Вы находитесь на странице: 1из 27

POLTICAS DE SEGURIDAD INFORMTICA DEL SECTOR FINANCIERO COLOMBIANO

COMIT DE RIESGO INFORMTICO ASOBANCARIA

FEBRERO DE 2001 BOGOT, D.C., COLOMBIA

INTRODUCCIN Conscientes de que la seguridad informtica se fundamenta en la existencia de un conjunto de polticas que brinden instrucciones claras y sean el soporte de la alta gerencia y con el objetivo que estas sean una herramienta para la definicin de los estndares y procesos internos de cada entidad, se definen las siguientes polticas: Personal Datos Software Hardware Instalaciones fsicas Administracin de seguridad

Prximamente se estarn anexando las siguientes polticas: Comunicaciones Sistemas operacionales Tarjetas dbito, crdito e inteligente

POLITICAS DE SEGURIDAD INFORMTICA DEL SECTOR FINANCIERO COLOMBIANO PERSONAS


Los funcionarios y la seguridad de la informacin.

La responsabilidad por la seguridad de la informacin no es nicamente de las reas de seguridad informtica, es una obligacin de cada funcionario. 1. Cdigos de identificacin y palabras claves 1.1 Las palabras claves o los mecanismos de acceso que les sean otorgados a los funcionarios son responsabilidad exclusiva de cada uno de ellos y no deben ser divulgados a ninguna persona, a menos que exista un requerimiento legal o medie un procedimiento de custodia de claves. De acuerdo con lo anterior, los usuarios no deben obtener palabras claves u otros mecanismos de acceso de otros usuarios que pueda permitirles un acceso indebido. Los usuarios son responsables de todas las actividades llevadas a cabo con su cdigo de identificacin de usuario y sus claves personales.

1.2

2. Control de la Informacin 2.1 Los usuarios deben informar inmediatamente al rea que corresponda dentro de la entidad toda vulnerabilidad encontrada en los sistemas, aparicin de virus o programas sospechosos e intentos de intromisin y no deben distribuir este tipo de informacin interna o externamente. Los usuarios no deben instalar software en sus computadores o en servidores sin las debidas autorizaciones.

2.2

2.3

Los usuarios no deben intentar sobrepasar los controles de los sistemas, examinar los computadores y redes de la entidad en busca de archivos de otros sin su autorizacin o introducir intencionalmente software diseado para causar dao o impedir el normal funcionamiento de los sistemas. Los funcionarios no deben suministrar cualquier informacin de la entidad a ningn ente externo sin las autorizaciones respectivas esto incluye los controles del sistema de informacin y su respectiva implementacin. Los funcionarios no deben destruir, copiar o distribuir los archivos de la entidad sin los permisos respectivos. Las personas o clientes tienen derecho a bloquear su informacin para que no sea distribuida a terceros o incluida en listados del correo y hacer que la informacin de ellos sea borrada de las listas de mercadeo directo por lo cual los funcionarios deben actuar de conformidad con lo anterior, guardando en todo momento la privacidad de la informacin del cliente.

2.4

2.5 2.6

2.7 Todo funcionario que utilice los recursos de los Sistemas, tiene la responsabilidad de velar por la integridad, confidencialidad, disponibilidad y confiabilidad de la informacin que maneje, especialmente si dicha informacin ha sido clasificada como crtica. 3. Otros usos 3.1 Los computadores, sistemas y otros equipos deben usarse solamente para las actividades propias de la entidad, por lo tanto los usuarios no deben usar sus equipos para asuntos personales a menos que exista una autorizacin respectiva que evale el riesgo informtico de tal labor.

3.2 La Entidad debe tener definido un cdigo de tica para la seguridad informtica, el cual debe incluir tpicos relacionados con la seguridad informtica y de datos.

SOFTWARE
Administracin, Operacin y Control del Software Institucional /Software/

Los empleados con funciones y responsabilidades para con el software institucional deben seguir los siguientes lineamientos para proteger este activo y la informacin que a travs de l se maneje:

1. Administracin del Software 1.1 La Entidad debe contar en todo momento con un inventario actualizado del software de su propiedad, el comprado a terceros o desarrollado internamente, el adquirido bajo licenciamiento, el entregado y el recibido en comodato. Las licencias se almacenarn bajo los adecuados niveles de seguridad e incluidas en un sistema de administracin, efectuando continuos muestreos para garantizar la consistencia de la informacin all almacenada. Igualmente, todo el software y la documentacin del mismo que posea la Entidad incluirn avisos de derechos de autor y propiedad intelectual. Todas las aplicaciones se clasificarn en una de las siguientes tres categoras: Misin Crtica, Prioritaria y Requerida. Para las de misin crtica y prioritaria deber permanecer una copia actualizada y su documentacin tcnica respectiva, como mnimo en un sitio alterno y seguro de custodia. Los ambientes de desarrollo de sistemas, pruebas y produccin deben permanecer separados para su adecuada administracin, operacin, control y seguridad. Los programas que se encuentren en el ambiente de produccin de la Entidad, se modificarn nicamente por personal autorizado, de acuerdo con los procedimientos internos establecidos y en todos los casos, y se considerarn planes de contingencia y recuperacin.

