentra en un segmento prácticas de
Sistema Swift a la aislado de la red de datos seguridad para
red de datos del del Banco por razones de servidores Windows
Banco. seguridad de información. NT

• Al unir el sistema Swift a la • Controles de acceso
red de datos del Banco, a la aplicación
dicho sistema se va a SWIFT.
encontrar expuesto a • Estándares de
intentos de acceso no encripción de datos
autorizados por parte de entre el sistema Swift
equipos que comprenden y los terminales que
la red de datos. se comunican con él.
Operaciones del Negocio

Almacenamiento • Las cintas de backup • Acuerdos de
de copias de guardan información confidencialidad y
respaldo realizado confidencial del negocio del tiempo de respuesta
por Hermes. banco, adicionalmente en los contratos con
deben encontrarse el proveedor.
disponibles para ser • Pruebas del tiempo
utilizadas en una de respuesta del
emergencia y la proveedor para
información que guardan transportar las cintas
debe mantenerse íntegra. de backup en caso de
emergencia.
• Verificación periódica
del estado de las
cintas.
Procesamiento de • El almacenamiento de • Acuerdos de
transacciones de información por parte de confidencialidad y
tarjetas de crédito terceros podría representar tiempo de respuesta

y débito realizado una fuente de divulgación en contratos con el
por Unibanca. no autorizada de proveedor.
información del Banco y • Estándares de
sus clientes. encripción de
• El acceso a los sistemas información
por parte de terceros debe transmitida.
ser controlado para evitar
la realización de actividad
no autorizada.
Almacenamiento • El almacenamiento de • Acuerdos de
de Documentos información por parte de confidencialidad y
realizado por terceros podría representar tiempo de respuesta
terceros “File una fuente de divulgación en contratos con
Service” no autorizada de proveedores.
información del Banco y • Verificación periódica
sus clientes. del grado de deterioro
• El almacenamiento de de la documentación.
información debe realizarse
de manera adecuada para
mantener la disponibilidad
de los documentos y evitar
su deterioro.
Impresión y • El almacenamiento de • Acuerdos de
ensobrado de información por parte de confidencialidad en
estados de cuenta terceros podría representar contratos con
realizado por una fuente de divulgación proveedores.
Napatek no autorizada de • Estándares de

información del Banco y encripción de datos
sus clientes. transmitidos por
• El envío de información correo electrónico.
sensible al proveedor debe • Verificación de
ser realizado por un canal integridad de la data
de transmisión seguro, o transmitida.
en su defecto debe contar
con medidas de encripción,
que impidan su utilización
en caso de ser
interceptada.
Envío de • Se debe asegurar que la • Estándares de
información información sensible encripción de datos
sensible a clientes transmitida a los clientes transmitidos.
y entidades cuente con medidas de
recaudadoras vía seguridad adecuadas las
correo electrónico cuales permitan garantizar
el cumplimiento de normas
como el secreto bancario.
Almacenamiento • El Banco almacena • Clasificación y
físico de documentos importantes etiquetado de la
información de clientes, muchos de información.
realizada al interior ellos con información • Implementación de
del Banco. confidencial, asimismo controles físicos de
existe información en otros acceso a la
medios como discos duros, información de
cintas, etc., que albergan acuerdo a su

información importante. Se clasificación.
debe asegurar que dicha • Establecimiento de
información cuente con condiciones
medidas de seguridad apropiadas de
adecuadas que aseguren almacenamiento para
la integridad, disponibilidad evitar su deterioro.
y confidencialidad de la • Mantenimiento de un
información. registro de entrada y
salida de activos de
los archivos.
Acceso de • Todo acceso de personal • Cláusulas de
personal de externo a la red de datos confidencialidad y
Rehder a la red de del Banco representa un establecimiento claro
datos del Banco. riesgo potencial de acceso de responsabilidades
no autorizado a los de los proveedores
sistemas. en los contratos,
especificación de
penalidades en caso
de incumplimiento.
• Monitoreo de
actividad realizada
por personal externo.
• Restricciones de
acceso a Internet
configurados en el
firewall.
Centro de • Los sistemas ubicados en • Especificación de

Contingencia Telefónica Data deben acuerdos de nivel de
ubicado en el TIC encontrarse siempre servicio y
de Telefónica disponibles para ser penalidades en caso
Data. utilizados en casos de de incumplimiento en
emergencia. contratos con
• Se debe asegurar la proveedores.
integridad de la información • Pruebas del centro de
existente en los sistemas contingencia.
de respaldo y el grado de • Verificación periódica
actualización de la misma de la disponibilidad
con respecto al sistema en de los sistemas y
producción. grado de
actualización de la
información.
Atención en Front • Las aplicaciones y los • Acuerdos de niveles
Office. sistemas de de servicio en
comunicaciones deben contratos con
encontrarse disponibles en proveedores de
todo momento para no comunicaciones.
afectar la atención a los • Verificación periódica
clientes. de disponibilidad de
• Los periodos de los sistemas.
indisponibilidad deben ser • Implementación de
medidos. métricas de
rendimiento y
disponibilidad de los
sistemas.

Soporte de IBM al • El servidor AS/400 es el • Cláusulas de
Servidor AS/400. que soporta la mayor confidencialidad y
cantidad de procesos del establecimiento claro
negocio del Banco, por lo de responsabilidades
tanto se debe asegurar que de los proveedores
el proveedor debe ser en los contratos,
capaz de restaurar los especificación de
servicios del servidor en el penalidades en caso
menor tiempo posible. de incumplimiento.
• Asimismo dado que el • Asignación de un
proveedor accede usuario distinto al
periódicamente al equipo, utilizado por personal
existe el riesgo de acceso del Banco con los
no autorizado a privilegios mínimos
información existente en el necesarios.
mismo. • Inspección del log de
actividades del
proveedor luego de
realizar
mantenimiento al
equipo.
Capítulo VI
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
En este capitulo se elaboraran las políticas de seguridad con el propósito de

proteger la información de la empresa, estas servirán de guía para la
implementación de medidas de seguridad que contribuirán a mantener la
integridad, confidencialidad y disponibilidad de los datos dentro de los sistemas
de aplicación, redes, instalaciones de cómputo y procedimientos manuales.
El documento de políticas de seguridad ha sido elaborado tomando como base
la siguiente documentación:
- Estándar de seguridad de la información ISO 17799

- Requerimientos de la Circular N° G-105-2002 de la Superintendencia
de Banca y Seguros (SBS) sobre Riesgos de Tecnología de Información.
- Normas internas del Banco referidas a seguridad de información.
6.1 Definición
Una Política de seguridad de información es un conjunto de reglas aplicadas a
todas las actividades relacionadas al manejo de la información de una entidad,
teniendo el propósito de proteger la información, los recursos y la reputación de
la misma.
Propósito
El propósito de las políticas de seguridad de la información es proteger la
información y los activos de datos del Banco. Las políticas son guías para
asegurar la protección y la integridad de los datos dentro de los sistemas de
aplicación, redes, instalaciones de cómputo y procedimientos manuales.
6.2 CUMPLIMIENTO OBLIGATORIO

El cumplimiento de las políticas y estándares de seguridad de la información es
obligatorio y debe ser considerado como una condición en los contratos del
personal.
El Banco puede obviar algunas de las políticas de seguridad definidas en este
documento, únicamente cuando se ha demostrado claramente que el
cumplimiento de dichas políticas tendría un impacto significativo e inaceptable
para el negocio. Toda excepción a las políticas debe ser documentada y
aprobada por el área de seguridad informática y el área de auditoria interna,
detallando el motivo que justifica el no-cumplimiento de la política.
6.3 ORGANIZACIÓN DE LA SEGURIDAD

En esta política se definen los roles y responsabilidades a lo largo de la
organización con respecto a la protección de recursos de información. Esta
política se aplica a todos los empleados y otros asociados con el Banco, cada
uno de los cuales cumple un rol en la administración de la seguridad de la
información. Todos los empleados son responsables de mantener un ambiente
seguro, en tanto que el área de seguridad informática debe monitorear el
cumplimiento de la política de seguridad definida y realizar las actualizaciones
que sean necesarias, producto de los cambios en el entorno informático y las
necesidades del negocio.
6.3.1 Estructura Organizacional
En la administración de la seguridad de la información participan todos los
empleados siguiendo uno o más de los siguientes roles:
- Área de Seguridad Informática
- Usuario
- Custodio de información
- Propietario de información
- Auditor interno
Los roles y funciones de administración de la seguridad de la información de

cada uno de estas personas están detalladas en el Capitulo IV.
6.3.2 Acceso por parte de terceros

El Banco debe establecer para terceros al menos las mismas
restricciones de acceso a la información que a un usuario interno.
Además, el acceso a la información debe limitarse a lo mínimo
indispensable para cumplir con el trabajo asignado. Las excepciones
deben ser analizadas y aprobadas por el área de seguridad informática.
Esto incluye tanto acceso físico como lógico a los recursos de información
del Banco.
Todo acceso por parte de personal externo debe ser autorizado por un
responsable interno, quien asume la responsabilidad por las acciones que
pueda realizar el mismo. El personal externo debe firmar un acuerdo de
no-divulgación antes de obtener acceso a información del Banco.
Proveedores que requieran acceso a los sistemas de información del
Banco deben tener acceso únicamente cuando sea necesario.
Todas las conexiones que se originan desde redes o equipos externos al
Banco, deben limitarse únicamente a los servidores y aplicaciones
necesarios. Si es posible, estos servidores destino de las conexiones
deben estar físicamente o lógicamente separados de la red interna del
Banco.
Los contratos relacionados a servicios de tecnologías de información
deben ser aprobados por el área legal del Banco, y en el caso de que
afecten la seguridad o las redes de la organización deben ser aprobados
adicionalmente por el área de seguridad informática. Bajo determinadas
condiciones, como en la ejecución de servicios críticos para el negocio, el
Banco debe considerar efectuar una revisión independiente de la
estructura de control interno del proveedor.
En los contratos de procesamiento de datos externos se debe especificar

los requerimientos de seguridad y acciones a tomar en caso de violación
de los contratos. Todos los contratos deben incluir una cláusula donde se
establezca el derecho del Banco de nombrar a un representante
autorizado para evaluar la estructura de control interna del proveedor.
6.3.3 Outsourcing
Todos los contratos de Outsourcing deben incluir lo siguiente:
- Acuerdos sobre políticas y controles de seguridad.
- Determinación de niveles de disponibilidad aceptable.
- El derecho del Banco de auditar los controles de seguridad de
información del proveedor.
- Determinación de los requerimientos legales del Banco.
- Metodología del proveedor para mantener y probar cíclicamente la
seguridad del sistema.
- Que el servicio de procesamiento y la información del Banco objeto
de la subcontratación estén aislados, en todo momento y bajo
cualquier circunstancia.
El proveedor es responsable de inmediatamente informar al responsable
del contrato de cualquier brecha de seguridad que pueda comprometer
información del Banco. Cualquier empleado del Banco debe informar de
violaciones a la seguridad de la información por parte de proveedores al
área de seguridad informática.
6.4 EVALUACION DE RIESGO

El costo de las medidas y controles de seguridad no debe exceder la
pérdida que se espera evitar. Para la evaluación del riesgo se deben de
seguir los siguientes pasos:
- Clasificación del acceso de la información
- Ejecución del análisis del riesgo identificando áreas vulnerables, pérdida

potencial y selección de controles y objetivos de control para mitigar los
riesgos, de acuerdo a los siguientes estándares.
6.4.1 Inventario de activos

Los inventarios de activos ayudan a garantizar la vigencia de una
protección eficaz de los recursos, y también pueden ser necesarios para
otros propósitos de la empresa, como los relacionados con sanidad y
seguridad, seguros o finanzas (administración de recursos). El proceso de
compilación de un inventario de activos es un aspecto importante de la
administración de riesgos. Una organización debe contar con la capacidad
de identificar sus activos y el valor relativo e importancia de los mismos.
Sobre la base de esta información, la organización puede entonces,
asignar niveles de protección proporcionales al valor e importancia de los
activos. Se debe elaborar y mantener un inventario de los activos
importantes asociados a cada sistema de información. Cada activo debe
ser claramente identificado y su propietario y clasificación en cuanto a
seguridad deben ser acordados y documentados, junto con la ubicación
vigente del mismo (importante cuando se emprende una recuperación
posterior a una pérdida o daño). Ejemplos de activos asociados a
sistemas de información son los siguientes:
- Recursos de información: bases de datos y archivos, documentación
de sistemas, manuales de usuario, material de capacitación,
procedimientos operativos o de soporte, planes de continuidad,
disposiciones relativas a sistemas de emergencia para la reposición de
información perdida (“fallback”), información archivada;
- Recursos de software: software de aplicaciones, software de sistemas,
herramientas de desarrollo y utilitarios;
- Activos físicos: equipamiento informático (procesadores, monitores,
computadoras portátiles, módems), equipos de comunicaciones
(routers, PBXs, máquinas de fax, contestadores automáticos), medios

magnéticos (cintas y discos), otros equipos técnicos (suministro de
electricidad, unidades de aire acondicionado), mobiliario, lugares de
emplazamiento;
- Servicios: servicios informáticos y de comunicaciones, utilitarios
generales, por Ej. calefacción, iluminación, energía eléctrica, aire
acondicionado.
6.4.2 Clasificación del acceso de la información

Toda la información debe de ser clasificada como Restringida,
Confidencial, Uso Interno o General de acuerdo a lo definido en el capitulo
4.2.1. La clasificación de información debe de ser documentada por el
Propietario, aprobada por la gerencia responsable y distribuida a los
Custodios durante el proceso de desarrollo de sistemas o antes de la
distribución de los documentos o datos.
La clasificación asignada a un tipo de información, solo puede ser
cambiada por el propietario de la información, luego de justificar
formalmente el cambio en dicha clasificación.
La información que existe en más de un medio (por ejemplo, documento
fuente, registro electrónico, reporte o red) debe de tener la misma
clasificación sin importar el formato.
Frecuentemente, la información deja de ser sensible o crítica después de
un cierto período de tiempo, verbigracia, cuando la información se ha
hecho pública. Este aspecto debe ser tomado en cuenta por el propietario
de la información, para realizar una reclasificación de la misma, puesto
que la clasificación por exceso (“over- classification”) puede traducirse en
gastos adicionales innecesarios para la organización.
La información debe de ser examinada para determinar el impacto en el
Banco si fuera divulgada o alterada por medios no autorizados. A
continuación detallamos algunos ejemplos de información sensible:
q Datos de interés para la competencia:

- Estrategias de marketing
- Listas de clientes
- Fechas de renovación de créditos
- Tarifaciones
- Datos usados en decisiones de inversión
q Datos que proveen acceso a información o servicios:
- Llaves de encripción o autenticación
- Contraseñas
q Datos protegidos por legislación de privacidad vigente
- Registros del personal
- Montos de los pasivos de clientes
- Datos históricos con 10 años de antigüedad
q Datos que tienen un alto riesgo de ser blanco de fraude u otra actividad
ilícita:
- Datos contables utilizados en sistemas
- Sistemas que controlan desembolsos de fondos
6.4.3 Definiciones
Restringida: Información con mayor grado de sensibilidad; el acceso a
esta información debe de ser autorizado caso por caso.
Confidencial: Información sensible que solo debe ser divulgada a
aquellas personas que la necesiten para el cumplimiento de sus
funciones.
Uso Interno: Datos generados para facilitar las operaciones diarias;
deben de ser manejados de una manera discreta, pero no requiere de
medidas elaboradas de seguridad.
General: Información que es generada específicamente para su
divulgación a la población general de usuarios.
6.4.4 Aplicación de controles para la información clasificada

Las medidas de seguridad a ser aplicadas a los activos de información
clasificados, incluyen pero no se limitan a las siguientes:
6.4.4.1 Información de la Compañía almacenada en formato digital
• Todo contenedor de información en medio digital (CD´s, cintas de

backup, diskettes, etc.) debe presentar una etiqueta con la clasificación
correspondiente.
• La información en formato digital clasificada como de acceso “General”,
puede ser almacenada en cualquier sistema de la Compañía. Sin
embargo se deben tomar las medidas necesarias para no mezclar
información “General” con información correspondiente a otra
clasificación.
• Todo usuario, antes de transmitir información clasificada como
“Restringida” o “Confidencial”, debe asegurarse que el destinatario de la
información esté autorizado a recibir dicha información.
• Todo usuario que requiere acceso a información clasificada como
“Restringida” o “Confidencial”, debe ser autorizado por el propietario de
la misma. Las autorizaciones de acceso a este tipo de información
deben ser documentadas.
• La clasificación asignada a un tipo de información, solo puede ser
cambiada por el propietario de la información, luego de justificar
formalmente el cambio en dicha clasificación.
• Información en formato digital, clasificada como “Restringida”, debe ser
encriptada con un método aprobado por los encargados de la
administración de seguridad de la información, cuando es almacenada
en cualquier medio (disco duro, disquetes, cintas, CDs, etc.).
• Es recomendable el uso de técnicas de encripción para la información

clasificada como “Restringida” o “Confidencial”, transmitida a través de la
red de datos del Banco.
• Toda transmisión de Información clasificada como “Restringida”,
“Confidencial” o de “Uso Interno” realizada hacia o a través de redes
externas a la Compañía debe realizarse utilizando un medio de
transmisión seguro o utilizando técnicas de encripción aprobadas.
• Todo documento en formato digital, debe presentar la clasificación
correspondiente en la parte superior (cabecera) e inferior (pié de página)
de cada página del documento.
• Los medios de almacenamiento, incluyendo discos duros de
computadoras, que albergan información clasificada como “Restringida”,
deben ser ubicados en ambientes cerrados diseñados para el
almacenamiento de dicho tipo de información. En lugar de protección
física, la información clasificada como “Restringida”, podría ser protegida
con técnicas de encripción aprobadas por la Compañía.
6.4.4.2 Información de la Compañía almacenada en formato no

digital
• Todo documento o contenedor de información debe ser etiquetado como
“Restringida”, “Confidencial”, de “Uso interno” o de Acceso “General”,
dependiendo de la clasificación asignada.
• Todo documento que presente información clasificada como
“Confidencial” o “Restringida”, debe ser etiquetado en la parte superior e
inferior de cada página con la clasificación correspondiente.
• Todo documento clasificado como “Confidencial” o “Restringido” debe
contar con una carátula en la cual se muestre la clasificación de la
información que contiene.
• Los activos de información correspondiente a distintos niveles de

clasificación, deben ser almacenados en distintos contenedores, de no ser
posible dicha distinción, se asignará el nivel más critico de la información
identificada a todo el contenedor de información.
• El ambiente donde se almacena la información clasificada como
“Restringida”, debe contar con adecuados controles de acceso y
asegurado cuando se encuentre sin vigilancia. El acceso debe ser
permitido solo al personal formalmente autorizado. Personal de limpieza
debe ingresar al ambiente acompañado por personal autorizado.
• Solo el personal formalmente autorizado debe tener acceso a información
clasificada como “Restringida” o “Confidencial”
• Los usuarios que utilizan documentos con información “Confidencial” o
“Restringida” deben asegurarse de:
- Almacenarlos en lugares adecuados
- Evitar que usuarios no autorizados accedan a dichos documentos
- Destruir los documentos si luego de su utilización dejan de ser
necesarios
6.4.5 Análisis de riesgo

Los Propietarios de la información y custodios son conjuntamente
responsables del desarrollo de análisis de riesgos anual de los sistemas a
su cargo. Como parte del análisis se debe identificar las aplicaciones de
alta criticidad como críticas para la recuperación ante desastres. Es
importante identificar:
- Áreas vulnerables
- Pérdida potencial
- Selección de controles y objetivos de control para mitigar los riesgos,
indicando las razones para su inclusión o exclusión (Seguridad de
datos, Plan de respaldo/recuperación, Procedimientos estándar de

operación)
Adicionalmente, un análisis de riesgo debe de ser conducido luego de
cualquier cambio significativo en los sistemas, en concordancia con el
clima cambiante de las operaciones en el negocio del Banco.
El análisis de riesgo debe tener un propósito claramente definido y
delimitado, existiendo dos posibilidades: cumplimiento con los controles
y/o medidas de protección o la aceptación del riesgo.
6.4.6 Cumplimiento
El cumplimiento satisfactorio del proceso de evaluación del riesgo se
caracteriza por:
- Identificación y clasificación correcta de los activos a ser protegidos.

