Академический Документы
Профессиональный Документы
Культура Документы
RESUMEN
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Los incidentes de seguridad más devastadores tienden más a ser internos que
externos. Muchos de estos incidentes involucran a alguien llevando a cabo una
actividad autorizada de un modo no autorizado. Aunque la tecnología tiene
cierta ingerencia en limitar esta clase de eventos internos, las verificaciones y
balances como parte de los procesos del negocio son mucho más efectivos.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
ABSTRACT
The liberalization and globalization of the financial services with the increasing
sophistication of the financial technology are facing more complex banking
activities in terms of security.
Long time ago, security information was easily management, just it was enough
guard the more important documents under the keys and placed employees;
who has the knowledge; safe, just placing bodyguards; nowadays it is harder.
The electronics systems got in the office and made systems security evolved to
be updated with the technology changes. Then, 5 years ago, the business; even
the small companies were connected to Internet (a public network with few
rules and without security).
In a similar way of other kind of crimes, measure security IT expenses and lost
or cybernetic crimes are very difficult. People tend to minimize incidents for
justifying reasons.
By the other hand, the main objective of IT Security is not to protect the
systems; it is to reduce risks and to support the business operations. The most
secure computer in the world is which is disconnected form the network, placed
deeply in any dark desert and be surrounded by armed bodyguards, but it is
also the most useless.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
The present work describes how you can define a Security Plan for a financial
enterprise, begin defining the Organizational structure (roles and
responsibilities), then define the policies and finally ends with the
Implementation Plan which are the activities to meet the policies before
mentioned.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
INTRODUCCIÓN
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
• Evalué los riesgos: Éste puede ser uno de los componentes más
desafiantes del desarrollo de una política de seguridad. Debe calcularse
la probabilidad de que ocurran ciertos sucesos y determinar cuáles tiene
el potencial para causar mucho daño. El costo puede ser más que
monetario - se debe asignar un valor a la pérdida de datos, la privacidad,
responsabilidad legal, atención pública indeseada, la pérdida de clientes
o de la confianza de los inversionistas y los costos asociados con las
soluciones para las violaciones a la seguridad.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Consideraciones importantes
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Una vez la política se aprueba totalmente, debe hacerse asequible a todos los
empleados porque, en ultima instancia, ellos son responsables de su éxito. Las
políticas deben actualizarse anualmente (o mejor aún cada seis meses) para
reflejar los cambios en la organización o cultura.
BANCO ABC
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Con el objetivo de contar con una guía para la protección de información del
Banco, se elaborarán las políticas y estándares de seguridad de la información,
tomando en cuenta el estándar de seguridad de información ISO 17799, los
requerimientos de la Circular N° G-105-2002 publicada por la Superintendencia
de Banca y Seguros (SBS) sobre Riesgos de Tecnología de Información y las
normas establecidas internamente por el Banco.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
C) Plan de Implementación
El Autor
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Capítulo I
OBJETIVOS Y ALCANCES
1.1 Objetivos
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Capítulo II
a E n t r e n a m i e nyt oConcientización
Visión y Estrategia de Seguridad
Gerencia
Política
C o m p r o m i sde
Modelo de Seguridad
Arquitectura de Seguridad
& Estándares Tecnicos
P r o g r a m de
Guías y Procedimientos
Adminitrativos y de Usuario Final
E s t r u c t u r a de Administración de S e g u r i d a d de I n f o r m a c i ó n
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Capítulo III
3.1 Evaluación
Efectuada nuestra revisión de la administración de riesgos de tecnología de
información del Banco hemos observado que el Plan de Seguridad de
Información (PSI) no ha sido desarrollado. Si bien hemos observado la
existencia de normas, procedimientos y controles que cubren distintos aspectos
de la seguridad de la información, se carece en general de una metodología,
guía o marco de trabajo que ayude a la identificación de riesgos y
determinación de controles para mitigar los mismos.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
3.2 Alcances
El alcance del diagnóstico de la situación de administración del riesgo de
Tecnología de Información, en adelante TI, comprende la revisión de las
siguientes funciones al interior del área de sistemas:
• Administración del área de Tecnología de Información
- Estructura organizacional
- Función de seguridad a dedicación exclusiva
- Políticas y procedimientos para administrar los riesgos de TI
- Subcontratación de recursos.
• Actividades de desarrollo y mantenimiento de sistemas informáticos
• Seguridad de la Información
- Administración de la Seguridad de la Información.
- Aspectos de la seguridad de la información (lógica, personal y física y
ambiental)
- Inventario periódico de activos asociados a TI
• Operaciones computarizadas
- Administración de las operaciones y comunicaciones
- Procedimientos de respaldo
- Planeamiento para la continuidad de negocios
- Prueba del plan de continuidad de negocios
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Grado de
Aspectos Evaluados
Cumplimiento
1 Estructura de la seguridad de la Información
5 Procedimientos de respaldo
7 Subcontratación
8 Cumplimiento normativo
9 Privacidad de la información
10 Auditoria de Sistemas
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Capítulo IV
Las labores de seguridad realizadas por el área de sistemas son las siguientes:
- Control de red
- Administración del firewall
- Administración de accesos a bases de datos
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Custodio de Información:
Es el responsable de la administración diaria de la seguridad en los sistemas
de información y el monitoreo del cumplimiento de las políticas de seguridad en
los sistemas que se encuentran bajo su administración. Sus responsabilidades
son:
• Administrar accesos a nivel de red (sistema operativo).
• Administrar accesos a nivel de bases de datos.
• Administrar los accesos a archivos físicos de información almacenada en
medios magnéticos (diskettes, cintas), ópticos (cd´s) o impresa.
