Política de Seguridad de Información y

Continuidad de Negocio de
Fácil GT - FGT

Fecha de elaboración: noviembre, 2018.

Última actualización: noviembre, 2019.
Versión: 2.0

PRIVADA – Información de uso privado propiedad de Fácil GT - FGT. Prohibida su alteración y/o divulgación.
 Política de Seguridad de Información y Código: PTO001
Continuidad de Negocio de
Fecha: 01/11/2019
Fácil GT - FGT
Versión: 2.0

Contenido

1. Objetivo......................................................................................4

2. Alcance......................................................................................4

3. Normas Generales........................................................................4

4. Inventario y control de activos hardware...........................................5

4.1 Control para el descubrimiento activo...................................................5

4.2 Control para utilizar el registro de DHCP para actualizar el inventario de

activos................................................................................................5

4.3 Control para mantener inventario de activos detallado..............................5

4.4 Control para mantener inventario de activos detallado..............................5

4. Responsabilidades individuales......................................................6

4.1 Responsabilidades asociadas a los activos............................................6

4.2 Seguridad de la gestión de capital humano.............................................7

4.3 Seguridad física y del entorno.............................................................7

4.4 Dispositivos Móviles y Teletrabajo........................................................7

4.5 Seguridad en las operaciones..............................................................8

4.6 Seguridad en las comunicaciones......................................................10

4.7 Control de accesos.........................................................................10

4.8 Adquisición, desarrollo y mantenimiento de sistemas.............................12

4.9 Relaciones con Proveedores.............................................................13

4.10 Gestión de incidencias...................................................................13

4.11 Continuidad del negocio.................................................................13

4.12 Cumplimiento legal........................................................................13

2/29
 Política de Seguridad de Información y Código: PTO001
Continuidad de Negocio de
Fecha: 01/11/2019
Fácil GT - FGT
Versión: 2.0

Apéndice A: Glosario.......................................................................14

3/29
 Política de Seguridad de Información y Código: PTO001
Continuidad de Negocio de
Fecha: 01/11/2019
Fácil GT - FGT
Versión: 2.0

Historia de Cambios

Fecha Versión Descripción Autor

Elaboración de la política de seguridad
noviembre, 2018 1.0 de información y continuidad de
negocio.
Revisión de la política de seguridad de
diciembre, 2019 2.0
información y continuidad de negocio.

Aprobación del documento

Elaborado por Nombre/Área Fecha Firma

4/29
 Política de Seguridad de Información y Código: PTO001
Continuidad de Negocio de
Fecha: 01/11/2019
Fácil GT - FGT
Versión: 2.0

1. Objetivo
Establecer y difundir las normas y lineamientos de seguridad de la información que
cuenta Fácil GT - FGT en cumplimiento a los estándares establecidos con la
finalidad de proporcionar un marco de control acorde a las necesidades de las
operaciones.

2. Alcance
El área de Seguridad Informática es el custodio de esta política y responsable de
garantizar que esta se encuentra actualizada y sea apropiada a los requerimientos
del negocio, desarrollándose un proceso de revisión anual.

3. Normas Generales
Seguridad de la Información, define el compromiso de Fácil GT - FGT para
administrar efectiva y eficazmente la seguridad de la información, conforme a los
reglamentos aplicables en cualquier lugar donde la empresa mantiene
operaciones.

El negocio de de Fácil GT - FGT depende de la información. Misma que nos

confían los clientes y proveedores; es un activo valioso y por lo tanto debe
protegerse en forma adecuada. La seguridad de la información conlleva la
protección de esta, lo cual incluye el apoyo a los recursos de los sistemas de
información, para protegerlos de una amplia variedad de amenazas, cuya
naturaleza está cambiando continuamente.

La Alta Gerencia tiene el derecho de acceder o autorizar el acceso, examinar,

controlar y/o investigar todo tipo de información, sistemas de aplicaciones de
apoyo e infraestructura tecnológica.

El cumplimiento es obligatorio para todas las personas o procesos que tienen

acceso a los recursos de los sistemas de información.

Fácil GT - FGT emplea los medios razonables para asegurar la confidencialidad de

la información bajo su custodia, garantizar su integridad y asegurar la
disponibilidad y continuidad de los sistemas de aplicaciones de apoyo y la
infraestructura tecnológica.

Todos los empleados tienen la responsabilidad de proteger la información, ya sea

que se trate de información de uso exclusivo por clientes, asesores de venta u
otras partes con quienes se realizan negocios, por medio del cumplimiento de esta
norma y cualquier norma o procedimiento pertinente con sus funciones.

5/29
 Política de Seguridad de Información y Código: PTO001
Continuidad de Negocio de
Fecha: 01/11/2019
Fácil GT - FGT
Versión: 2.0

4. Inventario y control de activos hardware

4.1 Control para el descubrimiento activo.

El escaneo de red debe revelar todos los dispositivos conectados a la red en el
momento del escaneo. OCS Inventory se debe utilizar como herramienta para
sondea la red y encontrar hosts en vivo y, según la configuración de escaneo.

4.2 Control para utilizar el registro de DHCP para actualizar el

inventario de activos
Se debe realizar la habilitación del registro del Protocolo de configuración
dinámica de host (DHCP) que permite a la empresa identificar qué dirección o host
de Control de acceso a medios (MAC) se asignó a qué Protocolo de Internet (IP)
en un momento determinado, la herramienta que se debe utilizar es Event Log
Analizer.