- Aplicación consistente y continua de los controles y/o medidas para
mitigar el riesgo (seguridad efectiva de datos, recuperación ante
desastres adecuado)
- Detección temprana de los riesgos, reporte adecuado de pérdidas, así
como una respuesta oportuna y efectiva ante las perdidas ya
materializadas.
6.4.7 Aceptación de riesgo

La gerencia responsable puede obviar algún control o requerimiento de
protección y aceptar el riesgo identificado solo cuando ha sido
claramente demostrado que las opciones disponibles para lograr el
cumplimiento han sido identificadas y evaluadas, y que éstas tendrían un
impacto significativo y no aceptable para el negocio.
La aceptación de riesgo por falta de cumplimiento de los controles y/o
medidas de protección debe ser documentada, revisada por las partes
involucradas, comunicada por escrito y aceptada por las áreas

responsables de la administración de la seguridad.
6.5 SEGURIDAD DEL PERSONAL

Los estándares relacionados al personal deben ser aplicados para asegurarse
que los empleados sean seleccionados adecuadamente antes de ser
contratados, puedan ser fácilmente identificados mientras formen parte del
Banco y que el acceso sea revocado oportunamente cuando un empleado es
despedido o transferido. Deben desarrollarse estándares adicionales para
asegurar que el personal sea consciente de todas sus responsabilidades y
acciones apropiadas en el reporte de incidentes.
Esta política se aplica a todos los empleados, personal contratado y
proveedores.
Los empleados son los activos más valiosos del Banco. Sin embargo, un
gran número de problemas de seguridad de cómputo pueden ser causados
por descuido o desinformación. Se deben de implementar procedimientos
para manejar estos riesgos y ayudar al personal del Banco a crear un
ambiente de trabajo seguro.
Medidas de precaución deben de ser tomadas cuando se contrata,
transfiere y despide a los empleados. Deben de establecerse controles
para comunicar los cambios del personal y los requerimientos de recursos
de cómputo a los responsables de la administración de la seguridad de la
información. Es crucial que estos cambios sean atendidos a tiempo.
6.5.1 Seguridad en la definición de puestos de trabajo y recursos

El departamento de Recursos Humanos debe de notificar al área de
seguridad informática, la renuncia o despido de los empleados así como
el inicio y fin de los periodos de vacaciones de los mismos. Cuando se
notifique un despido o transferencia, el Custodio de información debe de
asegurarse que el identificador de usuario sea revocado. Cuando se
notifique una transferencia o despido, el área de seguridad debe de

asegurarse que las fichas o placas sean devueltas al Banco. Cualquier
ítem entregado al empleado o proveedor como computadoras portátiles,
llaves, tarjetas de identificación, software, datos, documentación,
manuales, etc. deben de ser entregados a su gerente o al área de
Recursos Humanos.
La seguridad es responsabilidad de todos los empleados y personas
involucradas con el Banco. Por ende, todos los empleados, contratistas,
proveedores y personas con acceso a las instalaciones e información del
Banco deben de acatar los estándares documentados en la política de
seguridad del Banco e incluir la seguridad como una de sus
responsabilidades principales.
Todos los dispositivos personales de información, como por ejemplo
computadoras de propiedad de los empleados o asistentes digitales
personales (PDA – Personal Digital Assistant), que interactúen con los
sistemas del Banco, deben ser aprobados y autorizados por la gerencia
del Banco.
6.5.2 Capacitación de usuarios

Es responsabilidad del área de seguridad informática promover
constantemente la importancia de la seguridad a todos los usuarios de los
sistemas de información. El programa de concientización en seguridad
debe de contener continuas capacitaciones y charlas, adicionalmente se
puede emplear diversos métodos como afiches, llaveros, mensajes de
log-in, etc., los cuales recuerden permanentemente al usuario el papel
importante que cumplen en el mantenimiento de la seguridad de la
información.
Orientación para los empleados y/o servicios de terceros nuevos

Cuando se contrate a un empleado nuevo y/o el servicio de algún tercero,
se debe de entregar la política de seguridad así como las normas y
procedimientos para el uso de las aplicaciones y los sistemas de
información del Banco. Asimismo se debe entregar un resumen escrito de
las medidas básicas de seguridad de la información.
El personal de terceros debe recibir una copia del acuerdo de no
divulgación firmado por el Banco y por el proveedor de servicios de
terceros así como orientación con respecto a su responsabilidad en la
confidencialidad de la información del Banco.
Entre otros aspectos se debe considerar:
- El personal debe de ser comunicado de las implicancias de seguridad
en relación a las responsabilidades de su trabajo
- Una copia firmada de la política de seguridad de información debe de
ser guardada en el archivo del empleado
Concientización periódica
Estudios muestran que la retención y el conocimiento aplicable se
incrementa considerablemente cuando el tema es sujeto a revisión. Los
usuarios deben de ser informados anualmente sobre la importancia de la
seguridad de la información. Un resumen escrito de la información básica
debe de ser entregada nuevamente a cada empleado y una copia firmada
debe de ser guardada en sus archivos.
La capacitación en seguridad debe de incluir, pero no estar limitado, a los
siguientes aspectos:
- Requerimientos de identificador de usuario y contraseña
- Seguridad de PC, incluyendo protección de virus
- Responsabilidades de la organización de seguridad de información
- Concientización de las técnicas utilizadas por “hackers”
- Programas de cumplimiento
- Guías de acceso a Internet

- Guías de uso del correo electrónico
- Procesos de monitoreo de seguridad de la información utilizados
- Persona de contacto para información adicional
6.5.3 Procedimientos de respuesta ante incidentes de seguridad

El personal encargado de la administración de seguridad debe ser
plenamente identificado por todos los empleados del Banco.
Si un empleado del Banco detecta o sospecha la ocurrencia de un
incidente de seguridad, tiene la obligación de notificarlo al personal de
seguridad informática. Si se sospecha la presencia de un virus en un
sistema, el usuario debe desconectar el equipo de la red de datos,
notificar al área de seguridad informática quien trabajará en coordinación
con el área de soporte técnico, para la eliminación del virus antes de
restablecer la conexión a la red de datos. Es responsabilidad del usuario
(con la apropiada asistencia técnica) asegurarse que el virus haya sido
eliminado por completo del sistema antes de conectar nuevamente el
equipo a la red de datos.
Si un empleado detecta una vulnerabilidad en la seguridad de la
información debe notificarlo al personal encargado de la administración de
la seguridad, asimismo, está prohibido para el empleado realizar pruebas
de dicha vulnerabilidad o aprovechar ésta para propósito alguno.
El área de seguridad informática debe documentar todos los reportes de
incidentes de seguridad.
Cualquier error o falla en los sistemas debe ser notificado a soporte
técnico, quién determinará si el error es indicativo de una vulnerabilidad
en la seguridad.
Las acciones disciplinarias tomadas contra socios de negocio o
proveedores por la ocurrencia de una violación de seguridad, deben ser
consistentes con la magnitud de la falta, ellas deben ser coordinadas con

el área de Recursos Humanos.
6.5.3.1 Registro de fallas

El personal encargado de operar los sistemas de información debe
registrar todos lo errores y fallas que ocurren en el procesamiento de
información o en los sistemas de comunicaciones. Estos registros deben
incluir lo siguiente:
- Nombre de la persona que reporta la falla
- Hora y fecha de ocurrencia de la falla
- Descripción del error o problema
- Responsable de solucionar el problema
- Descripción de la respuesta inicial ante el problema
- Descripción de la solución al problema
- Hora y fecha en la que se solucionó el problema
Los registros de fallas deben ser revisados semanalmente. Los registros

de errores no solucionados deben permanecer abiertos hasta que se
encuentre una solución al problema. Además, estos registros deben ser
almacenados para una posterior verificación independiente.
6.5.3.2 Intercambios de información y correo electrónico

Los mensajes de correo electrónico deben ser considerados de igual
manera que un memorándum formal, son considerados como parte de
los registros del Banco y están sujetos a monitoreo y auditoria. Los
sistemas de correo electrónico no deben ser utilizados para lo siguiente:
- Enviar cadenas de mensajes
- Enviar mensajes relacionados a seguridad, exceptuando al personal
encargado de la administración de la seguridad de la información
- Enviar propaganda de candidatos políticos
- Actividades ilegales, no éticas o impropias

- Actividades no relacionadas con el negocio del Banco
- Diseminar direcciones de correo electrónico a listas públicas
No deben utilizarse reglas de reenvío automático a direcciones que no
pertenecen a la organización. No existe control sobre los mensajes de
correo electrónico una vez que estos se encuentran fuera de la red del
Banco.
Deben establecerse controles sobre el intercambio de información del
Banco con terceros para asegurar la confidencialidad e integridad de la
información, y que se respete la propiedad intelectual de la misma. Debe
tomarse en consideración:
- Acuerdos para el intercambio de software
- Seguridad de media en tránsito
- Controles sobre la transmisión mediante redes
Debe establecerse un proceso formal para aprobar la publicación de
información del Banco. El desarrollo de páginas Web programables o
inteligentes (utilizando tecnologías como CGI o ASP) debe considerarse
como desarrollo de software y debe estar sujeto a los mismos controles.
La información contenida en sistemas públicos no debe contener
información restringida, confidencial o de uso interno. De igual manera,
los equipos que brindan servicios Web, correo electrónico, comercio
electrónico u otros servicios públicos no deben almacenar información
restringida, confidencial o de uso interno. Antes que un empleado del
Banco libere información que no sea de uso general debe verificarse la
identidad del individuo u organización recipiente utilizando firmas
digitales, referencias de terceros, conversaciones telefónicas u otros
mecanismos similares.
Debe establecerse controles sobre equipos de oficina como teléfonos,
faxes e impresoras que procesan información sensible del Banco.
Información restringida o confidencial solo debe imprimirse en equipos

específicamente designados para esta tarea.
6.5.3.3 Seguridad para media en tránsito

La información a ser transferida en media digital o impresa debe ser
etiquetada con la clasificación de información respectiva y detallando
claramente el remitente y recipiente del mismo. La información enviada
por servicios postales debe ser protegida de accesos no autorizados
mediante la utilización de:
- Paquetes sellados o lacrados
- Entrega en persona
- Firmado y sellado de un cargo
6.6 SEGURIDAD FÍSICA DE LAS INSTALACIONES DE

PROCESAMIENTO DE DATOS
Se deben implementar medidas de seguridad física para asegurar la
integridad de las instalaciones y centros de cómputo. Las medidas de
protección deben ser consistentes con el nivel de clasificación de los
activos y el valor de la información procesada y almacenada en las
instalaciones.
6.6.1 Protección de las instalaciones de los centros de datos

Un centro de procesamiento de datos o de cómputo es definido como
cualquier edificio o ambiente dentro de un edificio que contenga equipos
de almacenamiento, proceso o transmisión de información. Estos incluyen
pero no se limitan a los siguientes:
- Mainframe, servidores, computadoras personales y periféricos
- Consolas de administración
- Librerías de cassettes o DASD
- Equipos de telecomunicaciones
- Centrales telefónicas, PBX

- Armarios de alambrado eléctrico o cables
Los controles deben de ser evaluados anualmente para compensar
cualquier cambio con relación a los riesgos físicos.
Los gerentes que estén planeando o revisando cualquier ambiente
automatizado, incluyendo el uso de las computadoras personales, deben
contactarse con el personal encargado de la administración de la
seguridad de la información para asistencia en el diseño de los controles
físicos de seguridad.
6.6.2 Control de acceso a las instalaciones de cómputo

El acceso a cualquier instalación de cómputo debe estar restringido
únicamente al personal autorizado.
Todas las visitas deben ser identificadas y se debe mantener un registro
escrito de las mismas. Estas visitas deben ser en compañía de un
empleado durante la permanencia en las instalaciones de computo.
Si bien es recomendable que los proveedores de mantenimiento, a
quienes se les otorga acceso continuo a las áreas sensibles, estén
siempre acompañados por un empleado autorizado de la empresa, puede
resultar poco práctico en algunos casos.
Todo el personal en las instalaciones de cómputo deben de portar un
carné, placa o ficha de identificación. Sistemas automatizados de
seguridad para acceso físico deben de ser instalados en centros de
cómputo principales. Centros pequeños pueden controlar el acceso físico
mediante el uso de candados de combinación o llaves.
Medidas apropiadas como guardias o puertas con alarmas, deben de ser
utilizadas para proteger las instalaciones durante las horas no laborables.
El retiro de cualquier equipo o medio electrónico de las instalaciones de
cómputo debe de ser aprobado por escrito por personal autorizado.
6.6.3 Acuerdo con regulaciones y leyes

Los controles de seguridad física deben de estar en acuerdo con las
regulaciones existentes de fuego y seguridad, así como con los
requerimientos contractuales de los seguros contratados.
6.7 ADMINISTRACIÓN DE COMUNICACIONES Y OPERACIONES
La administración de las comunicaciones y operaciones del Banco, son

esenciales para mantener un adecuado nivel de servicio a los clientes. Los
requerimientos de seguridad deben ser desarrollados e implementados
para mantener el control sobre las comunicaciones y las operaciones.
Los procedimientos operacionales y las responsabilidades para mantener

accesos adecuados a los sistemas, así como el control y la disponibilidad
de los mismos, deben ser incluidas en las funciones operativas del Banco.
Todas las comunicaciones e intercambios de información, tanto dentro de
las instalaciones y sistemas del Banco como externas a ella, deben ser
aseguradas, de acuerdo al valor de la información protegida.
6.7.1 Procedimientos y Responsabilidades Operacionales

6.7.1.1 Procedimientos operativos documentados
Todos los procedimientos de operación de los sistemas deben ser
documentados y los cambios realizados a dichos procedimientos deben
ser autorizados por la gerencia respectiva.
Todos los procedimientos de encendido y apagado de los equipos deben
ser documentados; dichos procedimientos deben incluir el detalle de
personal clave a ser contactado en caso de fallas no contempladas en el
procedimiento regular documentado.
Todas las tareas programadas en los sistemas para su realización
periódica, deben ser documentadas. Este documento debe incluir tiempo
de inicio, tiempo de duración de la tarea, procedimientos en caso de

falla, entre otros.
Los procedimientos para resolución de errores deben ser documentados,
entre ellos se debe incluir:
− Errores en la ejecución de procesos por lotes
− Fallas o apagado de los sistemas
− Códigos de error en la ejecución de procesos por lotes
− Información de los contactos que podrían colaborar con la resolución
de errores.
6.7.1.2 Administración de operaciones realizadas por terceros

Todos los procesos de operación realizados por terceros deben ser
sujetos a una evaluación de riesgos de seguridad y se debe desarrollar
procedimientos para administrar estos riesgos.
- Asignación de responsables para la supervisión de dichas
actividades
- Determinar si se procesará información crítica.
- Determinar los controles de seguridad a implementar
- Evaluar el cumplimiento de los estándares de seguridad del Banco.
- Evaluar la implicancia de dichas tareas en los planes de contingencia
del negocio
- Procedimientos de respuesta ante incidentes de seguridad
- Evaluar el cumplimiento de los estándares del Banco referentes a
contratos con terceros.
6.7.1.3 Control de cambios operacionales

Todos los cambios realizados en los sistemas del Banco, a excepción de
los cambios de emergencia, deben seguir los procedimientos de
cambios establecidos.
Solo el personal encargado de la administración de la seguridad puede

realizar o aprobar un cambio de emergencia. Dicho cambio debe ser
documentado y aprobado en un periodo máximo de 24 horas luego de
haberse producido el cambio.
Los roles del personal involucrado en la ejecución de los cambios en los
sistemas deben encontrarse debidamente especificados.
Los cambios deben ser aprobados por la gerencia del área usuaria, el
personal encargado de la administración de la seguridad de la
información y el encargado del área de sistemas. Todos los
requerimientos de cambios deben ser debidamente documentados,
siguiendo los procedimientos para cambios existentes en el Banco.
Antes de la realización de cualquier cambio a los sistemas se debe
generar copias de respaldo de dichos sistemas.
6.7.1.4 Administración de incidentes de seguridad

Luego de reportado el incidente de seguridad, éste debe ser investigado
por el área de seguridad informática. Se debe identificar la severidad del
incidente para la toma de medidas correctivas.
El personal encargado de la administración de la seguridad debe realizar
la investigación de los incidentes de forma rápida y confidencial.
Se debe mantener una documentación de todos los incidentes de
seguridad ocurridos en el Banco.
Se debe mantener intacta la evidencia que prueba la ocurrencia de una
violación de seguridad producida tanto por entes internos o externos,
para su posterior utilización en procesos legales en caso de ser
necesario.
6.7.1.5 Separación de funciones de operaciones y desarrollo

El ambiente de prueba debe de mantenerse siempre separado del
ambiente de producción, debiendo existir controles de acceso
adecuados para cada uno de ellos.
El ambiente de producción es aquel en el cual residen los programas
ejecutables de producción y los datos necesarios para el funcionamiento
de los mismos. Solo el personal autorizado a efectuar los cambios en los
sistemas debe contar con privilegios de escritura en los mismos.
Los programas compiladores no deben ser instalados en los sistemas en
producción, todo el código debe ser compilado antes de ser transferido
al ambiente de producción.
Las pruebas deben de realizarse utilizando datos de prueba. Sin
embargo, copias de datos de producción pueden ser usadas para las
pruebas, siempre y cuando los datos sean autorizados por el propietario
y manejados de manera confidencial.
El personal de desarrollo puede tener acceso de solo lectura a los datos
de producción. La actualización de los permisos de acceso a los datos
de producción debe de ser autorizada por el propietario de información y
otorgada por un periodo limitado.
Se deben utilizar estándares de nombres para distinguir el conjunto de
nombres de las tareas y de los datos, del modelo y de los ambientes de
producción.
Un procedimiento de control de cambio debe de asegurar que todos los
cambios del modelo y ambientes de producción hayan sido revisados y
aprobados por el (los) gerente(s) apropiados.
6.7.2 Protección contra virus

El área de seguridad informática debe realizar esfuerzos para determinar
el origen de la infección por virus informático, para evitar la reinfección de
los equipos del Banco.
La posesión de virus o cualquier programa malicioso está prohibida a

todos los usuarios. Se tomarán medidas disciplinarias en caso se
encuentren dichos programas en computadoras personales de usuarios.
Todos los archivos adjuntos recibidos a través del correo electrónico
desde Internet deben ser revisados por un antivirus antes de ejecutarlos.
Asimismo está prohibido el uso de diskettes y discos compactos
provenientes de otra fuente que no sea la del mismo BANCO ABC, a
excepción de los provenientes de las interfaces con organismos
reguladores, proveedores y clientes, los cuales necesariamente deben
pasar por un proceso de verificación y control en el área de Sistemas
(Help Desk), antes de ser leídos.
El programa antivirus debe encontrarse habilitado en todos las
computadoras del Banco y debe ser actualizado periódicamente. En caso
de detectar fallas en el funcionamiento de dichos programas éstas deben
ser comunicadas al área de soporte técnico. El programa antivirus debe
ser configurado para realizar revisiones periódicas para la detección de
virus en los medios de almacenamiento de las computadoras del Banco.
Debe contarse con un procedimiento para la actualización periódica de los
programas antivirus y el monitoreo de los virus detectados.
Es obligación del personal del Banco, emplear sólo los programas cuyas
licencias han sido obtenidas por el Banco y forman parte de su plataforma
estándar. Asimismo, se debe evitar compartir directorios o archivos con
otros usuarios; en caso de ser absolutamente necesario, coordinar con la
Gerencia respectiva y habilitar el acceso sólo a nivel de lectura,
informando al Departamento de Producción y Soporte Técnico.
Todo el personal del Banco debe utilizar los protectores de pantalla y/o
papel tapiz autorizados por la Institución; el estándar es:
Papel Tapiz: BANCO ABC
Protector de Pantalla: BANCO ABC.
6.7.3 Copias de respaldo