• Implementar controles definidos para los sistemas de información,
incluyendo investigación e implementación de actualizaciones de seguridad
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Usuario:
Las responsabilidades de los usuarios finales, es decir, aquellas personas que
utilizan información del Banco como parte de su trabajo diario están definidas a
continuación:
• Mantener la confidencialidad de las contraseñas de aplicaciones y sistemas.
• Reportar supuestas violaciones de la seguridad de información.
• Asegurarse de ingresar información adecuada a los sistemas.
• Adecuarse a las políticas de seguridad del Banco.
• Utilizar la información del Banco únicamente para los propósitos
autorizados.
Propietario de Información:
Los propietarios de información son los gerentes y jefes de las unidades de
negocio, los cuales, son responsables de la información que se genera y se
utiliza en las operaciones de su unidad. Las áreas de negocios deben ser
conscientes de los riesgos de tal forma que sea posible tomar decisiones para
disminuir los mismos.
Entre las responsabilidades de los propietarios de información se tienen:
• Asignar los niveles iniciales de clasificación de información.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Auditoria Interna:
El personal de auditoria interna es responsable de monitorear el cumplimiento
de los estándares y guías definidas en las políticas internas. Una estrecha
relación del área de auditoria interna con el área de seguridad informática es
crítica para la protección de los activos de información. Por lo tanto dentro del
plan anual de evaluación del área de auditoria interna se debe incluir la
evaluación periódica de los controles de seguridad de información definidos por
el Banco.
Auditoria interna debe colaborar con el área de seguridad informática en la
identificación de amenazas y vulnerabilidades referentes a la seguridad de
información del Banco.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Gerente de
Comité de Administración y
Coordinación de Operaciones
Seguridad de la
Információn
Seguridad
Informática
Contraloría Recursos
Sistemas Operaciones Administración
General Humanos
Gerente de División de
Administración y
Operaciones
(Presidente del Comité)
Jefe de
Jefe de Seguridad
Gerente de Departamente de Auditor de
Informática
Sistemas Riesgo Operativo y Sistemas
(Responsable)
Tecnológico
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Capítulo V
Estándar o medida de
Tecnología Implicancia de seguridad
seguridad a aplicar
Actual
Windows NT, Se debe contar con controles Estándar de mejores
Windows 2000 de acceso adecuados a la data prácticas de seguridad para
y sistemas soportados por el Windows NT
Sistema Operativo. Estándar de mejores
prácticas de seguridad para
Windows 2000.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Estándar o medida de
Tecnología Implicancia de seguridad
seguridad a aplicar
OS/400 Se debe contar con controles Estándar de mejores
de acceso adecuados a la data prácticas de seguridad para
y sistemas soportados por el OS/400.
computador Central. Los
controles que posee este
servidor deben ser lo más
restrictivos posibles pues es el
blanco potencial de la mayoría
de intentos de acceso no
autorizado.
Base de datos Se debe contar con controles Estándar de mejores
SQL Server de acceso a información de los prácticas de seguridad para
sistemas que soportan el bases de datos SQL Server.
negocio de la Compañía.
Banca electrónica • El servidor Web se • Estándares de
a través de encuentra en calidad de encripción de
Internet. "hosting" en Telefónica información transmitida.
Data, se debe asegurar • Cláusulas de
que el equipo cuente con confidencialidad y
las medidas de seguridad delimitación de
necesarias, tanto físicas responsabilidades en
como lógicas. contratos con
• La transmisión de los datos proveedores.
es realizada a través de un • Acuerdos de nivel de
medio público (Internet), se servicios con
debe contar con medidas proveedores, en los
adecuadas para mantener cuales se detalle el
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Estándar o medida de
Tecnología Implicancia de seguridad
seguridad a aplicar
la confidencialidad de la porcentaje mínimo de
información (encripción de disponibilidad del
la data). sistema.
• El servidor Web que es • Evaluación
accedido por los clientes independiente de la
puede ser blanco potencial seguridad del servidor
de actividad vandálica con que brinda el servicio, o
el propósito de afectar la acreditación de la misma
imagen del Banco. por parte del proveedor.
• La disponibilidad del
sistema es un factor clave
para el éxito del servicio.
Banca telefónica • Transmisión de información • Establecimiento de
por medios públicos sin límites adecuados a las
posibilidad de protección operaciones realizadas
adicional. por vía telefónica.
• Imposibilidad de mantener • Posibilidad de registrar
la confidencialidad de las el número telefónico
operaciones con el origen de la llamada.
proveedor del servicio • Controles en los
telefónico. sistemas de grabación
• Posibilidad de obtención de de llamadas telefónica.
números de tarjeta y • Evaluar la posibilidad de
contraseñas del canal de notificar al cliente de
transmisión telefónico. manera automática e
inmediata luego de
realizada la operación.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Estándar o medida de
Tecnología Implicancia de seguridad
seguridad a aplicar
Sistema Central • El sistema central es el • Estándar de mejores
Core Bancario sistema que soporta gran prácticas de seguridad
parte de los procesos del para OS/400.
negocio del Banco, por lo • Revisión periódica de los
tanto, todo acceso no accesos otorgados a los
autorizado al servidor usuarios del sistema.
representa un riesgo • Monitoreo periódico de
potencial para el negocio. la actividad realizada en
el servidor.
• Verificación del control
dual de aprobación en
transacciones sensibles.
MIS (Management • El acceso a repositorios de • Estándares de seguridad
Information información sensible debe de Windows 2000, bases
System) ser restringido de datos.
adecuadamente. • Adecuados controles de
acceso y otorgamiento
de perfiles a la
aplicación.