1.2

1.3

Adquisicin del Software 1.4 La Entidad deber tener una metodologa formal para el proceso de adquisicin de software de misin crtica o prioritaria a travs de terceros que incluya un contrato proforma con clusulas bsicas para la proteccin de la informacin y del software, as como para la documentacin y los respaldos, que protejan los intereses institucionales frente a las clusulas entregadas por el vendedor. El software contar con acceso controlado que permita al propietario del recurso restringir el acceso al mismo; el software proteger los objetos para que los procesos y/o los usuarios no los puedan acceder sin los debidos permisos; cada usuario se identificar por medio de un nico cdigo de identificacin de usuario y clave, antes de que se le permita el acceso al sistema; el software auditar los eventos en el sistema relacionados con la seguridad. Para cumplir con stas premisas, ser necesario que el software incluya el plan de cuentas, el plan de auditora y el cierre de puertas traseras. Cuando se adquiera una licencia de uso de software, a travs de un proveedor o la contratacin de software a la medida, el vendedor depositar en custodia en una empresa especializada una copia del software adquirido y su documentacin tcnica respectiva y sus correspondientes actualizaciones. Igualmente dejar una autorizacin por escrito para que la Entidad los pueda retirar, cuando por motivos de fuerza mayor el vendedor deje de existir en el mercado. Para disminuir los riesgos sobre la informacin administrada en las aplicaciones adquiridas a travs de terceros o las desarrolladas en casa, el documento de especificaciones incluir un captulo relativo a la seguridad informtica.

1.5

1.6

1.7

Parametrizacin 1.8 Con el propsito de asegurar la integridad de la informacin, la funcin de parametrizacin del software estar a cargo de un equipo interdisciplinario. Para el caso de aplicaciones de misin crtica y prioritaria, el grupo
5

interdisciplinario representar a los diferentes usuarios e incluir al proveedor. Para el paso del software al ambiente de pruebas, el documento final de parametrizacin del software contar previamente con las aprobaciones correspondientes al interior de la Entidad. Desarrollo de Software 1.9 La Entidad deber tener una metodologa formal para el desarrollo de software de los sistemas de informacin de misin critica y prioritaria, desarrollos rpidos del mismo y las actividades de mantenimiento, las cuales cumplirn con las polticas, normas, procedimientos, controles y otras convenciones estndares aplicables en el desarrollo de sistemas. Los controles desarrollados internamente debern ser como mnimo los exigidos en adquisicin de software que incluyan el plan de cuentas, el plan de auditora y el cierre de puertas traseras. Adicionalmente, toda solicitud de modificacin al software deber contar con estudios de factibilidad y de viabilidad al igual que las autorizaciones respectivas dentro de la Entidad.

1.10 Con el propsito de garantizar integridad y confidencialidad de la informacin que administrar el software desarrollado y antes del paso a pruebas, se debern ejecutar las pruebas intrnsecas al desarrollo y a la documentacin tcnica respectiva. Para todo desarrollo de software se debern utilizar herramientas, de las cuales se tengan certeza que su comportamiento es seguro y confiable. Solamente las funciones descritas en el documento aprobado de especificaciones de la solucin tecnolgica, podrn ser desarrolladas. 1.11 Los programadores de software no debern conocer las claves utilizadas en ambientes de produccin (encriptores, claves de CVV, pin offset). 1.12 Los desarrollos y/o modificaciones hechos a los sistemas de aplicacin no debern trasladarse al ambiente de produccin si no se cuenta primero con la documentacin de entrenamiento, operacin y de seguridad adecuados. La suficiencia de ste material deber ser determinada por los usuarios responsables en la Entidad.