Los Custodios de información deben definir un cronograma para la
retención y rotación de las copias de respaldo, basado en los
requerimientos establecidos por los Propietarios de información,
incluyendo el almacenamiento en uno o más ubicaciones distintos a las
del centro de cómputo. Los Custodios de información son también
responsables de asegurar que se generen copias de respaldo del
software de los servidores del Banco, y que las políticas de manipulación
de información se ejercen para las copias de respaldo trasladadas o
almacenadas fuera de los locales del Banco. Debe formalmente definirse
procedimientos para la creación y recuperación de copias de respaldo.
Trimestralmente deben efectuarse pruebas para probar la capacidad de

restaurar información en caso sea necesario. Estas pruebas deben
efectuarse en un ambiente distinto al ambiente de producción.
Los usuarios deben generar copias de respaldo de información crítica
transfiriendo o duplicando archivos a la carpeta personal establecida para
dicho fin por la Gerencia de Sistemas, la cual se encuentra ubicada en
uno de los servidores del Banco. Deben generarse copias de respaldo de
estos servidores según un cronograma definido por los Custodios de
información.
Las cintas con copias de respaldo deben ser enviadas a un local remoto
periódicamente, basándose en un cronograma determinado por la
gerencia del Banco.
Los mensajes electrónicos, así como cualquier información considerada
importante, deben ser guardados en copias de respaldo y retenidos por
dispositivos automáticos.
6.8 CONTROL DE ACCESO DE DATOS

La información manejada por los sistemas de información y las redes
asociadas debe estar adecuadamente protegida contra modificaciones no
autorizadas, divulgación o destrucción. El uso inteligente de controles de
acceso previene errores o negligencias del personal, así como reduce la
posibilidad del acceso no autorizado.
6.8.1 Identificación de Usuarios

Cada usuario de un sistema automatizado debe de ser identificado de
manera única, y el acceso del usuario así como su actividad en los
sistemas debe de ser controlado, monitoreado y revisado.
Cada usuario de un sistema debe tener un código de identificación que no
sea compartido con otro usuario. Para lograr el acceso a los sistemas
automatizados, se requiere que el usuario provea una clave que solo sea
conocida por él.
Debe establecerse un procedimiento para asegurar que el código de
identificación de un usuario sea retirado de todos los sistemas cuando un
empleado es despedido o transferido.
Los terminales y computadoras personales deben bloquearse luego de
quince (15) minutos de inactividad. El usuario tendrá que autenticarse
antes de reanudar su actividad.
El usuario debe ser instruido en el uso correcto de las características de
seguridad del terminal y funciones de todas las plataformas, estaciones de
trabajo, terminales, computadoras personales, etc., y debe cerrar la
sesión o bloquear la estación de trabajo cuando se encuentre
desatendida.
Todos los consultores, contratistas, proveedores y personal temporal
deben tener los derechos de acceso cuidadosamente controlados. El
acceso solo debe ser válido hasta el final del trimestre o incluso antes,
dependiendo de la terminación del contrato.
Todos los sistemas deben proveer pistas de auditoria del ingreso a los
sistemas y violaciones de los mismos. A partir de estos datos, los
custodios de los sistemas deben elaborar reportes periódicos los cuales
deben ser revisados por el área de seguridad informática. Estos reportes
también deben incluir la identidad del usuario, y la fecha y hora del
evento. Si es apropiado, las violaciones deben ser reportadas al gerente
del individuo. Violaciones repetitivas o significantes o atentados de
accesos deben ser reportados al gerente a cargo de la persona y al área
de seguridad de la información.
6.8.2 Seguridad de contraseñas

6.8.2.1 Estructura
Todas las contraseñas deben tener una longitud mínima de ocho (8)
caracteres y no deben contener espacios en blanco.
Las contraseñas deben ser difíciles de adivinar. Palabras de diccionario,
identificadores de usuario y secuencias comunes de caracteres, como
por ejemplo “12345678” o “QWERTY”, no deben ser empleadas. Así
mismo, detalles personales como los nombres de familiares, número de
documento de identidad, número de teléfono o fechas de cumpleaños no
deben ser usadas salvo acompañados con otros caracteres adicionales
que no tengan relación directa. Las contraseñas deben incluir al menos
un carácter no alfanumérico. Las contraseñas deben contener al menos
un carácter alfabético en mayúscula y uno en minúscula.
6.8.2.2 Vigencia
Todas las contraseñas deben expirar dentro de un periodo que no
exceda los noventa (90) días. Cada gerente debe determinar un máximo
periodo de vigencia de las contraseñas, el cual es recomendable no sea
menos de (30) días.
6.8.2.3 Reutilización de contraseñas

No debe permitirse la reutilización de ninguna de las 5 últimas
contraseñas. Esto asegura que los usuarios no utilicen las mismas
contraseñas en intervalos regulares. Los usuarios no deben poder
cambiar sus contraseñas más de una vez al día.
A los usuarios con privilegios administrativos, no se les debe permitir la
reutilización de las últimas 13 contraseñas.
6.8.2.4 Intentos fallidos de ingreso

Todos los sistemas deben estar configurados para deshabilitar los
identificadores de los usuarios en caso de ocurrir (3) intentos fallidos de
autenticación.
En los casos que los sistemas utilizados no soporten controles para las
características establecidas para la estructura, vigencia, reutilización e
intentos fallidos de ingreso, se debe documentar la excepción a la
política, detallando la viabilidad de modificar la aplicación para soportar
las características establecidas para las contraseñas.
6.8.2.5 Seguridad de contraseñas

Es importante que todos los empleados protejan sus contraseñas,
debiéndose seguir las siguientes regulaciones:
- Bajo ninguna circunstancia, se debe escribir las contraseñas en
papel, o almacenarlas en medios digitales no encriptados.
- Las contraseñas no deben ser divulgadas a ningún otro usuario salvo
bajo el pedido de un gerente, con autorización del área de seguridad
informática y auditoria interna. Si se divulga la contraseña, esta debe
ser cambiada durante el próximo ingreso.
- El usuario autorizado es responsable de todas las acciones
realizadas por alguna persona a quién se le ha comunicado la
contraseña o identificador de usuario.
- Los sistemas no deben mostrar la contraseña en pantalla o en

impresiones, para prevenir que éstas sean observadas o
recuperadas.
- Las contraseñas deben estar siempre encriptadas cuando se
encuentren almacenadas o cuando sean transmitidas a través de
redes.
- El control de acceso a archivos, bases de datos, computadoras y
otros sistemas de recursos mediante contraseñas compartidas está
prohibido.
6.8.3 Control de transacciones

Los empleados deben tener acceso únicamente al conjunto de
transacciones en línea requeridas para ejecutar sus tareas asignadas.
Este conjunto de transacciones debe estar claramente definido para
prevenir alguna ocurrencia de fraude y malversación.
El conjunto de transacciones debe ser definido durante el proceso de
desarrollo de sistemas, revisado periódicamente y mantenido por la
gerencia Propietaria.
El acceso para la ejecución de transacciones sensibles debe ser
controlado mediante una adecuada segregación de tareas. Por ejemplo,
los usuarios que tengan permiso para registrar instrucciones de pago no
deben poder verificar o aprobar su propio trabajo.
Toda operación realizada en los sistemas que afecten información
sensible como saldos operativos contables, deben contar con controles
duales de aprobación, dichos controles de aprobación deben ser
asignados con una adecuada segregación de funciones.
Reportes de auditoria de transacciones sensibles o de alto valor deben
ser revisadas por la gerencia usuaria responsable en intervalos regulares
apropiados. Los reportes deben incluir la identidad del usuario, la fecha y
la hora del evento.
6.8.4 Control de producción y prueba

El ambiente de prueba debe mantenerse siempre separado del ambiente
de producción, se deben implementar controles de acceso adecuados en
ambos ambientes.
Las pruebas deben realizarse utilizando datos de prueba. Sin embargo,
copias de datos de producción pueden ser usadas para las pruebas,
siempre y cuando los datos sean autorizados por el Propietario y
manejados de manera confidencial.
El personal de desarrollo puede tener acceso de sólo lectura a los datos
de producción. La actualización de los permisos de acceso a los datos de
producción debe ser autorizada por el propietario y otorgada por un
periodo limitado.
Estándares de nombres deben ser utilizados para distinguir los datos y
programas de desarrollo y producción.
Un procedimiento de control de cambios debe asegurar que todos los
cambios del modelo y ambientes de producción hayan sido revisados y
aprobados por el (los) gerente(s) apropiados, y el personal encargado de
la administración de la seguridad de la información.
Los programas de producción, sistemas operativos y librerías de
documentación deben ser considerados datos confidenciales y ser
protegidos.
Debe realizarse una adecuada segregación de tareas dentro del área de
procesamiento de datos o sistemas. Las tareas del personal de soporte
de aplicación, soporte técnico, y operadores del centro de datos deben
estar claramente definidas y sus permisos de acceso a los datos deben
basarse en los requerimientos específicos de su trabajo.
6.8.5 Controles de acceso de programas

Los controles de acceso de programas deben asegurar que los usuarios
no puedan acceder a la información sin autorización.
Los programas deben poder generar una pista de auditoria de todos los
accesos y violaciones.
Las violaciones de los controles de acceso deben ser registradas y
revisadas por el propietario o por el personal del área de sistemas
custodio de los datos. Las violaciones de seguridad deben ser reportadas
al gerente del empleado y al área responsable de la administración de la
seguridad de la información.
Se debe tener cuidado particular en todos los ambientes para asegurar
que ninguna persona tenga control absoluto. Los operadores de sistemas,
por ejemplo, no deben tener acceso ilimitado a los identificadores de
superusuario. Dichos identificadores de usuario, son solo necesarios
durante una emergencia y deben ser cuidadosamente controlados por la
gerencia usuaria, quien debe realizar un monitoreo periódico de su
utilización.
6.8.6 Administración de acceso de usuarios

La asignación de identificadores de usuario especiales o privilegiados
(como cuentas administrativas y supervisores) debe ser revisada cada 3
meses.
Los propietarios de la información son responsables de revisar los
privilegios de los sistemas periódicamente y de retirar todos aquellos que
ya no sean requeridos por los usuarios. Es recomendable realizar
revisiones trimestralmente debido al continuo cambio de los ambientes de
trabajo y la importancia de los datos.
Es responsabilidad del propietario de la información y de los
administradores de sistemas ver que los privilegios de acceso estén
alineados con las necesidades del negocio, sean asignados basándose
en requerimientos y que se comunique la lista correcta de accesos al área
de sistemas de información.
En las situaciones donde los usuarios con accesos a información

altamente sensible sean despedidos, los supervisores deben coordinar
directamente con el área de seguridad informática para eliminar el acceso
de ese usuario.
Se debe buscar el desarrollo de soluciones técnicas para evitar el uso de
accesos privilegiados innecesarios.
Luego del despido o renuncia de algún empleado, es responsabilidad del
jefe del empleado revisar cualquier archivo físico o digital elaborado o
modificado por el usuario. El gerente debe también asignar la propiedad
de dicha información a la persona relevante así como determinar la
destrucción de los archivos innecesarios.
Todos los usuarios que tienen acceso a las cuentas privilegiadas deben
tener sus propias cuentas personales para uso del negocio. Por ende, los
administradores de sistemas y empleados con acceso a cuentas
privilegiadas deben usar sus cuentas personales para realizar actividades
de tipo no privilegiadas.
Cuentas de usuario que no son utilizadas por noventa (90) días deben ser
automáticamente deshabilitadas. Las cuentas que no han sido utilizadas
por un periodo largo demuestran que el acceso de información de ese
sistema no es necesario. Los custodios de la información deben informar
al propietario de la información la existencia de las cuentas inactivas.
Todos los accesos a los sistemas de información deben estar controlados
mediante un método de autenticación incluyendo una combinación
mínima de identificador de usuario/contraseña. Dicha combinación debe
proveer la verificación de la identidad del usuario.
Para los usuarios con tareas similares, se debe utilizar grupos o controles
de acceso relacionados a roles para asignar permisos y accesos a las
cuentas del individuo.
Todos los usuarios de los sistemas de información deben de tener un
identificador de usuario único que sea válido durante el período laboral del
usuario. Los identificadores de usuarios no deben de ser utilizados por

otros individuos incluso luego de que el usuario original haya renunciado o
haya sido despedido.
Los sistemas no deben permitir que los usuarios puedan tener sesiones
múltiples para un mismo sistema, salvo bajo autorización específica del
propietario de la información.
6.8.7 Responsabilidades del usuario

Todo equipo de cómputo, alquilado o de propiedad del Banco, así como
los servicios compartidos facturados a cada unidad de negocio serán
usados solo para actividades relacionadas al negocio del Banco.
Los sistemas del Banco no pueden ser usados para desarrollar software
para negocios personales o externos al Banco.
Los equipos no deben ser usados para preparar documentos para uso
externo, salvo bajo la aprobación escrita del gerente del área usuaria.
Se debe implementar protectores de pantallas en todas las computadoras

personales y servidores, activándose luego de cinco (5) minutos de
inactividad.
Toda la actividad realizada utilizando un identificador de usuario
determinado, es de responsabilidad del empleado a quién le fue asignado.
Por consiguiente, los usuarios no deben compartir la información de su
identificador con otros o permitir que otros empleados utilicen su
identificador de usuario para realizar cualquier acción. También, los
usuarios están prohibidos de realizar cualquier acción utilizando un
identificador que no sea el propio.
6.8.8 Seguridad de computadoras

Se debe mantener un inventario actualizado de todo el software y
hardware existente en el Banco, la responsabilidad del mantenimiento del
inventario es del jefe de producción de la gerencia de sistemas. Todo

traslado o asignación de equipos debe ser requerida por el gerente del
área usuaria, es de responsabilidad del jefe de producción de la gerencia
de sistemas, la verificación y realización del requerimiento.
Es de responsabilidad del usuario, efectuar un correcto uso del equipo de
cómputo que le fue asignado, así como de los programas en él instalados;
cualquier cambio y/o traslado deberá ser solicitado con anticipación por su
respectiva Gerencia. Asimismo el usuario debe verificar que cualquier
cambio y/o traslado del Equipo de Cómputo que le fue asignado, se
realice por personal de Soporte Técnico, así como también la instalación o
retiro de software.
Cualquier microcomputador, computadora personal o portátil / notebook
perteneciente al Banco debe ser únicamente utilizada para propósitos de
negocios. Estas computadoras pueden ser utilizadas de las siguientes
maneras:
- Como un terminal comunicándose con otra computadora
- Como una computadora aislada que realice su propio procesamiento
sin comunicación con ninguna otra computadora
Medidas apropiadas de seguridad de computadoras personales, como los
programas de seguridad de computadoras personales o los candados
físicos, deben ser utilizados en relación con los datos y aplicaciones en
ejecución.
Sin importar su uso, las medidas de seguridad deben ser implementadas
en todas las microcomputadoras y computadoras personales:
- Una vez habilitada la computadora, ésta no debe dejarse desatendida,
incluso por un periodo corto.
- Todo los disquetes, cintas, CD´s y otros dispositivos de
almacenamiento de información incluyendo información impresa, que
contengan datos sensibles deben ser guardados en un ambiente
seguro cuando no sean utilizados.
- El acceso a los datos almacenados en un microcomputador debe ser

limitado a los usuarios apropiados.
Los discos duros no deben contener datos sensibles salvo en las

computadoras cuyo acceso físico sea restringido o que tengan instalados
un programa de seguridad y que los accesos a la computadora y a sus
archivos sean controlados adecuadamente.
Los disquetes no deben ser expuestos a temperaturas altas o a
elementos altamente magnéticos.
Deben generarse copias de respaldo de documentos y datos de manera
periódica, asimismo, deben desarrollarse procedimientos para su
adecuada restauración en el caso de pérdida.
Todos los programas instalados en las computadoras deben ser legales,
aprobados y periódicamente inventariados.
Solo los programas adquiridos o aprobados por el Banco, serán
instalados en las computadoras del Banco.
El uso de programas de juegos, de distribución gratuita (freeware o
shareware) o de propiedad personal está prohibido, salvo que éste sea
aprobado por la gerencia y se haya revisado la ausencia de virus en el
mismo.
6.8.9 Control de acceso a redes

6.8.9.1 Conexiones con redes externas
Los sistemas de red son vulnerables y presentan riesgos inherentes a su
naturaleza y complejidad. Los accesos remotos (dial-in) y conexiones
con redes externas, exponen a los sistemas del Banco a niveles
mayores de riesgo. Asegurando que todos los enlaces de una red
cuenten con adecuados niveles de seguridad, se logra que los activos
más valiosos de las unidades de negocio estén protegidos de un ataque
directo o indirecto.
Todas las conexiones realizadas entre la red interna del Banco e

Internet, deben ser controladas por un firewall para prevenir accesos no
autorizados. El área de seguridad de información debe aprobar todas las
conexiones con redes o dispositivos externos.
El acceso desde Internet hacia la red interna del Banco no debe ser
permitido sin un dispositivo de fuerte autenticación o certificado basado
en utilización de contraseñas dinámicas.
El esquema de direccionamiento interno de la red no debe ser visible
desde redes o equipos externos. Esto evita que “hackers” u otras
personas pueden obtener fácilmente información sobre la estructura de
red del Banco y computadoras internas.
Para eliminar las vulnerabilidades inherentes al protocolo TCP/IP,
ruteadores y firewalls deben rechazar conexiones externas que
parecieran originarias de direcciones internas (ip spoofing).
6.8.9.2 Estándares generales

Los accesos a los recursos de información deben solicitar como mínimo
uno de los tres factores de autenticación:
- Factor de conocimiento: algo que solo el usuario conoce. Por
ejemplo: contraseña o PIN.
- Factor de posesión: algo que solo el usuario posee. Por ejemplo:
smartcard o token.
- Factor biométrico: algo propio de las características biológicas del
usuario. Por ejemplo: lectores de retina o identificadores de voz.
La posibilidad de efectuar encaminamiento y re-direccionamiento de
paquetes, debe ser configurada estrictamente en los equipos que
necesiten realizar dicha función.
Todos los componentes de la red deben mostrar el siguiente mensaje
de alerta en el acceso inicial.
“Aviso de alerta: Estos sistemas son de uso exclusivo del personal y

agentes autorizados del Banco. El uso no autorizado está prohibido y
sujeto a penalidades legales”.
Todos los componentes de la red de datos deben ser identificados de
manera única y su uso restringido. Esto incluye la protección física de
todos los puntos vulnerables de una red.
Las estaciones de trabajo y computadoras personales deben ser
bloqueadas mediante la facilidad del sistema operativo, mientras se
encuentren desatendidas.
Todos los dispositivos de red, así como el cableado deben ser ubicado
de manera segura.
Cualquier unidad de control, concentrador, multiplexor o procesador de
comunicación ubicado fuera de una área con seguridad física, debe
estar protegido de un acceso no autorizado.
6.8.9.3 Política del uso de servicio de redes

Todas las conexiones de red internas y externas deben cumplir con las
políticas del Banco sobre servicios de red y control de acceso. Es
responsabilidad del área de sistemas de información y seguridad de
información determinar lo siguiente:
- Elementos de la red que pueden ser accedidos
- El procedimiento de autorización para la obtención de acceso
- Controles para la protección de la red.
Todos los servicios habilitados en los sistemas deben contar con una
justificación coherente con las necesidades del negocio. Los riesgos
asociados a los servicios de red deben determinarse y ser resueltos
antes de la implementación del servicio. Algunos servicios estrictamente
prohibidos incluyen TFTP e IRC/Chat.
6.8.9.4 Segmentación de redes