Desarrollo de • Los proyectos de desarrollo • Estándar de mejores
aplicaciones para en periodos muy cortos, prácticas de seguridad
las unidades de comprenden un acelerado para Windows 2000,
negocio, en desarrollo de sistemas; la OS/400.
periodos muy aplicación de medidas de • Metodología para el
cortos. seguridad, debería desarrollo de
encontrarse incluida en el aplicaciones.
desarrollo del proyecto. • Procedimientos de
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Estándar o medida de
Tecnología Implicancia de seguridad
seguridad a aplicar
• El tiempo de pase a control de cambios.
producción de un nuevo • Evaluación de
sistema que soportará un requerimientos de
producto estratégico, es seguridad de los
muy importante para el sistemas antes de su
éxito del negocio, lo cual pase a producción.
puede originar que no se • Estándar de mejores
tomen las medidas de prácticas de seguridad
seguridad necesarias antes para aplicaciones
del pase a producción de distribuidas.
los nuevos sistemas.
Computadoras • Se debe contar con • Concientización y
personales. adecuados controles de entrenamiento de los
acceso a información usuarios en temas de
existente en computadoras seguridad de la
personales. información.
• Se requieren adecuados • Implementación de
controles de accesos a la mayores controles de
información de los sistemas seguridad para
desde las computadoras computadoras
personales de usuarios. personales.
• La existencia de diversos • Finalización del proyecto
sistemas operativos en el de migración de la
parque de computadores plataforma de
personales, tales como, computadoras
Windows 95, Windows 98, personales al sistema
Windows NT, Windows operativo Windows 2000
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Estándar o medida de
Tecnología Implicancia de seguridad
seguridad a aplicar
2000 Professional, y Windows XP.
Windows XP, impide • Estándares de mejores
estandarizar la prácticas de seguridad
configuración de los para estaciones de
sistemas. trabajo.
• Debe existir un control • Actualización periódica
sobre los dispositivos que de inventarios del
pudieran facilitar fuga de software instalado.
información (disqueteras, • Monitoreo periódico de
grabadoras de cd's, carpetas compartidas.
impresoras personales, • Monitoreo de actividad
etc.) de los usuarios,
• Se debe controlar y sistemas de detección
monitorear las aplicaciones de intrusos.
y sistemas instalados en
las PC´s
Correo electrónico • Posibilidad de • Se debe contar con
interceptación no estándares de encripción
autorizada de mensajes de para los mensajes de
correo electrónico. correo electrónico que
• Riesgo de acceso no contengan información
autorizado a información confidencial.
del servidor. • Estándares de mejores
• Posibilidad de utilización de prácticas de seguridad
recursos por parte de para Windows NT y
personas no autorizadas, Lotus Notes.
para enviar correo • Configuración de anti-
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Estándar o medida de
Tecnología Implicancia de seguridad
seguridad a aplicar
electrónico a terceros (relay relay.
no autorizado). • Implementación de un
• Posibilidad de recepción de sistema de seguridad del
correo inservible (SPAM). contenido SMTP.
Conexión a • Riesgos de accesos no • Políticas de seguridad.
Internet y redes autorizados desde Internet • Estándares de mejores
públicas / Firewall. y redes externas hacia los prácticas de seguridad
sistemas del Banco. para servidores
• Adecuado uso del acceso a Windows NT, Windows
Internet por parte de los 2000, correo electrónico,
usuarios. servidores Web y
• Los dispositivos que equipos de
permiten controlar accesos, comunicaciones.
tales como, firewalls, • Delimitación de
servidores proxy, etc. responsabilidades
Deben contar con medidas referentes a la seguridad
de seguridad adecuadas de información en
para evitar su manipulación contratos con
por personas no proveedores.
autorizadas. • Mejores prácticas de
• Riesgo de acceso no seguridad para
autorizado desde socios de configuración de
negocios hacia los Firewalls.
sistemas de La Compañía. • Diseño e
implementación de una
arquitectura de
seguridad de
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Estándar o medida de
Tecnología Implicancia de seguridad
seguridad a aplicar
red.Utilización de
sistemas de detección
de intrusos.
• Especificación de
acuerdos de nivel de
servicio con el
proveedor.
• Controles y filtros para el
acceso a Internet.
En Proyecto
Cambios en la • Los cambios en la • Elaboración de una
infraestructura de infraestructura de red arquitectura de red con
red. pueden generar nuevas medidas de seguridad
puertas de entrada a adecuadas.
intrusos si los cambios no • Establecer controles de
son realizados con una acceso adecuados a la
adecuada planificación. configuración de los
• Una falla en la equipos de
configuración de equipos comunicaciones.
de comunicaciones puede • Plan de migración de
generar falta de infraestructura de red.
disponibilidad de sistemas.
• Un diseño de red
inadecuado puede facilitar
el ingreso no autorizado a
la red de datos.
Software de Riesgo de acceso no • Estándar de seguridad
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Estándar o medida de
Tecnología Implicancia de seguridad
seguridad a aplicar
administración autorizado a las consolas de para Windows NT
remota de PC´s y administración y agentes de • Estándar de seguridad
servidores. administración remota. para Windows 2000
• Estándar de seguridad
para Windows XP
• Controles de acceso
adecuados a las
consolas y agentes de
administración remota.
• Establecimiento de
adecuados
procedimientos para
tomar control remoto de
PC´s o servidores.
• Adecuada configuración
del registro (log) de
actividad realizada
mediante administración
remota.
Migración de • Posibilidad de error en el • Estándares de seguridad
servidores traslado de los usuarios y para Windows 2000.
Windows NT permisos de acceso a los • Procedimientos de
Server a Windows directorios de los nuevos control de cambios.
2000 Server. servidores. • Plan de migración a
• Posibilidad de existencia de Windows 2000.
vulnerabilidades no • Políticas de seguridad.
conocidas anteriormente.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Estándar o medida de
Tecnología Implicancia de seguridad
seguridad a aplicar
Implantación de • Información sensible • Estándares de
Datawarehouse. almacenada en un Seguridad para Windows
repositorio centralizado, 2000.
requiere de controles de • Estándar de seguridad
acceso adecuados. en bases de datos SQL.