Pruebas de Software 1.13 Un equipo especializado deber hacer las pruebas en representacin de los usuarios finales. El rea de desarrollo de sistemas deber entregar el software desarrollado con cdigos fuentes al rea responsable de ejecutar las pruebas, el cual deber ser revisado para encontrar cdigos mal intencionados y debilidades de seguridad utilizando preferiblemente herramientas automticas, para luego ser compilado e iniciar las pruebas correspondientes. 1.14 Los tipos de pruebas mnimas a realizar debern ser previamente establecidas por la Entidad. Para garantizar la integridad de la informacin en produccin stas debern ser debidamente planeadas, ejecutadas, documentadas y controlados sus resultados, con el fin de garantizar la integridad de la informacin en produccin. Adems, el ambiente de pruebas deber ser los ms idntico, en su configuracin, al ambiente real de produccin. 1.15 Las pruebas sobre el software desarrollado tanto interna como externamente debern contemplar aspectos funcionales, de seguridad y tcnicos. Adicionalmente, se incluir una revisin exhaustiva a la documentacin mnima requerida, as como la revisin de los procesos de retorno a la versin anterior. En caso que se requirieran las claves de produccin, para ejecutar pruebas, su insercin y mantenimiento se deber efectuar de manera segura. La Entidad deber poseer un cronograma para la ejecucin de las pruebas con el fin de cumplir con los compromisos institucionales acordados, ste se podr ver afectado en su calendarizacin por aquellos eventos en que se tengan que atender desarrollos rpidos nicamente por exigencias mandatorias de entes de control externos y de la presidencia de la Entidad. Implantacin del Software 1.16 Para implementar software mediar una autorizacin por escrito del responsable para tal fin. Las caractersticas que son innecesarias en el ambiente informtico de la Entidad se identificarn y desactivarn en el momento de la instalacin del software.

1.17 Antes de implementar el software en produccin se verificar que se haya realizado: La divulgacin y entrega de la documentacin, la capacitacin al personal involucrado, su licenciamiento y los ajustes de parmetros en el ambiente de produccin. La Entidad deber poseer un cronograma de puesta en produccin con el fin de minimizar el impacto del mismo. 1.18 Los mdulos ejecutables nunca debern ser trasladados directamente de las libreras de pruebas a las libreras de produccin sin que previamente sean compilados por el rea asignada para tal efecto, que en ningn momento deber ser el rea de desarrollo ni la de produccin. 1.19 Los programas en el ambiente de produccin de la Entidad, sern modificados nicamente por personal autorizado y cuando se requiera por fuerza mayor de acuerdo con las normas institucionales establecidas. 1.20 Los clientes, compaas comerciales y otros terceros, debern firmar previamente un acuerdo que declare que ellos no desensamblarn, modificarn, ni usarn indebidamente los programas entregados que fueron desarrollados por la Entidad. Mantenimiento del Software 1.21 El rea de desarrollo de sistemas no har cambios al software de produccin sin las debidas autorizaciones por escrito y sin cumplir con los procedimientos establecidos por la Entidad. A su vez, la Entidad contar con un procedimiento de control de cambios que garantice que slo se realicen las modificaciones autorizadas. 1.22 La documentacin de todos los cambios hechos al software en la Entidad, se preparar simultneamente con el proceso de cambio. Se deber considerar, adems, que cuando un tercero efecte ajuste al software de la Entidad, ste deber firmar un acuerdo de no-divulgacin y utilizacin no autorizada del mismo. 1.23 Para cada mantenimiento, a la versin del software de misin crtica y prioritaria de la Entidad, se actualizar el depositado en custodia en el sitio alterno y el respaldado en la institucin. Este software y su documentacin se verificarn y certificar su actualizacin.
8

1.24 Las actualizaciones de software requerido de la Entidad debern cumplir con los procedimientos de licenciamiento respectivo.

DATOS
Clasificacin, almacenamiento y administracin de la Informacin /Datos/

Los funcionarios de la entidad son responsables de la informacin que manejan y debern seguir los siguientes lineamientos para protegerla y evitar prdidas, accesos no autorizados y utilizacin indebida de la misma. 1. Clasificacin de la Informacin 1.1 Todos los datos de propiedad de la entidad se deben clasificar dentro de las siguientes categoras para los datos sensibles: SECRETO, CONFIDENCIAL, PRIVADO, y para los datos no sensibles la categora es PUBLICO. Para identificar la naturaleza de la informacin y las personas autorizadas para accesarla se deben utilizar prefijos como indicadores generales tales como: Financiero, Administrativo, Comercial, Jurdico, Tecnolgico. Toda informacin secreta, confidencial y privada debe etiquetarse (marcarse) segn las normas de la Entidad y todos los datos que se divulguen por cualquier medio deben mostrar la clasificacin de sensibilidad de la informacin. Cuando se consolida informacin con varias clasificaciones de sensibilidad, los controles usados deben proteger la informacin ms sensible y se debe clasificar con el mximo nivel de restriccin que contenga la misma. La informacin que se clasifica dentro de las categoras de sensibilidad debe identificarse con la marca correspondiente y se debe indicar la fecha en que deja de ser sensible, esto aplica para la informacin que se reclasifica tanto en un nivel inferior como en un nivel superior de sensibilidad. La responsabilidad para definir la clasificacin de la informacin debe ser tanto del dueo de la informacin como del rea encargada de la seguridad informtica en la organizacin; adicionalmente, deben tener una programacin para realizar mantenimiento a la clasificacin de sensibilidad de la informacin.