4.3 Control para mantener inventario de activos detallado

Se debe documentar y mantener la información que se ha recopilado. Una vez que
se han identificado nuevos activos, la lista de inventario de activos debe
actualizarse. El agente OCS se debe instalar en los nuevos activos para rastrear
los puntos finales y con esto proporcionar información sobre el sistema operativo
de los activos, la dirección MAC, la IP, las especificaciones del host y la última vez
que se vio. Si se descubre un dispositivo no autorizado en la red se debe eliminar
o poner en cuarentena el dispositivo. Por medio del OCS se debe actualizar la lista
de inventario.

4.4 Control de acceso a nivel de puerto

Para disminuir la amenaza de dispositivos no autorizados conectados a la red, se
debe utilizar OpenNac como sistema de control de acceso a la red para la
autenticación del usuario y la máquina.

5. Inventario de software autorizado y no autorizado

5.1 Inventario de software autorizado

Se debe mantener una lista de inventario de toda la empresa del software instalado. La
lista puede incluir todo el software utilizado para fines comerciales instalado en un
dispositivo o sistema de la empresa. Para automatizar esta tarea se debe utilizar OCS
Inventory, por medio de la herramienta se debe rastrear el nombre, la versión, el editor y la

6/29
 Política de Seguridad de Información y Código: PTO001
Continuidad de Negocio de
Fecha: 01/11/2019
Fácil GT - FGT
Versión: 2.0

fecha de instalación de todo el software y los sistemas operativos para enriquecer los
datos del inventario.

5.2 Control software compatible con el proveedor

Se debe asegurar de que todos los dispositivos y sistemas estén actualizados instalando
las últimas actualizaciones y parches del sistema operativo, si se descubre un dispositivo
o un sistema que ejecuta un software o sistema operativo no admitido se dará prioridad
para actualizar.

6. Evaluación y corrección continua de vulnerabilidades

6.1 Control para el escaneo de vulnerabilidades

Se debe utilizar OpenVAS para el escaneo de redes para la ejecución de vulnerabilidades
y para la identificación y corrección de fallas de seguridad. La empresa debe utilizar Nmap
para escanear el entorno y luego usar Ndiff para comparar los resultados del escaneo;
para realizar escaneos autenticados se deben contar con permisos elevados y obtener
información precisa; para realizar el escaneo se debe disponer de una cuenta dedicada
con permisos administrativos y que no se utilice para otra actividad, para el escaneo de la
red.

6.2 Control para la administración de parches del sistema

operativo y software
Se debe utilizar Windows Server Update Services (WSUS) para aplicar los parches y
actualizaciones de seguridad en todos los sistemas operativos y aplicaciones de
Microsoft. Se debe utilizar SpiceWorks para administrar las versiones y revisión de
actualizaciones del software en todos los sistemas operativos y aplicaciones diferentes a
Microsoft.
Se debe realizar una comparación del escaneo para verificar que los parches faltantes se
hayan aplicado.

7. Uso controlado de privilegios administrativos

7.1 Inventario de cuentas administrativas
Se debe contar con una lista de inventario de todas las cuentas con derechos
administrativos.
Una vez que se ha creado esta lista de referencia, la organización puede tener un proceso
para comparar y auditar la lista regularmente para garantizar que solo el personal tiene
acceso de administrador a los sistemas y recursos de la empresa.
Se debe utilizar el script de PowerShell y programar el Comando de instrumentación de
administración de Windows línea (WMIC) para obtener una lista de usuarios y luego
compararla con una lista anterior.

7/29
 Política de Seguridad de Información y Código: PTO001
Continuidad de Negocio de
Fecha: 01/11/2019
Fácil GT - FGT
Versión: 2.0

7.2 Cambiar contraseñas predeterminadas

Se debe cambiar la contraseña por defecto a los equipos configurados por primera vez
para evitar ataques de fuerza bruta.

7.3 Uso de cuentas administrativas dedicadas

Se debe tener usuarios con acceso a la cuenta administrativa dedicada para actividades
elevadas. Esta cuenta solo se debe usar para actividades administrativas y no para la
navegación por Internet, correo electrónico o actividades similares.
Se debe realizar por medio de ELK Stack el monitoreo de las cuentas con privilegios
elevados para registrar cambios en ellas.

7.4 Uso de contraseñas únicas

Se debe evitar el uso de la misma contraseña para diferentes cuentas o dispositivos, cada
cuenta debe tener una contraseña que es exclusivo de ese sistema o dispositivo.

7.5 Uso de autenticación multifactor y conexiones seguras

Se debe habilitar los protocolos RDP y SSH para los diferentes sistemas y dispositivos,
y deshabilitar los protocolos inseguros de VNC y Telnet.

7.6 Uso de máquinas para tareas administrativas

Se deben utilizar equipos asignados a VLANs diferentes a las operativas.

7.7 Limitar el acceso a las herramientas de script

Se debe utilizar el AD para crear políticas para restringir la utilización de scripts de
PowerShell y restringir cuentas y aplicaciones que se ejecutan dentro de un dominio.

8/29
 Política de Seguridad de Información y Código: PTO001
Continuidad de Negocio de
Fecha: 01/11/2019
Fácil GT - FGT
Versión: 2.0

4. Responsabilidades individuales

Todos los directores, gerentes y empleados que tienen acceso a la información o tienen la
custodia de la misma o manejan recursos de sistemas de información deberán seguir las
siguientes directrices:

4.1 Responsabilidades asociadas a los activos

Equipos informáticos y de comunicaciones y sus programas de software
Los usuarios de los sistemas informáticos de BCB deben esforzarse en hacer y promover
un uso eficiente de los mismos a fin de evitar tráfico innecesario en la red e interferencias
con su trabajo o el de otros usuarios o con otras redes asociadas o con los servicios que
éstas ofrecen.