• La disponibilidad del • Plan de implantación de
sistema debe ser alta para Datawarehouse.
no afectar las operaciones • Procedimientos para
que soporta. otorgamiento de perfiles.
• Políticas de seguridad.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Vulnerabilidades
No se cuenta con El control sobre la actividad de • Se debe contar con un
un inventario de los usuarios en los sistemas es inventario de los
perfiles de acceso llevado a cabo en muchos accesos que poseen los
a las aplicaciones. casos, mediante perfiles de usuarios sobre las
usuarios controlando así los aplicaciones.
privilegios de acceso a los • Revisiones periódicas de
sistemas. los perfiles y accesos de
los usuarios por parte
del propietario de la
información.
Exceso de La necesidad de utilizar • Uniformizar dentro de lo
contraseñas contraseñas distintas para posible la estructura de
manejadas por los cada sistema o aplicación del las contraseñas
usuarios. Banco, puede afectar la empleadas y sus fechas
seguridad en la medida que el de renovación.
usuario no sea capaz de • Implementar un sistema
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Capítulo VI
6.1 Definición
Una Política de seguridad de información es un conjunto de reglas aplicadas a
todas las actividades relacionadas al manejo de la información de una entidad,
teniendo el propósito de proteger la información, los recursos y la reputación de
la misma.
Propósito
El propósito de las políticas de seguridad de la información es proteger la
información y los activos de datos del Banco. Las políticas son guías para
asegurar la protección y la integridad de los datos dentro de los sistemas de
aplicación, redes, instalaciones de cómputo y procedimientos manuales.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
6.3.3 Outsourcing
Todos los contratos de Outsourcing deben incluir lo siguiente:
- Acuerdos sobre políticas y controles de seguridad.
- Determinación de niveles de disponibilidad aceptable.
- El derecho del Banco de auditar los controles de seguridad de
información del proveedor.
- Determinación de los requerimientos legales del Banco.
- Metodología del proveedor para mantener y probar cíclicamente la
seguridad del sistema.
- Que el servicio de procesamiento y la información del Banco objeto
de la subcontratación estén aislados, en todo momento y bajo
cualquier circunstancia.
El proveedor es responsable de inmediatamente informar al responsable
del contrato de cualquier brecha de seguridad que pueda comprometer
información del Banco. Cualquier empleado del Banco debe informar de
violaciones a la seguridad de la información por parte de proveedores al
área de seguridad informática.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
6.4.3 Definiciones
Restringida: Información con mayor grado de sensibilidad; el acceso a
esta información debe de ser autorizado caso por caso.
Confidencial: Información sensible que solo debe ser divulgada a
aquellas personas que la necesiten para el cumplimiento de sus
funciones.
Uso Interno: Datos generados para facilitar las operaciones diarias;
deben de ser manejados de una manera discreta, pero no requiere de
medidas elaboradas de seguridad.
General: Información que es generada específicamente para su
divulgación a la población general de usuarios.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
6.4.6 Cumplimiento
El cumplimiento satisfactorio del proceso de evaluación del riesgo se
caracteriza por:
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Concientización periódica
Estudios muestran que la retención y el conocimiento aplicable se
incrementa considerablemente cuando el tema es sujeto a revisión. Los
usuarios deben de ser informados anualmente sobre la importancia de la
seguridad de la información. Un resumen escrito de la información básica
debe de ser entregada nuevamente a cada empleado y una copia firmada
debe de ser guardada en sus archivos.
La capacitación en seguridad debe de incluir, pero no estar limitado, a los
siguientes aspectos:
- Requerimientos de identificador de usuario y contraseña
- Seguridad de PC, incluyendo protección de virus
- Responsabilidades de la organización de seguridad de información
- Concientización de las técnicas utilizadas por “hackers”
- Programas de cumplimiento
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Las cintas con copias de respaldo deben ser enviadas a un local remoto
periódicamente, basándose en un cronograma determinado por la
gerencia del Banco.
Los mensajes electrónicos, así como cualquier información considerada
importante, deben ser guardados en copias de respaldo y retenidos por
dispositivos automáticos.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Todos los sistemas deben proveer pistas de auditoria del ingreso a los
sistemas y violaciones de los mismos. A partir de estos datos, los
custodios de los sistemas deben elaborar reportes periódicos los cuales
deben ser revisados por el área de seguridad informática. Estos reportes
también deben incluir la identidad del usuario, y la fecha y hora del
evento. Si es apropiado, las violaciones deben ser reportadas al gerente
del individuo. Violaciones repetitivas o significantes o atentados de
accesos deben ser reportados al gerente a cargo de la persona y al área
de seguridad de la información.
6.8.2.2 Vigencia
Todas las contraseñas deben expirar dentro de un periodo que no
exceda los noventa (90) días. Cada gerente debe determinar un máximo
periodo de vigencia de las contraseñas, el cual es recomendable no sea
menos de (30) días.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Los programas deben poder generar una pista de auditoria de todos los
accesos y violaciones.
Las violaciones de los controles de acceso deben ser registradas y
revisadas por el propietario o por el personal del área de sistemas
custodio de los datos. Las violaciones de seguridad deben ser reportadas
al gerente del empleado y al área responsable de la administración de la
seguridad de la información.