1.2

1.3

1.4

10

1.5

La eliminacin de la informacin debe seguir procedimientos seguros y debidamente aprobados por el responsable de la seguridad informtica y de datos en la entidad.

2. Almacenamiento de la Informacin 2.1 Almacenamiento Masivo y Respaldo de Informacin

2.1.1 Toda informacin secreta debe estar encriptada, ya sea que se encuentre al interior de la entidad o externamente, en cualquier medio de almacenamiento, transporte o transmisin. 2.1.2 Toda informacin sensible debe tener un proceso peridico de respaldo, tener asignado un periodo de retencin determinado, la fecha de la ltima modificacin y la fecha en que deja de ser sensible o se degrada; sin embargo, la informacin no se debe guardar indefinidamente por lo cual se debe determinar un periodo mximo de retencin para el caso en que no se haya especificado este tiempo. 2.1.3 La informacin clasificada como sensible (secreta, confidencial o privada) debe tener un respaldo, adems debe tener copias recientes completas en sitio externo a la entidad o en un lugar lejano de donde reside la informacin origen; en caso que no se tengan copias de la informacin crtica no se deben llevar a cabo un procesos de restauracin puesto que se corre el riesgo de perder la nica copia que se tenga. 2.1.4 Todos los medios fsicos donde la informacin de valor, sensitiva y crtica sea almacenada por periodos mayores de seis (6) meses, no deben estar sujetos a una rpida degradacin o deterioro. 2.1.5 Los respaldos de informacin de valor o sensible debe tener un proceso peridico de validacin con el fin de garantizar que no ha sufrido ningn deterioro y que se podr utilizar en el momento en que se necesite. 2.1.6 Toda la informacin contable, de impuestos, y de tipo legal debe ser conservada de acuerdo con las normas de ley vigentes.

11

2.2 2.3

Almacenamiento en forma impresa o documentos en papel La remisin de informacin sensible tanto por correo interno como externo debe cumplir con los procedimientos establecidos de manera que se realice en forma segura. Para todos los mensajes remitidos en formato libre de texto que contengan informacin sensible para el negocio debe numerarse cada lnea y los documentos oficiales de la entidad que se realicen a mano deben ser escritos con tinta. La informacin sensible que aparece en los recibos generados por computador y entregados a los clientes deben ser truncados. Todas las copias de documentos secretos deben ser numeradas individualmente con un nmero secuencial para que las personas responsables puedan localizar rpidamente los documentos e identificar algn faltante de la misma. Cuando se utilicen medios de transmisin como el fax, se deben seguir los procedimientos establecidos de tal manera que se asegure la confidencialidad e integridad de la informacin.

2.4

2.5 2.6

2.7

12

3. Administracin de la Informacin 3.1 Cualquier tipo de informacin interna de la entidad no debe ser vendida, transferida o intercambiada con terceros para ningn propsito diferente al del negocio y se debe cumplir con los procedimientos de autorizacin internos para los casos en que se requiera. Todos los derechos de propiedad intelectual de los productos desarrollados o modificados por los empleados de la institucin, durante el tiempo que dure su relacin laboral, son de propiedad exclusiva de la Entidad. Los datos y programas de la entidad deben ser modificados nicamente por personal autorizado de acuerdo con los procedimientos establecidos, al igual que el acceso a bodegas de informacin debe restringirse nicamente a personal autorizado. Cuando la informacin sensible no se est utilizando se debe guardar en los sitios destinados para esto, los cuales deben contar con las debidas medidas de seguridad que garanticen su confidencialidad e integridad. En cualquier momento, el propietario de la informacin con la participacin del responsable de la seguridad informtica y de datos puede reclasificar el nivel de sensibilidad inicialmente aplicado a la informacin. El acceso a la informacin secreta se debe otorgar nicamente a personas especficas. Toda divulgacin de informacin secreta, confidencial o privada a terceras personas debe estar acompaada por un contrato que describa explcitamente qu informacin es restringida y cmo puede o no ser usada. Toda la informacin de la organizacin debe contemplar las caractersticas de Integridad, Confidencialidad, Disponibilidad, Auditabilidad, Efectividad, Eficiencia, Cumplimiento y Confiabilidad. Todo software que comprometa la seguridad del sistema se custodiar y administrar nicamente por personal autorizado.