El uso de los sistemas de BCB quedará reservado para las actividades propias a
desempeñar en su puesto de trabajo.

Se promoverá el uso responsable de la red interna de la organización.

Será responsabilidad de los propios usuarios la correcta custodia de los activos que
tengan en posesión para el desempeño de sus labores contractuales.

Protección del conocimiento

No podrán divulgar ni utilizar directamente ni a través de terceras personas o empresas,
los datos, documentos, metodologías, claves, análisis, programas y demás información a
la que tengan acceso durante su relación laboral con BCB, tanto en soporte material como
electrónico. Todos los compromisos anteriores deben mantenerse, incluso después de
extinguida la relación laboral con la organización.

Propietarios de la información
El propietario de la información está definido en el inventario de activos, siendo éste los
responsables de cada una de las áreas de BCB o un delegado que haya sido nombrado
para tal efecto. Sin embargo, será responsabilidad de los usuarios el correcto tratamiento,
almacenamiento y no divulgación de la información a la que tengan acceso como
consecuencia del desempeño de sus actividades laborales.

4.2 Seguridad de la gestión de capital humano

9/29
 Política de Seguridad de Información y Código: PTO001
Continuidad de Negocio de
Fecha: 01/11/2019
Fácil GT - FGT
Versión: 2.0

Se asegurará que todos los empleados, contratistas y los terceros entienden sus
responsabilidades y son adecuados para llevar a cabo las funciones que les
corresponden, así como para reducir el riesgo de robo, fraude o de uso indebido de los
recursos puestos a su disposición.

Se asegurará que todos los empleados, contratistas y los terceros son conscientes de las
amenazas y problemas que afectan a la seguridad de la información y de sus
responsabilidades y obligaciones, y de que están preparados para cumplir la política de
seguridad de la organización en el desarrollo habitual de su trabajo, y para reducir el
riesgo de error humano.

Se asegurará que todos los empleados, contratistas y los terceros abandonan la

organización o cambian de puesto de trabajo de forma ordenada y sin comprometer la
seguridad de la misma.

4.3 Seguridad física y del entorno

Se prevendrá todo tipo de acceso físico no autorizado, daños o intromisiones en las
instalaciones y en la información de BCB.

Se tomarán las medidas de seguridad necesarias para evitar pérdidas, daños, robos o
circunstancias que pongan en peligro los activos o que puedan provocar la interrupción de
las actividades de BCB.

No se dejarán puestas llaves en puertas, armarios o cajones ni se dejarán puertas o

ventanas abiertas cuando no haya nadie en la oficina.

Los laptop serán llevados en todo momento con la persona asignada al uso del mismo, no
dejándolos bajo ningún concepto en la oficina cuando dicha persona se ausente de la
misma y esta quede vacía.

4.4 Dispositivos Móviles y Teletrabajo

Se consideran dispositivos móviles aquellos aparatos de pequeño tamaño que tienen
capacidad de acceso, almacenamiento y/o procesamiento de información, disponiendo
además de conexión permanente o intermitente a una red de comunicaciones. Por tanto,
los Smartphones, Tablets o Relojes inteligentes son considerados dispositivos móviles.

Cada empleado es responsable del adecuado uso y conservación de los dispositivos

móviles que utiliza y que tienen acceso a información de BCB. Deberá prevenir el robo o
sustracción cuando se encuentre fuera de las instalaciones de la organización y
comunicar al Responsable de Seguridad de la Información su pérdida en caso de que
se produzca.

10/29
 Política de Seguridad de Información y Código: PTO001
Continuidad de Negocio de
Fecha: 01/11/2019
Fácil GT - FGT
Versión: 2.0

Los dispositivos móviles con acceso a información de BCB deben tener las siguientes
medidas de seguridad configuradas:
- Bloqueo automático del dispositivo en caso de inactividad.
- Configuración de una contraseña o patrón de bloqueo para desbloquear el
dispositivo.
- Instalación de un antivirus.

La configuración de las dos primeras medidas de seguridad será realizada por cada
empleado en su dispositivo. No obstante, en caso de surgir dudas para la configuración,
podrá solicitar apoyo al departamento de tecnología.

Es responsabilidad del empleado, la instalación del antivirus en el dispositivo móvil.

El empleado no debe en ningún caso alterar las medidas de seguridad anteriores.

En caso de realizar teletrabajo, el empleado se asegurará de disponer de un entorno de

trabajo adecuado y proteger los sistemas de los que es responsable.

En el caso de las laptops asignadas al personal autorizado, las medidas de seguridad

deben ser gestionadas por el área de Tecnología, aplicando las mismas medidas que a un
equipo informático, ya que se pueden utilizar como tal.

4.5 Seguridad en las operaciones

Está permitido utilizar la información a la que tenga acceso en BCB únicamente en la
forma exigida por el desempeño de sus funciones en la organización y no puede disponer
de ella de ninguna otra forma o para otra finalidad diferente.

La salida de soportes informáticos fuera de la organización precisa de autorización. Dicha

autorización deberá ser obtenida siguiendo el procedimiento establecido mediante
petición a través de correo electrónico a soporteit@bcbbank.com que será autorizada por
el mismo medio.