Se debe tener cuidado particular en todos los ambientes para asegurar
que ninguna persona tenga control absoluto. Los operadores de sistemas,
por ejemplo, no deben tener acceso ilimitado a los identificadores de
superusuario. Dichos identificadores de usuario, son solo necesarios
durante una emergencia y deben ser cuidadosamente controlados por la
gerencia usuaria, quien debe realizar un monitoreo periódico de su
utilización.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Todos los accesos dial-in/dial-out deben contar con autorización del área
de seguridad informática y deben contar con la autorización respectiva
que justifique su necesidad para el desenvolvimiento del negocio.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
6.10.1 Registros
Deben desarrollarse estándares de retención, almacenamiento, manejo y
eliminación de registros que son requeridos por normas legales u otras
regulaciones. Debe definirse un cronograma de retención para estos
registros que debe incluir:
- Tipo de información
- Regulaciones o leyes aplicables
- Fuentes de este tipo de información
- Tiempos de retención requeridos
- Requerimientos de traslado y almacenamiento
- Procedimientos de eliminación
- Requerimientos de control específicos estipulados en la norma
relacionada
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Los programas no pueden ser copiados salvo dentro del límite acordado
con el proveedor (por ejemplo, copias de respaldo para protección). Los
empleados o contratistas que realicen copias adicionales para evitar el
costo de adquisición de otro paquete serán hechos responsables de sus
acciones.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Esta política se aplica a todos los empleados del Banco involucrados con
comercio electrónico y a los socios de comercio electrónico del Banco. Los
socios de comercio electrónico del Banco incluyen las unidades de negocio
de la organización, los clientes, socios comerciales y otros terceros.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
6.12.1.2 Divulgación
El Banco debe proveer suficiente información sobre la propia transacción
en línea, para permitir que los clientes tomen una decisión informada
sobre si ejecutar las transacciones en línea.
Información divulgada debe incluir, pero no estar limitada a:
- Términos de transacción;
- Disponibilidad de producto e información de envío; y
- Precios y costos.
El Banco debe también brindar al cliente las opciones de:
- Revisión y aprobación de la transacción; y
- Recepción de una confirmación.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
deben estar claramente etiquetadas como tal, con letras grandes que
sean legibles sin la necesidad de un lector especial.
Todo documento o contenedor de información debe ser etiquetado como
“Restringida”, “Confidencial”, de “Uso interno” o de Acceso “General”,
dependiendo de la clasificación asignada.
Todo documento en formato digital o impreso, debe presentar una
etiqueta en la parte superior e inferior de cada página, con la clasificación
correspondiente.
Todo documento clasificado como “Confidencial” o “Restringido” debe
contar con una carátula en la cual se muestre la clasificación de la
información que contiene.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Capítulo VII
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Dependencia Ninguna
Tiempo estimado 16 – 22 semanas
Objetivo Con el objetivo de proteger los activos de información
de manera adecuada, se debe realizar un proyecto
para la clasificación de la información utilizada por las
distintas unidades de negocio, mediante la cual se
podrán definir los recursos apropiados y necesarios
para proteger los activos de información. El objetivo de
la clasificación es priorizar la utilización de recursos
para aquella información que requiere de mayores
niveles de protección.
Los criterios a ser empleados para la clasificación de
la información son los siguientes:
- Información Restringida (R): Información con
mayor grado de sensibilidad; el acceso a esta
información debe de ser autorizado caso por caso.
- Información Confidencial (C): Información
sensible que solo debe ser divulgada a aquellas
personas que la necesiten para el cumplimiento de
sus funciones.
- Información de Uso Interno (I): Datos generados
para facilitar las operaciones diarias; deben de ser
manejados de una manera discreta, pero no
requiere de medidas elaboradas de seguridad.
- Información General (G): Información que es
generada específicamente para su divulgación al
público en general.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Dependencia Ninguna
Tiempo 11 – 17 semanas
estimado
Objetivo Para evitar manipulación de los equipos de
comunicaciones por personal no autorizado y garantizar
que la configuración que poseen brinde mayor seguridad y
eficiencia a las comunicaciones, se requiere que los
equipos que soportan dicho servicio, se encuentren
adecuadamente configurados.
Etapas A. Adaptación de sistemas de comunicaciones a políticas
de seguridad. (Tiempo estimado: 3-5 semanas)
- Elaboración de un inventario de equipos de
comunicaciones (routers, switches, firewalls, etc)
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Dependencia Ninguna
Tiempo 9 - 12 semanas
estimado
Objetivo Con el propósito de obtener un control adecuado sobre el
acceso de los usuarios a los sistemas del Banco, se debe
realizar un inventario de todos los accesos que poseen ellos
sobre cada uno de los sistemas. Este inventario debe ser
actualizado al modificar el perfil de acceso de algún usuario
y será utilizado para realizar revisiones periódicas de los
accesos otorgados en los sistemas.
Etapas - Elaboración de un inventario de las aplicaciones y
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Dependencia Ninguna
Tiempo 24 semanas (tiempo parcial)
estimado
Objetivo Con el objetivo de asegurar el cumplimiento de las políticas
de seguridad del Banco en el servicio brindado por los
proveedores, es necesario realizar una revisión de los
mismos y su grado de cumplimiento respecto a las políticas
de seguridad definidas, de ser necesario dichos contratos
deben ser modificados para el cumplimiento de la política de
seguridad del Banco.
Etapas - Elaboración de cláusulas estándar referidas a
seguridad de información, para ser incluidas en los
contratos con proveedores
- Elaboración de un inventario de los contratos existentes
con proveedores
- Revisión de los contratos y analizar el grado de
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Dependencia Ninguna
Tiempo 5-7 semanas
estimado
Objetivo Con el objetivo de lograr un compromiso y concientización
de los usuarios en temas referentes a seguridad de
información del Banco, se debe realizar una campaña de
concientización del personal la cual esté orientada a todo el
personal como conceptos básicos de seguridad y a grupos
específicos con temas correspondientes a sus
responsabilidades en la organización.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Dependencia Actividad A.
Tiempo 20 – 30 semanas
estimado
bjetivo Con el objetivo de asegurar el cumplimiento de la política de
seguridad en los controles existentes, se debe verificar el
grado de cumplimiento de las políticas de seguridad en los
sistemas del Banco y adaptarlos en caso de verificar su
incumplimiento.