La arquitectura de red del Banco debe considerar la separación de redes
que requieran distintos niveles de seguridad. Esta separación debe
realizarse de acuerdo a la clase de información albergada en los
sistemas que constituyen dichas redes. Esto debe incluir equipos de
acceso público.
6.8.9.5 Análisis de riesgo de red

Cualquier nodo de la red de datos, debe asumir el nivel de sensibilidad
de la información o actividad de procesamiento de datos más sensible al
que tenga acceso. Se deben implementar controles que compensen los
riesgos más altos.
6.8.9.6 Acceso remoto(dial-in)

Los usuarios que ingresen a los sistemas del Banco mediante acceso
remoto (dial-in) deben ser identificados antes de obtener acceso a los
sistemas. Por lo tanto, dicho acceso debe ser controlado por un equipo
que permita la autenticación de los usuarios al conectarse a la red de
datos.
Técnicas y productos apropiadas para el control de los accesos remotos
(dial-in) incluyen:
- Técnicas de identificación de usuarios: Técnicas que permitan
identificar de manera unívoca al usuario que inicia la conexión, es
recomendable que la técnica elegida utilice por lo menos 2 de los
factores de autenticación definidos anteriormente. Ejemplo: tokens
(dispositivos generadores de contraseñas dinámicas).
- Técnicas de identificación de terminales: Técnicas que permiten
identificar unívocamente al terminal remoto que realiza la conexión.
Ejemplo: callback (técnica que permite asegurar que el número
telefónico fuente de la conexión sea autorizado)
6.8.9.7 Encripción de los datos

Los algoritmos de encripción DES, 3DES y RSA son técnicas de
encripción aceptables para las necesidades de los negocios de hoy.
Estas pueden ser empleadas para satisfacer los requerimientos de
encripción de datos del Banco.
Las contraseñas, los códigos o números de identificación personal y los
identificadores de terminales de acceso remoto deben encontrarse
encriptados durante la transmisión y en su medio de almacenamiento. La
encripción de datos ofrece protección ante accesos no autorizados a la
misma; debe ser utilizada si luego de una evaluación de riesgo se
concluye que es necesaria.
6.8.10 Control de acceso al sistema operativo

6.8.10.1 Estándares generales
Los usuarios que posean privilegios de superusuario, deben utilizar el
mismo identificador con el que se autentican normalmente en los
sistemas. Los administradores deben otorgarle los privilegios especiales
a los identificadores de los usuarios que lo necesiten.
Todos los usuarios deben poseer un único identificador. El uso de
identificadores de usuario compartidos debe estar sujeto a autorización.
Cada cuenta de usuario debe poseer una contraseña asociada, la cual
solo debe ser conocida por el dueño del identificador de usuario.
Seguridad adicional puede ser añadida al proceso, como identificadores
biométricos o generadores de contraseñas dinámicas.
6.8.10.2 Limitaciones de horario

Las aplicaciones críticas deben estar sujetas a periodos de acceso
restringidos, el acceso a los sistemas en un horario distinto debe ser
deshabilitado o suspendido.
6.8.10.3 Administración de contraseñas

Los administradores de seguridad deben realizar pruebas mensuales
sobre la calidad de las contraseñas que son empleadas por los usuarios,
esta actividad puede involucrar el uso de herramientas para obtención
de contraseñas.
Todas las bases de datos o aplicaciones que almacenen contraseñas
deben ser aseguradas, de tal manera, que solo los administradores de
los sistemas tengan acceso a ellas.
6.8.10.4 Inactividad del sistema

Las sesiones en los sistemas que no se encuentren activas por mas de
30 minutos deben ser concluidas de manera automática.
Las computadoras personales, laptops y servidores, deben ser
configurados con un protector de pantalla con contraseña, cuando sea
aplicable. El periodo de inactividad para la activación del protector de
pantalla debe ser de 5 minutos.
Los sistemas deben forzar la reautenticación de los usuarios luego de 2
horas de inactividad.
6.8.10.5 Estándares de autenticación en los sistemas

Los sistemas, durante el proceso de autenticación, deben mostrar avisos
preventivos sobre los accesos no autorizados a los sistemas.
Los identificadores de los usuarios deben ser bloqueados luego de 3
intentos fallidos de autenticación en los sistemas, el desbloqueo de la
cuenta debe ser realizado manualmente por el administrador del
sistema.
Los sistemas deben ser configurados para no mostrar ninguna
información que pueda facilitar el acceso a los mismos, luego de intentos
fallidos de autenticación.
6.8.11 Control de acceso de aplicación
6.8.11.1 Restricciones de acceso a información

Para la generación de cuentas de usuario en los sistemas así como para
la asignación de perfiles, el gerente del área usuaria es el responsable
de presentar la ‘Solicitud de Usuarios y/o Perfiles de Acceso a los
Sistemas de Cómputo’, al área de Seguridad Informática, quien generará
los Usuarios y Contraseñas correspondientes, para luego remitirlas al
Departamento de Recursos Humanos, para que éste a su vez los
entregue al Usuario Final, con la confidencialidad requerida.
Se debe otorgar a los usuarios acceso solamente a la información
mínima necesaria para la realización de sus labores.
Esta tarea puede ser realizada utilizando una combinación de:
- Seguridad lógica de la aplicación.
- Ocultar opciones no autorizadas en los sistemas
- Restringir el acceso a línea de comando
- Limitar los permisos a los archivos de los sistemas (solo lectura)
- Controles sobre la información de salida de los sistemas (reportes,
consultas en línea, etc.)
6.8.11.2 Aislamiento de sistemas críticos

Basados en el tipo de información, las redes pueden requerir separación.
Los sistemas que procesan información muy crítica deben ser aislados
físicamente de sistemas que procesan información menos crítica.
6.8.12 Monitoreo del acceso y uso de los sistemas

6.8.12.1 Sincronización del reloj
Los relojes de todos los sistemas deben ser sincronizados para asegurar
la consistencia de todos los registros de auditoria. Debe desarrollarse un
procedimiento para el ajuste de cualquier desvío en la sincronización de

los sistemas.
6.8.12.2 Responsabilidades generales

Los administradores de los sistemas deben realizar monitoreo periódico
de los sistemas como parte de su rutina diaria de trabajo, este monitoreo
no debe estar limitado solamente a la utilización y performance del
sistema sino debe incluir el monitoreo del acceso de los usuarios a los
sistemas.
6.8.12.3 Registro de eventos del sistema

La actividad de los usuarios vinculada al acceso a información
clasificada como “confidencial” o “restringida” debe ser registrada para
su posterior inspección. El propietario de la información debe revisar
dicho registro mensualmente.
Todos los eventos de seguridad relevantes de una computadora que

alberga información confidencial, deben ser registrados en un log de
eventos de seguridad. Esto incluye errores en autenticación,
modificaciones de datos, utilización de cuentas privilegiadas, cambios en
la configuración de acceso a archivos, modificación a los programas o
sistema operativo instalados, cambios en los privilegios o permisos de
los usuarios o el uso de cualquier función privilegiada del sistema.
Los “logs” (bitácoras) de seguridad deben ser almacenados por un

periodo mínimo de 3 meses. Acceso a dichos logs debe ser permitido
solo a personal autorizado. En la medida de lo posible, los logs deben
ser almacenados en medios de “solo lectura”.
6.8.13 Computación móvil y teletrabajo

6.8.13.1 Responsabilidades generales
Los usuarios que realizan trabajo en casa con información del Banco,
pueden tener el concepto errado de que la seguridad de información solo
es aplicable en el trabajo en oficina, sin tomar en cuenta que algunas
amenazas de seguridad son comunes en ambos entornos de trabajo y
que incluso existen algunas nuevas amenazas en el trabajo en casa. El
personal que realiza trabajo en casa debe tener en cuenta las amenazas
de seguridad que existen en dicho entorno laboral y tomar las medidas
apropiadas para mantener la seguridad de información.
La utilización de programas para el control remoto de equipos como PC-

Anywhere está prohibida a menos que se cuente con el consentimiento
formal del administrador de seguridad. La utilización inapropiada de este
tipo de programas puede facilitar el acceso de un intruso a los sistemas
de información del Banco.
6.8.13.2 Acceso remoto

Medidas de seguridad adicionales deben ser implementadas para
proteger la información almacenada en dispositivos móviles. Entre las
medidas a tomarse se deben incluir:
- Encripción de los datos
- Contraseñas de encendido
- Concientización de usuarios
- Protección de la data transmitida hacia y desde dispositivos móviles.
Ej. VPN, SSL o PGP.
- Medidas de autenticación adicionales para obtener acceso a la red de
datos. Ej. SecureID tokens.
Con el propósito de evitar los problemas relacionados a virus

informáticos y propiedad de los datos existentes en computadoras
externas, solamente equipos del Banco deben ser utilizados para ser
conectados a su red de datos. La única excepción a este punto es la
conexión hacia el servidor de correo electrónico para recepción y envío
del correo electrónico.
Todos los accesos dial-in/dial-out deben contar con autorización del área
de seguridad informática y deben contar con la autorización respectiva
que justifique su necesidad para el desenvolvimiento del negocio.
6.9 DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS

El diseño de la infraestructura del Banco, las aplicaciones de negocio y las
aplicaciones del usuario final deben soportar los requerimientos generales de
seguridad documentados en la política de seguridad del Banco. Estos
requerimientos deben ser incorporados en cada paso del ciclo de desarrollo de
los sistemas, incluyendo todas las fases de diseño, desarrollo, mantenimiento y
producción.
Los requerimientos de seguridad y control deben estar:
- determinados durante cualquier diseño de sistemas,
- desarrollados dentro de la arquitectura del sistema
- implementados en la instalación final del sistema.
Adicionalmente, todo los procesos de desarrollo y soporte a estos sistemas
deben seguir los requerimientos de seguridad incluidos en esta política de
seguridad.
6.9.1 Requerimientos de seguridad de sistemas

6.9.1.1 Control de cambios
El área responsable de la administración de cambios debe retener todos
los formularios de solicitud de cambio, planes de cambio de programa y
resultados de pruebas de acuerdo con los estándares de retención de

registros del Banco. Los gerentes técnicos de las áreas son
responsables de retener una copia de la documentación de solicitud de
cambio pertinente a su respectiva área.
Los procedimientos de prueba deben estar documentados en los

formularios de solicitud de cambio. Si se notara problemas durante el
proceso de prueba, el proveedor debe documentar el problema, realizar
las modificaciones apropiadas en el ambiente de desarrollo y entregarlo
para que se vuelva a probar.
6.9.1.2 Análisis y especificación de los requerimientos de

seguridad
Para todos los sistemas desarrollados por o para el Banco, se debe
determinar los requerimientos de seguridad antes de comenzar la fase
de desarrollo de la aplicación. Durante la fase de diseño del sistema, los
propietarios de la información, el área de sistemas y el área de
seguridad de la información deben determinar un control adecuado para
el ambiente de la aplicación. Estos requerimientos deben incluir, pero no
están limitadas a:
- Control de acceso
- Autorización
- Criticidad del sistema
- Clasificación de la información
- Niveles de disponibilidad requeridos
- Confidencialidad e integridad de la información
6.9.2 Seguridad en sistemas de aplicación

6.9.2.1 Desarrollo y prueba de aplicaciones
Los procedimientos de prueba deben estar adecuadamente
documentados en los formularios de solicitud de cambio. El gerente del
desarrollador debe efectuar una revisión independiente de los resultados
de la unidad de prueba. Como resultado, se debe evidenciar una
aprobación formal por parte del gerente del desarrollador en el formulario
de solicitud de cambio.
Durante la prueba de integración, restricciones de acceso lógico deben

asegurar que los desarrolladores no tengan accesos de actualización y
que el código siendo probado no sea modificado sin consentimiento del
usuario. Copias de los datos de producción o conjuntos prediseñados de
datos de prueba deben ser usados para propósitos de prueba.
Todas las modificaciones significativas, mejoras grandes y sistemas

nuevos deben ser probados por los usuarios del sistema antes de la
instalación del software en el ambiente de producción. El plan de
aceptación del usuario debe incluir pruebas de todas las funciones
principales, procesos y sistemas de interfaces. Los procedimientos de
prueba deben ser adecuadamente documentados en los formularios de
solicitud de cambio.
Durante las pruebas de aceptación, restricciones lógicas de acceso

deben asegurar que los desarrolladores no tengan acceso de
actualización y que el código fuente siendo probado no pueda ser
modificado sin consentimiento escrito por el usuario. Si se notara
problemas, el usuario debe documentar el problema, el desarrollador
debe realizar las modificaciones apropiadas en el ambiente de desarrollo
y lo entregará para volver a probarlo.
6.10 CUMPLIMIENTO NORMATIVO

Toda ley, norma, regulación o acuerdo contractual debe ser documentado y
revisado por el área legal del Banco. Requerimientos específicos para
controles y otras actividades relacionadas a estas regulaciones legales
deben ser delegados al área organizacional respectiva, la cual es
responsable por el cumplimiento de la norma en cuestión.
Los recursos informáticos del Banco deben ser empleados exclusivamente
para tareas vinculadas al negocio.
6.10.1 Registros
Deben desarrollarse estándares de retención, almacenamiento, manejo y
eliminación de registros que son requeridos por normas legales u otras
regulaciones. Debe definirse un cronograma de retención para estos
registros que debe incluir:
- Tipo de información
- Regulaciones o leyes aplicables
- Fuentes de este tipo de información
- Tiempos de retención requeridos
- Requerimientos de traslado y almacenamiento
- Procedimientos de eliminación
- Requerimientos de control específicos estipulados en la norma
relacionada
6.10.2 Revisión de la política de seguridad y cumplimiento técnico

Los gerentes y jefes deben asegurarse que las responsabilidades de
seguridad sean cumplidas y las funciones relacionadas se ejecuten
apropiadamente.
Es responsabilidad del personal encargado de la administración de la
seguridad y de auditoria interna verificar el cumplimiento de las políticas
de seguridad. Las excepciones deben ser reportadas a la gerencia

apropiada.
6.10.3 Propiedad de los programas

Cualquier programa escrito por algún empleado del Banco dentro del
alcance de su trabajo así como aquellos adquiridos por el Banco son de
propiedad del Banco.
Los contratos para desarrollo externo deben acordarse por escrito y
deben señalar claramente el propietario de los derechos del programa. En
la mayoría de circunstancias, el Banco debería ser propietaria de todos
los programas de cómputo desarrollados, debiendo pagar los costos de
desarrollo.
Cada programa elaborado por desarrolladores propios del Banco o por
desarrolladores externos contratados por el Banco, debe contener la
información de derecho de autor correspondiente. Generalmente, el aviso
debe aparecer en cuando el usuario inicie la aplicación. Un aviso legible
también debe estar anexado a las copias de los programas almacenados
en dispositivos como cartuchos, cassettes, discos o disquetes.
6.10.4 Copiado de software adquirido y alquilado

Los contratos con proveedores y paquetes propietarios de software deben
definir claramente los límites de su uso. Los empleados están prohibidos
de copiar o utilizar dicho software de manera contraria a la provisión del
contrato. Toda infracción de los derechos de autor del software constituye
robo.
Los productos adquiridos o alquilados para ejecutarse en una unidad de

procesamiento o en un sitio particular no deben ser copiados y ejecutados
en procesadores adicionales sin algún acuerdo por parte del proveedor.
Los programas no pueden ser copiados salvo dentro del límite acordado
con el proveedor (por ejemplo, copias de respaldo para protección). Los
empleados o contratistas que realicen copias adicionales para evitar el
costo de adquisición de otro paquete serán hechos responsables de sus
acciones.
6.11 CONSIDERACIONES DE AUDITORIA DE SISTEMAS

6.11.1 Protección de las herramientas de auditoria
Todas las herramientas, incluyendo programas, aplicaciones,
documentación y papeles de trabajo, requeridos para la auditoria de
sistemas deben protegerse de amenazas posibles como se indica en esta
política de seguridad.
6.11.2 Controles de auditoria de sistemas

Todas las actividades de auditoria deben ser revisadas para el
planeamiento y la ejecución correcta de la auditoria. Esto incluye, pero no
se limita a lo siguiente:
- minimizar cualquier interrupción de las operaciones del negocio
- acuerdo de todas las actividades y objetivos de auditoria con la
gerencia
- límite del alcance de la evaluación de un ambiente controlado,
asegurando que no se brinde accesos impropios para la realización de
las tareas de auditoria
- identificación de los recursos y habilidades necesarias para cualquier
tarea técnica
- registro de todas las actividades y desarrollo de la documentación de
las tareas realizadas, procedimientos de auditoria, hallazgos y
recomendaciones.
6.12 POLÍTICA DE COMERCIO ELECTRÓNICO

El propósito de esta política es presentar un esquema para el
comportamiento aceptable cuando se realizan actividades de comercio
electrónico (e-commerce). Los controles definidos, tienen el propósito de
proteger el comercio electrónico de numerosas amenazas de red que
puedan resultar en actividad fraudulenta y divulgación o modificación de la
información.
Esta política se aplica a todos los empleados del Banco involucrados con
comercio electrónico y a los socios de comercio electrónico del Banco. Los
socios de comercio electrónico del Banco incluyen las unidades de negocio
de la organización, los clientes, socios comerciales y otros terceros.
El Banco debe asegurar la claridad de toda la información documentada y

divulgar la información necesaria para asegurar el uso apropiado del
comercio electrónico. El Banco y los socios de comercio electrónico deben
de someterse a la legislación nacional sobre el uso de la información de
clientes y las estadísticas derivadas.
Los documentos y transacciones electrónicas usadas en el comercio

electrónico deben ser legalmente admisibles. Las unidades de negocio
afiliadas del Banco deben demostrar que sus sistemas de cómputo
funcionan adecuadamente para establecer la autenticación de los
documentos y transacciones legales. Los sistemas de información usados
deben estar de acuerdo con los estándares de seguridad corporativos
antes de estar disponibles en producción.
Los sistemas de comercio electrónico deben publicar sus términos de

negocios a los clientes. El uso de autoridades de certificación y archivos
confiables de terceros deben estar documentados, de acuerdo con la

política de seguridad de información del Banco.
Actividades de roles y responsabilidades entre el Banco y los socios de

comercio electrónico deben de establecerse, documentarse y ser
soportadas por un acuerdo documentado que comprometa a ambos al
acuerdo de los términos de transacciones.
6.12.1 Términos e información de comercio electrónico

6.12.1.1 Recolección de información y privacidad
El Banco debe utilizar niveles apropiados de seguridad según el tipo de
información recolectada, mantenida y transferida a terceros debiendo
asegurarse de:
- Aplicar estándares corporativos de encripción y autenticación para la
transferencia de información sensible.
- Aplicar controles corporativos técnicos de seguridad para proteger los
datos mantenidos por computadoras; y
- Considerar la necesidad de que los terceros involucrados en las
transacciones de clientes, también mantengan niveles apropiados de
seguridad.
El Banco debe adoptar prácticas de información que manejen

cuidadosamente la información personal de los clientes. Todos los
sistemas de comercio electrónico del Banco deben seguir una política de
privacidad basada en principios de información, deben tomar medidas
apropiadas para proveer seguridad adecuada y respetar las preferencias
de los clientes con respecto al envío de mensajes de correo electrónico
no solicitados.
6.12.1.2 Divulgación
El Banco debe proveer suficiente información sobre la propia transacción
en línea, para permitir que los clientes tomen una decisión informada
sobre si ejecutar las transacciones en línea.
Información divulgada debe incluir, pero no estar limitada a:
- Términos de transacción;
- Disponibilidad de producto e información de envío; y
- Precios y costos.
El Banco debe también brindar al cliente las opciones de:
- Revisión y aprobación de la transacción; y
- Recepción de una confirmación.
6.12.2 Transferencia electrónica de fondos