3.2

3.3

3.4

3.5

3.6 3.7

3.8

3.9

13

3.10 3.11

La realizacin de copias adicionales de informacin sensible debe cumplir con los procedimientos de seguridad establecidos para tal fin. La informacin de la entidad no debe ser divulgada sin contar con los permisos correspondientes, adems, ningn empleado, contratista o consultor debe tomarla cuando se retire de la entidad. Todos los medios de almacenamiento utilizados en el proceso de construccin, asignacin, distribucin o encripcin de claves o PINs se deben someter a un proceso de eliminacin (zeroization) inmediatamente despus de ser usados. Toda la informacin histrica almacenada debe contar con los medios, procesos y programas capaces de manipularla sin inconvenientes, esto teniendo en cuenta la reestructuracin que sufren las aplicaciones y los datos a travs del tiempo.

3.12

3.13

4. Validaciones, controles y manejo de errores 4.1 Para reducir la probabilidad de ingreso errneo de datos de alta sensibilidad, todos los procedimientos de ingreso de informacin deben contener controles de validacin. Se deben tener procedimientos de control y validaciones para las transacciones rechazadas o pendientes de procesar, adems de tiempos determinados para dar la solucin y tomar las medidas correctivas. Todas las transacciones que ingresen a un sistema de produccin computarizado, deben ser sujetos a un chequeo razonable, chequeos de edicin y/o validaciones de control. Todos los errores cometidos por los empleados de la entidad y que son detectados por los clientes deben cumplir con un proceso de investigacin de acuerdo con los procedimientos y tiempos establecidos.

4.2

4.3

4.4

14

POLITICA DE HARDWARE
La administracin, mantenimiento, modernizacin y adquisicin de equipos computacionales y de telecomunicaciones debe adoptar los siguientes criterios para proteger la integridad tcnica de la institucin. 1. Cambios al Hardware 1.1 Los equipos de cmputo de la entidad no deben ser alterados ni mejorados (cambios de procesador, adicin de memoria o tarjetas) sin el consentimiento, evaluacin tcnica y autorizacin del rea responsable. Los empleados deben reportar a los entes pertinentes de la entidad, sobre daos o prdida del equipo que tengan a su cuidado y sea propiedad de la entidad. La intervencin directa para reparar el equipo debe estar expresamente prohibida. La entidad debe proporcionar personal interno o externo para la solucin del problema reportado. Todos los equipos de la entidad deben estar relacionados en un inventario que incluya la informacin de sus caractersticas, configuracin y ubicacin. Todo el hardware que adquiera la entidad debe conseguirse a travs de canales de compra estndares. Para todos los equipos y sistemas de comunicacin utilizados en procesos de produccin en la entidad, se debe aplicar un procedimiento formal de control de cambios que garantice que solo se realicen los cambios autorizados. Este procedimiento de control de cambios debe incluir la documentacin del proceso con las respectivas propuestas revisadas, la aprobacin de las reas correspondientes y la manera como el cambio fue realizado. Todos los productos de hardware deben ser registrados por proveedor y contar con el respectivo contrato de mantenimiento.

1.2

1.3

1.4

1.5

1.6

15

1.7

Los equipos de microcomputadores (PC, servidores, LAN etc.) no deben moverse o reubicarse sin la aprobacin previa del administrador, jefe o coordinador del rea involucrada.

2. Acceso fsico y lgico 2.1 Antes de conectarlos a la red interna todos los servidores de Intranet de la entidad deben ser autorizados por el rea responsable del hardware. Todos las computadoras multiusuarios y los equipos de comunicaciones deben estar ubicadas en lugares asegurados para prevenir alteraciones y usos no autorizados. Las bibliotecas de cintas magnticas, discos y documentos se deben ubicar en reas restringidas dentro del centro de cmputo y en sitios alternos con acceso nicamente a personas autorizadas. Con la excepcin de las computadoras porttiles y los equipos de telecomunicaciones, se debe prohibir el uso de mdems que establecen conexiones de marcado directo. Todas las conexiones con los sistemas y redes de la entidad deben ser dirigidas a travs de dispositivos probados y aprobados por la organizacin y contar con mecanismos de autenticacin de usuario. Los equipos de computacin de la entidad que pueden ser accedidos por terceros a travs de diversos canales - como lneas conmutadas, redes de valor agregado, Internet y otros-, deben ser protegidos por mecanismos de control aprobados por el rea de seguridad informtica y de datos. Las direcciones internas, configuraciones e informacin relacionada con el diseo de los sistemas de comunicacin y cmputo de la entidad deben ser restringidas. Todas las lneas conmutadas que permitan el acceso a la red de comunicaciones o sistemas multiusuario deben pasar a travs de un punto de
16