Etapas - Elaboración de un inventario de las aplicaciones
existentes, incluyendo los servicios brindados a clientes
como banca electrónica y banca telefónica.
- Elaboración de un resumen de los requisitos que deben
cumplir las aplicaciones según la política y estándares
de seguridad.
- Evaluación del grado de cumplimiento de la política de
seguridad para cada una de las aplicaciones existentes
y la viabilidad de su modificación para cumplir con la
política de seguridad, elaborando la relación de cambios
que deben ser realizados en cada aplicación.
- Adaptación de los sistemas a la política de seguridad
(diseño, desarrollo, pruebas, actualización de la
documentación, etc.)
- Estandarización de controles para contraseñas de los
sistemas.
- Los sistemas no requerirán modificaciones si su
adaptación no es viable.
- Pase a producción de sistemas adaptados.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Dependencia Ninguna
Tiempo 12 semanas
estimado
Objetivo Con el objetivo de proteger adecuadamente la información
existente en servidores y computadores personales, se debe
realizar una adecuada configuración de los parámetros de
seguridad del software base que soporta las aplicaciones
del Banco.
Dependencia Actividad B.
Tiempo 8 semanas
estimado
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
7.9 Cronograma tentativo de implementación
Los proyectos antes mencionados deben ser liderados por el área de seguridad informática y sus responsables deben
ser definidos individualmente para cada uno de ellos. A continuación se presenta un cronograma sugerido para la
realización de las actividades correspondientes al presente plan de implementación:
ACTIVIDAD Mes Mes Mes Mes Mes Mes Mes Mes Mes Mes
1 2 3 4 5 6 7 8 9 10
Clasificación de Información
Nota: La duración de los proyectos está sujeta a variaciones dependientes a la situación existente y el análisis realizado
previo a cada actividad
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
CONCLUSIONES Y RECOMENDACIONES
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
ANEXOS
A. DISEÑO DE ARQUITECTURA DE SEGURIDAD DE RED
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Señor
Gerente General
Sírvase tomar nota que, en uso de las atribuciones conferidas por el numeral 7 del
artículo 349º de la Ley General del Sistema Financiero y del Sistema de Seguros y
Orgánica de la Superintendencia de Banca y Seguros - Ley Nº 26702 y sus
modificatorias, en adelante Ley General, y por la Resolución SBS N° 1028-2001
del 27 de diciembre de 2001, con la finalidad de establecer criterios mínimos para
la identificación y administración de los riesgos asociados a la tecnología de
información, a que se refiere el artículo 10º del Reglamento para la Administración
de los Riesgos de Operación, aprobado mediante la Resolución SBS Nº 006-2002
del 4 de enero de 2002, esta Superintendencia ha considerado conveniente
establecer las siguientes disposiciones:
Alcance
Artículo 1º.- Las disposiciones de la presente norma son aplicables a las empresas
señaladas en los artículos 16° y 17° de la Ley General, al Banco Agropecuario, a
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Definiciones
Artículo 2º .- Para efectos de la presente norma, serán de aplicación las siguientes
definiciones:
b. Ley General: Ley N° 26702, Ley General del Sistema Financiero y del
Sistema de Seguros y Orgánica de la Superintendencia de Banca y
Seguros.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Responsabilidad de la empresa
Artículo 3°.- Las empresas deben establecer e implementar las políticas y
procedimientos necesarios para administrar de manera adecuada y prudente los
riesgos de tecnología de información, incidiendo en los procesos críticos
asociados a dicho riesgo, considerando las disposiciones contenidas en la
presente norma, en el Reglamento, y en el Reglamento del Sistema de Control
Interno aprobado mediante la Resolución SBS Nº 1040-99 del 26 de noviembre de
1999.
La administración de dicho riesgo debe permitir el adecuado cumplimiento de los
siguientes criterios de control interno:
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Las actividades mínimas que deben desarrollarse para implementar el PSI, son las
siguientes:
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Subcontratación (outsourcing)
Artículo 6º.- La empresa es responsable y debe verificar que se mantengan las
características de seguridad de la información contempladas en la presente
norma, incluso cuando ciertas funciones o procesos críticos puedan ser objeto de
una subcontratación. Para ello se tendrá en cuenta lo dispuesto en la Primera
Disposición Final y Transitoria del Reglamento. Asimismo, la empresa debe
asegurarse y verificar que el proveedor del servicio sea capaz de aislar el
procesamiento y la información objeto de la subcontratación, en todo momento y
bajo cualquier circunstancia.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Procedimientos de respaldo
Artículo 10º.- Las empresas deben establecer procedimientos de respaldo
regulares y periódicamente validados. Estos procedimientos deben incluir las
medidas necesarias para asegurar que la información esencial pueda ser
recuperada en caso de falla en los medios o luego de un desastre. Estas medidas
serán coherentes con lo requerido en el Plan de Continuidad.
La empresa debe conservar la información de respaldo y los procedimientos de
restauración en una ubicación remota, a suficiente distancia para no verse
comprometida ante un daño en el centro principal de procesamiento.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Cumplimiento formativo
Artículo 14º.- La empresa deberá asegurar que los requerimientos legales,
contractuales, o de regulación sean cumplidos, y cuando corresponda,
incorporados en la lógica interna de las aplicaciones informáticas.
Privacidad de la información
Artículo 15º .- Las empresas deben adoptar medidas que aseguren
razonablemente la privacidad de la información que reciben de sus clientes y
usuarios de servicios, conforme la normatividad vigente sobre la materia.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Auditoria de sistemas
Artículo 17º.- Las empresas bancarias y aquellas empresas autorizadas a operar
en el Módulo 3 conforme lo señalado en el artículo 290° de la Ley General,
deberán contar con un servicio permanente de auditoria de sistemas, que
colaborará con la Auditoria interna en la verificación del cumplimiento de los
criterios de control interno para las tecnologías de información, así como en el
desarrollo del Plan de Auditoria.