Se prohíben expresamente las siguientes actividades:

- Instalar aplicaciones informáticas en el sistema de información de BCB. Todas
aquellas aplicaciones necesarias para el desempeño de su trabajo serán
instaladas únicamente por personal debidamente autorizado de la organización o
la empresa prestataria de los servicios informáticos.
- Intentar distorsionar o falsear los registros LOG del sistema.
- Utilizar el sistema para intentar acceder a áreas restringidas de los sistemas
informáticos.
- Intentar aumentar el nivel de privilegios de un usuario en el sistema.
- Destruir, alterar, inutilizar o de cualquier otra forma dañar los datos, programas o
documentos electrónicos de BCB o de terceros.
- Introducir voluntariamente programas, virus, macros, applets, controles ActiveX o
cualquier otro dispositivo lógico o secuencia de caracteres que causen o sean
susceptibles de causar cualquier tipo de alteración en los sistemas informáticos de

11/29
 Política de Seguridad de Información y Código: PTO001
Continuidad de Negocio de
Fecha: 01/11/2019
Fácil GT - FGT
Versión: 2.0

la entidad o de terceros. El usuario tendrá la obligación de utilizar los programas

antivirus y sus actualizaciones para prevenir la entrada en el sistema de cualquier
elemento destinado a destruir o corromper los datos informáticos.
- Introducir, descargar de Internet, reproducir, utilizar o distribuir programas
informáticos no autorizados expresamente por BCB, o cualquier otro tipo de obra o
material cuyos derechos de propiedad intelectual o industrial pertenezcan a
terceros, cuando no se disponga de autorización para ello.
- Instalar copias ilegales de cualquier programa, incluidos los corporativos.
- Borrar cualquiera de los programas instalados legalmente sin autorización de BCB.
- Utilizar los recursos del sistema de información a los que tenga acceso para uso
privado o para cualquier otra finalidad diferente de las estrictamente laborales.
- Facilitar a persona alguna ajena a BCB soportes con datos, a los que haya tenido
acceso en el desempeño de sus funciones, sin la debida autorización.
- Utilizar información que hubiese podido obtener por su condición de empleado de
BCB y que no sea necesario para el desempeño de sus funciones.
- Divulgar o utilizar directamente o a través de terceras personas o empresas, los
datos, documentos, metodologías, claves, análisis, programas y demás
información a la que tengan acceso durante su relación laboral con BCB, tanto en
soporte material como electrónico. Todos los compromisos anteriores deben
mantenerse, incluso después de extinguida la relación laboral con BCB.
- En el caso de que, por motivos directamente relacionados con el puesto de
trabajo, el empleado entre en posesión de información confidencial bajo cualquier
tipo de soporte, deberá entenderse que dicha posesión es estrictamente temporal,
con obligación de secreto y sin que ello le proporcione derecho alguno de
posesión, o titularidad o copia sobre la referida información. Asimismo, el
trabajador deberá devolver dichos materiales a BCB inmediatamente después de
la finalización de las tareas que han originado el uso temporal de los mismos y, en
cualquier caso, a la finalización de la relación laboral.
- Introducir contenidos obscenos, inmorales u ofensivos y, en general, carentes de
utilidad para las finalidades propias de la empresa, en la red corporativa del
mismo.
- Crear o modificar Documentación implicada en el alcance o de nuevos ficheros por
parte de los usuarios no autorizados.

La documentación en soporte papel deberá ser guardada y custodiada en sus archivos

correspondientes.

Cuando concluya la jornada laboral, el usuario deberá evitar dejar documentación encima
de las mesas o fuera de sus lugares de archivo, que deberán permanecer cerrados con
llave.

Respecto a la documentación que se imprima, el usuario será responsable de su

recogida, que deberá efectuarse con carácter inmediato, evitando el acceso a la
documentación por usuarios no autorizados.

La documentación que no sea de utilidad para el usuario, deberá ser destruida utilizando
para ello las destructoras de papel existentes.

12/29
 Política de Seguridad de Información y Código: PTO001
Continuidad de Negocio de
Fecha: 01/11/2019
Fácil GT - FGT
Versión: 2.0

4.6 Seguridad en las comunicaciones

Los usuarios de Internet deben esforzarse en hacer y promover un uso eficiente de las
redes a fin de evitar tráfico innecesario en la red e interferencias con el trabajo de otros
usuarios o con otras redes asociadas ni con los servicios que éstas ofrecen.

El uso del sistema informático de BCB para acceder a redes privadas o públicas, se
limitará a los temas directamente relacionados con la actividad y los cometidos del puesto
de trabajo del usuario.

Se hará un uso responsable del correo electrónico así como de la información transmitida
a través de este medio, preservando su confidencialidad e integridad. Todos los mails
enviados a los empleados y clientes del banco, será realizado bajo la modalidad de copia
oculta.

Cualquier fichero introducido en la red o en el terminal del usuario a través de mensajes

de correo electrónico que provengan de redes externas deberá cumplir los requisitos
establecidos en estas normas y, en especial, las referidas a propiedad intelectual e
industrial y a control de virus o cualquier tipo de código malicioso.