2.2

2.3

2.4

2.5

2.6

2.7

control adicional (firewall) antes de que la pantalla de login aparezca en la terminal del usuario. 3. Respaldo y Continuidad del Negocio 3.1 La administracin debe proveer, mantener y dar entrenamiento sobre los sistemas de proteccin necesarios para asegurar la continuidad del servicio en los sistemas de computacin crticos, tales como sistemas de deteccin y eliminacin de fuego, sistemas de potencia elctrica suplementarios y sistemas de aire acondicionado, entre otros. Los microcomputadores y estaciones de trabajo se deben equipar con unidades suplementarias de energa elctrica (UPS), filtros elctricos, supresores de picos de corriente y, en lo posible, eliminadores de corriente esttica. Los sistemas de computacin y de comunicaciones deben en lo posible estar geogrficamente dispersos. El diseo de la red de comunicaciones debe estar de tal forma que se evite tener un punto crtico de falla, como un centro nico de conmutacin que cause la cada de todos los servicios. Los backups de los sistemas de computacin y redes deben ser almacenados en una zona de fuego diferente de donde reside la informacin original. Las zonas de fuego varan de edificio a edificio y son definidas por el rea de seguridad de la entidad. A todo equipo de cmputo, comunicaciones y dems equipos de soporte debe realizrsele un mantenimiento preventivo y peridico, de tal forma que el riesgo a fallas se mantenga en una probabilidad de ocurrencia baja. Los planes de contingencia y recuperacin de equipos deben ser probados regularmente con el fin de asegurar que el plan sea relevante, efectivo, prctico y factible de realizar. Cada prueba debe documentarse y sus resultados y las acciones de correccin deben comunicarse a la alta direccin.
17

3.2

3.3 3.4

3.5

3.6

3.7

4. Otros 4.1 Todos los procesos relacionados con encripcin de datos deben ser soportados preferiblemente por mdulos de hardware. Este sistema minimiza la amenaza de ingeniera de reverso del software y una revelacin de la(s) clave(s) Ningn equipo porttil de computacin (laptop, notebook, palmtop, etc.) debe registrarse como equipaje de viaje. Estos deben llevarse como equipaje de mano. Los equipos porttiles de computacin que contengan informacin sensible deben utilizar software de encripcin para proteger la informacin. Todo equipo cmputo y de comunicaciones de la entidad debe tener un nmero (lgico y fsico) de identificacin permanente grabado en el equipo, adems, los inventarios fsicos se deben realizar en forma peridica, regular y eficiente. Todo equipo porttil debe tener Declaracin de Responsabilidad, la cual incluya instrucciones de manejo de informacin y acato de normas internas y de seguridad para el caso de robo o prdida.

4.2

4.3

4.4

4.5

18

POLITICA DE INSTALACIONES FISICAS


Todos los funcionarios de la entidad debern seguir los siguientes lineamientos de seguridad fsica con el fin de salvaguardar los recursos tcnicos y humanos de la entidad. 1. Control de acceso fsico La entidad debe contar con los mecanismos de control de acceso tales como puertas de seguridad, sistemas de control con tarjetas inteligentes y sistema de alarmas, en las dependencias que la entidad considere crticas. 1.1 Personas 1.1.1 Los visitantes deben permanecer escoltados y portar un distintivo o escarapela claramente visible, y las personas que laboran para la entidad que requieran ingresar a reas criticas tambin deben permanecer escoltados. Adems, tanto los visitantes como los empleados mencionados nicamente deben tener a la informacin y recursos necesarios para el desarrollo de sus actividades. 1.1.2 En el evento que los funcionarios dejen de tener vnculos laborales con la entidad todos sus cdigos de acceso deben ser cambiados o desactivados. Adems, en caso de prdida de la escarapela o tarjeta de acceso tambin deben desactivarse dichos cdigos. 1.1.3 Se debe mantener el registro de acceso del personal autorizado y de ingresos con el objeto de facilitar procesos de investigacin. 1.1.4 Como mecanismo de prevencin todos los empleados y visitantes no deben comer, fumar o beber en el centro de computo o instalaciones con equipos
19

tecnolgicos, al hacerlo estaran exponiendo los equipos a daos elctricos como a riesgos de contaminacin sobre los dispositivos de almacenamiento. 1.1.5 Las reuniones de trabajo donde se discute y maneja informacin sensible, se deben realizar en salas cerradas para que personas ajenas a ella no tengan acceso. 1.1.6 Todos los sistemas de control de acceso deben ser monitoreados permanentemente. 1.2 Equipos y Otros Recursos 1.2.1 Toda sede y equipo informtico, ya sean propios o de terceros, que procesen informacin para la entidad o posean un vnculo especial con la misma, debe cumplir con todas las normas de seguridad fsica que se emitan, con el fin de evitar el acceso a personas no autorizadas a las reas restringidas donde se procese o mantenga informacin secreta, confidencial y privada, y asegurar la proteccin de los recursos de la plataforma tecnolgica y su informacin. 1.2.2 Los equipos de cmputo no deben moverse o reubicarse sin la aprobacin previa del Administrador del Departamento involucrado. 1.2.3 Todos los equipos propiedad de la entidad como mquinas de escribir, telfonos celulares, equipos porttiles, mdems y equipos relacionados con sistemas de informacin NO deber retirarse de las instalaciones fsicas por ningn personal, a menos que est previamente autorizado. 1.2.4 Todo maletn, caja o bolso debe ser revisado por personal de seguridad tanto al momento de acceder a las instalaciones como al momento de salir de ellas. 1.2.5 No se debe proveer informacin sobre la ubicacin del centro de cmputo, como mecanismo de seguridad.

20

2. Proteccin fsica de la informacin 2.1 Todos las personas que laboren para la entidad y/o aquellas designadas por las entidades para trabajar en actividades particulares (consultores y contratistas) son responsables del adecuado uso de la informacin suministrada para tal fin por lo cual se debe velar por su integridad, confidencialidad, disponibilidad y auditabilidad. Toda informacin secreta, confidencial y privada debe estar provista de la seguridad necesaria por quien la maneja para evitar el uso indebido por parte de personal no autorizado. Al terminal la jornada laboral, los escritorios y reas de trabajo deben quedar desprovistos de documentos sensibles que puedan comprometer los intereses de la entidad. Estos deben quedar bajo llave en archivadores, cajas fuertes o dems medios de almacenamiento fsico seguros. Las reas donde se maneja informacin confidencial o crtica deben contar con cmaras que registren las actividades realizadas por los funcionarios.

2.2

2.3

3. Proteccin contra desastres Dado que cualquier tipo de desastre natural o accidental ocasionado por el hombre (cortos circuitos, vandalismo, fuego, fugas qumicas, movimiento de material nuclear, y otras amenazas etc.) puede afectar el nivel de servicio y la imagen de la entidad, se debe prever que los equipos de procesamiento y comunicaciones se encuentren localizados en reas aseguradas y debidamente protegidas contra inundaciones, robos, interferencias electromagnticas, fuego, humo y dems amenazas que puedan interferir con el buen uso de los equipos y la continuidad del servicio. 4. Planes de emergencia, contingencia y recuperacin 4.1 Es responsabilidad de la administracin de la Entidad el preparar, actualizar peridicamente y regularmente probar los planes de Contingencias, Emergencias y Recuperacin previendo la continuidad de los procesos

21

crticos para el negocio en el evento de presentarse una interrupcin o degradacin del servicio. 4.2 La Administracin debe establecer, mantener y probar peridicamente el sistema de comunicacin que permita a los usuarios de la plataforma tecnolgica notificar posibles intromisiones a los sistemas de seguridad, estos incluyen posibles infecciones por virus, intromisin de hackers, divulgacin de informacin no autorizada y debilidades del sistema de seguridad. El plan de Contingencia y de Recuperacin debe permanecer documentado y actualizado de manera tal que sea de conocimiento general y fcilmente aplicable en el evento de la presencia de un desastre. Permitiendo que los recursos previstos se encuentren disponibles y aseguren la continuidad de los procesos de negocio, en un tiempo razonable para cada caso y contemplando como mnimo los riesgos ms probables de ocurrencia que afecten su continuidad. El mantenimiento del plan de Contingencias y Recuperacin general debe incluir entre otros un proceso estndar que integre los planes de contingencia para computadoras y comunicaciones, as como tambin el inventario de hardware, software existente y los procesos que corrern manualmente por un periodo de tiempo.

4.3

4.4

22

POLTICA ADMINISTRACIN DE SEGURIDAD INFORMATICA


Funciones y responsabilidades del rea de Seguridad Informtica

1 1.1

GENERALIDADES El rea de Seguridad Informtica debe definir, implementar, controlar y mantener las polticas, normas, estndares, procedimientos, funciones y responsabilidades necesarias para preservar y proteger la confidencialidad, disponibilidad e integridad de la informacin de la Entidad donde sta resida (aplicaciones, bases de datos, sistemas operativos, redes, backups y medios). El rea de Seguridad Informtica, es la encargada de establecer, mantener y administrar una arquitectura de seguridad para la entidad financiera y facilitar la incorporacin de prcticas de seguridad de la informacin en todas las dependencias. El rea de Seguridad Informtica debe estar ubicada organizacionalmente de manera que tenga autonoma e independencia frente a las dems reas de tecnologa tales como: soporte, diseo y desarrollo, entre otras. Representar el Banco ante organizaciones externas sobre temas de seguridad de la informacin. Promover que los planes estratgicos y de operaciones del Banco estn alineados con las estrategias de seguridad del Banco. El rea de seguridad debe velar porque las excepciones a las polticas de seguridad estn autorizadas nicamente por la Presidencia o Gerencia General de la Organizacin, de las cuales se debe dejar constancia de los riesgos que en forma consciente se estn asumiendo y el periodo de vigencia de la excepcin. FUNCIONES DE CONTROL

1.2

1.3

1.4 1.5 1.6

23

2.1

Establecer e implementar un plan de Seguridad que permita controlar el entorno lgico y fsico de la informacin estratgica de la entidad, teniendo en cuenta los criterios de confidencialidad, integridad, auditabilidad, disponibilidad, autenticidad y no repudiacin de la informacin. Participar activamente en los proyectos informticos de la entidad para proveerlos de las seguridades adecuadas, gerenciando los de Seguridad Informtica. Definir las directrices bsicas de Seguridad Informtica para la descripcin de los diferentes requerimientos en la adquisicin de tecnologa (hardware y software) en la Entidad, y velar porque se realicen las pruebas de seguridad a los Sistemas de Informacin. Participar activamente en el equipo de trabajo de anlisis, implementacin y mantenimiento de los perfiles de usuario que interactan con los Sistemas Operativos, Bases de Datos y Aplicaciones, y velar porque en produccin nicamente estn los autorizados y vigentes. Contar con mecanismos de monitoreo con el fin de detectar oportunamente procedimientos inseguros para los Sistemas Operacionales, Aplicativos, Datos y Redes. Desarrollar mtodos y tcnicas para monitorear efectivamente los sistemas de seguridad de la informacin y reportar peridicamente su efectividad a la Alta Direccin. Direccionar, recomendar y aconsejar a todos los usuarios de los sistemas de informacin del Banco en cuanto a la seguridad de la informacin. Interactuar con los organismos de control interno y externo, apoyndolos en su gestin administrativa y de ejecucin. Asegurar que la organizacin cuente con ambientes independientes de Desarrollo, Pruebas, Produccin y Capacitacin.

2.2

2.3

2.4

2.5

2.6

2.7 2.8 2.9

2.10 Garantizar que todos los mantenimientos a los sistemas de misin crtica y prioritaria estn autorizados, probados e implementados de acuerdo con los requerimientos de los usuarios previamente validados por un grupo
24

especializado y que no comprometan la seguridad informtica de la organizacin. Adems, que los sistemas de informacin queden correctamente documentados y se de la capacitacin necesaria a los usuarios finales. 2.11 El Area de Seguridad Informtica, es responsable por la revisin continua de las Polticas de Seguridad Informtica por lo menos una vez al ao. 3 3.1 COMIT DE SEGURIDAD INFORMTICA Conformar y liderar un Comit de Seguridad Informtica, en el cual se sustente el plan de Seguridad Informtica a ejecutar en la Entidad desarrollado por el rea, se analice la administracin de problemas de seguridad y se definan las estrategias a implementar que permitan controlar el entorno lgico y fsico de la informacin estratgica de la Entidad.

4 4.1

SOPORTE A INVESTIGACIONES Soportar las investigaciones sobre violaciones a la seguridad de los sistemas en apoyo al rea de Seguridad no Tecnolgica (Fsica) y presentar los informes respectivos a la Direccin de la Organizacin. Investigar, documentar e informar a los propietarios de la informacin los incidentes de seguridad tanto lgica como fsica. Realizar seguimiento a las acciones disciplinarias y legales asociadas con los incidentes de seguridad investigados. ELABORACIN DEL MAPA DE RIESGO Efectuar estudios de anlisis de riesgos en Seguridad Informtica para identificar oportunamente los eventos o situaciones de fallos en los accesos o en el manejo de la informacin presentados en la Entidad, estableciendo planes de accin que incluyan controles para contrarrestarlos y reducir el riesgo a un nivel aceptable.
25

4.2 4.3

5 5.1

6 6.1

PLAN DE CONTINGENCIA Preparar, implementar y mantener el Plan de Emergencia, Contingencia y de Recuperacin de desastres y continuidad del negocio relacionados con tecnologa informtica. Liderar el proceso de pruebas que se debe ejecutar peridicamente a los Planes de Emergencia, Contingencia y de Recuperacin.

6.2

7 7.1

CAPACITACIN Y ENTRENAMIENTO Establecer y apoyar a las reas encargadas en la ejecucin de un plan de Capacitacin continuo que permita actualizar a los funcionarios en aspectos de seguridad informtica fortaleciendo la cultura sobre el tema. Dar un entrenamiento adecuado a los usuarios, custodios, y usuarios dueos de la informacin en cuanto a los requerimientos y responsabilidades sobre la seguridad de la informacin.

7.2

26

Вам также может понравиться