Las empresas autorizadas para operar en otros módulos, para la verificación del
cumplimiento antes señalado, deberán asegurar una combinación apropiada de
auditoria interna y/o externa, compatible con el nivel de complejidad y perfil de
riesgo de la empresa. La Superintendencia dispondrá un tratamiento similar a las
empresas pertenecientes al módulo 3, cuando a su criterio la complejidad de sus
sistemas informáticos y su perfil de riesgo así lo amerite.
Información a la Superintendencia
Artículo 18°.- El informe anual que las empresas deben presentar a la
Superintendencia, según lo dispuesto en el Artículo 13° del Reglamento, deberá
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Sanciones
Artículo 19°.- En caso de incumplimiento de las disposiciones contenidas en la
presente norma, la Superintendencia aplicará las sanciones correspondientes de
conformidad con lo establecido en el Reglamento de Sanciones.
Plan de adecuación
Artículo 20°.- En el Plan de Adecuación señalado en el segundo párrafo de la
Cuarta Disposición Final y Transitoria del Reglamento, las empresas deberán
incluir un sub-plan para la adecuación a las disposiciones contenidas en la
presente norma.
Plazo de adecuación
Artículo 21°.- Las empresas contarán con un plazo de adecuación a las
disposiciones de la presente norma que vence el 30 de junio de 2003
Atentamente,
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Análisis
Situación Actual SBS, Mejores Prácticas De
Brecha
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Análisis
Situación Actual SBS, Mejores Prácticas De
Brecha
encuentran y transitan en ellas. debería contar con una
estructura acorde con los
Area de Seguridad Informática: Enfocada a los riesgos de tecnología
aspectos de accesos a los aplicativos y sistemas. evaluados para Banco y definir
Área que originalmente formo parte de Soporte indicadores que ayuden a
Técnico (Agosto 2001). No considera en sus monitorear los mismos.
funciones las referentes a seguridad de la - El Departamento de Riesgos
plataforma y de la información. Operativos y Tecnológicos
debería definir los
Auditoria de Sistemas: Entre otras, sus mencionados indicadores en
funciones son las de: conjunto con el área de
- Efectuar evaluaciones periódicas de la sistemas del Banco.
capacidad y apropiada utilización de los
recursos de cómputo.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Análisis
Situación Actual SBS, Mejores Prácticas De
Brecha
2 El Banco no cuenta con un plan de Seguridad de Se deberían contemplar los
la Información formalmente documentado que siguientes aspectos:
guíe las distintas normas con que cuenta el - Definición de una política de
Banco referentes a los riesgos y seguridad de la seguridad.
Tecnología de Información.
- Evaluación de riesgos de
seguridad a los que está
expuesta la información.
- Inventario de riesgos de
seguridad de la información.
- Selección de controles y
objetivos de control para
reducir, eliminar y evitar los
riesgos identificados, indicando
las razones de su inclusión o
exclusión
- Mantenimiento de registros
adecuados que permitan
verificar el cumplimiento de las
normas, estándares, políticas,
procedimientos y otros
definidos por la empresa, así
como mantener pistas de
auditoria.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Análisis
Situación Actual SBS, Mejores Prácticas De
Brecha
para salvaguardar la información de posibles política.
pérdidas en la integridad, disponibilidad y - Definición de la propiedad de la
confidencialidad. Política.
- Políticas debidamente
Sin embargo, se ha observado la existencia de
comunicadas.
controles específicos en distintos aspectos de la
seguridad de la Información, que detallamos a
- Autoridad definida para realizar
cambios en la Política.
continuación.
- Aprobación por el área legal.
- Definición de responsabilidades
de la seguridad.
- Confirmación de usuarios de
conocimiento de la política.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Análisis
Situación Actual SBS, Mejores Prácticas De
Brecha
auditoria en los sistemas de información. - Controles sobre usuarios
- Controles de acceso parciales a utilidades remotos y computación móvil.
sensibles del sistema. - Administración restringida de
- Generación parcial de pistas de auditoria en los equipos de acceso remoto y
los sistemas de información. configuración de seguridad del
mismo.
Hemos observado que no cuenta con:
entregar a los nuevos trabajadores por área revisión de crédito –si aplica- y
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Análisis
Situación Actual SBS, Mejores Prácticas De
Brecha
integrantes del Banco.
Adicionalmente hemos observado que RRHH - Definición apropiada de
considera dentro del proceso de evaluación de responsabilidad sobre la
personal nuevo, la verificación de distintos seguridad es parte de los
aspectos de personales a modo de preselección o términos y condiciones de la
filtro de personal idóneo para el Banco. aceptación del empleo (ex.
Términos en el contrato).
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Análisis
Situación Actual SBS, Mejores Prácticas De
Brecha
datos . Seguridad de Equipos
Aseguramiento de Cableado
Sin embargo encontramos deficiencias en los
siguientes aspectos: - Acciones y planes de
mantenimiento de equipos
- Las medidas de seguridad existentes no se
extienden a la Información como activo de
Protección de equipos
valor del Banco y no existen normas
adecuadas con respecto al resguardo de la Normas de seguridad para laptops.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Análisis
Situación Actual SBS, Mejores Prácticas De
Brecha
herramientas de desarrollo,
aplicaciones, etc. Debe indicar
entre otros, vendedor,
ubicación lógica y física,
responsable, nivel de criticidad,
clasificación de la información,
etc.
- Un catálogo o descripción de
alto nivel de todos los activos
de información mas
importantes de la organización.