Transacciones de valor, sobre redes de telecomunicación, que resulten de
movimientos de fondos, deben estar protegidas con medidas que sean
proporcionales a la pérdida potencial debido a error o fraude. En sistemas
donde el valor promedio de transacción excede los $50,000 o en los
cuales transacciones sobre los $100,000 sean frecuentes, se debe
verificar el origen de la transacción así como el contenido de la misma de
acuerdo a los estándares definidos por el Banco.
Para todos los casos en que un mensaje de transferencia electrónica de

fondos sea enviado sobre un circuito por lo menos se debe verificar el
origen del mensaje mediante un método apropiado considerando el riesgo
involucrado.
Algunas circunstancias requieren de la verificación de la ubicación física

del terminal que origina la transacción, mientras que en otras una
adecuada técnica usada para identificar el usuario del terminal es
suficiente.
Los sistemas que utilicen soluciones de encripción o autenticación deben

usar los estándares de ANSI aceptados.
La encripción de la información transmitida es necesaria cuando el origen
y el destino se encuentran conectados por un enlace físico de
comunicación que pueda ser accedido por un tercero. Las soluciones de
punto a punto son preferibles para redes multi-nodos.
Los datos de identificación personal como PIN’s, PIC’s y contraseñas no

deben ser transmitidas o almacenadas sin protección en cualquier medio.
Los sistemas nuevos que involucren el movimiento de fondos o
transacciones de valor sobre redes de telecomunicaciones debe
incorporar estos controles en su diseño.
Cualquier cambio en los sistemas o redes existentes, deben respetar

dichos controles.
6.13 INFORMACIÓN ALMACENADA EN MEDIOS DIGITALES Y

FÍSICOS
Toda información almacenada en cualquier dispositivo o medio del Banco,
incluyendo disquetes, reportes, códigos fuentes de programas de
computadora, correo electrónico y datos confidenciales de los clientes, es
propiedad del Banco.
Las prácticas de seguridad de datos deben ser consistentes para ser
efectivas. Los datos sensibles deben ser protegidos, sin importar la forma
en que sean almacenados.
6.13.1 Etiquetado de la información

Toda información impresa o almacenada en medios físicos transportables
(cintas de backup, cd´s, etc.) que sean confidenciales o restringidas,
deben estar claramente etiquetadas como tal, con letras grandes que
sean legibles sin la necesidad de un lector especial.
Todo documento o contenedor de información debe ser etiquetado como
“Restringida”, “Confidencial”, de “Uso interno” o de Acceso “General”,
dependiendo de la clasificación asignada.
Todo documento en formato digital o impreso, debe presentar una
etiqueta en la parte superior e inferior de cada página, con la clasificación
correspondiente.
Todo documento clasificado como “Confidencial” o “Restringido” debe
contar con una carátula en la cual se muestre la clasificación de la
información que contiene.
6.13.2 Copiado de la información

Reportes confidenciales y restringidos no deben ser copiados sin la
autorización del propietario de la información.
Reportes confidenciales pueden ser copiados sólo para los individuos
autorizados a conocer su contenido. Los gerentes son los responsables
de determinar dicha necesidad, para cada persona a la cual le sea
distribuido dicho reporte.
Los reportes restringidos deben ser controlados por un solo custodio,
quién es responsable de registrar los individuos autorizados que soliciten
el documento.
El copiado de cualquier dato restringido o confidencial almacenado en un
medio magnético debe ser aprobado por el propietario y clasificado al
igual que el original.
6.13.3 Distribución de la información

La información confidencial y restringida debe ser controlada cuando es
trasmitida por correo electrónico interno, externo o por courier. Si el
servicio de courier o correo externo es usado, se debe solicitar una

confirmación de entrega al receptor.
Los reportes confidenciales y otros documentos sensibles deben usarse
en conjunto con sobres confidenciales y estos últimos también ser
sellados. Materiales restringidos de alta sensibilidad deben enviarse con
un sobre etiquetado ‘Solo a ser abierto por el destinatario’. La entrega
personal es requisito para la información extremadamente sensible.
Los datos sensibles de la empresa que sean transportados a otra
instalación deben ser transportados en contenedores apropiados.
Todo usuario, antes de transmitir información clasificada como
“Restringida” o “Confidencial”, debe asegurarse que el destinatario de la
información esté autorizado a recibir dicha información.
La transmisión de información clasificada como “Restringida” o
“Confidencial”, transmitida desde o hacia el Banco a través de redes
externas, debe realizarse utilizando un medio de transmisión seguro, es
recomendable el uso de técnicas de encripción para la información
transmitida.
6.13.4 Almacenamiento de la información

Los activos de información correspondiente a distintos niveles de
clasificación, deben ser almacenados en distintos contenedores.
La información etiquetada como “de uso interno” debe ser guardada de
manera que sea inaccesible a personas ajenas a la empresa. La
información “Confidencial o “Restringida” debe ser asegurada para que
esté sólo disponible a los individuos específicamente autorizados para
acceder a ella.
El ambiente donde se almacena la información clasificada como

“Restringida”, debe contar con adecuados controles de acceso y
asegurado cuando se encuentre sin vigilancia. El acceso debe ser
permitido solo al personal formalmente autorizado. Personal de limpieza

debe ingresar al ambiente acompañado por personal autorizado.
La información en formato digital clasificada como de acceso “General”,

puede ser almacenada en cualquier sistema del Banco. Sin embargo se
deben tomar las medidas necesarias para no mezclar información
“General” con información correspondiente a otra clasificación.
Información en Formato digital, clasificada como “Restringida”, debe ser

encriptada con un método aprobado por el área de seguridad informática,
cuando es almacenada en cualquier medio (disco duro, disquetes, cintas,
CD´s, etc.).
Los medios de almacenamiento, incluyendo discos duros de

computadoras, que albergan información clasificada como “Restringida”,
deben ser ubicados en ambientes cerrados diseñados para el
almacenamiento de dicho tipo de información.
Cuando información clasificada como “de uso Interno”, Confidencial o
Restringida se guarde fuera del Banco, debe ser almacenada en
instalaciones que cuenten con adecuados controles de acceso.
El envío y recepción de medios magnéticos para ser almacenados en
instalaciones alternas debe ser autorizado por el personal responsable de
los mismos y registrado en bitácoras apropiadas.
6.13.5 Eliminación de la información

La eliminación de documentos y otras formas de información deben
asegurar la confidencialidad de la información de las unidades de
negocio.
Se debe borrar los datos de los medios magnéticos, como cassettes,

disquetes, discos duros, DASD, que se dejen de usar en el Banco debido
a daño u obsolencia, antes de que estos sean eliminados.
En el caso de los equipos dañados, la empresa de reparación o

destrucción del equipo debe certificar que los datos hayan sido destruidos
o borrados.
Capítulo VII
PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL
Luego de la identificación de riesgos amenazas y vulnerabilidades se pudo

determinar el conjunto de actividades más importantes a ser realizadas por el
Banco, las cuales permitan alinear las medidas de seguridad existentes con las
exigidas por las Políticas de Seguridad elaboradas.
Estas actividades han sido agrupadas en un plan de implementación, el cual

contiene los objetivos de cada actividad, el tiempo estimado de ejecución y las
etapas a ser cubiertas en cada actividad identificada.
Las actividades a ser realizadas por el Banco son las siguientes:

- Clasificación de la Información
- Seguridad de red y comunicaciones
- Inventario de accesos a los sistemas
- Adaptación de contratos con proveedores
- Campaña de concientización de usuarios
- Verificación y adaptación de los sistemas del Banco
- Estandarización de la configuración del software base
- Revisión y adaptación de procedimientos complementarios.
Para cada actividad se ha elaborado una breve descripción (objetivo), las

tareas a ser desarrolladas (etapas), la relación de precedencia que presenta
con otras actividades y un tiempo estimado de duración. El tiempo estimado
para el desarrollo de cada etapa debe ser revisado antes de iniciar la misma y
puede sufrir variaciones de acuerdo a dicha evaluación final.
7.1 Clasificación de Información
Dependencia Ninguna
Tiempo estimado 16 – 22 semanas
Objetivo Con el objetivo de proteger los activos de información
de manera adecuada, se debe realizar un proyecto
para la clasificación de la información utilizada por las
distintas unidades de negocio, mediante la cual se
podrán definir los recursos apropiados y necesarios
para proteger los activos de información. El objetivo de
la clasificación es priorizar la utilización de recursos
para aquella información que requiere de mayores
niveles de protección.
Los criterios a ser empleados para la clasificación de
la información son los siguientes:
- Información Restringida (R): Información con
mayor grado de sensibilidad; el acceso a esta
información debe de ser autorizado caso por caso.
- Información Confidencial (C): Información
sensible que solo debe ser divulgada a aquellas
personas que la necesiten para el cumplimiento de
sus funciones.
- Información de Uso Interno (I): Datos generados
para facilitar las operaciones diarias; deben de ser
manejados de una manera discreta, pero no
requiere de medidas elaboradas de seguridad.
- Información General (G): Información que es
generada específicamente para su divulgación al
público en general.
Etapas - Elaboración de un inventario de activos de

información incluyendo información almacenada en
medios digitales e información impresa.
- Definición de responsables por activos identificados
- Clasificación de la información por parte de los
responsables definidos.
- Consolidación de los activos de información
clasificados.
- Determinación de las medidas de seguridad a ser
aplicados para cada activo clasificado.
- Implementación de las medidas de seguridad
determinadas previamente.
7.2 Seguridad de red y comunicaciones
Dependencia Ninguna
Tiempo 11 – 17 semanas
estimado
Objetivo Para evitar manipulación de los equipos de
comunicaciones por personal no autorizado y garantizar
que la configuración que poseen brinde mayor seguridad y
eficiencia a las comunicaciones, se requiere que los
equipos que soportan dicho servicio, se encuentren
adecuadamente configurados.
Etapas A. Adaptación de sistemas de comunicaciones a políticas
de seguridad. (Tiempo estimado: 3-5 semanas)
- Elaboración de un inventario de equipos de
comunicaciones (routers, switches, firewalls, etc)
- Elaboración de estándares de configuración para los

equipos de comunicaciones (basarse en la política de
seguridad definida, documentación de proveedores,
etc.)
- Evaluación de equipos identificados.
- Adaptación de los equipos a la política de seguridad.
B. Adaptación a la arquitectura de red propuesta. (Tiempo

estimado: 6-8 semanas)
B.1. Creación de la Extranet: Controlar mediante un

firewall la comunicación entre la red del Banco y redes
externas como Banca Red y Reuters, para evitar
actividad no autorizada desde dichas redes hacia los
equipos de la red del Banco.
B.2. Implementar una red DMZ para evitar el ingreso

de conexiones desde Internet hacia la red interna de
datos. Adicionalmente implementar un sistema de
inspección de contenido con el propósito de monitorear
la información que es transmitida vía correo electrónico
entre el Banco e Internet.
En la red DMZ se debe ubicar un servidor de
inspección de contenido, el cual trabajaría de la
siguiente manera:
a) Ingreso de correo electrónico: El servidor de

inspección de contenido, recibirá todos los correos
enviados desde Internet, revisará su contenido y
los enviará al servidor Lotus Notes, quién los

entregará a su destinatario final.
b) Salida de correo electrónico: El Servidor Lotus
Notes enviará el correo electrónico al servidor de
inspección de contenido, quién revisará el
contenido del mensaje, para transmitirlo a través de
Internet a su destino final.
Esta nueva red DMZ puede ser empleada para ubicar
nuevos equipos que brindarán servicios a través de
Internet en el futuro tales como FTP, Web, etc.
B.3. Implementar un sistema de Antivirus para

servicios de Internet (SMTP, FTP, HTTP).
Implementar un gateway antivirus de servicios de
Internet, a través del cual pasarán las
comunicaciones establecidas entre la red interna
del Banco e Internet. (duración aproximada: 1
semana)
B.4. Implementar un sistema de Alta Disponibilidad de

firewalls en las conexiones donde fluye
información crítica y se requiera una alta
disponibilidad de las comunicaciones. (duración
aproximada: 2 semanas)
B.5. Implementar un sistema de monitoreo de Intrusos

para detectar los intentos de intrusión o ataque
desde redes externas hacia la red de datos del
Banco. Asimismo se recomienda la
implementación del sistema en la red interna del

Banco donde se ubican servidores críticos para
detectar intentos de intrusión o ataque realizados
desde la red interna del Banco hacia los
servidores. (duración aproximada: 2 semanas)
C. Proyectos complementarios (tiempo estimado 2-4

semanas)
- Evaluación de seguridad de la red inalámbrica y
aplicación de controles de ser necesarios.
- Verificación de la configuración de:
- Servidor Proxy, Surf Control
- Firewall
- Servidor de correo electrónico
7.3 Inventario de accesos a los sistemas
Dependencia Ninguna
Tiempo 9 - 12 semanas
estimado
Objetivo Con el propósito de obtener un control adecuado sobre el
acceso de los usuarios a los sistemas del Banco, se debe
realizar un inventario de todos los accesos que poseen ellos
sobre cada uno de los sistemas. Este inventario debe ser
actualizado al modificar el perfil de acceso de algún usuario
y será utilizado para realizar revisiones periódicas de los
accesos otorgados en los sistemas.
Etapas - Elaboración de un inventario de las aplicaciones y
sistemas del Banco

- Elaboración de un inventario de los perfiles de acceso
de cada sistema
- Verificación de los perfiles definidos en los sistemas
para cada usuario
- Revisión y aprobación de los accesos por parte de las
gerencias respectivas
- Depurar los perfiles accesos de los usuarios a los
sistemas.
- Mantenimiento periódico del inventario.
7.4 Adaptación de contratos con proveedores
Dependencia Ninguna
Tiempo 24 semanas (tiempo parcial)
estimado
Objetivo Con el objetivo de asegurar el cumplimiento de las políticas
de seguridad del Banco en el servicio brindado por los
proveedores, es necesario realizar una revisión de los
mismos y su grado de cumplimiento respecto a las políticas
de seguridad definidas, de ser necesario dichos contratos
deben ser modificados para el cumplimiento de la política de
seguridad del Banco.
Etapas - Elaboración de cláusulas estándar referidas a
seguridad de información, para ser incluidas en los
contratos con proveedores
- Elaboración de un inventario de los contratos existentes
con proveedores
- Revisión de los contratos y analizar el grado de
cumplimiento de la política de seguridad.

- Negociar con los proveedores para la inclusión de las
cláusulas en los contratos.
7.5 Campaña de concientización de usuarios.
Dependencia Ninguna
Tiempo 5-7 semanas
estimado
Objetivo Con el objetivo de lograr un compromiso y concientización
de los usuarios en temas referentes a seguridad de
información del Banco, se debe realizar una campaña de
concientización del personal la cual esté orientada a todo el
personal como conceptos básicos de seguridad y a grupos
específicos con temas correspondientes a sus
responsabilidades en la organización.
Etapas Definición del mensaje a transmitir y material a ser

empleado para los distintos grupos de usuarios, entre ellos:
Personal en general: información general sobre seguridad,
políticas y estándares incluyendo protección de virus,
contraseñas, seguridad física, sanciones, correo electrónico
y uso de Internet.
Personal de Sistemas: Políticas de seguridad, estándares y
controles específicos para la tecnología y aplicaciones
utilizadas.
Gerencias y jefaturas: Monitoreo de seguridad,
responsabilidades de supervisión, políticas de sanción.
Identificación del personal de cada departamento que se
encargará de actualizar a su propio grupo en temas de
seguridad.
Establecimiento de un cronograma de capacitación, el cual
debe incluir, empleados nuevos, requerimientos anuales de
capacitación, actualizaciones.
Desarrollo el cronograma de presentaciones.
- Realizar la campaña según el cronograma elaborado,
asegurándose de mantener un registro actualizado de la
capacitación de cada usuario.
7.6 Verificación y adaptación de los sistemas del Banco.
Dependencia Actividad A.
Tiempo 20 – 30 semanas
estimado
bjetivo Con el objetivo de asegurar el cumplimiento de la política de
seguridad en los controles existentes, se debe verificar el
grado de cumplimiento de las políticas de seguridad en los
sistemas del Banco y adaptarlos en caso de verificar su
incumplimiento.
Etapas - Elaboración de un inventario de las aplicaciones
existentes, incluyendo los servicios brindados a clientes
como banca electrónica y banca telefónica.
- Elaboración de un resumen de los requisitos que deben
cumplir las aplicaciones según la política y estándares
de seguridad.
- Evaluación del grado de cumplimiento de la política de
seguridad para cada una de las aplicaciones existentes
y la viabilidad de su modificación para cumplir con la
política de seguridad, elaborando la relación de cambios
que deben ser realizados en cada aplicación.
- Adaptación de los sistemas a la política de seguridad
(diseño, desarrollo, pruebas, actualización de la
documentación, etc.)
- Estandarización de controles para contraseñas de los
sistemas.
- Los sistemas no requerirán modificaciones si su
adaptación no es viable.
- Pase a producción de sistemas adaptados.
7.7 Estandarización de la configuración del software base
Dependencia Ninguna
Tiempo 12 semanas
estimado
Objetivo Con el objetivo de proteger adecuadamente la información
existente en servidores y computadores personales, se debe
realizar una adecuada configuración de los parámetros de
seguridad del software base que soporta las aplicaciones
del Banco.
Etapas - Finalización el proceso de migración de computadores

personales a Windows XP o Windows 2000
Professional.
- Elaboración de un inventario de sistema operativo de
servidores y computadores personales.
- Elaboración de estándares de configuración para
Windows XP Professional, Windows 2000 Professional,
Windows NT Server, SQL Server y OS/400.
- Elaboración de un inventario de bases de datos
existentes.
- Evaluación de los de sistemas identificados.
- Adaptación del software base a la política de seguridad.
7.8 Revisión, y adaptación de procedimientos complementarios
Dependencia Actividad B.
Tiempo 8 semanas
estimado
Objetivo Adaptar los procedimientos y controles complementarios del

Banco de acuerdo a lo estipulado en las políticas de
seguridad.
Etapas - Revisión y adaptación de controles y estándares para
desarrollo de sistemas
- Elaboración de procedimientos de monitoreo,
incluyendo procedimientos para verificación periódica
de carpetas compartidas, generación de copias de
respaldo de información de usuarios, aplicación de
controles de seguridad para información en
computadores portátiles, etc.
- Elaboración de procedimientos de monitoreo y reporte
sobre la administración de los sistemas y herramientas
de seguridad, entre ellas: antivirus, servidores de
seguridad del contenido, servidor Proxy, servidor
firewall, sistema de detección de intrusos.
- Establecimiento de controles para la información
transmitida a clientes y proveedores.
- Revisión y establecimiento de controles para el
almacenamiento físico de información.
- Revisión y establecimiento de controles para personal
externo que realiza labores utilizando activos de
información del Banco para el Banco (Soporte Técnico,
Rehder, proveedores, etc.)
7.9 Cronograma tentativo de implementación
Los proyectos antes mencionados deben ser liderados por el área de seguridad informática y sus responsables deben
ser definidos individualmente para cada uno de ellos. A continuación se presenta un cronograma sugerido para la
realización de las actividades correspondientes al presente plan de implementación:
ACTIVIDAD Mes Mes Mes Mes Mes Mes Mes Mes Mes Mes
1 2 3 4 5 6 7 8 9 10
Clasificación de Información
Seguridad de red y comunicaciones
Inventario de Accesos a los sistemas
Adaptación de contratos con proveedores
Campaña de concientización de usuarios.
Verificación y adaptación de los sistemas del

Banco.
Estandarización de la configuración del software

base
Revisión y adaptación de procedimientos

complementarios
Nota: La duración de los proyectos está sujeta a variaciones dependientes a la situación existente y el análisis realizado
previo a cada actividad
CONCLUSIONES Y RECOMENDACIONES
Dentro de las principales conclusiones y recomendaciones más importantes

tenemos:
• Para nadie es un secreto la importancia de implementar un programa

completo de seguridad de la información. Sin embargo, crear un
programa de seguridad con componentes "bloqueadores de cookies"
rara vez produce resultados efectivos. Lo más efectivo es utilizar una
metodología comprobada que diseñe el programa de seguridad con
base en las necesidades de su empresa, recuerde cada empresa es
diferente.
• La clave para desarrollar con éxito un programa efectivo de seguridad

de la información consiste en recordar que las políticas, estándares y
procedimientos de seguridad de la información son un grupo de
documentos interrelacionados. La relación de los documentos es lo que
dificulta su desarrollo, aunque es muy poderosa cuando se pone en
práctica. Muchas organizaciones ignoran esta interrelación en un
esfuerzo por simplificar el proceso de desarrollo. Sin embargo, estas
mismas relaciones son las que permiten que las organizaciones exijan y
cumplan los requerimientos de seguridad.
• ¿Por qué las organizaciones necesitan una Política de Seguridad

de la Información?
Por lo general se argumenta que las organizaciones requieren una
Política de Seguridad de la Información para cumplir con sus
"requerimientos de seguridad de la información". Ciertamente, muchas
organizaciones no tienen requerimientos de seguridad de la información
como tal, sino que tienen necesidades empresariales que deben

desarrollar e implementar. Las empresas, especialmente las compañías
cotizadas en bolsa y las organizaciones gubernamentales, están sujetas
a las reglamentaciones operacionales de los gobiernos estatales y
locales, así como de los organismos que reglamentan la industria. En el
caso de las compañías cotizadas en bolsa, los funcionarios corporativos
deben ser diligentes en sus operaciones y tener responsabilidad
fiduciaria ante los accionistas - estas estipulaciones jurídicas requieren
efectivamente que la organización proteja la información que utiliza, a la
que tiene acceso o que crea para que la compañía opere con eficiencia
y rentabilidad. Entonces surge la necesidad de proteger la información
la necesidad no es académica, ni es creada por los "genios técnicos"
que buscan justificar su existencia en la organización.
• ¿La seguridad de la información siempre requiere inversión

adicional?
Las empresas podrían o no necesitar más recursos, esto depende del
enfoque adoptado por la organización para el desarrollo de las políticas.
Una Política de Seguridad de la Información generalmente exige que
todos en la organización protejan la información para que la empresa
pueda cumplir con sus responsabilidades reglamentarias, jurídicas y
fiduciarias. Se usa mal y con frecuencia las palabras "generalmente" y
"proteger" para justificar mayor inversión cuando no es necesaria. Esto
puede parecer contrario a la intuición, pero la inversión adicional para
proteger la información no siempre garantiza el éxito. Pero si es
recomendable tener un presupuesto asignado para cumplir con estos
fines. Para evaluar las necesidades de inversión, debe consultar estas
"reglas" en orden secuencial:
Regla Nº 1: Saber qué información tiene y donde se encuentra.

Regla Nº 2: Saber el valor de la información que se tiene y la dificultad
de volverla a crear si se daña o pierde.
Regla Nº 3: Saber quiénes están autorizados para acceder a la
información y que pueden hacer con ella.
Regla Nº 4: Saber la velocidad con que puede acceder a la información
si no está disponible por alguna razón (por pérdida, modificación no
autorizada, etc.)
Estas cuatro reglas son aparentemente simples. Sin embargo, las

respuestas permitirán el diseño e implementación de un programa de
protección a la información puesto que las respuestas pueden ser muy
difíciles. No toda la información tiene el mismo valor y por lo tanto no
requiere el mismo nivel de protección (con el costo que implica).
• Es clave entender por qué se necesita proteger la información,

desde un punto de vista comercial es clave determinar la necesidad de
tener una Política de Seguridad de la Información. Para ello, se
necesitara saber cuál es la información y en donde se encuentra para
que pueda proceder a definir los controles que se necesitan para
protegerla.
• Características principales de una Política de Seguridad de la

Información:
ü Debe estar escrita en lenguaje simple, pero jurídicamente viable
ü Debe basarse en las razones que tiene la empresa para proteger

la información
ü Debe ser consistente con las demás políticas organizacionales
ü Debe hacerse cumplir - se exige y mide el cumplimiento
ü Debe tener en cuenta los aportes hechos por las personas

afectadas por la política
ü Debe definir el papel y responsabilidades de las personas,

departamentos y organizaciones para los que aplica la política
ü No debe violar las políticas locales, estatales
ü Debe definir las consecuencias en caso de incumplimiento de la

política
ü Debe estar respaldada por documentos "palpables", como los

estándares y procedimientos para la seguridad de la información,
que se adapten a los cambios en las operaciones de las
empresas, las necesidades, los requerimientos jurídicos y los
cambios tecnológicos.
ü Debe ser aprobada y firmada por el gerente general de la

organización. No obtener este compromiso significa que el
cumplimiento de la política es opcional - situación que hará que
fracase las políticas de protección de la información.
• Redactar una política para la seguridad de la información puede ser

sencillo comparado con su implementación y viabilidad. La política
organizacional y las presiones por lo general aseguran que habrá
dificultad y consumo de tiempo para crear y adoptar una Política de
Seguridad de la Información, a menos que un "líder fuerte" dirija el
programa de políticas. Esta persona generalmente es un "político", una
persona influyente, un facilitador y sobretodo una persona que sepa
escuchar, para que pueda articular y aclarar las inquietudes y temores

de las personas respecto a la introducción de una nueva política.
ANEXOS
A. DISEÑO DE ARQUITECTURA DE SEGURIDAD DE RED
ARQUITECTURA DE SEGURIDAD DE RED

Con el propósito de incrementar la seguridad de la plataforma tecnológica del
Banco, se realizó un análisis de su actual arquitectura de red principalmente en
el control de conexiones con redes externas. Producto de dicho análisis se
diseño una nueva arquitectura de red, la cual posee controles de acceso para
las conexiones y la ubicación recomendada para los detectores de intrusos a
ser implementados por el Banco.
A continuación se muestra el diagrama con la arquitectura de red propuesta.
Fig 1: Arquitectura de red propuesta.
Para lograr implementar esta arquitectura de red, se deben realizar un conjunto

de cambios los cuales se detallan a continuación:
1. Creación de la Extranet: Controlar mediante un firewall la comunicación

entre la red del Banco y redes externas como Banca Red y Reuters,
para evitar actividad no autorizada desde dichas redes hacia los equipos
de la red del Banco.
2. Implementar una red DMZ para evitar el ingreso de conexiones desde

Internet hacia la red interna de datos. Adicionalmente implementar un
sistema de inspección de contenido con el propósito de monitorear la
información que es transmitida vía correo electrónico entre el Banco e
Internet.
En la red DMZ se debe ubicar un servidor de inspección de contenido, el
cual trabajaría de la siguiente manera:
a. Ingreso de correo electrónico: El servidor de inspección de
contenido, recibirá todos los correos enviados desde Internet,
revisará su contenido y los enviará al servidor Lotus Notes,
quién los entregará a su destinatario final.
b. Salida de correo electrónico: El Servidor Lotus Notes enviará
el correo electrónico al servidor de inspección de contenido,
quién revisará el contenido del mensaje, para transmitirlo a
través de Internet a su destino final.
Esta nueva red DMZ puede ser empleada para ubicar nuevos equipos
que brindarán servicios a través de Internet en el futuro tales como FTP,
Web, etc.
3. Para controlar el ingreso de virus informáticos desde Internet, así como

para prevenir el envío de mensajes electrónicos conteniendo virus
informático, se recomienda implementar un primer nivel de protección
antivirus mediante un sistema de inspección de servicios de Internet.

Este sistema inspeccionará la información recibida desde Internet, así
como la información enviada hacia otras entidades vía Internet Este
sistema debe inspeccionar la navegación de los usuarios (HTTP -
HyperText Transfer Protocol), la transferencia de archivos (FTP – File
Transfer Protocol) y el intercambio de corroe electrónico (SMTP –
Simple mail Transfer Protocol).
4. Luego de implementados los cambios previamente detallados, el

Firewall se torna en un punto crítico para las comunicaciones del Banco,
por lo cual se requiere implementar un sistema de Alta Disponibilidad de
Firewalls, el cual permita garantizar que el canal de comunicación
permanezca disponible en caso de falla de uno de los Firewalls.
5. Con el propósito de prevenir la realización de actividad no autorizada

desde redes externas hacia la red del Banco y desde la red interna del
Banco hacia los servidores y hacia Internet, se debe implementar un
sistema de detección de intrusos que inspeccione el tráfico que circula
por segmentos de red estratégicos tales como:
- Internet, para detectar la actividad sospechosa proveniente desde
Internet.
- Red DMZ, para detectar la actividad dirigida contra los servidores
públicos que logró atravesar el Firewall.
- Extranet, para detectar actividad realizada desde las redes externas
con las que se posee conexión.
- Puntos estratégicos de la red interna, los cuales permitan detectar la
actividad realizada contra los equipos críticos del Banco.
B. CIRCULAR N° G-105-2002 PUBLICADA POR LA SUPERINTENDENCIA

DE BANCA Y SEGUROS (SBS) SOBRE RIESGOS DE TECNOLOGÍA DE
INFORMACIÓN
Lima, 22 de febrero de 2002
CIRCULAR Nº G - 105 - 2002

-----------------------------------------------
Ref.: Riesgos de tecnología de
información
-----------------------------------------------
Señor
Gerente General
Sírvase tomar nota que, en uso de las atribuciones conferidas por el numeral 7 del
artículo 349º de la Ley General del Sistema Financiero y del Sistema de Seguros y
Orgánica de la Superintendencia de Banca y Seguros - Ley Nº 26702 y sus
modificatorias, en adelante Ley General, y por la Resolución SBS N° 1028-2001
del 27 de diciembre de 2001, con la finalidad de establecer criterios mínimos para
la identificación y administración de los riesgos asociados a la tecnología de
información, a que se refiere el artículo 10º del Reglamento para la Administración
de los Riesgos de Operación, aprobado mediante la Resolución SBS Nº 006-2002
del 4 de enero de 2002, esta Superintendencia ha considerado conveniente
establecer las siguientes disposiciones:
Alcance
Artículo 1º.- Las disposiciones de la presente norma son aplicables a las empresas
señaladas en los artículos 16° y 17° de la Ley General, al Banco Agropecuario, a
la Corporación Financiera de Desarrollo S.A. (COFIDE), al Banco de la Nación, a

la Fundación Fondo de Garantía para Préstamos a la Pequeña Industria (FOGAPI)
y a las derramas y cajas de beneficios que se encuentren bajo la supervisión de
esta Superintendencia, en adelante empresas.
Definiciones
Artículo 2º .- Para efectos de la presente norma, serán de aplicación las siguientes
definiciones:
a. Información: Cualquier forma de registro electrónico, óptico, magnético o en

otros medios similares, susceptible de ser procesada, distribuida y
almacenada.
b. Ley General: Ley N° 26702, Ley General del Sistema Financiero y del
Sistema de Seguros y Orgánica de la Superintendencia de Banca y
Seguros.
c. Proceso crítico: Proceso considerado indispensable para la continuidad de

las operaciones y servicios de la empresa, y cuya falta o ejecución
deficiente puede tener un impacto financiero significativo para la empresa.
d. Reglamento: Reglamento para la Administración de los Riesgos de

Operación aprobado por Resolución SBS N° 006-2002 del 4 de enero de
2002.
e. Riesgos de operación: Entiéndase por riesgos de operación a la posibilidad

de ocurrencia de pérdidas financieras por deficiencias o fallas en los
procesos internos, en la tecnología de información, en las personas o por
ocurrencia de eventos externos adversos.
f. Riesgos de tecnología de información: Los riesgos de operación asociados

a los sistemas informáticos y a la tecnología relacionada a dichos sistemas,
que pueden afectar el desarrollo de las operaciones y servicios que realiza

la empresa al atentar contra la confidencialidad, integridad y disponibilidad
de la información, entre otros criterios.
g. Seguridad de la información: Característica de la información que se logra

mediante la adecuada combinación de políticas, procedimientos, estructura
organizacional y herramientas informáticas especializadas a efectos que
dicha información cumpla los criterios de confidencialidad, integridad y
disponibilidad.
h. Objetivo de control: Una declaración del propósito o resultado deseado

mediante la implementación de controles apropiados en una actividad de
tecnología de información particular.
Responsabilidad de la empresa
Artículo 3°.- Las empresas deben establecer e implementar las políticas y
procedimientos necesarios para administrar de manera adecuada y prudente los
riesgos de tecnología de información, incidiendo en los procesos críticos
asociados a dicho riesgo, considerando las disposiciones contenidas en la
presente norma, en el Reglamento, y en el Reglamento del Sistema de Control
Interno aprobado mediante la Resolución SBS Nº 1040-99 del 26 de noviembre de
1999.
La administración de dicho riesgo debe permitir el adecuado cumplimiento de los
siguientes criterios de control interno:
i. Eficacia. La información debe ser relevante y pertinente para los objetivos

de negocio y ser entregada en una forma adecuada y oportuna conforme
las necesidades de los diferentes niveles de decisión y operación de la
empresa.
ii. Eficiencia. La información debe ser producida y entregada de forma

productiva y económica.
iii. Confidencialidad. La información debe ser accesible sólo a aquellos que

se encuentren debidamente autorizados.
iv. Integridad. La información debe ser completa, exacta y válida.
v. Disponibilidad. La información debe estar disponible en forma organizada

para los usuarios autorizados cuando sea requerida.
vi. Cumplimiento normativo. La información debe cumplir con los criterios y

estándares internos de la empresa, las regulaciones definidas externamente
por el marco legal aplicable y las correspondientes entidades reguladoras,
así como los contenidos de los contratos pertinentes.
Estructura organizacional y procedimientos

Artículo 4°.- Las empresas deben definir y mantener una estructura organizacional
y procedimientos que les permita administrar adecuadamente los riesgos
asociados a la tecnología de información, consistente con su tamaño y naturaleza,
así como con la complejidad de las operaciones que realizan.
Administración de la seguridad de información

Artículo 5º.- Las empresas deberán establecer, mantener y documentar un sistema
de administración de la seguridad de la información, en adelante "Plan de
Seguridad de la información - (PSI)". El PSI debe incluir los activos de tecnología
que deben ser protegidos, la metodología usada, los objetivos de control y
controles, así como el grado de seguridad requerido.
Las actividades mínimas que deben desarrollarse para implementar el PSI, son las
siguientes:
a. Definición de una política de seguridad.
b. Evaluación de riesgos de seguridad a los que está expuesta la información
c. Selección de controles y objetivos de control para reducir, eliminar o evitar

los riesgos identificados, indicando las razones de su inclusión o exclusión.
d. Plan de implementación de los controles y procedimientos de revisión

periódicos.
e. Mantenimiento de registros adecuados que permitan verificar el

cumplimiento de las normas, estándares, políticas, procedimientos y otros
definidos por la empresa, así como mantener pistas adecuadas de
auditoria.
Las empresas bancarias y las empresas de operaciones múltiples que accedan al

módulo 3 de operaciones a que se refiere el artículo 290º de la Ley General
deberán contar con una función de seguridad a dedicación exclusiva.
Subcontratación (outsourcing)
Artículo 6º.- La empresa es responsable y debe verificar que se mantengan las
características de seguridad de la información contempladas en la presente
norma, incluso cuando ciertas funciones o procesos críticos puedan ser objeto de
una subcontratación. Para ello se tendrá en cuenta lo dispuesto en la Primera
Disposición Final y Transitoria del Reglamento. Asimismo, la empresa debe
asegurarse y verificar que el proveedor del servicio sea capaz de aislar el
procesamiento y la información objeto de la subcontratación, en todo momento y
bajo cualquier circunstancia.
En caso que las empresas deseen realizar su procesamiento principal en el

exterior, requerirán de la autorización previa y expresa de esta Superintendencia.
Las empresas que a la fecha de vigencia de la presente norma se encontrasen en

la situación antes señalada, deberán solicitar la autorización correspondiente. Para
la evaluación de estas autorizaciones, las empresas deberán presentar
documentación que sustente lo siguiente:
a) La forma en que la empresa asegurará el cumplimiento de la presente
circular y la Primera Disposición Final y Transitoria del Reglamento.
b) La empresa, así como los representantes de quienes brindarán el servicio
de procesamiento en el exterior, deberán asegurar adecuado acceso a la
información con fines de supervisión, en tiempos razonables y a solo
requerimiento.
Aspectos de la seguridad de información

Artículo 7°.- Para la administración de la seguridad de la información, las
empresas deberán tomar en consideración los siguientes aspectos:
7.1 Seguridad lógica

Las empresas deben definir una política para el control de accesos, que incluya los
criterios para la concesión y administración de los accesos a los sistemas de
información, redes y sistemas operativos, así como los derechos y atributos que se
confieren.
Entre otros aspectos, debe contemplarse lo siguiente:
a) Procedimientos formales para la concesión, administración de derechos y
perfiles, así como la revocación de usuarios. Revisiones periódicas deben
efectuarse sobre los derechos concedidos a los usuarios.
b) Los usuarios deben contar con una identificación para su uso personal, de
tal manera que las posibles responsabilidades puedan ser seguidas e
identificadas.
c) Controles especiales sobre utilidades del sistema y herramientas de
auditoria.
d) Seguimiento sobre el acceso y uso de los sistemas y otras instalaciones

físicas, para detectar actividades no autorizadas.
e) Usuarios remotos y computación móvil.
7.2 Seguridad de personal

Las empresas deben definir procedimientos para reducir los riesgos asociados al
error humano , robo, fraude o mal uso de activos, vinculados al riesgo de
tecnología de información. Al establecer estos procedimientos, deberá tomarse en
consideración, entre otros aspectos, la definición de roles y responsabilidades
establecidos sobre la seguridad de información, verificación de antecedentes,
políticas de rotación y vacaciones, y entrenamiento.
7.3 Seguridad física y ambiental

Las empresas deben definir controles físicos al acceso, daño o interceptación de
información. El alcance incluirá las instalaciones físicas, áreas de trabajo,
equipamiento, cableado, entre otros bienes físicos susceptibles a riesgos de
seguridad.
Se definirán medidas adicionales para las áreas de trabajo con necesidades
especiales de seguridad, como los centros de procesamiento, entre otras zonas en
que se maneje información que requiera de alto nivel de protección.
7.4 Clasificación de seguridad

Las empresas deben realizar un inventario periódico de activos asociados a la
tecnología de información que tenga por objetivo proveer la base para una
posterior clasificación de seguridad de dichos activos. Esta clasificación debe
indicar el nivel de riesgo existente para la empresa en caso de falla sobre la
seguridad, así como las medidas apropiadas de control que deben asociarse a las
clasificaciones.
Administración de las operaciones y comunicaciones

Artículo 8º.- Las empresas deben establecer medidas de administración de las
operaciones y comunicaciones que entre otros aspectos contendrán lo siguiente:
- Control sobre los cambios en el ambiente operativo, que incluye cambios en
los sistemas de información, las instalaciones de procesamiento y los
procedimientos.
- Control sobre los cambios del ambiente de desarrollo al de producción.
- Separación de funciones para reducir el riesgo de error o fraude.
- Separación del ambiente de producción y el de desarrollo.
- Controles preventivos y de detección sobre el uso de software de
procedencia dudosa, virus y otros similares.
- Seguridad sobre las redes, medios de almacenamiento y documentación de
sistemas.
- Seguridad sobre correo electrónico.
- Seguridad sobre banca electrónica.
Desarrollo y mantenimiento de sistemas informáticos - Requerimientos de

seguridad
Artículo 9º.- Para la administración de la seguridad en el desarrollo y
mantenimiento de sistemas informáticos, se debe tomar en cuenta, entre otros, los
siguientes criterios:
a) Incluir en el análisis de requerimientos para nuevos sistemas o mejoras a
los sistemas actuales, controles sobre el ingreso de información, el
procesamiento y la información de salida.
b) Aplicar técnicas de encriptación sobre la información crítica que debe ser
protegida.
c) Definir controles sobre la implementación de aplicaciones antes del ingreso
a producción.
d) Controlar el acceso a las librerías de programas fuente.
e) Mantener un estricto y formal control de cambios, que será debidamente

apoyado por sistemas informáticos en el caso de ambientes complejos o
con alto número de cambios.
Procedimientos de respaldo
Artículo 10º.- Las empresas deben establecer procedimientos de respaldo
regulares y periódicamente validados. Estos procedimientos deben incluir las
medidas necesarias para asegurar que la información esencial pueda ser
recuperada en caso de falla en los medios o luego de un desastre. Estas medidas
serán coherentes con lo requerido en el Plan de Continuidad.
La empresa debe conservar la información de respaldo y los procedimientos de
restauración en una ubicación remota, a suficiente distancia para no verse
comprometida ante un daño en el centro principal de procesamiento.
Planeamiento para la continuidad de negocios

Artículo 11º.- Las empresas, bajo responsabilidad de la Gerencia y el Directorio,
deben desarrollar y mantener un "Plan de Continuidad de Negocios" (PCN), que
tendrá como objetivo asegurar un nivel aceptable de operatividad de los procesos
críticos, ante fallas mayores internas o externas.
Criterios para el diseño e implementación del Plan de Continuidad de

Negocios
Artículo 12º.- Para el desarrollo del PCN se debe realizar previamente una
evaluación de riesgos asociados a la seguridad de la información. Culminada la
evaluación, se desarrollarán sub-planes específicos para mantener o recuperar los
procesos críticos de negocios ante fallas en sus activos, causadas por eventos
internos (virus, errores no esperados en la implementación, otros), o externos (falla
en las comunicaciones o energía, incendio, terremoto, proveedores, otros).
Prueba del Plan de Continuidad de Negocios

Artículo 13º.- La prueba del PCN es una herramienta de la dirección para controlar
los riesgos sobre la continuidad de operación y sobre la disponibilidad de la
información, por lo que la secuencia, frecuencia y profundidad de la prueba del
PCN, deberá responder a la evaluación formal y prudente que sobre dicho riesgo
realice cada empresa.
En todos los casos, mediante una única prueba o una secuencia de ellas, según lo
considere adecuado cada empresa de acuerdo a su evaluación de riesgos, los
principales aspectos del PCN deberán ser probados cuando menos cada dos
años.
Anualmente, dentro del primer mes del ejercicio, se enviará a la Superintendencia
el programa de pruebas correspondiente, en que se indicará las actividades a
realizar durante el ciclo de 2 años y una descripción de los objetivos a alcanzar en
el año que se inicia.
Cumplimiento formativo
Artículo 14º.- La empresa deberá asegurar que los requerimientos legales,
contractuales, o de regulación sean cumplidos, y cuando corresponda,
incorporados en la lógica interna de las aplicaciones informáticas.
Privacidad de la información
Artículo 15º .- Las empresas deben adoptar medidas que aseguren
razonablemente la privacidad de la información que reciben de sus clientes y
usuarios de servicios, conforme la normatividad vigente sobre la materia.
Auditoria Interna y Externa

Artículo 16º.- La Unidad de Auditoria Interna deberá incorporar en su Plan Anual
de Trabajo la evaluación del cumplimiento de lo dispuesto en la presente norma.
Asimismo, las Sociedades de Auditoria Externa deberán incluir en su informe
sobre el sistema de control interno comentarios dirigidos a indicar si la entidad

cuenta con políticas y procedimientos para la administración de los riesgos de
tecnología de información, considerando asimismo, el cumplimiento de lo
dispuesto en la presente norma.
Auditoria de sistemas
Artículo 17º.- Las empresas bancarias y aquellas empresas autorizadas a operar
en el Módulo 3 conforme lo señalado en el artículo 290° de la Ley General,
deberán contar con un servicio permanente de auditoria de sistemas, que
colaborará con la Auditoria interna en la verificación del cumplimiento de los
criterios de control interno para las tecnologías de información, así como en el
desarrollo del Plan de Auditoria.
El citado servicio de auditoria de sistemas tomará en cuenta, cuando parte del

procesamiento u otras funciones sean realizadas por terceros, que es necesario
conducir su revisión con los mismos estándares exigidos a la empresa, por lo que
tomará en cuenta las disposiciones indicadas en la Primera Disposición Final y
Transitoria del Reglamento.
Las empresas autorizadas para operar en otros módulos, para la verificación del
cumplimiento antes señalado, deberán asegurar una combinación apropiada de
auditoria interna y/o externa, compatible con el nivel de complejidad y perfil de
riesgo de la empresa. La Superintendencia dispondrá un tratamiento similar a las
empresas pertenecientes al módulo 3, cuando a su criterio la complejidad de sus
sistemas informáticos y su perfil de riesgo así lo amerite.
Información a la Superintendencia
Artículo 18°.- El informe anual que las empresas deben presentar a la
Superintendencia, según lo dispuesto en el Artículo 13° del Reglamento, deberá
incluir los riesgos de operación asociados a la tecnología de información, como

parte integral de dicha evaluación, para lo cual se sujetará a lo dispuesto en dicho
Reglamento y a lo establecido en la presente norma.
Sanciones
Artículo 19°.- En caso de incumplimiento de las disposiciones contenidas en la
presente norma, la Superintendencia aplicará las sanciones correspondientes de
conformidad con lo establecido en el Reglamento de Sanciones.
Plan de adecuación
Artículo 20°.- En el Plan de Adecuación señalado en el segundo párrafo de la
Cuarta Disposición Final y Transitoria del Reglamento, las empresas deberán
incluir un sub-plan para la adecuación a las disposiciones contenidas en la
presente norma.
Plazo de adecuación
Artículo 21°.- Las empresas contarán con un plazo de adecuación a las
disposiciones de la presente norma que vence el 30 de junio de 2003
Atentamente,
SOCORRO HEYSEN ZEGARRA

Superintendente de Banca y Seguros (e)
C. DETALLE: DIAGNOSTICO DE LA SITUACION ACTUAL DE LA

ADMINISTRACIÓN DE LOS RIESGOS DE TECNOLOGIA DE LA
INFORMACION
La siguiente matriz muestra puntos específicos de la situación actual en cuanto

a la administración de seguridad y los compara contra los requerimientos de la
Circular G-105-2002 de la Superintendencia, contempla los siguientes
aspectos:
1. Estructura de la organización de seguridad de la información

1.1 Roles y responsabilidades
2. Plan de seguridad de la información
2.1 Políticas, estándares y procedimientos de seguridad
2.2 Seguridad lógica
2.3 Seguridad de personal
2.4 Seguridad física y ambiental
2.5 Clasificación de seguridad
3. Administración de las operaciones y comunicaciones.
4. Desarrollo y mantenimiento de sistemas informáticos.
5. Procedimientos de respaldo.
6. Subcontratación (Relación y status de los contratos con terceros en
temas críticos)
7. Cumplimiento normativo
8. Privacidad de la información
9. Auditoria interna y externa
El detalle de la evaluación de las áreas mencionadas se muestra en una matriz

cuyo contenido es el siguiente:
- Situación Actual: Muestra un resumen de la situación encontrada en el

Banco a partir de la información relevada durante las entrevistas y de los
documentos entregados.
- Mejores Practicas: Muestra un resumen de las mejores prácticas en el
sector y los requerimientos mencionadas en la Circular G105-2002 de la
SBS uno de los motivos del presente trabajo.
- Análisis de Brecha: Muestra de manera gráfica la brecha existente entre la
situación actual y los requerimientos de la SBS y las mejores prácticas del
sector.
Análisis
Situación Actual SBS, Mejores Prácticas De
Brecha
1 ESTRUCTURA ORGANIZACIONAL PARA LA ADMINISTRACIÓN DE RIESGOS DE T ECNOLOGÍA D E INFORMACIÓN
1. El Banco cuenta con las siguientes unidades: Se debería contemplar los

División de Riesgo: Órgano dependiente de la - Definición y mantenimiento de
Gerencia General, encargado de medir y controlar una estructura organizacional
la calidad y capacidad de endeudamiento de los que permita administrar
clientes, con el objeto de mantener adecuados adecuadamente los riesgos
niveles de riesgo crediticio, tanto para aquellos asociados a la tecnología de
que se encuentren en evaluación, como aquellos información.
que ya han sido utilizados y se encuentran en
- La unidad de riesgo deberá
pleno proceso de cumplimiento de reembolsos.
contar con un responsable de
Asimismo, los riesgos denominados
la administración del riesgo de
genéricamente Riesgos de Mercado. Cuenta con
TI.
un departamento de Riesgos Operativos y
Tecnológicos a cargo de la Srta. Patricia
- La responsabilidad de la
seguridad de la Información
Pacheco.
debería ser ejercida de forma
exclusiva.
Area de Seguridad: Órgano encargado de velar
por la seguridad de las instalaciones del Banco, - El Departamento de Riesgos
así como del personal y Clientes que se Operativos y Tecnológicos
Análisis
Brecha
encuentran y transitan en ellas. debería contar con una
estructura acorde con los
Area de Seguridad Informática: Enfocada a los riesgos de tecnología
aspectos de accesos a los aplicativos y sistemas. evaluados para Banco y definir
Área que originalmente formo parte de Soporte indicadores que ayuden a
Técnico (Agosto 2001). No considera en sus monitorear los mismos.
funciones las referentes a seguridad de la - El Departamento de Riesgos
plataforma y de la información. Operativos y Tecnológicos
debería definir los
Auditoria de Sistemas: Entre otras, sus mencionados indicadores en
funciones son las de: conjunto con el área de
- Efectuar evaluaciones periódicas de la sistemas del Banco.
capacidad y apropiada utilización de los
recursos de cómputo.
- Verificar el cumplimiento de las normas y

procedimientos referidos a las Áreas de
Desarrollo de Sistemas y Soporte
Tecnológico, participando junto con estas
instancias y los usuarios directos durante el
ciclo de desarrollo de sistemas para la
implantación de adecuados controles internos
y pistas de auditoria, incluyendo su posterior
evaluación y seguimiento.
Se ha observado que la documentación existente

con respecto a las distintas áreas se encuentra
desactualizada.
No existe dentro de la estructura roles
equivalentes al de Oficial de Seguridad.
2 PLAN DE S EGURIDAD DE LA INFORMACIÓN
Análisis
Brecha
2 El Banco no cuenta con un plan de Seguridad de Se deberían contemplar los
la Información formalmente documentado que siguientes aspectos:
guíe las distintas normas con que cuenta el - Definición de una política de
Banco referentes a los riesgos y seguridad de la seguridad.
Tecnología de Información.
- Evaluación de riesgos de
seguridad a los que está
expuesta la información.
- Inventario de riesgos de
seguridad de la información.
- Selección de controles y
objetivos de control para
reducir, eliminar y evitar los
riesgos identificados, indicando
las razones de su inclusión o
exclusión
- Plan de implementación de los

controles y procedimientos de
revisión periódicos.
- Mantenimiento de registros
adecuados que permitan
verificar el cumplimiento de las
normas, estándares, políticas,
procedimientos y otros
definidos por la empresa, así
como mantener pistas de
auditoria.
2.1 POLÍTICAS, ESTÁNDARES Y P ROCEDIMIENTOS DE S EGURIDAD
2.1 El Banco no cuenta con políticas de seguridad La definición de una política de

formalmente documentadas que indiquen los seguridad debería contemplar:
procedimientos de seguridad a ser adoptados - Declaración escrita de la
Análisis
Brecha
para salvaguardar la información de posibles política.
pérdidas en la integridad, disponibilidad y - Definición de la propiedad de la
confidencialidad. Política.
- Políticas debidamente
Sin embargo, se ha observado la existencia de
comunicadas.
controles específicos en distintos aspectos de la
seguridad de la Información, que detallamos a
- Autoridad definida para realizar
cambios en la Política.
continuación.
- Aprobación por el área legal.
- Alineamiento de la política con

la organización.
- Definición de responsabilidades
de la seguridad.
- Confirmación de usuarios de
conocimiento de la política.
2.2 SEGURIDAD LÓGICA
2.2 Hemos observado la existencia, entre otros La Seguridad Lógica debería

aspectos, de: contemplar los siguientes aspectos:
- Procedimientos definidos en el área de - Definición de procedimientos

sistemas para la concesión y administración formales para la administración
de perfiles y accesos a usuarios, incluyendo de perfiles y usuarios.
la revocación y revisiones periódicas de los - Identificación única de
mismos. usuarios.
- Accesos a los sistemas de información del - Controles sobre el uso de
Banco controlados al nivel de red de datos y herramientas de auditoria y
aplicación, para lo cual cada usuario cuenta utilidades sensibles del
con IDs y contraseñas de uso estrictamente sistema.
personal y de responsabilidad de los
- Controles sobre el acceso y
usuarios.
uso de los sistemas y otras
- Controles de acceso a herramientas de instalaciones físicas.
Análisis
Brecha
auditoria en los sistemas de información. - Controles sobre usuarios
- Controles de acceso parciales a utilidades remotos y computación móvil.
sensibles del sistema. - Administración restringida de
- Generación parcial de pistas de auditoria en los equipos de acceso remoto y
los sistemas de información. configuración de seguridad del
mismo.
Hemos observado que no cuenta con:
- Controles de acceso a utilidades sensibles

del sistema sobre estaciones de trabajo
Win98/95.
- Habilitación de opciones de auditoria en los

sistemas operativos de red.
- Procedimientos de revisión de pistas de

auditoria que contemplen no solo los registros
del computador central.
2.3 SEGURIDAD DE P ERSONAL
Hemos observado que el Banco se encuentra en Se debería considerar:

un proceso de normalización llevado a cabo por el - Procedimientos de revisión de
área de RRHH y la de OyM el cual incluye entre datos en el proceso de
otros aspectos: selección de personal previo a
- Formalización de normas y procedimientos de su contratación (Ex.
las distintas áreas del Banco. Referencias de carácter,
- Identificación de información relevante a verificación de estudios,
entregar a los nuevos trabajadores por área revisión de crédito –si aplica- y
de trabajo. revisión independiente de

identidad)
- Normalización de entrega de dicha
información a los actuales trabajadores - Entrega formal de las políticas
incluyendo documento de confirmación de de manejo de información
conocimiento. confidencial a los nuevos
Análisis
Brecha
integrantes del Banco.
Adicionalmente hemos observado que RRHH - Definición apropiada de
considera dentro del proceso de evaluación de responsabilidad sobre la
personal nuevo, la verificación de distintos seguridad es parte de los
aspectos de personales a modo de preselección o términos y condiciones de la
filtro de personal idóneo para el Banco. aceptación del empleo (ex.
Términos en el contrato).
- Difusión de las políticas con

respecto al monitoreo de
actividades en la red y
sistemas de información, antes
entregar IDs a usuarios.
2.4 SEGURIDAD FÍSICA Y AMBIENTAL
Hemos observado la existencia, entre otros Se debería considerar los

aspectos, de: siguientes aspectos:
- Controles de acceso adecuados a sus activos

físicos e instalaciones Áreas seguras
- Normas de control de acceso físico a áreas Procedimientos de reubicación de
sensibles establecidos y en proceso de empleados
mejora en el caso de la oficina principal.

- Controles de áreas de carga y
- Monitoreo constante de las instalaciones del descarga.
Banco.
- Controles físicos de entrada.
- Controles ambientales así como medidas
- Seguridad del perímetro físico
preventivas y correctivas ante incendios.
de las instalaciones.
- Existen procedimientos definidos para el
- Procedimientos de Remoción o
deshecho de papeles de trabajo.
reubicación de activos.
- Las copias de respaldo son almacenadas de
- Aseguramiento de oficinas,
manera segura.
áreas de trabajo y facilidades.
- Generadores de respaldo y UPS para red de
Análisis
Brecha
datos . Seguridad de Equipos
Aseguramiento de Cableado
Sin embargo encontramos deficiencias en los
siguientes aspectos: - Acciones y planes de
mantenimiento de equipos
- Las medidas de seguridad existentes no se
extienden a la Información como activo de
Protección de equipos
valor del Banco y no existen normas
adecuadas con respecto al resguardo de la Normas de seguridad para laptops.
misma cuando se trata de activos físicos

- Fuentes de poder redundantes.
(equipos o elementos de almacenamiento de
información, documentos impresos, etc.).
- Procedimientos de eliminación
o uso reiterado seguro de
- No existe un programa de concientización
equipos de manera segura
para el usuario con respecto al cuidado
necesario para con la información.
Controles generales
- No existe una norma en uso sobre “mesas y
- Política de “mesa limpia”
pantallas limpias”.
- Política de “pantallas limpias”
El programa de mantenimiento preventivo de los

equipos del Banco se encuentra incompleto al
considerar únicamente al computador central.
2.5 CLASIFICACIÓN DE SEGURIDAD
El Banco cuenta con inventarios de software, Se debería considerar los

licencias y hardware razonablemente siguientes aspectos:
actualizados - Un catálogo de todos los
Sin embargo carece de inventarios de activos físicos de la
información, servicios y proveedores así como de organización, indicando tipo de
una clasificación de los elementos mencionados activo, ubicación física,
con respecto a su nivel de riesgo dentro del responsable y nivel de
Banco. criticidad.
- Un catálogo de todos los

activos de software tales como
Análisis
Brecha
herramientas de desarrollo,
aplicaciones, etc. Debe indicar
entre otros, vendedor,
ubicación lógica y física,
responsable, nivel de criticidad,
clasificación de la información,
etc.
- Un catálogo o descripción de
alto nivel de todos los activos
de información mas
importantes de la organización.
Debe indicar información como
tipo de data, ubicación lógica o
física, responsable o dueño de
la información, clasificación de
la información y nivel de
criticidad.
- Un listado de todos los

servicios tales como
comunicaciones, cómputo,
servicios generales, etc. y
documentar la información
relativa a los proveedores del
servicio. Debería incluir entre
otros, persona de contacto con
el proveedor, procedimientos
de servicios de emergencia,
criticidad y unidades de
negocio afectadas por el
servicio.
- Clasificación de los sistemas

de información y/o grupos de
Análisis
Brecha
data según su criticidad y sus
características de
confidencialidad, integridad y
disponibilidad.
- Asignación de la
responsabilidad de clasificación
- Procedimientos de
mantenimiento de la
clasificación
3 ADMINISTRACIÓN DE OPERACIONES Y COMUNICACIONES
El Banco cuenta con: Se deberían considerar los

Procedimientos y responsabilidades de
operación. Procedimientos y
- Documentación no formalizada relativa a los responsabilidades de operación.
procedimientos de operaciones en los - Documentación formal de todos

sistemas de información los procedimientos de
- Procesos de revisión y reporte de operación así como
conformidad de dichas operaciones. procedimientos y niveles de
Controles establecidos relativos a cambios en autorización definidos para su
los sistemas de información. mantenimiento.
- Programación de trabajos o
Control en cambios operacionales. procesos debe ser
- Adecuada separación de las facilidades de correctamente documentada,
los ambientes de producción y las de así como el resultado de dichas
desarrollo. ejecuciones.
- Un Sistema a través del cual se administran

Administración de facilidades
las actividades de:
externas.
- Cambios a los programas;
- Todo procesos realizado en o
- Pase a producción; y
por un tercero, debe ser
Análisis
Brecha
- Administración de versiones evaluado con respecto a los

riesgos y seguridad para
- Adecuada segregación de funciones en
desarrollar procedimientos que
labores de pase a producción de sistemas.
mitiguen dichos riesgos.
- Limitación de operadores a través de menús
de acceso.
Control en cambios
operacionales.
Protección contra software malicioso.
- Todo cambio en la red de
- Controles de protección contra virus y
datos, incluyendo software,
software malicioso y procedimientos de
dispositivos, cableado o
revisión periódica del cumplimiento o
equipos de comunicación debe
efectividad de dichos controles, tanto por
seguir procedimientos formales
parte del área de sistemas como por parte del
definidos y adecuadamente
auditor de sistemas.
registrados.
- Roles y responsabilidades
Segregación de funciones
deben ser claramente definidos
y las funciones adecuadamente
- Todas las funciones mencionadas se
segregadas.
mantienen independientes. Sin embargo,
- Los cambios deben ser
cabe mencionar que el actual Auditor de
adecuadamente aprobados.
Sistemas del Banco perteneció al equipo de
soporte del área de sistemas y mantiene - Los resultados de todo cambio
acceso a datos de producción y desarrollo. deben ser correctamente
Posee acceso también a la línea de documentados. Roles y
comandos de ambos entornos. responsabilidades en las

actividades de pase a
- Asimismo, eventualmente usuarios finales
producción correctamente
tienen acceso a la línea de comandos;
definidos y segregados.
restringida a tareas puntuales. No existe
control formal sobre estas actividades. - Adecuada separación de
ambientes de producción y
Operaciones de verificación desarrollo.
- Estándar de administración de
Análisis
Brecha
- Procedimientos de generación y cambios definido, incluyendo
almacenamiento de copias de contingencia cambios de emergencia.
definidos. - Control de accesos a escritura
- Se usan formatos de reporte de las sobre sistemas en producción.
actividades de operación y generación de

copias de respaldo. Administración de incidentes de
seguridad.
Administración de Red - Definición de procedimientos y

equipos de respuesta ante
- Se cuenta con un sistema Proxy y un filtro de incidentes de seguridad.
paquetes como elementos de protección de

red. No se cuenta con una DMZ ni con una Segregación de funciones.
arquitectura de seguridad red apropiada con - Las actividades de desarrollo,

respecto a la Internet. migración y operación de
sistemas, así como las de
Manipulación y seguridad de dispositivos de administración de aplicaciones,
almacenamiento de información. helpdesk, administración de red
y de IT deben ser
- Las copias de respaldo se encuentran en una correctamente segregadas.
localidad distinta y son aseguradas por un

tercero. Planeamiento de sistemas.
- No existen políticas con respecto al manejo - Procedimientos formales
de otros dispositivos de almacenamiento de definidos de planeamiento de
información en el área de sistemas. recursos.
Intercambio de información y seguridad Protección contra software

malicioso.
- Controles y restricciones establecidas, no
documentadas ni formalizados, respecto al - Controles preventivos y
uso del correo electrónico. detección sobre el uso de

software de procedencia
dudosa, virus, etc.).
Análisis
Brecha
Operaciones de verificación
- Adecuado registro de fallas.
- Adecuados procedimientos de
generación de copias de
respaldo.
- Registros adecuados de todas

las actividades de operación.
Administración de Red
- Adecuados controles de
operación de red
implementados.
- Protección de la red y
comunicaciones usando
dispositivos de control de
accesos, procedimientos y
sistemas de monitoreo de red
(Detección de intrusos) y
procedimientos de reporte.
Manipulación y seguridad de
dispositivos de almacenamiento
de información.
- Aseguramiento sobre medios

de almacenamiento y
documentación de sistemas.
Intercambio de información
(Correo electrónico y otros) y
seguridad
Análisis
Brecha
- Controles de seguridad en el
Correo electrónico y cualquier
otro medio de transferencia de
información (Ex. Normas,
filtros, sistemas de protección
contra virus, etc.).
- Seguridad en la Banca
Electrónica.
4 DESARROLLO Y MANTENIMIENTO
El Banco cuenta con: Se debería considerar lo siguiente:
- Metodología de Desarrollo y Mantenimiento - Contar con metodologías y

de Aplicaciones que especifica las siguientes estándares formales de
actividades como tareas dentro de un desarrollo y mantenimiento de
proyecto: sistemas.
§ Definiciones - Los requerimientos deben ser
§ Perfil definidos antes de la fase de
§ Definiciones funcionales diseño y se debe determinar un
§ Especificaciones funcionales apropiado ambiente de control
§ Diagrama de procesos para la aplicación, estos
§ Prototipo requerimientos deben incluir:
§ Plan de Trabajo § Control de acceso
§ Definiciones técnicas § Autorización
§ Diagrama de Contexto § Criticidad del
§ Diagrama de flujo de datos sistema
§ Modelo de datos § Clasificación de la
§ Cartilla técnica información
§ Cartilla de operador § Disponibilidad del
§ Cartilla de usuario sistema
§ Pruebas y capacitación § Integridad y
§ Acta de conformidad de pruebas confidencialidad de
Análisis
Brecha
§ Pase a producción la información.
- Las aplicaciones cuentan con controles de - Todas las aplicaciones deberán

edición y cuando se requiere de controles en tener rutinas de validación de
totales, cuadres, etc. Estos son generalmente data.
definidos en las etapas de definición del - Toda la data debe ser revisada
proyecto por los responsables de las áreas periódicamente, a fin de
usuarias y se deja documentado dichos detectar inexactitud, cambios
requerimientos de control. no autorizados e integridad de
- Procesos en lote ("batch") mantienen la información.
actividades iniciales que validan la - Se deben definir controles para
información a procesar. Asimismo, para el prevenir que la data se vea
caso específico de Lotes Contables, se valida afectada por un mal
la información inicial a procesar durante el procesamiento.
día, para evitar se retrase el procesamiento
- Se deben definir controles que
por dicha actividad.
permitan revisar toda
- Rutinas de consistencia de información que información obtenida por un
se remite a otras entidades como COFIDE y sistema de información,
SBS, realizadas a través de un sistema asegurando que sea completa,
llamado SUCAVE. correcta y solo disponible para
- Librerías de rutinas ya estandarizadas y personal autorizado.
revisadas para controles de fechas, campos - Uso de técnicas de
numéricos y cadenas de caracteres, totales encriptación estándar.
numéricos, cálculo de intereses, entre otros.
- Controles para el acceso a las
Sin embargo, cabe señalar que en algunos
librerías de programa fuentes.
casos estas rutinas se mantienen
independientes en cada programa y no en
- Mantener un estricto y formal
control de cambios, que sea
una librería de rutinas que invoca todo
debidamente apoyado por
programa que lo necesite.
sistemas informáticos en el
- Técnicas de encriptación para intercambio de
caso de ambientes complejos o
información con Unibanca, con la Cámara de
con alto número de cambios.
Compensación Electrónica y SUNAD
Análisis
Brecha
- Entornos independientes de desarrollo y - Procedimientos formales y

producción. adecuados para las pruebas y
- La metodología de desarrollo y reportes de las mismas.
mantenimiento de aplicaciones indica la

necesidad de una actividad de prueba de los
cambios y/o nuevos requerimientos; sin
embargo, no existe procedimientos
específicos definidos para la documentación
de las pruebas realizadas ni para la
conformidad de las mismas.
Cabe señalar que se mantiene versiones de los

programas fuente y compilados en los entornos
de Desarrollo y Producción. El sistema Fenix
administra los cambios y versiones del entorno de
desarrollo y la actualización en el entorno de
producción se encuentra a cargo del Jefe de
Soporte Técnico.
Los estándares de mantenimiento y desarrollo no
se encuentran completos.
5 PROCEDIMIENTOS DE R ESPALDO
Se cuenta con un procedimiento formalizado para Los procedimientos de generación

el respaldo de información del computador central de copias de respaldo deberían
y de usuario final, este procedimiento establece: contar con los siguientes controles
- Para archivo de datos, se realiza con una clave:
frecuencia diaria, dos copias y tres - Aseguramiento de que el

generaciones. proceso de generación de
- Para software base, se realiza con una copias de respaldo haya
frecuencia diaria, dos copias y tres culminado exitosamente.
generaciones. - Procedimientos que
Análisis
Brecha
- Para los programas fuente, se realiza de contemplen pruebas periódicas
forma diaria, una copia en tres generaciones. de las copias de respaldo.
- Para la información de usuarios finales, se - El tiempo de almacenamiento
realiza de forma diaria, una copia en tres de las copias de respaldo debe
generaciones. estar en concordancia con los

requisitos legales y normativos
Todas las copias se guardan en la bóveda central vigentes.
del Banco y de forma mensual se remiten a

almacenar en la empresa PROSEGUR.
Se encuentra en proceso de definición un

procedimiento de verificación de cintas, por la
antigüedad de las mismas.
Se mantiene información histórica desde el inicio
de actividades del Banco.
- Se debería considerar:
- Generación de Plan de
Contingencias que abarque
todos los procesos críticos del
Banco y que se ha desarrollado
siguiendo una metodología
formal.
- Procedimientos revisión
periódica del plan.
- Creación de un equipo para

implementar el plan en el que
todos los miembros conocen
Análisis
Brecha
sus responsabilidades y cómo
deben cumplir con las tareas
asignadas.
- Existencia de preparativos
adecuados para asegurarse de
la continuidad del
procesamiento
computadorizado (existe centro
de procesamiento alterno).
- Una copia del plan de

contingencias se almacena en
una sede remota y será de fácil
acceso en caso de que
ocurriere cualquier forma de
desastre.
- Preparativos de contingencia
para el hardware y software de
comunicaciones y redes.
- Realización periódica un back-

up de los archivos de datos
críticos, los sistemas y
bibliotecas de programas
almacenándolo en una sede
remota cuyo tiempo de acceso
sea adecuado.
- Identificación del equipamiento

requerido por los especialistas
y se hicieron los preparativos
para su reemplazo.
- Se debería considerar lo siguiente:
Análisis
Brecha
- Revisión del impacto sobre el

negocio, previo al diseño del
Plan de continuidad de
negocios, identificando las
partes más expuestas a riesgo.
- Realizar revisión del impacto
en el negocio, estableciendo
los procedimientos a seguirse
en el caso de que ocurriera un
desastre (por ej. Explosión,
incendio, daño por tormenta,
pérdida de personal clave) en
cualquiera de las dependencias
operativas de la organización.
- Deberían existir planes de
contingencia para cada recurso
computadorizado.
- El plan de contingencias
debería contemplar las
necesidades de los
departamentos usuarios en
términos de traslados,
ubicación y operación.
- El plan de contingencias
debería asegurar que se
observen normas de seguridad
de información en caso de que
ocurriera un desastre.
- El cronograma para la
recuperación de cada función
debería ser revisado asegurando
Análisis
Brecha
que sea adecuado.
El plan de contingencias debería

probarse periódicamente para
asegurarse de que aún es viable y
efectivo.
6 SUBCONTRATACIÓN
Encontramos que el Banco tiene principalmente, El plan de contingencias debe

los siguientes servicios contratados: incluir la pérdida del servicio
- UNIBANCA: Procesamiento de transacciones prestado por terceros.
de tarjetas (diario)
Los contratos de servicios con
- HERMES: Distribución de tarjetas de crédito y
terceros deberían incluir entre otros
débito. Información necesaria y tarjetas
aspectos, los siguientes:
recibidas de UNIBANCA. (diario)
- Requerimientos de seguridad y
- NAPATEK: Impresión de estados de cuenta y
las acciones que se tomarán de
“ensobrado”. Recibe información vía una
no cumplirse el contrato.
transferencia electrónica de archivos - "File
Transfer" (mensual). - Acuerdos de controles de
seguridad y políticas a
- Rehder: Se transmite información de monto
aplicarse para garantizar el
facturado por cada cliente (e-mail) para el
cumplimiento de los
seguro de desgravamenes (mensual).
requerimientos.
- TELEFONICA: Centro de procesamiento de
- Determinación de los niveles
datos de respaldo. Entrará en operatividad el
de servicio requeridos (Service
31 de Mayo.
Level Agreements o SLA).
- PROSEGUR: Almacenamiento de copias de
- El derecho de la entidad, y la
respaldo.
Superintendencia de Banca y
Seguros, o las personas que
No se obtuvo información (contratos) relativa a los
ellos designen, de auditar el
servicios prestados por UNIBANCA.
ambiente de la empresa que
Análisis
Brecha
El Banco no cuenta con un procedimiento definido brinda el servicio, para verificar
para la inclusión de cláusulas relativas a la los controles de seguridad
confidencialidad, niveles de servicio, etc., en los aplicados a la data y los
contratos de servicios prestados por terceros al sistemas.
Banco. - Documentación sobre los
controles físicos y lógicos,
empleados por la empresa que
brinda el servicio, para proteger
la confidencialidad, integridad y
disponibilidad de la información
y equipos de la entidad.
- Determinación de los
requerimientos legales,
incluyendo privacidad y
protección de la data.
- Procedimiento que asegure

que la empresa que brinda el
servicio realizará pruebas
periódicas para mantener la
seguridad de la data y los
sistemas.
- Cláusula sobre exclusividad de

equipos que procesan
información del Banco.
7 CUMPLIMIENTO NORMATIVO
El Banco ha implementado controles para el Se debería contar con:

cumplimiento normativo relativo al uso de - Definición de responsable del
software licenciado, tales como: cumplimiento de las normas
- Controles manuales periódicos por parte del emitidas por la
área de sistemas y el área de auditoria de Superintendencia.
sistemas.
Análisis
Brecha
- Compromiso firmado por los usuarios - Procedimientos de control

referente al software autorizado, tipificando el establecidos para el
incumplimiento como falta grave. cumplimiento de las normas
- Evaluación de software para auditorías de emitidas por la
software de forma automática. Superintendencia.
- La información, tanto física como digital es - Control de cumplimiento de
almacenada según períodos determinados normas sobre la propiedad
por ley. intelectual (licenciamiento de

software).
- Existe un procedimiento de comunicación de
las normas legales emitidas aplicables a las
distintas áreas del Banco y el área de
auditoria interna realiza labores de control
con respecto a la implementación de dichas
normas.
Sin embargo:
- No existe un responsable definido en la

estructura del Banco encargado de mantener
actualizada sobre las normas emitidas por
organismos reguladores.
8 PRIVACIDAD DE LA INFORMACIÓN
El Banco no cuenta con: Se debería contar con:
- Un responsable asignado para la salvaguarda - Definición de responsabilidades

de la privacidad de la información. con respecto a la aplicación del
secreto bancario y de la
Si bien durante las diversas charlas realizadas en privicidad de la Información.
los Comités se tocan temas referentes al secreto - Restricciones de acceso a
bancario, no se han implementado controles información en salvaguarda de
específicos en todas las áreas del Banco con el su privacidad y del secreto
fin de evitar la exposición de información sensible bancario.
Análisis
Brecha
de los clientes y del Banco así como limitar el - Existencia de autorizaciones
acceso del personal a dicha información. internas para la entrega y
transferencia de información.
En el área de sistemas se han implementado
controles respecto a la limitación de acceso a
información de clientes y se ha registrado
evidencia de incidentes y acciones tomadas por
auditoria interna, dicha situación no se replica en
las distintas áreas del Banco.
9 AUDITORIA INTERNA Y EXTERNA
El Banco no cuenta con: Se debería considerar:
- Un área de auditoria interna que esta - La Unidad de Auditoria Interna

incluyendo en su plan de auditoria el deberá incorporar en su Plan
cumplimiento de lo dispuesto en la norma G- Anual de Trabajo la evaluación
105-2002 de la Superintendencia. del cumplimiento de lo
dispuesto en la norma G-105-
2002 de la Superintendencia.
- Las sociedades de Auditoria

Externa deberán incluir en su
informe sobre el sistema de
control interno comentarios
dirigidos a indicar si la entidad
cuenta con políticas y
procedimientos para la
administración de los riesgos
de tecnología de información.
El Banco deberá contar con un
servicio permanente de auditoria de
sistemas.
BIBLIOGRAFÍA
1. Information Technology Security for Managers - Workshop sobre temas de

Seguridad – IBM Global Service. http://www.ibm.com/services/securite
2. ISO /IEC 17799:2000 http://www.iso1799.com
3. British Standard 7799
4. INFOSEC’S WORST NIGHTMARES

http://www.infosecuritymag.com/2002/nov/nightmares.shtml
5. ¿Como elaborar politicas de Seguridad efectivas?

http://www.symantec.com/region/mx/enterprisesecurity

Seguridad Informatica

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Seguridad Informatica

Загружено:

Авторское право:

Доступные форматы

Plan de Seguridad Informática para una Entidad Financiera .

Córdova Rodríguez, Norma Edith.

La liberalización y la globalización de los servicios financieros, junto con la

En otros tiempos la seguridad de la información era fácilmente administrable,

Los sistemas electrónicos entraron en las oficinas y obligaron a los sistemas de

De manera similar a otro tipo de crímenes, el cuantificar los gastos y pérdidas

Por otro lado el objetivo fundamental de la seguridad no es proteger los

La seguridad es sólo uno de los componentes de la administración de riesgos –

Las computadoras no atacan a las empresas, lo hace la gente. Los empleados

El presente trabajo describe como se define un Plan de Seguridad para una

Security is just one of the components of risk management - minimize the

The more destructive security incidents tend mostly to be internal instead of

Computers does not attack enterprises, people do it. Employees with

Los eventos mundiales recientes han generado un mayor sentido de urgencia

La mayoría de las empresas ha invertido tiempo y dinero en la construcción de

Imagine lo que sucedería si:

• La información esencial fuera robada, se perdiera, estuviera en peligro,

• Los sistemas de correo electrónico no funcionaran durante un día o más.

• Los clientes no pudieran enviar órdenes de compra a través de la red

Prepararse para múltiples escenarios parece ser la tendencia creciente. En un

¿Cómo desarrollar una política de seguridad?

• Identifique y evalúe los activos: Qué activos deben protegerse y cómo

• Identifique las amenazas: ¿Cuáles son las causas de los potenciales

o Amenazas externas: Se originan fuera de la organización y son

o Amenazas internas: Son las amenazas que provienen del

ocasionar los empleados al enviar y revisar el material ofensivo a

• Asigne las responsabilidades: Seleccione un equipo de desarrollo que

• Establezca políticas de seguridad: Cree una política que apunte a los

• Implemente una política en toda la organización: La política que se

específicos. También puede requerir que todos los empleados firmen la

o Cumplimiento: Indique un procedimiento para garantizar el

o Funcionarios de seguridad: Nombre individuos que sean

o Financiación: Asegúrese de que a cada departamento se le haya

• Administre el programa de seguridad: Establezca los procedimientos

A través del proceso de elaboración de una política de seguridad, es importante

• Se pueda implementar y hacer cumplir

• Sea concisa y fácil de entender

• Compense la protección con la productividad

Se debe mencionar que no debe haber dos políticas de seguridad iguales

Una política completa de seguridad de la información es un recurso valioso que

En el presente trabajo desarrollaremos el Plan de Seguridad para una entidad

A lo largo de todo el desarrollo del trabajo describiremos mas en detalle su

las principales actividades que deben ejecutarse para la implementación de las

A continuación describiremos brevemente la situación actual de los aspectos

A) Organización de seguridad de la información

Actualmente el Banco cuenta con un área de seguridad informática

B) Diseño del plan de seguridad de la información

Para el diseño del Plan de seguridad de la información se desarrollaran las

- Evaluación de riesgos, amenazas y vulnerabilidades

Para la definición del alcance de las políticas y estándares y con el propósito de

- Políticas de seguridad de información.

- Diseño de arquitectura de seguridad de red.

Con el objetivo de controlar las conexiones de la red del Banco con

De la identificación de riesgos amenazas y vulnerabilidades relacionadas

Este plan de alto nivel incluye una descripción de la actividad a ser

El objetivo del presente trabajo es realizar un diagnostico de la situación actual

La reglamentación que elaboró la SBS con respecto a los riesgos de

Gráfico de Evolución de las regulaciones de la Superintendencia de

Riesgos Riesgos de Riesgos de

• Estructura • Riesgo de • Procesos

1. Plan de Seguridad Informática PSI

METODOLOGÍA Y PROCEDIMIENTOS UTILIZADOS

2.1 Metodología ESA