Se prohíben expresamente las siguientes actividades:

- Intentar leer, borrar, copiar o modificar los mensajes de correo electrónico o
archivos de otros usuarios.
- Obstaculizar voluntariamente el acceso de otros usuarios a la red mediante el
consumo masivo de los recursos informáticos y telemáticos de la empresa, así
como realizar acciones que dañen, interrumpan o generen errores en dichos
sistemas.
- Enviar mensajes de correo electrónico de forma masiva o con fines comerciales o
publicitarios sin el consentimiento de BCB.
- Utilizar los recursos telemáticos de BCB, incluido el acceso a la red Internet, para
actividades que no se hallen directamente relacionadas con el puesto de trabajo
del usuario.
- Enviar o reenviar mensajes en cadena o de tipo piramidal.

BCB se reserva el derecho de revisar, con previo aviso, los mensajes de correo
electrónico de los usuarios de la red y los archivos LOG del servidor, con el fin de
comprobar el cumplimiento de estas normas y prevenir actividades que puedan afectar a
la organización como responsable civil subsidiario.

4.7 Control de accesos

Se controlará el acceso a los sistemas de información de BCB para que solo sea
realizado por personal autorizado y en las condiciones de seguridad que la organización
ha decido operar.

Se asegurará el acceso de un usuario autorizado y se prevendrá el acceso de usuarios no

autorizados a los sistemas de información de BCB.

13/29
 Política de Seguridad de Información y Código: PTO001
Continuidad de Negocio de
Fecha: 01/11/2019
Fácil GT - FGT
Versión: 2.0

Identificación y autentificación de los usuarios

Se prevendrá el acceso no autorizado a los servicios de red para los usuarios que no
hayan sido legitimados.

Se usarán métodos seguros de autenticación para conexiones externas por parte de

usuario autorizados.

Los grupos de servicios de información, usuarios y sistemas de información deberán estar

segregados en la red.

La información transmitida a través de redes de telecomunicaciones se hará de forma

segura.

Con relación a las contraseñas se habrán de observar las siguientes normas:

- La contraseña de acceso al sistema caducará a los 60 días.
- El usuario será el encargado de modificarla en el momento de realizar el primer
acceso al sistema, ya que se le solicitara automáticamente; caso contrario, será el
usuario el encargado de realizar dicho cambio.
- Se evitarán nombres comunes, números de matriculas de vehículos, teléfonos,
nombres de familiares, amigos, etc. y derivados del nombre de usuario como
permutaciones o cambio de orden de las letras, transposiciones, repeticiones de
un único carácter, etc.
- Las contraseñas usadas en cualquier sistema o servicio serán como mínimo de 8
caracteres, combinando letras, número y símbolos como ¡”·$%&/()=?¿.
- No se accederá al sistema utilizando el identificador y la contraseña de otro
usuario. Las responsabilidades de cualquier acceso realizado utilizando un
identificador determinado, recaerán sobre el usuario al que hubiera sido asignado.
- Se debe bloquear el equipo cuando no vaya a ser usado.
- Se seguirá una política de puesto de trabajo despejado y mesas limpias, no
dejando información confidencial o privada a la vista.
- Si se sospecha que la contraseña es conocida por otros usuarios, se procederá a
informar al área de tecnología para su revocación y sustitución por una nueva.

Se prohíben expresamente las siguientes actividades:

- Compartir o facilitar el identificador de usuario y la contraseña para acceder a los
sistemas de información a otra persona física, incluido el personal de BCB. En
caso de incumplimiento de esta prohibición, el usuario será el único responsable
de los actos realizados por la persona física que utilice de forma no autorizada el
identificador del usuario.
- Intentar descifrar las claves, sistemas o algoritmos de cifrado y cualquier otro
elemento de seguridad.

14/29
 Política de Seguridad de Información y Código: PTO001
Continuidad de Negocio de
Fecha: 01/11/2019
Fácil GT - FGT
Versión: 2.0

Acceso a Internet

- El uso del sistema informático de BCB para acceder a redes públicas como
Internet, se limitará a los temas directamente relacionados con la actividad de BCB
y los cometidos del puesto de trabajo del usuario.
- El acceso a debates en tiempo real (Chat / IRC) es especialmente peligroso, ya
que facilita la instalación de utilidades que permiten accesos no autorizados al
sistema, por lo que su uso queda estrictamente prohibido. Únicamente está
permitido la utilización del chat que proporciona la plataforma de correo electrónico
para su uso laboral.
- El acceso a páginas web (WWW), grupos de noticias (Newsgroups) y otras
utilidades como FTP, telnet, etc. se limita a aquellos que contengan información
relacionada con la actividad de BCB o con los cometidos del puesto de trabajo del
usuario.
- BCB se reserva el derecho de comprobar, de forma aleatoria y con previo aviso,
cualquier sesión de acceso a Internet iniciada por un usuario de la red corporativa
con el fin de prevenir un uso fraudulento, ilegal, abusivo o no autorizado de
Internet. Dicha comprobación incluye la revisión de registros que muestran los
ficheros cargados, los que se han accedido, las páginas web visitadas y los
usuarios que han ejecutado tales acciones así como el momento en el que se han
producido.
- Cualquier persona que acceda a Internet a través de la red de BCB acepta esta
comprobación así como las normas aquí establecidas, asumiendo la imposición de
acciones disciplinarias por incumplimiento de las citadas normas.
- Cualquier fichero introducido en la red corporativa o en el terminal del usuario
desde Internet, deberá cumplir los requisitos establecidos en estas normas y, en
especial, las referidas a propiedad intelectual e industrial y a control de virus.
- Se prohíbe la descarga a través de Internet de software de origen desconocido o
de propiedad del usuario en los sistemas de BCB, salvo que exista una
autorización previa.

4.8 Adquisición, desarrollo y mantenimiento de sistemas

La política de seguridad relativa a la adquisición, desarrollo y mantenimiento de sistemas
consta de las siguientes partes:
- Contemplar requisitos de seguridad en las fases de análisis y diseño de sistemas
de información.
- Reducir los riesgos resultantes de la explotación de vulnerabilidades técnicas.
- Separar los entornos de prueba y producción.
- Avisar al administrador de sistemas cuando haya cambios importantes en los
sistemas para el correcto desempeño de las copias de seguridad.
- La utilización de datos reales para la realización de pruebas en el entorno de test
debe ser previamente autorizada por el Líder Funcional del área dónde se realizan
las pruebas.

15/29
 Política de Seguridad de Información y Código: PTO001
Continuidad de Negocio de
Fecha: 01/11/2019
Fácil GT - FGT
Versión: 2.0

Protección de los sistemas operativos y otras utilidades

Se prevendrá el acceso no autorizado a los sistemas operativos, así como su
actualización para corregir vulnerabilidades detectadas y se proveerán de las medidas
técnicas de seguridad oportunas.

Estará restringido y controlado el uso de aplicaciones no autorizadas que puedan invalidar

las medidas de seguridad implantadas.

4.9 Relaciones con Proveedores

El área que contrate un nuevo proveedor con acceso a la información debe considerar los
posibles riesgos de seguridad derivados del servicio prestado. Para ello se pondrá en
contacto con el Responsable de Seguridad de la Información para analizar e implantar las
medidas oportunas.

4.10 Gestión de incidencias

Toda incidencia en materia de seguridad deberá comunicarse siguiendo el procedimiento
establecido. Dicha notificación será realizada a través de correo electrónico a
soporteit@bcbbank.com. Una vez recibida el Responsable de Seguridad será el
encargado de darle seguimiento, completar las notificaciones establecidas en el
procedimiento correspondiente, establecer las acciones para su corrección y comunicar al
usuario la resolución o estado de la misma.

4.11 Continuidad del negocio

Todos los empleados colaborarán en la oportuna reanudación de todos los procesos
críticos para BCB en caso de una contingencia grave, ayudando de estar forma a que se
restablezcan la mayoría de los servicios en el mínimo tiempo posible.

4.12 Cumplimiento legal

Se evitará cualquier tipo de incumplimiento de las leyes u obligaciones legales,
reglamentarias o contractuales y de los requisitos de seguridad que afecten a los sistemas
de información de BCB.

Queda estrictamente prohibido el uso de programas informáticos sin la correspondiente

licencia, así como el uso, reproducción, cesión, transformación o comunicación pública de
cualquier tipo de obra o invención protegida por la propiedad intelectual o industrial.

16/29
 Política de Seguridad de Información y Código: PTO001
Continuidad de Negocio de
Fecha: 01/11/2019
Fácil GT - FGT
Versión: 2.0

Apéndice A: Glosario
Seguridad de la información
Es el conjunto de medidas preventivas y reactivas de las organizaciones y de los sistemas
tecnológicos que permiten resguardar y proteger la información buscando mantener la
confidencialidad, la disponibilidad e integridad de la misma.

Sistema de aplicaciones
El sistema de aplicaciones hace referencia a los sistemas automatizados de usuario y
procedimientos que procesan información. El término incluye software, documentación,
sistema de controles internos, instrucciones de ejecución y parámetros.

Disponibilidad
La disponibilidad consiste en asegurarse de que los usuarios autorizados tengan acceso a
la información y a los sistemas de apoyo, cuando se requiera. Se trata de la propiedad de
que una entidad autorizada, bajo solicitud, pueda tener acceso y utilizar la información.

Continuidad
La continuidad es el proceso de establecer, por adelantado, las capacidades necesarias
para evitar o reducir el impacto de un acontecimiento que provoca la interrupción de las
operaciones en una o más unidades comerciales.

Confidencialidad
La confidencialidad consiste en asegurarse que solamente aquellos que tienen
autorización puedan acceder a la información. [ISO/IEC 17799:2000(E)]. La información
confidencial no estará disponible ni será divulgada a personas, entidades o procesos sin
autorización.

Información
La información hace referencia a la representación de hechos, que son recopilados para
efectuar operaciones comerciales. Utilizada de manera intercambiable con datos, el
término incluye, archivos de datos estructurados y no estructurados, archivos de audio o
vídeo, mensajes electrónicos o de correo de voz, fax u otro tipo de mensajes, impresos,
copias de respaldo o archivadas del original por cualquier medio, etc.

Propietario de la información / Sistema

El propietario de la información/sistema es la persona que se designa para custodiar la
información. El “propietario de la información/sistema” ejerce los derechos de propiedad
y/o responsabilidades de custodia de “El Grupo” a fin de salvaguardar y administrar la
información.
En el caso de aplicaciones compartidas que se ofrecen como “servicios”, el propietario del
servicio que es responsable de la prestación del mismo será el “propietario de la
información/sistema” designado.

Recursos del sistema de información

El término incluye información, sistemas de aplicaciones, personas e infraestructura
tecnológica para apoyar los objetivos comerciales de “El Banco”. El término incluye todos

17/29
 Política de Seguridad de Información y Código: PTO001
Continuidad de Negocio de
Fecha: 01/11/2019
Fácil GT - FGT
Versión: 2.0

los aparatos y equipos adquiridos (comprados, alquilados o prestados), creados y/o

contratados.

Integridad
La integridad hace referencia a garantizar la precisión y totalidad de los métodos de
información y de procesamiento. [ISO/IEC 17799:2000(E)].

Usuario operativo
La Gerencia asigna al usuario operativo como responsable de la utilización del sistema de
aplicaciones que actualiza la información, para ofrecer el servicio a los clientes y/o la
administración interna de la información.

Infraestructura tecnológica
La infraestructura tecnológica es un término que cubre varios componentes de tecnología
de la información compartida, documentación vinculada, acuerdos contractuales y
factores que facilitan los sistemas de aplicaciones de apoyo y los procesos comerciales.
La infraestructura de tecnologías de la información, entre otras cosas, comprende lo
siguiente:

- Arquitectura y normas para mejorar la interoperabilidad, implementación,

actualización y operación.
- Los componentes tecnológicos como el hardware de las computadoras, software
de sistemas de operación, sistemas de administración de bases de datos,
programas intermedios, etc.
- Infraestructura de comunicaciones como red de datos o de voz (incluso el acceso
a distancia), utilitarios relacionados, protocolos y tecnologías.
- Aplicaciones compartidas y estándar como correo electrónico, correo de voz,
provistas como servicio operativo.
- Procesos y servicios operativos, como integración, prestación de servicios,
administración de aplicaciones y datos, etc.
- Recursos intangibles como el capital intelectual que diferencia los productos y
servicios de “El Banco” y constituye una fuente de ventaja competitiva.

Activación
Acto mediante el cual arranca formalmente la ejecución de los planes documentados del
proceso de Administración de la Continuidad del Negocio o la Administración de la crisis.
Este término es también utilizado para referir al acto de utilizar un servicio como la
recuperación de un área de trabajo ofrecida por un proveedor o un tercero.

Actividades de Misión Crítica

Mission Critical Activities - MCA, Son las actividades operacionales o de soporte (provistas
internamente o por terceros) sin las cuales la organización no podría alcanzar sus
objetivos (productos y servicios).

Activo
Bienes de propiedad de una empresa o componente de una actividad o proceso de ésta,
que ha sido adquirido por la organización. Hay tres tipos de activos: Físicos (por ejemplo
edificios y equipos), financieros (como dinero en efectivo, depósitos en bancos, acciones)
y activos intangibles (como el goodwill, la reputación).

18/29
 Política de Seguridad de Información y Código: PTO001
Continuidad de Negocio de
Fecha: 01/11/2019
Fácil GT - FGT
Versión: 2.0

Administración de Incidentes
Proceso por medio del cual la organización responde a un incidente y lo controla
utilizando los procedimientos de respuesta a la emergencia.

Administración de la Crisis
Crisis Management, Proceso mediante el cual una organización administra el impacto
causado por un evento o incidente a la continuidad de las operaciones de la organización,
hasta que esté bajo control y deje de afectar la organización. El Plan de Manejo de Crisis
se activa como parte del proceso de administración de la crisis.

Árbol de llamadas
Proceso (sistema) en cascada que capacita a un grupo de personas, roles y/u
organizaciones para que sean contactados como parte del procedimiento de activación
del plan ante una contingencia.

Crisis
Ocurrencia de un evento que amenaza las operaciones, el personal, el valor para los
accionistas, las partes interesadas, la marca, la reputación, la confianza y la estrategia y
objetivos de la organización.

Escalamiento
Proceso mediante el cual se comunica un evento o incidente hacia el Equipo de Manejo
de Incidentes para su administración, control y monitoreo.

Incidente de Continuidad del Negocio

Cualquier evento que pueda llevar a la interrupción o crisis de un negocio.

BCI
Business Continuity Institute. Instituto británico que establece lineamientos internacionales
acerca de las mejores prácticas de continuidad del negocio y certifica personas en dicha
materia.

BCM
Business Continuity Management. Proceso de administración de la continuidad del
negocio a través del sistema de gestión diseñado para tal fin.

BCP
Business Continuity Plan. Conjunto de procesos y procedimiento que indican las
actividades que deben seguir antes, durante y después de una contingencia, los
funcionarios de negocio que operan las actividades de misión crítica.

BIA
Business Impact Analysis. Proceso administrativo por medio del cual la organización
analiza todos los impactos cuantitativos (financieros) y cualitativos (no financieros), sus
efectos y pérdidas que pueda sufrir la organización provocados por un incidente o evento
imprevisto que afecte la continuidad del negocio. Los hallazgos del BIA se utilizan para
apoyar la toma de decisiones concernientes a la solución y la estrategia del Programa de
Continuidad del Negocio de acuerdo con el análisis costo / beneficio.

19/29
 Política de Seguridad de Información y Código: PTO001
Continuidad de Negocio de
Fecha: 01/11/2019
Fácil GT - FGT
Versión: 2.0

BSI
British Standards Institution. Institución británica que desarrolla, informa y certifica
estándares nacionales e internacionales.

DCA
Data Center Alterno. Centro de cómputo desde el cual se realiza la recuperación de la
operación tecnológica en caso de indisponibilidad del Centro de Cómputo Principal.

COC
Centro de Operación en Contingencia. Lugar alterno en el cual pueden ser desarrolladas
las actividades de misión crítica de la compañía en caso de no tener acceso o
disponibilidad de las instalaciones primarias de operación.

DRI
Disaster Recovery Institute. Instituto Americano que establece lineamientos
internacionales acerca de las mejores prácticas de continuidad del negocio y certifica
personas en dicha materia.

DRP
Desaster Recovery Plan. Conjunto de procesos y procedimientos que indican las
actividades que deben seguir antes, durante y después de una contingencia, los
funcionarios que realizan la recuperación tecnológica en un Centro Alterno de Cómputo.

EGC
Equipo de Gerencia de Crisis. Equipo encargado de la administración y gestión adecuada
de la crisis en caso de una contingencia. Este equipo está conformado por el Equipo de
manejo del incidente - EMI (que se encarga de coordinar la operación desde que el
incidente se presenta hasta que la organización retorna a su operación normal del día a
día) y los equipos de apoyo (los cuales son convocados por EMI de acuerdo con las
necesidades logísticas, de soporte y de toma de decisiones requeridas por el incidente).

EMI
Equipo de Manejo del Incidente. Equipo líder de la gestión de continuidad del negocio en
caso de una contingencia. En este equipo se encontrarán las personas que conocen el
funcionamiento de la operación en contingencia, que están en capacidad de tomar
decisiones soportados en los equipos de apoyo requeridos y que guiarán la operación de
toda la estructura de recuperación en cascada en caso de una contingencia.

Equipos Funcionales
Los equipos funcionales son aquellos encargados de la recuperación operativa de las
actividades de misión crítica de la compañía en contingencia. Dentro de la estructura de
recuperación en cascada existirán Equipos Funcionales tanto de negocio como de
tecnología.

Equipos Gerenciales
Los equipos gerenciales tienen a su cargo los equipos funcionales y serán los encargados
de soportar gerencialmente las operaciones críticas de la compañía a través de la toma
de decisiones técnicas de la operación y la coordinación entre sus equipos funcionales y
los lineamientos estipulados por el Equipo de Gerencia de Crisis.

20/29
 Política de Seguridad de Información y Código: PTO001
Continuidad de Negocio de
Fecha: 01/11/2019
Fácil GT - FGT
Versión: 2.0

Estructura de Recuperación en Cascada

Estructura organizacional diseñada específicamente para actuar en caso de contingencia,
compuesta por el Equipo de Gerencia de Crisis, los Equipos Gerenciales y los Equipos
Funcionales (y coordinada con la operación del Equipo de Respuesta a la emergencia). A
través de esta estructura se realiza el escalamiento de las notificaciones del incidente, se
difunden las decisiones tomadas para la contingencia y en términos generales se logra la
recuperación de la operación crítica de la compañía.

MARC
Minimum Acceptable Recovery Configuration. Configuración mínima requerida en el
Centro de Operación en Contingencia por parte de los equipos funcionales y gerenciales.
Como parte de esta configuración se establece el detalle de software, hardware, útiles,
conexiones especiales, registros vitales y demás requerimientos mínimos necesarios para
la recuperación de las actividades de misión crítica.

OL
Nivel Mínimo de Operación. Descripción del nivel mínimo de desarrollo del proceso
durante una contingencia (porcentaje mínimo de operación de acuerdo con las
funcionalidades básicas que deberán estar disponibles en el proceso).

PFL
Planes fuera de línea. Procesos y procedimientos que indican las actividades manuales a
realizar para atender una contingencia sin soporte tecnológico.

RA
Risk Assesment. Proceso sistemático que identifica la naturaleza y las causas de los
riesgos a los que la organización se encuentra expuesta. El análisis de riesgo es el
proceso total de identificación, análisis y evaluación de riesgos que afectan la continuidad
del negocio.

RPO
Punto Objetivo de Recuperación. Máxima cantidad de información que es asumible
“perder” en caso de contingencia (expresada en medida de tiempo).

RTO
Tiempo Objetivo de Recuperación. Tiempo que transcurre entre el momento del evento
que compromete la disponibilidad del proceso y/o servicio y el momento en que arranca a
funcionar en “estado degradado” o “de contingencia”.

SGCN
Sistema de Gestión de Continuidad del Negocio. Sistema holístico que identifica las
amenazas potenciales para la organización y el impacto en las operaciones del negocio
que dichas amenazas, si llegaran a materializarse, podrían causar; y que proporciona un
marco para aumentar la capacidad de reacción de la organización para dar una respuesta
eficaz que salvaguarde los intereses de sus principales grupos de interés (accionistas,
clientes, empleados y sociedad ), la reputación, la marca y las actividades de creación de
valor fundamentales.

21/29
 Política de Seguridad de Información y Código: PTO001
Continuidad de Negocio de
Fecha: 01/11/2019
Fácil GT - FGT
Versión: 2.0

NOTA: La gestión de la continuidad del negocio involucra gestionar la recuperación o

continuación de las actividades del negocio en el caso de producirse un acontecimiento
de interrupción del negocio; y la gestión del programa en general a través de formación,
pruebas y revisiones, para procurar que el plan (o los planes) de continuidad del negocio
se mantengan vigentes.

SLA
Service Level Agreement, Son acuerdos de niveles de servicio formales entre el
proveedor de un servicio (bien sea interno o externo) y su cliente (bien sea interno o
externo) que cubre la naturaleza, calidad, disponibilidad, alcance y respuesta del
proveedor del servicio. Los Acuerdos de Niveles de Servicio (SLA) deben cubrir las
situaciones del día a día y las situaciones de desastre así como la variación del servicio
que se puede presentar durante un desastre.

22/29