Debe indicar información como
tipo de data, ubicación lógica o
física, responsable o dueño de
la información, clasificación de
la información y nivel de
criticidad.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Análisis
Situación Actual SBS, Mejores Prácticas De
Brecha
data según su criticidad y sus
características de
confidencialidad, integridad y
disponibilidad.
- Asignación de la
responsabilidad de clasificación
- Procedimientos de
mantenimiento de la
clasificación
- Programación de trabajos o
Control en cambios operacionales. procesos debe ser
desarrollo. ejecuciones.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Análisis
Situación Actual SBS, Mejores Prácticas De
Brecha
- Roles y responsabilidades
Segregación de funciones
deben ser claramente definidos
y las funciones adecuadamente
- Todas las funciones mencionadas se
segregadas.
mantienen independientes. Sin embargo,
- Los cambios deben ser
cabe mencionar que el actual Auditor de
adecuadamente aprobados.
Sistemas del Banco perteneció al equipo de
soporte del área de sistemas y mantiene - Los resultados de todo cambio
- Estándar de administración de
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Análisis
Situación Actual SBS, Mejores Prácticas De
Brecha
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Análisis
Situación Actual SBS, Mejores Prácticas De
Brecha
Operaciones de verificación
- Adecuados procedimientos de
generación de copias de
respaldo.
Administración de Red
- Adecuados controles de
operación de red
implementados.
- Protección de la red y
comunicaciones usando
dispositivos de control de
accesos, procedimientos y
sistemas de monitoreo de red
(Detección de intrusos) y
procedimientos de reporte.
Manipulación y seguridad de
dispositivos de almacenamiento
de información.
Intercambio de información
(Correo electrónico y otros) y
seguridad
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Análisis
Situación Actual SBS, Mejores Prácticas De
Brecha
- Controles de seguridad en el
Correo electrónico y cualquier
otro medio de transferencia de
información (Ex. Normas,
filtros, sistemas de protección
contra virus, etc.).
- Seguridad en la Banca
Electrónica.
4 DESARROLLO Y MANTENIMIENTO
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Análisis
Situación Actual SBS, Mejores Prácticas De
Brecha
§ Pase a producción la información.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Análisis
Situación Actual SBS, Mejores Prácticas De
Brecha
5 PROCEDIMIENTOS DE R ESPALDO
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Análisis
Situación Actual SBS, Mejores Prácticas De
Brecha
realiza de forma diaria, una copia en tres de las copias de respaldo debe
- Se debería considerar:
- Generación de Plan de
Contingencias que abarque
todos los procesos críticos del
Banco y que se ha desarrollado
siguiendo una metodología
formal.
- Procedimientos revisión
periódica del plan.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Análisis
Situación Actual SBS, Mejores Prácticas De
Brecha
sus responsabilidades y cómo
deben cumplir con las tareas
asignadas.
- Existencia de preparativos
adecuados para asegurarse de
la continuidad del
procesamiento
computadorizado (existe centro
de procesamiento alterno).
- Preparativos de contingencia
para el hardware y software de
comunicaciones y redes.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Análisis
Situación Actual SBS, Mejores Prácticas De
Brecha
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Análisis
Situación Actual SBS, Mejores Prácticas De
Brecha
que sea adecuado.
6 SUBCONTRATACIÓN
de tarjetas (diario)
Los contratos de servicios con
- HERMES: Distribución de tarjetas de crédito y
terceros deberían incluir entre otros
débito. Información necesaria y tarjetas
aspectos, los siguientes:
recibidas de UNIBANCA. (diario)
- Requerimientos de seguridad y
- NAPATEK: Impresión de estados de cuenta y
las acciones que se tomarán de
“ensobrado”. Recibe información vía una
no cumplirse el contrato.
transferencia electrónica de archivos - "File
Transfer" (mensual). - Acuerdos de controles de
seguridad y políticas a
- Rehder: Se transmite información de monto
aplicarse para garantizar el
facturado por cada cliente (e-mail) para el
cumplimiento de los
seguro de desgravamenes (mensual).
requerimientos.
- TELEFONICA: Centro de procesamiento de
- Determinación de los niveles
datos de respaldo. Entrará en operatividad el
de servicio requeridos (Service
31 de Mayo.
Level Agreements o SLA).
- PROSEGUR: Almacenamiento de copias de
- El derecho de la entidad, y la
respaldo.
Superintendencia de Banca y
Seguros, o las personas que
No se obtuvo información (contratos) relativa a los
ellos designen, de auditar el
servicios prestados por UNIBANCA.
ambiente de la empresa que
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Análisis
Situación Actual SBS, Mejores Prácticas De
Brecha
El Banco no cuenta con un procedimiento definido brinda el servicio, para verificar
para la inclusión de cláusulas relativas a la los controles de seguridad
confidencialidad, niveles de servicio, etc., en los aplicados a la data y los
contratos de servicios prestados por terceros al sistemas.
Banco. - Documentación sobre los
controles físicos y lógicos,
empleados por la empresa que
brinda el servicio, para proteger
la confidencialidad, integridad y
disponibilidad de la información
y equipos de la entidad.
- Determinación de los
requerimientos legales,
incluyendo privacidad y
protección de la data.
7 CUMPLIMIENTO NORMATIVO
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Análisis
Situación Actual SBS, Mejores Prácticas De
Brecha
Sin embargo:
8 PRIVACIDAD DE LA INFORMACIÓN
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Análisis
Situación Actual SBS, Mejores Prácticas De
Brecha
de los clientes y del Banco así como limitar el - Existencia de autorizaciones
acceso del personal a dicha información. internas para la entrega y
transferencia de información.
En el área de sistemas se han implementado
controles respecto a la limitación de acceso a
información de clientes y se ha registrado
evidencia de incidentes y acciones tomadas por
auditoria interna, dicha situación no se replica en
las distintas áreas del Banco.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
BIBLIOGRAFÍA
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM