Plan de Seguridad Informática para Una Entidad Financiera"

UNIVERSIDAD NACIONAL MAYOR DE SAN MARCOS
Fundada en 1551
FACULTAD DE CIENCIAS MATEMÁTICAS
E.A.P. DE COMPUTACIÓN
“PLAN DE SEGURIDAD INFORMÁTICA PARA UNA ENTIDAD FINANCIERA”
TRABAJO MONOGRÁFICO
Para optar el Título Profesional de:
LICENCIADA
AUTORA
NORMA EDITH CÓRDOVA RODRÍGUEZ
LIMA – PERÚ
2003
DEDICATORIA
Este trabajo va dedicado a la Universidad

Nacional Mayor de San Marcos, a la que le
debo mi formación profesional y los éxitos
que he alcanzado.
INDICE
INTRODUCCION
CAPITULO I.
OBJETIVOS Y ALCANCES
1.1 Objetivos.................................................................................................................1
CAPITULO II
METODOLOGÍA Y PROCEDIMIENTOS UTILIZADO
2.1 Metodología ESA....................................................................................................3
CAPITULO III
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL DE LA ADMINISTRACIÓN DE
LA SEGURIDAD DE INFORMACIÓN
3.1 Evaluación ............................................................................................................5

3.2 Alcances ............................................................................................................6
CAPITULO IV
SEGURIDAD DE LA INFORMACIÓN – ROLES Y ESTRUCTURA
ORGANIZACIONAL
4.1 Situación actual.....................................................................................................8

4.2 Roles y responsabilidades de la estructura organizacional de seguridad de
información.....................................................................................................9
4.3 Organización del area de seguridad informática propuesta ............. 13
CAPITULO V
EVALUACIÓN DE RIESGOS, AMENAZAS Y VULNERABILIDADES
5.1 Matriz de uso y estrategia de tecnología ....................................................... 16

5.2 Matriz de evaluación de amenazas y vulnerabilidades ............................... 26
5.3 Matriz de iniciativas del negocio / procesos .................................................. 38
CAPITULO VI
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
6.1 Definición..............................................................................................................48
6.2 Cumplimiento obligatorio ...................................................................................49
6.3 Organización de la Seguridad ..........................................................................49

6.3.1 Estructura organizacional................................................................. 49
6.3.2 Acceso por parte de terceros........................................................... 50
6.3.3 Outsourcing ......................................................................................... 51
6.4 Evaluacion de riesgo ..........................................................................................51
6.4.1 Inventario de activos.......................................................................... 52
6.4.2 Clasificación del acceso de la información.................................... 53
6.4.3 Definiciones........................................................................................ 54
6.4.4 Aplicación de controles para la información clasificada.............. 54
6.4.5 Análisis de riesgo............................................................................... 57
6.4.6 Cumplimiento ...................................................................................... 57
6.4.7 Aceptación de riesgo......................................................................... 58
6.5 Seguridad del personal......................................................................................58
6.5.1 Seguridad en la definición de puestos de trabajo y recursos ..... 59
6.5.2 Capacitación de usuarios ................................................................. 60
6.5.3 Procedimientos de respuesta ante incidentes de seguridad..... 61
6.5.3.1 Registro de fallas ............................................................................. 62
6.5.3.2 Intercambios de información y correo electrónico...................... 62
6.5.3.3 Seguridad para media en tránsito ................................................. 64
6.6 Seguridad física de las instalaciones de procesamiento de datos .............64
6.6.1 Protección de las instalaciones de los centros de datos............. 64
6.6.2 Control de acceso a las instalaciones de cómputo ...................... 65
6.6.3 Acuerdo con regulaciones y leyes................................................... 66
6.7 Administración de comunicaciones y operaciones........................................66
6.7.1 Procedimientos y responsabilidades operacionales .................... 66
6.7.1.1 Procedimientos operativos documentados.................................. 66
6.7.1.2 Administración de operaciones realizadas por terceros............ 67
6.7.1.3 Control de cambios operacionales................................................ 67
6.7.1.4 Administración de incidentes de seguridad................................. 68
6.7.1.5 Separación de funciones de operaciones y desarrollo .............. 68
6.7.2 Protección contra virus...................................................................... 69
6.7.3 Copias de respaldo............................................................................ 70
6.8 Control de acceso de datos...............................................................................71
6.8.1 Identificación de usuarios ................................................................. 71
6.8.2 Seguridad de contraseñas................................................................ 72
6.8.2.1 Estructura .......................................................................................... 72
6.8.2.2 Vigencia............................................................................................. 73
6.8.2.3 Reutilización de contraseñas ......................................................... 73
6.8.2.4 Intentos fallidos de ingreso............................................................. 73
6.8.2.5 Seguridad de contraseñas ............................................................. 74
6.8.3 Control de transacciones .................................................................. 74
6.8.4 Control de producción y prueba ...................................................... 75
6.8.5 Controles de acceso de programas ................................................ 76
6.8.6 Administración de acceso de usuarios........................................... 76
6.8.7 Responsabilidades del usuario........................................................ 78
6.8.8 Seguridad de computadoras ............................................................ 79
6.8.9 Control de acceso a redes................................................................ 80
6.8.9.1 Conexiones con redes externas.................................................... 80
6.8.9.2 Estándares generales ..................................................................... 81
6.8.9.3 Política del uso de servicio de redes ............................................ 82
6.8.9.4 Segmentación de redes.................................................................. 83
6.8.9.5 Análisis de riesgo de red ................................................................ 83
6.8.9.6 Acceso remoto(dial-in) .................................................................... 83
6.8.9.7 Encripción de los datos................................................................... 84
6.8.10 Control de acceso al sistema operativo ......................................... 84
6.8.10.1 Estándares generales ................................................................... 84
6.8.10.2 Limitaciones de horario................................................................. 84
6.8.10.3 Administración de contraseñas ................................................... 85
6.8.10.4 Inactividad del sistema.................................................................. 85
6.8.10.5 Estándares de autenticación en los sistemas........................... 85
6.8.11 Control de acceso de aplicación...................................................... 85
6.8.11.1 Restricciones de acceso a información...................................... 86
6.8.11.2 Aislamiento de sistemas críticos................................................. 86
6.8.12 Monitoreo del acceso y uso de los sistemas................................. 86
6.8.12.1 Sincronización del reloj................................................................. 86
6.8.12.2 Responsabilidades generales...................................................... 87
6.8.12.3 Registro de eventos del sistema ................................................. 87
6.8.13 Computación móvil y teletrabajo ..................................................... 87
6.8.13.1 Responsabilidades generales...................................................... 87
6.8.13.2 Acceso remoto ............................................................................... 88
6.9 Desarrollo y mantenimiento de los sistemas..................................................89
6.9.1 Requerimientos de seguridad de sistemas.................................... 89
6.9.1.1 Control de cambios.......................................................................... 89
6.9.1.2 Análisis y especificación de los requerimientos de seguridad . 90
6.9.2 Seguridad en sistemas de aplicación............................................. 90
6.9.2.1 Desarrollo y prueba de aplicaciones............................................. 90
6.10 Cumplimiento normativo ...................................................................................91
6.10.1 Registros ............................................................................................. 91
6.10.2 Revisión de la política de seguridad y cumplimiento técnico ..... 92
6.10.3 Propiedad de los programas ............................................................ 92
6.10.4 Copiado de software adquirido y alquilado.................................... 92
6.11 Consideraciones de auditoria de sistemas .....................................................93
6.11.1 Protección de las herramientas de auditoria ................................. 93
6.11.2 Controles de auditoria de sistemas................................................. 93
6.12 Política de Comercio Electrónico .....................................................................94
6.12.1 Términos e información de comercio electrónico ......................... 95
6.12.1.1 Recolección de información y privacidad .................................. 95
6.12.1.2 Divulgación ..................................................................................... 95
6.12.2 Transferencia electrónica de fondos............................................... 96
6.13 Información almacenada en medios digitales y físicos ................................97
6.13.1 Etiquetado de la información............................................................ 97
6.13.2 Copiado de la información................................................................ 97
6.13.3 Distribución de la información.......................................................... 98
6.13.4 Almacenamiento de la información................................................. 98
6.13.5 Eliminación de la información .......................................................... 99
CAPITULO VII
PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL
7.1 Clasificación de información...........................................................................102
7.2 Seguridad de red y comunicaciones.............................................................103
7.3 Inventario de accesos a los sistemas...........................................................106
7.4 Adaptación de contratos con proveedores ..................................................107
7.5 Campaña de concientización de usuarios. ..................................................108
7.6 Verificación y adaptación de los sistemas del banco.................................109
7.7 Estandarización de la configuración del software base.............................110
7.8 Revisión, y adaptación de procedimientos complementarios...................111
7.9 Cronograma tentativo de implementación...................................................113
CONCLUSIONES Y RECOMENDACIONES ........................................................114
ANEXOS
A. Diseño de arquitectura de seguridad de red ................................................118
B. Circular n° g-105-2002 publicada por la Superintendencia de Banca y

Seguros (SBS) sobre riesgos de tecnología de información.....................121
C. Detalle: Diagnostico de la Situacion Actual de la Administración de los riesgos

de tecnologia de la informacion......................................................................132
BIBLIOGRAFÍA.. ..............................................................................................154
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
RESUMEN
La liberalización y la globalización de los servicios financieros, junto con la

creciente sofisticación de la tecnología financiera, están haciendo cada vez
más diversas y complejas las actividades de los bancos en términos de
Seguridad.
En otros tiempos la seguridad de la información era fácilmente administrable,

sólo bastaba con resguardar los documentos más importantes bajo llave y
mantener seguros a los empleados que poseen el conocimiento poniendo
guardias de seguridad. Hoy en día es más difícil.
Los sistemas electrónicos entraron en las oficinas y obligaron a los sistemas de

seguridad a evolucionar para mantenerse al día con la tecnología cambiante.
Luego, hace unos 5 años, los negocios, aún las empresas más pequeñas, se
conectaron a Internet (una amplia red pública con pocas reglas y sin
guardianes).
De manera similar a otro tipo de crímenes, el cuantificar los gastos y pérdidas

en seguridad de la información o crímenes cibernéticos es muy difícil. Se
tiende a minimizar los incidentes por motivos muchas veces justificables.
Por otro lado el objetivo fundamental de la seguridad no es proteger los

sistemas, sino reducir los riesgos y dar soporte a las operaciones del negocio.
La computadora más segura del mundo es aquella que está desconectada de
cualquier red, enterrada profundamente en algún oscuro desierto y rodeada de
guardias armados, pero es también la más inútil.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
La seguridad es sólo uno de los componentes de la administración de riesgos –

minimizar la exposición de la empresa y dar soporte a su capacidad de lograr
su misión. Para ser efectiva, la seguridad debe estar integrada a los procesos
del negocio y no delegada a algunas aplicaciones técnicas.
Los incidentes de seguridad más devastadores tienden más a ser internos que
externos. Muchos de estos incidentes involucran a alguien llevando a cabo una
actividad autorizada de un modo no autorizado. Aunque la tecnología tiene
cierta ingerencia en limitar esta clase de eventos internos, las verificaciones y
balances como parte de los procesos del negocio son mucho más efectivos.
Las computadoras no atacan a las empresas, lo hace la gente. Los empleados

bien capacitados tienen mayores oportunidades de detectar y prevenir los
incidentes de seguridad antes de que la empresa sufra algún daño. Pero para
que los empleados sean activos, se requiere que entiendan como reconocer,
responder e informar los problemas – lo cual constituye la piedra angular de la
empresa con conciencia de seguridad lo que nosotros llamamos “cultura de
seguridad”.
El presente trabajo describe como se define un Plan de Seguridad para una

entidad financiera, empieza por definir la estructura organizacional (roles y
funciones), después pasa a definir las políticas para finalmente concluir con un
plan de implementación o adecuación a las políticas anteriormente definidas.
ABSTRACT
The liberalization and globalization of the financial services with the increasing
sophistication of the financial technology are facing more complex banking
activities in terms of security.
Long time ago, security information was easily management, just it was enough
guard the more important documents under the keys and placed employees;
who has the knowledge; safe, just placing bodyguards; nowadays it is harder.
The electronics systems got in the office and made systems security evolved to
be updated with the technology changes. Then, 5 years ago, the business; even
the small companies were connected to Internet (a public network with few
rules and without security).
In a similar way of other kind of crimes, measure security IT expenses and lost
or cybernetic crimes are very difficult. People tend to minimize incidents for
justifying reasons.
By the other hand, the main objective of IT Security is not to protect the
systems; it is to reduce risks and to support the business operations. The most
secure computer in the world is which is disconnected form the network, placed
deeply in any dark desert and be surrounded by armed bodyguards, but it is
also the most useless.
Security is just one of the components of risk management - minimize the

exposition of the business and support the capacity of meet his mission. To be
effective, security must be integrated through the business process and not
delegate to some technical applications.
The more destructive security incidents tend mostly to be internal instead of

external. Many of these involve someone taking an authorized activity in a way
non-authorized. Although technology has some concern in limit these kind of
internal events, the verifications and balances as part of the business process
are more effective.
Computers does not attack enterprises, people do it. Employees with

knowledge have more opportunities to detect and prevent security incidents
before the enterprises suffer a damage. But to make employees more concern,
we need that they understand, reply and inform security incidents – which is the
most important thing inside the enterprise with security concern, which is called
“security culture”.
The present work describes how you can define a Security Plan for a financial
enterprise, begin defining the Organizational structure (roles and
responsibilities), then define the policies and finally ends with the
Implementation Plan which are the activities to meet the policies before
mentioned.
INTRODUCCIÓN
Los eventos mundiales recientes han generado un mayor sentido de urgencia

que antes con respecto a la necesidad de tener mayor seguridad - física y de
otro tipo. Las empresas pueden haber reforzado las medidas de seguridad,
pero nunca se sabe cuándo o cómo puede estar expuesta. A fin de brindar la
más completa protección empresarial, se requiere de un sistema exhaustivo de
seguridad. Es vital implementar un plan de seguridad. Sin embargo,
implementar un plan proactivo que indique cómo sobrevivir a los múltiples
escenarios también preparará a las empresas en el manejo de las amenazas
inesperadas que podría afrontar en el futuro.
La mayoría de las empresas ha invertido tiempo y dinero en la construcción de

una infraestructura para la tecnología de la información que soporte su
compañía, esa infraestructura de TI podría resultar ser una gran debilidad si se
ve comprometida. Para las organizaciones que funcionan en la era de la
informática interconectadas y con comunicación electrónica, las políticas de
información bien documentadas que se comunican, entienden e implementen
en toda la empresa, son herramientas comerciales esenciales en el entorno
actual para minimizar los riesgos de seguridad.
Imagine lo que sucedería si:
• La información esencial fuera robada, se perdiera, estuviera en peligro,

fuera alterada o borrada.
• Los sistemas de correo electrónico no funcionaran durante un día o más.

¿Cuánto costaría esta improductividad?
• Los clientes no pudieran enviar órdenes de compra a través de la red

durante un prolongado periodo de tiempo.
Prepararse para múltiples escenarios parece ser la tendencia creciente. En un

informe publicado por Giga Information Group con respecto a las tendencias de
TI estimadas para el año 2002, se espera que los ejecutivos corporativos se
interesen cada vez más en la prevención de desastres físicos, ciberterrorismo y
espionaje de libre competencia. Implementar una política de seguridad
completa le da valor intrínseco a su empresa. También mejorará la credibilidad
y reputación de la empresa y aumentará la confianza de los accionistas
principales, lo que le dará a la empresa una ventaja estratégica.
¿Cómo desarrollar una política de seguridad?
• Identifique y evalúe los activos: Qué activos deben protegerse y cómo

protegerlos de forma que permitan la prosperidad de la empresa.
• Identifique las amenazas: ¿Cuáles son las causas de los potenciales

problemas de seguridad? Considere la posibilidad de violaciones a la
seguridad y el impacto que tendrían si ocurrieran.
Estas amenazas son externas o internas:
o Amenazas externas: Se originan fuera de la organización y son

los virus, gusanos, caballos de Troya, intentos de ataques de los
hackers, retaliaciones de ex-empleados o espionaje industrial.
o Amenazas internas: Son las amenazas que provienen del

interior de la empresa y que pueden ser muy costosas porque el
infractor tiene mayor acceso y perspicacia para saber donde
reside la información sensible e importante. Las amenazas
internas también incluyen el uso indebido del acceso a Internet
por parte de los empleados, así como los problemas que podrían
ocasionar los empleados al enviar y revisar el material ofensivo a

través de Internet.
• Evalué los riesgos: Éste puede ser uno de los componentes más
desafiantes del desarrollo de una política de seguridad. Debe calcularse
la probabilidad de que ocurran ciertos sucesos y determinar cuáles tiene
el potencial para causar mucho daño. El costo puede ser más que
monetario - se debe asignar un valor a la pérdida de datos, la privacidad,
responsabilidad legal, atención pública indeseada, la pérdida de clientes
o de la confianza de los inversionistas y los costos asociados con las
soluciones para las violaciones a la seguridad.
• Asigne las responsabilidades: Seleccione un equipo de desarrollo que

ayude a identificar las amenazas potenciales en todas las áreas de la
empresa. Sería ideal la participación de un representante por cada
departamento de la compañía. Los principales integrantes del equipo
serían el administrador de redes, un asesor jurídico, un ejecutivo
superior y representantes de los departamentos de Recursos Humanos
y Relaciones Públicas.
• Establezca políticas de seguridad: Cree una política que apunte a los

documentos asociados; parámetros y procedimientos, normas, así como
los contratos de empleados. Estos documentos deben tener información
específica relacionada con las plataformas informáticas, las plataformas
tecnológicas, las responsabilidades del usuario y la estructura
organizacional. De esta forma, si se hacen cambios futuros, es más fácil
cambiar los documentos subyacentes que la política en sí misma.
• Implemente una política en toda la organización: La política que se

escoja debe establecer claramente las responsabilidades en cuanto a la
seguridad y reconocer quién es el propietario de los sistemas y datos
específicos. También puede requerir que todos los empleados firmen la

declaración; si la firman, debe comunicarse claramente. Éstas son las
tres partes esenciales de cumplimiento que debe incluir la política:
o Cumplimiento: Indique un procedimiento para garantizar el

cumplimiento y las consecuencias potenciales por incumplimiento.
o Funcionarios de seguridad: Nombre individuos que sean

directamente responsables de la seguridad de la información.
Asegúrese de que no es la misma persona que supervisa,
implementa o revisa la seguridad para que no haya conflicto de
intereses.
o Financiación: Asegúrese de que a cada departamento se le haya

asignado los fondos necesarios para poder cumplir
adecuadamente con la política de seguridad de la compañía.
• Administre el programa de seguridad: Establezca los procedimientos

internos para implementar estos requerimientos y hacer obligatorio su
cumplimiento.
Consideraciones importantes
A través del proceso de elaboración de una política de seguridad, es importante

asegurarse de que la política tenga las siguientes características:
• Se pueda implementar y hacer cumplir
• Sea concisa y fácil de entender
• Compense la protección con la productividad
Una vez la política se aprueba totalmente, debe hacerse asequible a todos los
empleados porque, en ultima instancia, ellos son responsables de su éxito. Las
políticas deben actualizarse anualmente (o mejor aún cada seis meses) para
reflejar los cambios en la organización o cultura.
Se debe mencionar que no debe haber dos políticas de seguridad iguales

puesto que cada empresa es diferente y los detalles de la política dependen de
las necesidades exclusivas de cada una. Sin embargo, usted puede comenzar
con un sistema general de políticas de seguridad y luego personalizarlo de
acuerdo con sus requerimientos específicos, limitaciones de financiación e
infraestructura existente.
Una política completa de seguridad de la información es un recurso valioso que

amerita la dedicación de tiempo y esfuerzo. La política que adopte su empresa
brinda una base sólida para respaldar el plan general de seguridad. Y una base
sólida sirve para respaldar una empresa sólida.
BANCO ABC
En el presente trabajo desarrollaremos el Plan de Seguridad para una entidad

financiera a la cual llamaremos el Banco ABC.
El Banco ABC es un banco de capital extranjero, tiene 35 agencias a nivel
nacional, ofrece todos los productos financieros conocidos, posee presencia en
Internet a través de su pagina web, es un banco mediano cuenta con 500
empleados y es regulado por la Superintendencia de Banca y Seguros.
A lo largo de todo el desarrollo del trabajo describiremos mas en detalle su

estructura interna, evaluaremos los riesgos a los cuales están expuestos, para
lo cual se realizara un diagnostico objetivo de la situación actual y como se
deben contrarrestar, para finalmente terminar diseñando el Plan de Seguridad y
las principales actividades que deben ejecutarse para la implementación de las

políticas de seguridad.
A continuación describiremos brevemente la situación actual de los aspectos

más importantes en la elaboración del Plan de Seguridad; como son la
organización, el propio Plan y la adecuación al Plan.
A) Organización de seguridad de la información
Actualmente el Banco cuenta con un área de seguridad informática

recientemente constituida, los roles y responsabilidades del área no han sido
formalizados y las tareas desempeñadas por el área se limitan por ahora al
control de accesos de la mayoría de sistemas del Banco. Algunas tareas
correspondientes a la administración de seguridad son desarrolladas por el
área de sistemas como la administración de red, firewalls y bases de datos,
otras tareas son realizadas directamente por las áreas usuarias, y finalmente
otras responsabilidades como la elaboración de las políticas y normas de
seguridad, concientización de los usuarios, monitoreo de incidentes de
seguridad, etc., no han sido asignadas formalmente a ninguna de las áreas.
En este sentido, en el presente trabajo detallamos los roles y responsabilidades
relacionadas a la administración de seguridad de la información que involucra
no solamente a miembros de las áreas de seguridad informática y sistemas
como administradores de seguridad de información y custodios de información,
sino a los gerentes y jefes de las unidades de negocio como propietarios de
información, y a los usuarios en general.
B) Diseño del plan de seguridad de la información
Para el diseño del Plan de seguridad de la información se desarrollaran las

siguientes etapas:
- Evaluación de riesgos, amenazas y vulnerabilidades
Para la definición del alcance de las políticas y estándares y con el propósito de

identificar las implicancias de seguridad del uso y estrategia de tecnología,
amenazas y vulnerabilidades y nuevas iniciativas del negocio, se desarrollarán
un conjunto de entrevistas con las Gerencias del Banco, personal del área de
sistemas, auditoria interna y el área de seguridad informática. Producto de la
consolidación de la información obtenida en dichas entrevistas se elaborará
unas matrices que se presentarán en el capítulo N° V del presente documento.
- Políticas de seguridad de información.
Con el objetivo de contar con una guía para la protección de información del
Banco, se elaborarán las políticas y estándares de seguridad de la información,
tomando en cuenta el estándar de seguridad de información ISO 17799, los
requerimientos de la Circular N° G-105-2002 publicada por la Superintendencia
de Banca y Seguros (SBS) sobre Riesgos de Tecnología de Información y las
normas establecidas internamente por el Banco.
- Diseño de arquitectura de seguridad de red.
Con el objetivo de controlar las conexiones de la red del Banco con

entidades externas y monitorear la actividad realizada a través de dichas
conexiones, se elaborará una propuesta de arquitectura de red la cual
incluye dispositivos de monitoreo de intrusos y herramientas de inspección
de contenido.
C) Plan de Implementación
De la identificación de riesgos amenazas y vulnerabilidades relacionadas

con la seguridad de la información del Banco, se lograron identificar las
actividades más importantes a ser realizadas por el Banco con el propósito
de alinear las medidas de seguridad implementadas para proteger la
información del Banco, con las Políticas de seguridad y estándares
elaborados.
Este plan de alto nivel incluye una descripción de la actividad a ser

realizada, las etapas incluidas en su desarrollo y el tiempo estimado de
ejecución.
El Autor
Capítulo I
OBJETIVOS Y ALCANCES
1.1 Objetivos
El objetivo del presente trabajo es realizar un diagnostico de la situación actual

en cuanto a la seguridad de información que el Banco ABC actualmente
administra y diseñar un Plan de Seguridad de la Información (PSI) que permita
desarrollar operaciones seguras basadas en políticas y estándares claros y
conocidos por todo el personal del Banco. Adicionalmente, el presente trabajo
contempla la definición de la estrategia y los proyectos más importantes que
deben ser llevados a cabo para culminar con el Plan de Implementación.
La reglamentación que elaboró la SBS con respecto a los riesgos de

tecnología forma parte de un proceso de controles que se irán implementando,
tal como lo muestra el gráfico siguiente, los primeros controles fueron
enfocados hacia los riesgos propios del negocio (financieros y de capital), y él
ultima en ser reglamentado es el que nos aboca hoy, que es el diseño de un
Plan de Seguridad Informática (PSI) para esta entidad financiera.
Gráfico de Evolución de las regulaciones de la Superintendencia de

Banca y Seguros
Riesgos Riesgos de Riesgos de

Financieros Negocios Operaciones
• Estructura • Riesgo de • Procesos

• Rentabilidad Política • Tecnología
• Adec. Capital • Riesgo País • Personas
• De Crédito • Riesgo • Eventos
• De liquidez Sistémico
• De Tasa de
Interés
• Riesgo
• De Mercado
Político
• De Moneda
• Riesgo de
Crisis
Bancarias
• Otros
1. Plan de Seguridad Informática PSI
Capítulo II
METODOLOGÍA Y PROCEDIMIENTOS UTILIZADOS
2.1 Metodología ESA

La estrategia empleada para la planificación y desarrollo del presente trabajo,
está basada en la metodología Enterprise Security Arquitecture (ESA) para el
diseño de un modelo de seguridad, como marco general establece el diseño de
políticas, normas y procedimientos de seguridad para el posterior desarrollo de
controles sobre la información de la empresa.
a E n t r e n a m i e nyt oConcientización
Visión y Estrategia de Seguridad
Gerencia
Iniciativas & P r o c e s o s Amenazas

de Negocios
Estrategía d e Evaluación de Riesgo
Tecnología & Uso & Vulnerabilidad
o la Alta
Política
C o m p r o m i sde
Modelo de Seguridad
Arquitectura de Seguridad
& Estándares Tecnicos
P r o g r a m de
Guías y Procedimientos
Adminitrativos y de Usuario Final
Procesos de Procesos de Procesos de

Ejecución Monitoreo Recuperacíon
E s t r u c t u r a de Administración de S e g u r i d a d de I n f o r m a c i ó n
En el desarrollo del trabajo se utilizaron los siguientes procedimientos de

trabajo:
1. Entrevistas para la identificación de riesgos amenazas y vulnerabilidades de

la organización con el siguiente personal de la empresa:
- Gerente de División de Negocios.

- Gerente de División de Riesgos
- Gerente de División de Administración y Operaciones
- Gerente de División de Finanzas
- Gerente de División de Negocios Internacionales
- Gerente de Negocios Internacionales
- Gerente de Asesoría Legal
- Auditor de Sistemas
- Gerente de Sistemas
- Gerente Adjunto de Seguridad Informática
- Asistente de Seguridad Informática
2. Definición y discusión de la organización del área de seguridad informática.
3. Elaboración de las políticas de seguridad de información del Banco

tomando como referencia el estándar para seguridad de información ISO
17799, los requerimientos de la Circular N° G-105-2002 publicada por la
Superintendencia de Banca y Seguros (SBS) sobre Riesgos de Tecnología
de Información y las normas internas del Banco referidas a la seguridad de
información.
4. Evaluación de la arquitectura de red actual y diseño de una propuesta de

arquitectura de red.
Capítulo III
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL DE LA ADMINISTRACIÓN DE LA

SEGURIDAD DE INFORMACIÓN
3.1 Evaluación
Efectuada nuestra revisión de la administración de riesgos de tecnología de
información del Banco hemos observado que el Plan de Seguridad de
Información (PSI) no ha sido desarrollado. Si bien hemos observado la
existencia de normas, procedimientos y controles que cubren distintos aspectos
de la seguridad de la información, se carece en general de una metodología,
guía o marco de trabajo que ayude a la identificación de riesgos y
determinación de controles para mitigar los mismos.
Dentro de los distintos aspectos a considerar en la seguridad de la Información,

se ha podido observar que se carece de Políticas de seguridad de la
Información y de una Clasificación de Seguridad de los activos de Información
del Banco. Cabe mencionar que se ha observado la existencia de controles, en
el caso de la Seguridad Lógica, sobre los accesos a los sistemas de
información así como procedimientos establecidos para el otorgamiento de
dichos accesos. De igual manera se ha observado controles establecidos con
respecto a la seguridad física y de personal.
Sin embargo, estos controles no obedecen a una definición previa de una

Política de Seguridad ni de una evaluación de riesgos de seguridad de la
información a nivel de todo el Banco. Los controles establecidos a la fecha son
producto de evaluaciones particulares efectuadas por las áreas involucradas o
bajo cuyo ámbito de responsabilidad recae cierto aspecto de la seguridad.
3.2 Alcances
El alcance del diagnóstico de la situación de administración del riesgo de
Tecnología de Información, en adelante TI, comprende la revisión de las
siguientes funciones al interior del área de sistemas:
• Administración del área de Tecnología de Información
- Estructura organizacional
- Función de seguridad a dedicación exclusiva
- Políticas y procedimientos para administrar los riesgos de TI
- Subcontratación de recursos.
• Actividades de desarrollo y mantenimiento de sistemas informáticos
• Seguridad de la Información
- Administración de la Seguridad de la Información.
- Aspectos de la seguridad de la información (lógica, personal y física y
ambiental)
- Inventario periódico de activos asociados a TI
• Operaciones computarizadas
- Administración de las operaciones y comunicaciones
- Procedimientos de respaldo
- Planeamiento para la continuidad de negocios
- Prueba del plan de continuidad de negocios
Asimismo, comprende la revisión de los siguientes aspectos:

• Cumplimiento normativo
• Privacidad de la información
• Auditoria de sistemas
El siguiente cuadro muestra el grado de cumplimiento en los aspectos

relacionados a la adecuación del Plan de Seguridad:
Grado de
Aspectos Evaluados
Cumplimiento
1 Estructura de la seguridad de la Información
2 Plan de seguridad de la Información
2.1 Políticas, estándares y procedimientos de seguridad.
2.1.1. Seguridad Lógica
2.1.2 Seguridad de Personal
2.1.3 Seguridad Física y Ambiental
2.1.4 Clasificación de Seguridad
3 Administración de las operaciones y comunicaciones
4 Desarrollo y mantenimiento de sistemas informáticos
5 Procedimientos de respaldo
6 Plan de continuidad de negocios
6.1 Planeamiento para la Continuidad de Negocios
Criterios para el diseño e implementación del Plan de

6.2
continuidad de Negocios
6.3 Prueba del Plan de Continuidad de Negocios
7 Subcontratación
8 Cumplimiento normativo
9 Privacidad de la información
10 Auditoria de Sistemas
Una descripción mas detallada de los aspectos evaluados pueden ser

encontrados en el Anexo C.
Capítulo IV
SEGURIDAD DE LA INFORMACIÓN – ROLES Y ESTRUCTURA

ORGANIZACIONAL
4.1 Situación actual

La administración de seguridad de información se encuentra distribuida
principalmente entre las áreas de sistemas y el área de seguridad informática.
En algunos casos, la administración de accesos es realizada por la jefatura o
gerencia del área que utiliza la aplicación.
Las labores de seguridad realizadas actualmente por el área de seguridad

informática son las siguientes:
- Creación y eliminación de usuarios
- Verificación y asignación de perfiles en las aplicaciones
Las labores de seguridad realizadas por el área de sistemas son las siguientes:
- Control de red
- Administración del firewall
- Administración de accesos a bases de datos
Las funciones de desarrollo y mantenimiento de políticas y estándares de

seguridad no están definidas dentro de los roles de la organización.
Cabe mencionar que el acceso con privilegio administrativo al computador
central es restringido, el área de seguridad informática define una contraseña,
la cual es enviada a la oficina de seguridad (Gerencia de Administración) en un
sobre cerrado, en caso de necesitarse acceso con dicho privilegio, la
contraseña puede ser obtenida por el gerente de sistemas o el jefe de soporte
técnico y producción, solicitando el sobre a la oficina de seguridad. Luego

deben realizar un informe sobre la actividad realizada en el computador central.
4.2 ROLES Y RESPONSABILIDADES DE LA ESTRUCTURA

ORGANIZACIONAL DE SEGURIDAD DE INFORMACIÓN
El área organizacional encargada de la administración de seguridad de
información debe soportar los objetivos de seguridad de información del Banco.
Dentro de sus responsabilidades se encuentran la gestión del plan de
seguridad de información así como la coordinación de esfuerzos entre el
personal de sistemas y los empleados de las áreas de negocios, siendo éstos
últimos los responsables de la información que utilizan. Asimismo, es
responsable de promover la seguridad de información a lo largo de la
organización con el fin de incluirla en el planeamiento y ejecución de los
objetivos del negocio.
Es importante mencionar que las responsabilidades referentes a la seguridad

de información son distribuidas dentro de toda la organización y no son de
entera responsabilidad del área de seguridad informática, en ese sentido
existen roles adicionales que recaen en los propietarios de la información, los
custodios de información y el área de auditoria interna.
Los propietarios de la información deben verificar la integridad de su
información y velar por que se mantenga la disponibilidad y confidencialidad de
la misma.
Los custodios de información tienen la responsabilidad de monitorear el

cumplimiento de las actividades encargadas y el área de auditoria interna debe
monitorear el cumplimiento de la política de seguridad y el cumplimiento
adecuado de los procesos definidos para mantener la seguridad de
información.
A continuación presentamos los roles y responsabilidades relacionadas a la

administración de seguridad de información:
Área de Seguridad Informática.

El área organizacional encargada de la administración de seguridad de
información tiene como responsabilidades:
• Establecer y documentar las responsabilidades de la organización en
cuanto a seguridad de información.
• Mantener la política y estándares de seguridad de información de la
organización.
• Identificar objetivos de seguridad y estándares del Banco (prevención de
virus, uso de herramientas de monitoreo, etc.)
• Definir metodologías y procesos relacionados a la seguridad de información.
• Comunicar aspectos básicos de seguridad de información a los empleados
del Banco. Esto incluye un programa de concientización para comunicar
aspectos básicos de seguridad de información y de las políticas del Banco.
• Desarrollar controles para las tecnologías que utiliza la organización. Esto
incluye el monitoreo de vulnerabilidades documentadas por los
proveedores.
• Monitorear el cumplimiento de la política de seguridad del Banco.
• Controlar e investigar incidentes de seguridad o violaciones de seguridad.
• Realizar una evaluación periódica de vulnerabilidades de los sistemas que
conforman la red de datos del Banco.
• Evaluar aspectos de seguridad de productos de tecnología, sistemas o
aplicaciones utilizados en el Banco.
• Asistir a las gerencias de división en la evaluación de seguridad de las
iniciativas del negocio.
• Verificar que cada activo de información del Banco haya sido asignado a un
“propietario” el cual debe definir los requerimientos de seguridad como
políticas de protección, perfiles de acceso, respuesta ante incidentes y sea

responsable final del mismo.
• Administrar un programa de clasificación de activos de información,
incluyendo la identificación de los propietarios de las aplicaciones y datos.
• Coordinación de todas las funciones relacionadas a seguridad, como
seguridad física, seguridad de personal y seguridad de información
almacenada en medios no electrónicos.
• Desarrollar y administrar el presupuesto de seguridad de información.
• Reportar periódicamente a la gerencia de Administración y Operaciones.
• Administración de accesos a las principales aplicaciones del Banco.
• Elaborar y mantener un registro con la relación de los accesos de los
usuarios sobre los sistemas y aplicaciones del Banco y realizar revisiones
periódicas de la configuración de dichos accesos en los sistemas.
• Controlar aspectos de seguridad en el intercambio de información con
entidades externas.
• Monitorear la aplicación de los controles de seguridad física de los
principales activos de información.
Custodio de Información:
Es el responsable de la administración diaria de la seguridad en los sistemas
de información y el monitoreo del cumplimiento de las políticas de seguridad en
los sistemas que se encuentran bajo su administración. Sus responsabilidades
son:
• Administrar accesos a nivel de red (sistema operativo).
• Administrar accesos a nivel de bases de datos.
• Administrar los accesos a archivos físicos de información almacenada en
medios magnéticos (diskettes, cintas), ópticos (cd´s) o impresa.
• Implementar controles definidos para los sistemas de información,
incluyendo investigación e implementación de actualizaciones de seguridad
de los sistemas (service packs, fixes, etc.) en coordinación con el área de

seguridad informática.
• Desarrollar procedimientos de autorización y autenticación.
• Monitorear el cumplimiento de la política y procedimientos de seguridad en
los activos de información que custodia.
• Investigar brechas e incidentes de seguridad.
• Entrenar a los empleados en aspectos de seguridad de información en
nuevas tecnologías o sistemas implantados bajo su custodia.
• Asistir y administrar los procedimientos de backup, recuperación y plan de
continuidad de sistemas.
Usuario:
Las responsabilidades de los usuarios finales, es decir, aquellas personas que
utilizan información del Banco como parte de su trabajo diario están definidas a
continuación:
• Mantener la confidencialidad de las contraseñas de aplicaciones y sistemas.
• Reportar supuestas violaciones de la seguridad de información.
• Asegurarse de ingresar información adecuada a los sistemas.
• Adecuarse a las políticas de seguridad del Banco.
• Utilizar la información del Banco únicamente para los propósitos
autorizados.
Propietario de Información:
Los propietarios de información son los gerentes y jefes de las unidades de
negocio, los cuales, son responsables de la información que se genera y se
utiliza en las operaciones de su unidad. Las áreas de negocios deben ser
conscientes de los riesgos de tal forma que sea posible tomar decisiones para
disminuir los mismos.
Entre las responsabilidades de los propietarios de información se tienen:
• Asignar los niveles iniciales de clasificación de información.
• Revisión periódica de la clasificación de la información con el propósito de

verificar que cumpla con los requerimientos del negocio.
• Asegurar que los controles de seguridad aplicados sean consistentes con la
clasificación realizada.
• Determinar los criterios y niveles de acceso a la información.
• Revisar periódicamente los niveles de acceso a los sistemas a su cargo.
• Determinar los requerimientos de copias de respaldo para la información
que les pertenece.
• Tomar las acciones adecuadas en caso de violaciones de seguridad.
• Verificar periódicamente la integridad y coherencia de la información
producto de los procesos de su área.
Auditoria Interna:
El personal de auditoria interna es responsable de monitorear el cumplimiento
de los estándares y guías definidas en las políticas internas. Una estrecha
relación del área de auditoria interna con el área de seguridad informática es
crítica para la protección de los activos de información. Por lo tanto dentro del
plan anual de evaluación del área de auditoria interna se debe incluir la
evaluación periódica de los controles de seguridad de información definidos por
el Banco.
Auditoria interna debe colaborar con el área de seguridad informática en la
identificación de amenazas y vulnerabilidades referentes a la seguridad de
información del Banco.
4.3 ORGANIZACIÓN DEL AREA DE SEGURIDAD INFORMÁTICA

PROPUESTA
Dado el volumen de operaciones y la criticidad que presenta la información
para el negocio del Banco y tomando en cuenta las mejores prácticas de la
industria, es necesaria la existencia de un área organizacional que administre
la seguridad informática. Como requisito indispensable, esta área debe ser
independiente de la Gerencia de Sistemas, la cual en muchos casos es la

ejecutora de las normas y medidas de seguridad elaboradas.
Este proceso de independización de la administración de la seguridad del área

de sistemas ya fue iniciado por el Banco al crear el área de seguridad
informática, la cual, reporta a la Gerencia de división de Administración y
Operaciones.
Considerando la falta de recursos con el perfil requerido que puedan ser

rápidamente reasignados, el proceso de entendimiento y asimilación de las
responsabilidades, los roles definidos correspondientes al área de seguridad
informática, y la necesidad de implementar un esquema adecuado de
seguridad, proponemos definir una estructura organizacional de seguridad
transitoria en la cual se creará un comité de coordinación de seguridad de la
información para la definición de los objetivos del área y el monitoreo de las
actividades de la misma.
El comité de coordinación de seguridad de la información, estará conformado

por las siguientes personas:
• Gerente de división de Administración y Operaciones (presidente del
comité).
• Jefe del área de seguridad informática (responsable del comité).
• Gerente de Sistemas.
• Auditor de Sistemas.
• Jefe del departamento de Riesgo Operativo y Tecnológico.
Gerente de
Comité de Administración y
Coordinación de Operaciones
Seguridad de la
Információn
Seguridad
Informática
Contraloría Recursos
Sistemas Operaciones Administración
General Humanos
Fig. 1: Estructura organizacional transitoria propuesta para la

administración de la seguridad de información.
Gerente de División de
Administración y
Operaciones
(Presidente del Comité)
Jefe de
Jefe de Seguridad
Gerente de Departamente de Auditor de
Informática
Sistemas Riesgo Operativo y Sistemas
(Responsable)
Tecnológico
Fig. 2: Organización del Comité de coordinación de Seguridad de la

Información.
Este comité, determinará el gradual traslado de las responsabilidades de

seguridad al área de seguridad informática, monitoreará las labores realizadas
por el área, colaborando a su vez con el entendimiento de la plataforma
tecnológica, los procesos del negocio del Banco y la planificación inicial de
actividades que desarrollará el área a corto plazo.
El comité de coordinación deberá reunirse con una frecuencia quincenal, con la

posibilidad de convocar reuniones de emergencia en caso de existir alguna
necesidad que lo amerite.
Es importante resaltar que luego que el área de seguridad informática haya

logrado una asimilación de sus funciones, un entendimiento de los procesos del
negocio del Banco y una adecuada interrelación con las gerencias de las
distintas divisiones del Banco, el jefe de área de seguridad informática debe
reportar directamente al Gerente de división de Administración y Operaciones,
convirtiéndose el comité de coordinación de seguridad informática, en un ente
consultivo, dejando la labor de monitoreo a la gerencia de división.
Capítulo V
EVALUACIÓN DE RIESGOS, AMENAZAS Y VULNERABILIDADES
Con el propósito de obtener un adecuado entendimiento de la implicancia que

tiene el uso de tecnología, las amenazas y vulnerabilidades, así como las
iniciativas del negocio sobre la seguridad de la información del Banco, se
efectuaron entrevistas, de las cuales se obtuvo las siguientes tres matrices, que
nos muestran la implicancia en seguridad que presentan cada uno de los
factores mencionados anteriormente, así como el estándar o medida a aplicar
para minimizar los riesgos correspondientes.
5.1 Matriz de uso y estrategia de tecnología

Esta matriz muestra la tecnología utilizada actualmente por el Banco y los
cambios estratégicos planificados que impactan en ella, las implicancias de
seguridad asociadas al uso de tecnología y los estándares o medidas
propuestas para minimizar los riesgos generados por la tecnología empleada.
Estándar o medida de
Tecnología Implicancia de seguridad
seguridad a aplicar
Actual
Windows NT, Se debe contar con controles Estándar de mejores
Windows 2000 de acceso adecuados a la data prácticas de seguridad para
y sistemas soportados por el Windows NT
Sistema Operativo. Estándar de mejores
prácticas de seguridad para
Windows 2000.
seguridad a aplicar
OS/400 Se debe contar con controles Estándar de mejores
de acceso adecuados a la data prácticas de seguridad para
y sistemas soportados por el OS/400.
computador Central. Los
controles que posee este
servidor deben ser lo más
restrictivos posibles pues es el
blanco potencial de la mayoría
de intentos de acceso no
autorizado.
Base de datos Se debe contar con controles Estándar de mejores
SQL Server de acceso a información de los prácticas de seguridad para
sistemas que soportan el bases de datos SQL Server.
negocio de la Compañía.
Banca electrónica • El servidor Web se • Estándares de
a través de encuentra en calidad de encripción de
Internet. "hosting" en Telefónica información transmitida.
Data, se debe asegurar • Cláusulas de
que el equipo cuente con confidencialidad y
las medidas de seguridad delimitación de
necesarias, tanto físicas responsabilidades en
como lógicas. contratos con
• La transmisión de los datos proveedores.
es realizada a través de un • Acuerdos de nivel de
medio público (Internet), se servicios con
debe contar con medidas proveedores, en los
adecuadas para mantener cuales se detalle el
seguridad a aplicar
la confidencialidad de la porcentaje mínimo de
información (encripción de disponibilidad del
la data). sistema.
• El servidor Web que es • Evaluación
accedido por los clientes independiente de la
puede ser blanco potencial seguridad del servidor
de actividad vandálica con que brinda el servicio, o
el propósito de afectar la acreditación de la misma
imagen del Banco. por parte del proveedor.
• La disponibilidad del
sistema es un factor clave
para el éxito del servicio.
Banca telefónica • Transmisión de información • Establecimiento de
por medios públicos sin límites adecuados a las
posibilidad de protección operaciones realizadas
adicional. por vía telefónica.
• Imposibilidad de mantener • Posibilidad de registrar
la confidencialidad de las el número telefónico
operaciones con el origen de la llamada.
proveedor del servicio • Controles en los
telefónico. sistemas de grabación
• Posibilidad de obtención de de llamadas telefónica.
números de tarjeta y • Evaluar la posibilidad de
contraseñas del canal de notificar al cliente de
transmisión telefónico. manera automática e
inmediata luego de
realizada la operación.
seguridad a aplicar
Sistema Central • El sistema central es el • Estándar de mejores
Core Bancario sistema que soporta gran prácticas de seguridad
parte de los procesos del para OS/400.
negocio del Banco, por lo • Revisión periódica de los
tanto, todo acceso no accesos otorgados a los
autorizado al servidor usuarios del sistema.
representa un riesgo • Monitoreo periódico de
potencial para el negocio. la actividad realizada en
el servidor.
• Verificación del control
dual de aprobación en
transacciones sensibles.
MIS (Management • El acceso a repositorios de • Estándares de seguridad
Information información sensible debe de Windows 2000, bases
System) ser restringido de datos.
adecuadamente. • Adecuados controles de
acceso y otorgamiento
de perfiles a la
aplicación.
Desarrollo de • Los proyectos de desarrollo • Estándar de mejores
aplicaciones para en periodos muy cortos, prácticas de seguridad
las unidades de comprenden un acelerado para Windows 2000,
negocio, en desarrollo de sistemas; la OS/400.
periodos muy aplicación de medidas de • Metodología para el
cortos. seguridad, debería desarrollo de
encontrarse incluida en el aplicaciones.
desarrollo del proyecto. • Procedimientos de
seguridad a aplicar
• El tiempo de pase a control de cambios.
producción de un nuevo • Evaluación de
sistema que soportará un requerimientos de
producto estratégico, es seguridad de los
muy importante para el sistemas antes de su
éxito del negocio, lo cual pase a producción.
puede originar que no se • Estándar de mejores
tomen las medidas de prácticas de seguridad
seguridad necesarias antes para aplicaciones
del pase a producción de distribuidas.
los nuevos sistemas.
Computadoras • Se debe contar con • Concientización y
personales. adecuados controles de entrenamiento de los
acceso a información usuarios en temas de
existente en computadoras seguridad de la
personales. información.
• Se requieren adecuados • Implementación de
controles de accesos a la mayores controles de
información de los sistemas seguridad para
desde las computadoras computadoras
personales de usuarios. personales.
• La existencia de diversos • Finalización del proyecto
sistemas operativos en el de migración de la
parque de computadores plataforma de
personales, tales como, computadoras
Windows 95, Windows 98, personales al sistema
Windows NT, Windows operativo Windows 2000
seguridad a aplicar
2000 Professional, y Windows XP.
Windows XP, impide • Estándares de mejores
estandarizar la prácticas de seguridad
configuración de los para estaciones de
sistemas. trabajo.
• Debe existir un control • Actualización periódica
sobre los dispositivos que de inventarios del
pudieran facilitar fuga de software instalado.
información (disqueteras, • Monitoreo periódico de
grabadoras de cd's, carpetas compartidas.
impresoras personales, • Monitoreo de actividad
etc.) de los usuarios,
• Se debe controlar y sistemas de detección
monitorear las aplicaciones de intrusos.
y sistemas instalados en
las PC´s
Correo electrónico • Posibilidad de • Se debe contar con
interceptación no estándares de encripción
autorizada de mensajes de para los mensajes de
correo electrónico. correo electrónico que
• Riesgo de acceso no contengan información
autorizado a información confidencial.
del servidor. • Estándares de mejores
• Posibilidad de utilización de prácticas de seguridad
recursos por parte de para Windows NT y
personas no autorizadas, Lotus Notes.
para enviar correo • Configuración de anti-
seguridad a aplicar
electrónico a terceros (relay relay.
no autorizado). • Implementación de un
• Posibilidad de recepción de sistema de seguridad del
correo inservible (SPAM). contenido SMTP.
Conexión a • Riesgos de accesos no • Políticas de seguridad.
Internet y redes autorizados desde Internet • Estándares de mejores
públicas / Firewall. y redes externas hacia los prácticas de seguridad
sistemas del Banco. para servidores
• Adecuado uso del acceso a Windows NT, Windows
Internet por parte de los 2000, correo electrónico,
usuarios. servidores Web y
• Los dispositivos que equipos de
permiten controlar accesos, comunicaciones.
tales como, firewalls, • Delimitación de
servidores proxy, etc. responsabilidades
Deben contar con medidas referentes a la seguridad
de seguridad adecuadas de información en
para evitar su manipulación contratos con
por personas no proveedores.
autorizadas. • Mejores prácticas de
• Riesgo de acceso no seguridad para
autorizado desde socios de configuración de
negocios hacia los Firewalls.
sistemas de La Compañía. • Diseño e
implementación de una
arquitectura de
seguridad de
seguridad a aplicar
red.Utilización de
sistemas de detección
de intrusos.
• Especificación de
acuerdos de nivel de
servicio con el
proveedor.
• Controles y filtros para el
acceso a Internet.
En Proyecto
Cambios en la • Los cambios en la • Elaboración de una
infraestructura de infraestructura de red arquitectura de red con
red. pueden generar nuevas medidas de seguridad
puertas de entrada a adecuadas.
intrusos si los cambios no • Establecer controles de
son realizados con una acceso adecuados a la
adecuada planificación. configuración de los
• Una falla en la equipos de
configuración de equipos comunicaciones.
de comunicaciones puede • Plan de migración de
generar falta de infraestructura de red.
disponibilidad de sistemas.
• Un diseño de red
inadecuado puede facilitar
el ingreso no autorizado a
la red de datos.
Software de Riesgo de acceso no • Estándar de seguridad
seguridad a aplicar
administración autorizado a las consolas de para Windows NT
remota de PC´s y administración y agentes de • Estándar de seguridad
servidores. administración remota. para Windows 2000
• Estándar de seguridad
para Windows XP
• Controles de acceso
adecuados a las
consolas y agentes de
administración remota.
• Establecimiento de
adecuados
procedimientos para
tomar control remoto de
PC´s o servidores.
• Adecuada configuración
del registro (log) de
actividad realizada
mediante administración
remota.
Migración de • Posibilidad de error en el • Estándares de seguridad
servidores traslado de los usuarios y para Windows 2000.
Windows NT permisos de acceso a los • Procedimientos de
Server a Windows directorios de los nuevos control de cambios.
2000 Server. servidores. • Plan de migración a
• Posibilidad de existencia de Windows 2000.
vulnerabilidades no • Políticas de seguridad.
conocidas anteriormente.
seguridad a aplicar
Implantación de • Información sensible • Estándares de
Datawarehouse. almacenada en un Seguridad para Windows
repositorio centralizado, 2000.
requiere de controles de • Estándar de seguridad
acceso adecuados. en bases de datos SQL.
• La disponibilidad del • Plan de implantación de
sistema debe ser alta para Datawarehouse.
no afectar las operaciones • Procedimientos para
que soporta. otorgamiento de perfiles.
• Políticas de seguridad.
5.2 Matriz de Evaluación de Amenazas y Vulnerabilidades

En esta matriz se muestra los riesgos y amenazas identificadas, las
implicancias de seguridad y los estándares o medidas de seguridad necesarias
para mitigar dicha amenaza.
Amenaza / Estándar o medida de

Implicancia de Seguridad
Vulnerabilidad seguridad a aplicar
Riesgos/ Amenazas
Interés en obtener La existencia de información • Estándares de seguridad
información atractiva para competidores de para servidores
estratégica del negocio tales como Windows 2000,
Banco, por parte información de clientes e Windows NT y OS/400.
de competidores información de marketing • Control de acceso a las
de negocio. implica la aplicación de aplicaciones del Banco.
controles adecuados para el Revisión y depuración

acceso a información. periódica de los accesos
otorgados.
• Restricciones en el
manejo de información
enviada por correo
electrónico hacia redes
externas, extraída en
disquetes o cd´s e
información impresa.
• Verificación de la
información impresa en
reportes, evitar mostrar
información innecesaria
en ellos.
• Políticas de seguridad.
Interés en obtener Debido al volumen de dinero • Estándares de seguridad
beneficios que es administrado por es para Windows NT,
económicos administrado por una entidad Windows 2000, OS/400
mediante actividad financiera, la amenaza de y bases de datos SQL.
fraudulenta. intento de fraude es una • Controles de accesos a
posibilidad muy tentadora los menús de las
tanto para personal interno del aplicaciones.
Banco, así como para personal • Revisiones periódicas de
externo. los niveles de accesos
de los usuarios.
• Evaluación periódica de
la integridad de la

información por parte del
propietario de la misma.
• Revisiones periódicas de
los registros (logs) de los
sistemas y operaciones
realizadas.
• Mejores prácticas para
configuración de
firewalls, servidores y
equipos de
comunicaciones.
Actividad • La actividad desarrollada • Estándares de seguridad
vandálica por “hackers” o “crackers” para servidores
realizada por de sistemas, puede afectar Windows 2000.
“hackers” o la disponibilidad, integridad • Estándares de seguridad
“crackers” y confidencialidad de la para servidores
información del negocio. Windows NT.
Estos actos vandálicos • Delimitación de
pueden ser desarrollados responsabilidades y
por personal interno o sanciones en los
externo al Banco. contratos con
• Adicionalmente si dicha proveedores de servicios
actividad es realizada en calidad de “hosting”.
contra equipos que • Verificación de
proveen servicios a los evaluaciones periódicas
clientes (página Web del o certificaciones de la
banco) la imagen y seguridad de los

reputación del Banco se sistemas en calidad de
podría ver afectada en un “hosting”.
grado muy importante. • Concientización y
compromiso formal de
los usuarios en temas
relacionados a la
seguridad de
información.
• Políticas de Seguridad.
Pérdida de • El riesgo de pérdida de • Adecuada arquitectura e
información información por virus implementación del
producto de informático es alto si no se sistema antivirus.
infección por virus administra adecuadamente • Verificación periódica de
informático. el sistema Antivirus y los la actualización del
usuarios no han sido antivirus de
concientizados en computadoras
seguridad de información personales y servidores.
• Generación periódica de
reportes de virus
detectados y
actualización de
antivirus.
Fuga de • Los accesos otorgados al • Control adecuado de los
información a personal temporal deben accesos otorgados.
través del personal ser controlados • Depuración periódica de
que ingresa de adecuadamente, asimismo accesos otorgados a los
manera temporal la actividad realizada por sistemas.

en sustitución de los mismos en los sistemas • Restricciones en acceso
empleados en debe ser periódicamente a correo electrónico y
vacaciones. monitoreada. transferencia de
• El personal temporal podría archivos hacia Internet.
realizar actividad no • Adecuada configuración
autorizada, la cual podría y revisión periódica de
ser detectada cuando haya los registros (logs) de
finalizado sus labores en el aplicaciones y sistema
Banco. operativo.
Vulnerabilidades
No se cuenta con El control sobre la actividad de • Se debe contar con un
un inventario de los usuarios en los sistemas es inventario de los
perfiles de acceso llevado a cabo en muchos accesos que poseen los
a las aplicaciones. casos, mediante perfiles de usuarios sobre las
usuarios controlando así los aplicaciones.
privilegios de acceso a los • Revisiones periódicas de
sistemas. los perfiles y accesos de
los usuarios por parte
del propietario de la
información.
Exceso de La necesidad de utilizar • Uniformizar dentro de lo
contraseñas contraseñas distintas para posible la estructura de
manejadas por los cada sistema o aplicación del las contraseñas
usuarios. Banco, puede afectar la empleadas y sus fechas
seguridad en la medida que el de renovación.
usuario no sea capaz de • Implementar un sistema

retener en la memoria, la de Servicio de directorio,
relación de nombres de el cual permita al usuario
usuario y contraseñas identificarse en él, y
utilizadas en todos los mediante un proceso
sistemas. La necesidad de automático, éste lo
anotar las contraseñas por identifique en los
parte de los usuarios, expone sistemas en los cuales
las mismas a acceso por parte posee acceso.
de personal no autorizado.
Existencia de El ambiente de producción • Inventario y depuración
usuarios del área debe contar con controles de de perfiles de acceso
de desarrollo y acceso adecuados con que poseen los usuarios
personal temporal respecto los usuarios de de desarrollo en el
con acceso al desarrollo, esto incluye las entorno de producción.
entorno de aplicaciones y bases de datos • Adecuada segregación
producción. de las mismas. de funciones del
personal del área de
sistemas.
• Procedimiento de pase a
producción.
Aplicaciones cuyo El área de seguridad • Formalización de roles y
acceso no es informática debe participar en responsabilidades del
controlado por el el proceso de asignación de área de seguridad
área de seguridad accesos a las aplicaciones del informática.
informática. Banco y verificar que la • Traslado de la
solicitud de accesos sea responsabilidad del
coherente con el cargo del control de accesos a

usuario. aplicaciones al área de
El gerente que aprueba la seguridad informática.
solicitud es el responsable de
los accesos que solicita para
los usuarios de su área.
Falta de El personal del Banco es el • Programa de
conciencia en vínculo entre la política de capacitación del Banco
seguridad por seguridad y su implementación en temas relacionados a
parte del personal final para aplicar la política de la seguridad de
del Banco. seguridad, se pueden información.
establecer controles y un • Capacitación mediante
monitoreo constante, pero la charlas, videos,
persona es siempre el punto presentaciones, afiches,
más débil de la cadena de etc., los cuales
seguridad, este riesgo se recuerden
puede incrementar si el permanentemente al
usuario no recibe una usuario la importancia
adecuada capacitación y de la seguridad de
orientación en seguridad de información.
información.
Falta de personal Para una adecuada • Capacitación del
con conocimientos administración de la seguridad personal técnico en
técnicos de informática se requiere temas de seguridad de
seguridad personal capacitado que información o inclusión
informática. pueda cumplir las labores de nuevo de personal con
elaboración de políticas y conocimientos de
administración de seguridad seguridad de

en el área de seguridad información para las
informática, así como áreas de seguridad
implementación de controles y informática y sistemas.
configuración de sistemas en
el área de sistemas.
Falta de controles El acceso hacia Internet por • Configuración adecuada
adecuados para la medios como correo del servidor Proxy y la
información que electrónico, ftp (file transfer herramienta Surf
envían los protocol) o incluso web en Control.
usuarios hacia algunos casos, puede facilitar • Generación periódica de
Internet. la fuga de información reportes de la
confidencial del Banco. efectividad de los
El Banco ha invertido en la controles aplicados.
implementación de una • Implementación de una
herramienta para el filtrado de adecuada arquitectura
las páginas web que son de red.
accedidas por los usuarios, se • Mejores prácticas para
debe asegurar que dicho la configuración de
control sea adecuadamente Firewalls.
aplicado. • Implementación y
administración de
Vulnerabilidades: herramientas para la
• No existen controles inspección del contenido
adecuados sobre el de los correos
personal autorizado a electrónicos enviados.
enviar correo electrónico al
exterior.

• No existen herramientas de
inspección de contenido
para correo electrónico.
• Se pudo observar que
usuarios que no se han
identificado en el dominio
del Banco, pueden acceder
al servicio de navegación a
través del servidor Proxy.
No existen Existe información • Establecimiento de un
controles almacenada en las procedimiento formal
adecuados para la computadoras personales de que contemple la
información los usuarios que requiere generación de copia de
almacenada en las ciertos niveles de seguridad. respaldo de información
computadoras Los usuarios deben contar con importante de los
personales. procedimientos para realizar usuarios.
copias de respaldo de su • Concluir el proceso de
información importante. migración del sistema
Vulnerabilidades: operativo de las
• El sistema operativo computadoras
Windows 95/98 no permite personales a Windows
otorgar niveles apropiados 2000 Professional o
de seguridad a la Windows XP.
información existente en • Concientización de
ellas. usuarios en temas
• No existe un procedimiento relacionados a la
para verificación periódica seguridad de la

de las carpetas información.
compartidas por los
usuarios.
• El procedimiento para
realizar copias de respaldo
de la información
importante no es conocido
por todos los usuarios.
Arquitectura de red Posibilidad de acceso no • Diseño de arquitectura

inapropiada para autorizado a sistemas por de seguridad de red.
controlar accesos parte de personal externo al • Adecuada configuración
desde redes Banco. de elementos de control
externas. Vulnerabilidades: de conexiones
• Existencia de redes (firewalls).
externas se conectan con • Implementación y
la red del Banco sin la administración de
protección de un firewall. herramientas de
• Los servidores de acceso seguridad.
público no se encuentran
aislados de la red interna.
Fuga de Es posible obtener la • Programas para
información información existente en las encripción de la data
estratégica computadoras portátiles de los confidencial existente en
mediante gerentes del banco mediante los discos duros de las
sustracción de el robo de las mismas. computadoras portátiles.
computadores

portátiles.
Acceso no • El riesgo de contar con • Evaluación del alcance
autorizado a través segmentos de red de la red inalámbrica.
de enlaces inalámbricos sin medidas • Separación del
inalámbricos. de seguridad específicas segmento de red
para este tipo de enlaces, inalámbrico mediante un
radica en que cualquier Firewall.
persona podría conectar un • Verificación periódica de
equipo externo al Banco la actividad realizada
incluso desde un edificio desde la red
cercano. inalámbrica.
• Utilización de encripción
.
Controles de • Posibilidad de acceso no • Implementación de una
acceso hacia autorizado desde la red adecuada arquitectura
Internet desde la interna de datos hacia de red.
red interna. equipos de terceros en • Configuración adecuada
Internet. de servidor Proxy.
• Posibilidad de fuga de • Mejores prácticas para
información. la configuración de
• Posibilidad de realización Firewalls.
de actividad ilegal en • Implementación y
equipos de terceros a administración de
través de Internet. herramientas para la
seguridad del contenido
de los correos
electrónicos enviados.

• Monitoreo periódico de
la actividad, mediante el
análisis de los registros
(logs) de los sistemas.
5.3 Matriz de Iniciativas del Negocio / Procesos

En esta matriz se muestra las iniciativas y operaciones del negocio que poseen
alta implicancia en seguridad y los estándares o medidas de seguridad a ser
aplicados para minimizar los riesgos generados por ellas.
Iniciativa del Estándar o medida de

Negocio seguridad a aplicar
Iniciativas del Negocio
Implantación de • Información sensible • Estándar de mejores
Datawarehouse. almacenada en un prácticas de
repositorio centralizado, seguridad para
requiere de controles de Windows NT
acceso adecuados. • Estándar de mejores
• La disponibilidad del prácticas de
sistema debe ser alta para seguridad para
no afectar las operaciones Windows
que soporta. • Plan de implantación
de Datawarehouse.
• Procedimientos para
otorgamiento de
perfiles.

• Implementación de
una arquitectura de
red segura.
Proyecto de • Consulta de información • Especificación de
tercerización del existente en los sistemas responsabilidades y
Call Center por parte de terceros. obligaciones
• Registro de información en referentes a la
los sistemas por parte de seguridad de la
terceros. información del
Banco, en los
contratos con
terceros.
• Especificación de
acuerdos de nivel de
servicio.
• Adecuados controles
de acceso a la
información
registrada en el
sistema
Proyecto de • El acceso de personal no • Estándares de
comunicación con autorizado a los medios de seguridad para la
Conasev utilizando almacenamiento de llaves manipulación y
firmas digitales de encripción (media, revocación de llaves
(Requerimiento de smartcards, impresa) de encripción.
Conasev) debilita todo el sistema de • Implementación de
encripción de la controles de acceso a

información. dispositivos y llaves
• Para los procesos de firma de encripción.
y encripción de la
información se requiere el
ingreso de contraseñas,
estas contraseñas deben
ser mantenidas en forma
confidencial.
Digitalización • La disposición de estos • Aplicación de
(scanning) de elementos en medios estándares de
poderes y firmas. digitales requiere de seguridad de la
adecuados niveles de plataforma que
protección para evitar su contiene dicha
acceso no autorizado y información.
utilización con fines • Encripción de la data
ilegales. digitalizada.
• Restricción de
accesos a los
poderes y firmas
tanto a nivel de
aplicación, como a
nivel de sistema
operativo.
Tercerización de • La administración de • Cláusulas de
operaciones de equipos críticos de la red confidencialidad y
sistemas y Help del Banco por parte de establecimiento claro
Desk. terceros representa un de responsabilidades

riesgo en especial por la de los proveedores
posibilidad de fuga de en los contratos,
información confidencial. especificación de
penalidades en caso
de incumplimiento.
• Monitoreo periódico
de las operaciones
realizadas por
personal externo,
incluyendo la revisión
periódica de sus
actividades en los
registros (logs) de
aplicaciones y
sistema operativo.
• Evitar otorgamiento
de privilegios
administrativos a
personal externo,
para evitar
manipulación de
registros.
Proyecto de • El sistema SWIFT se • Estándar de mejores
interconexión del encuentra en un segmento prácticas de
Sistema Swift a la aislado de la red de datos seguridad para
red de datos del del Banco por razones de servidores Windows
Banco. seguridad de información. NT

• Al unir el sistema Swift a la • Controles de acceso
red de datos del Banco, a la aplicación
dicho sistema se va a SWIFT.
encontrar expuesto a • Estándares de
intentos de acceso no encripción de datos
autorizados por parte de entre el sistema Swift
equipos que comprenden y los terminales que
la red de datos. se comunican con él.
Operaciones del Negocio

Almacenamiento • Las cintas de backup • Acuerdos de
de copias de guardan información confidencialidad y
respaldo realizado confidencial del negocio del tiempo de respuesta
por Hermes. banco, adicionalmente en los contratos con
deben encontrarse el proveedor.
disponibles para ser • Pruebas del tiempo
utilizadas en una de respuesta del
emergencia y la proveedor para
información que guardan transportar las cintas
debe mantenerse íntegra. de backup en caso de
emergencia.
• Verificación periódica
del estado de las
cintas.
Procesamiento de • El almacenamiento de • Acuerdos de
transacciones de información por parte de confidencialidad y
tarjetas de crédito terceros podría representar tiempo de respuesta

y débito realizado una fuente de divulgación en contratos con el
por Unibanca. no autorizada de proveedor.
información del Banco y • Estándares de
sus clientes. encripción de
• El acceso a los sistemas información
por parte de terceros debe transmitida.
ser controlado para evitar
la realización de actividad
no autorizada.
Almacenamiento • El almacenamiento de • Acuerdos de
de Documentos información por parte de confidencialidad y
realizado por terceros podría representar tiempo de respuesta
terceros “File una fuente de divulgación en contratos con
Service” no autorizada de proveedores.
información del Banco y • Verificación periódica
sus clientes. del grado de deterioro
• El almacenamiento de de la documentación.
información debe realizarse
de manera adecuada para
mantener la disponibilidad
de los documentos y evitar
su deterioro.
Impresión y • El almacenamiento de • Acuerdos de
ensobrado de información por parte de confidencialidad en
estados de cuenta terceros podría representar contratos con
realizado por una fuente de divulgación proveedores.
Napatek no autorizada de • Estándares de

información del Banco y encripción de datos
sus clientes. transmitidos por
• El envío de información correo electrónico.
sensible al proveedor debe • Verificación de
ser realizado por un canal integridad de la data
de transmisión seguro, o transmitida.
en su defecto debe contar
con medidas de encripción,
que impidan su utilización
en caso de ser
interceptada.
Envío de • Se debe asegurar que la • Estándares de
información información sensible encripción de datos
sensible a clientes transmitida a los clientes transmitidos.
y entidades cuente con medidas de
recaudadoras vía seguridad adecuadas las
correo electrónico cuales permitan garantizar
el cumplimiento de normas
como el secreto bancario.
Almacenamiento • El Banco almacena • Clasificación y
físico de documentos importantes etiquetado de la
información de clientes, muchos de información.
realizada al interior ellos con información • Implementación de
del Banco. confidencial, asimismo controles físicos de
existe información en otros acceso a la
medios como discos duros, información de
cintas, etc., que albergan acuerdo a su

información importante. Se clasificación.
debe asegurar que dicha • Establecimiento de
información cuente con condiciones
medidas de seguridad apropiadas de
adecuadas que aseguren almacenamiento para
la integridad, disponibilidad evitar su deterioro.
y confidencialidad de la • Mantenimiento de un
información. registro de entrada y
salida de activos de
los archivos.
Acceso de • Todo acceso de personal • Cláusulas de
personal de externo a la red de datos confidencialidad y
Rehder a la red de del Banco representa un establecimiento claro
datos del Banco. riesgo potencial de acceso de responsabilidades
no autorizado a los de los proveedores
sistemas. en los contratos,
especificación de
penalidades en caso
de incumplimiento.
• Monitoreo de
actividad realizada
por personal externo.
• Restricciones de
acceso a Internet
configurados en el
firewall.
Centro de • Los sistemas ubicados en • Especificación de

Contingencia Telefónica Data deben acuerdos de nivel de
ubicado en el TIC encontrarse siempre servicio y
de Telefónica disponibles para ser penalidades en caso
Data. utilizados en casos de de incumplimiento en
emergencia. contratos con
• Se debe asegurar la proveedores.
integridad de la información • Pruebas del centro de
existente en los sistemas contingencia.
de respaldo y el grado de • Verificación periódica
actualización de la misma de la disponibilidad
con respecto al sistema en de los sistemas y
producción. grado de
actualización de la
información.
Atención en Front • Las aplicaciones y los • Acuerdos de niveles
Office. sistemas de de servicio en
comunicaciones deben contratos con
encontrarse disponibles en proveedores de
todo momento para no comunicaciones.
afectar la atención a los • Verificación periódica
clientes. de disponibilidad de
• Los periodos de los sistemas.
indisponibilidad deben ser • Implementación de
medidos. métricas de
rendimiento y
disponibilidad de los
sistemas.

Soporte de IBM al • El servidor AS/400 es el • Cláusulas de
Servidor AS/400. que soporta la mayor confidencialidad y
cantidad de procesos del establecimiento claro
negocio del Banco, por lo de responsabilidades
tanto se debe asegurar que de los proveedores
el proveedor debe ser en los contratos,
capaz de restaurar los especificación de
servicios del servidor en el penalidades en caso
menor tiempo posible. de incumplimiento.
• Asimismo dado que el • Asignación de un
proveedor accede usuario distinto al
periódicamente al equipo, utilizado por personal
existe el riesgo de acceso del Banco con los
no autorizado a privilegios mínimos
información existente en el necesarios.
mismo. • Inspección del log de
actividades del
proveedor luego de
realizar
mantenimiento al
equipo.
Capítulo VI
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
En este capitulo se elaboraran las políticas de seguridad con el propósito de

proteger la información de la empresa, estas servirán de guía para la
implementación de medidas de seguridad que contribuirán a mantener la
integridad, confidencialidad y disponibilidad de los datos dentro de los sistemas
de aplicación, redes, instalaciones de cómputo y procedimientos manuales.
El documento de políticas de seguridad ha sido elaborado tomando como base
la siguiente documentación:
- Estándar de seguridad de la información ISO 17799

- Requerimientos de la Circular N° G-105-2002 de la Superintendencia
de Banca y Seguros (SBS) sobre Riesgos de Tecnología de Información.
- Normas internas del Banco referidas a seguridad de información.
6.1 Definición
Una Política de seguridad de información es un conjunto de reglas aplicadas a
todas las actividades relacionadas al manejo de la información de una entidad,
teniendo el propósito de proteger la información, los recursos y la reputación de
la misma.
Propósito
El propósito de las políticas de seguridad de la información es proteger la
información y los activos de datos del Banco. Las políticas son guías para
asegurar la protección y la integridad de los datos dentro de los sistemas de
aplicación, redes, instalaciones de cómputo y procedimientos manuales.
6.2 CUMPLIMIENTO OBLIGATORIO

El cumplimiento de las políticas y estándares de seguridad de la información es
obligatorio y debe ser considerado como una condición en los contratos del
personal.
El Banco puede obviar algunas de las políticas de seguridad definidas en este
documento, únicamente cuando se ha demostrado claramente que el
cumplimiento de dichas políticas tendría un impacto significativo e inaceptable
para el negocio. Toda excepción a las políticas debe ser documentada y
aprobada por el área de seguridad informática y el área de auditoria interna,
detallando el motivo que justifica el no-cumplimiento de la política.
6.3 ORGANIZACIÓN DE LA SEGURIDAD

En esta política se definen los roles y responsabilidades a lo largo de la
organización con respecto a la protección de recursos de información. Esta
política se aplica a todos los empleados y otros asociados con el Banco, cada
uno de los cuales cumple un rol en la administración de la seguridad de la
información. Todos los empleados son responsables de mantener un ambiente
seguro, en tanto que el área de seguridad informática debe monitorear el
cumplimiento de la política de seguridad definida y realizar las actualizaciones
que sean necesarias, producto de los cambios en el entorno informático y las
necesidades del negocio.
6.3.1 Estructura Organizacional
En la administración de la seguridad de la información participan todos los
empleados siguiendo uno o más de los siguientes roles:
- Área de Seguridad Informática
- Usuario
- Custodio de información
- Propietario de información
- Auditor interno
Los roles y funciones de administración de la seguridad de la información de

cada uno de estas personas están detalladas en el Capitulo IV.
6.3.2 Acceso por parte de terceros

El Banco debe establecer para terceros al menos las mismas
restricciones de acceso a la información que a un usuario interno.
Además, el acceso a la información debe limitarse a lo mínimo
indispensable para cumplir con el trabajo asignado. Las excepciones
deben ser analizadas y aprobadas por el área de seguridad informática.
Esto incluye tanto acceso físico como lógico a los recursos de información
del Banco.
Todo acceso por parte de personal externo debe ser autorizado por un
responsable interno, quien asume la responsabilidad por las acciones que
pueda realizar el mismo. El personal externo debe firmar un acuerdo de
no-divulgación antes de obtener acceso a información del Banco.
Proveedores que requieran acceso a los sistemas de información del
Banco deben tener acceso únicamente cuando sea necesario.
Todas las conexiones que se originan desde redes o equipos externos al
Banco, deben limitarse únicamente a los servidores y aplicaciones
necesarios. Si es posible, estos servidores destino de las conexiones
deben estar físicamente o lógicamente separados de la red interna del
Banco.
Los contratos relacionados a servicios de tecnologías de información
deben ser aprobados por el área legal del Banco, y en el caso de que
afecten la seguridad o las redes de la organización deben ser aprobados
adicionalmente por el área de seguridad informática. Bajo determinadas
condiciones, como en la ejecución de servicios críticos para el negocio, el
Banco debe considerar efectuar una revisión independiente de la
estructura de control interno del proveedor.
En los contratos de procesamiento de datos externos se debe especificar

los requerimientos de seguridad y acciones a tomar en caso de violación
de los contratos. Todos los contratos deben incluir una cláusula donde se
establezca el derecho del Banco de nombrar a un representante
autorizado para evaluar la estructura de control interna del proveedor.
6.3.3 Outsourcing
Todos los contratos de Outsourcing deben incluir lo siguiente:
- Acuerdos sobre políticas y controles de seguridad.
- Determinación de niveles de disponibilidad aceptable.
- El derecho del Banco de auditar los controles de seguridad de
información del proveedor.
- Determinación de los requerimientos legales del Banco.
- Metodología del proveedor para mantener y probar cíclicamente la
seguridad del sistema.
- Que el servicio de procesamiento y la información del Banco objeto
de la subcontratación estén aislados, en todo momento y bajo
cualquier circunstancia.
El proveedor es responsable de inmediatamente informar al responsable
del contrato de cualquier brecha de seguridad que pueda comprometer
información del Banco. Cualquier empleado del Banco debe informar de
violaciones a la seguridad de la información por parte de proveedores al
área de seguridad informática.
6.4 EVALUACION DE RIESGO

El costo de las medidas y controles de seguridad no debe exceder la
pérdida que se espera evitar. Para la evaluación del riesgo se deben de
seguir los siguientes pasos:
- Clasificación del acceso de la información
- Ejecución del análisis del riesgo identificando áreas vulnerables, pérdida

potencial y selección de controles y objetivos de control para mitigar los
riesgos, de acuerdo a los siguientes estándares.
6.4.1 Inventario de activos

Los inventarios de activos ayudan a garantizar la vigencia de una
protección eficaz de los recursos, y también pueden ser necesarios para
otros propósitos de la empresa, como los relacionados con sanidad y
seguridad, seguros o finanzas (administración de recursos). El proceso de
compilación de un inventario de activos es un aspecto importante de la
administración de riesgos. Una organización debe contar con la capacidad
de identificar sus activos y el valor relativo e importancia de los mismos.
Sobre la base de esta información, la organización puede entonces,
asignar niveles de protección proporcionales al valor e importancia de los
activos. Se debe elaborar y mantener un inventario de los activos
importantes asociados a cada sistema de información. Cada activo debe
ser claramente identificado y su propietario y clasificación en cuanto a
seguridad deben ser acordados y documentados, junto con la ubicación
vigente del mismo (importante cuando se emprende una recuperación
posterior a una pérdida o daño). Ejemplos de activos asociados a
sistemas de información son los siguientes:
- Recursos de información: bases de datos y archivos, documentación
de sistemas, manuales de usuario, material de capacitación,
procedimientos operativos o de soporte, planes de continuidad,
disposiciones relativas a sistemas de emergencia para la reposición de
información perdida (“fallback”), información archivada;
- Recursos de software: software de aplicaciones, software de sistemas,
herramientas de desarrollo y utilitarios;
- Activos físicos: equipamiento informático (procesadores, monitores,
computadoras portátiles, módems), equipos de comunicaciones
(routers, PBXs, máquinas de fax, contestadores automáticos), medios

magnéticos (cintas y discos), otros equipos técnicos (suministro de
electricidad, unidades de aire acondicionado), mobiliario, lugares de
emplazamiento;
- Servicios: servicios informáticos y de comunicaciones, utilitarios
generales, por Ej. calefacción, iluminación, energía eléctrica, aire
acondicionado.
6.4.2 Clasificación del acceso de la información

Toda la información debe de ser clasificada como Restringida,
Confidencial, Uso Interno o General de acuerdo a lo definido en el capitulo
4.2.1. La clasificación de información debe de ser documentada por el
Propietario, aprobada por la gerencia responsable y distribuida a los
Custodios durante el proceso de desarrollo de sistemas o antes de la
distribución de los documentos o datos.
La clasificación asignada a un tipo de información, solo puede ser
cambiada por el propietario de la información, luego de justificar
formalmente el cambio en dicha clasificación.
La información que existe en más de un medio (por ejemplo, documento
fuente, registro electrónico, reporte o red) debe de tener la misma
clasificación sin importar el formato.
Frecuentemente, la información deja de ser sensible o crítica después de
un cierto período de tiempo, verbigracia, cuando la información se ha
hecho pública. Este aspecto debe ser tomado en cuenta por el propietario
de la información, para realizar una reclasificación de la misma, puesto
que la clasificación por exceso (“over- classification”) puede traducirse en
gastos adicionales innecesarios para la organización.
La información debe de ser examinada para determinar el impacto en el
Banco si fuera divulgada o alterada por medios no autorizados. A
continuación detallamos algunos ejemplos de información sensible:
q Datos de interés para la competencia:

- Estrategias de marketing
- Listas de clientes
- Fechas de renovación de créditos
- Tarifaciones
- Datos usados en decisiones de inversión
q Datos que proveen acceso a información o servicios:
- Llaves de encripción o autenticación
- Contraseñas
q Datos protegidos por legislación de privacidad vigente
- Registros del personal
- Montos de los pasivos de clientes
- Datos históricos con 10 años de antigüedad
q Datos que tienen un alto riesgo de ser blanco de fraude u otra actividad
ilícita:
- Datos contables utilizados en sistemas
- Sistemas que controlan desembolsos de fondos
6.4.3 Definiciones
Restringida: Información con mayor grado de sensibilidad; el acceso a
esta información debe de ser autorizado caso por caso.
Confidencial: Información sensible que solo debe ser divulgada a
aquellas personas que la necesiten para el cumplimiento de sus
funciones.
Uso Interno: Datos generados para facilitar las operaciones diarias;
deben de ser manejados de una manera discreta, pero no requiere de
medidas elaboradas de seguridad.
General: Información que es generada específicamente para su
divulgación a la población general de usuarios.
6.4.4 Aplicación de controles para la información clasificada

Las medidas de seguridad a ser aplicadas a los activos de información
clasificados, incluyen pero no se limitan a las siguientes:
6.4.4.1 Información de la Compañía almacenada en formato digital
• Todo contenedor de información en medio digital (CD´s, cintas de

backup, diskettes, etc.) debe presentar una etiqueta con la clasificación
correspondiente.
• La información en formato digital clasificada como de acceso “General”,
puede ser almacenada en cualquier sistema de la Compañía. Sin
embargo se deben tomar las medidas necesarias para no mezclar
información “General” con información correspondiente a otra
clasificación.
• Todo usuario, antes de transmitir información clasificada como
“Restringida” o “Confidencial”, debe asegurarse que el destinatario de la
información esté autorizado a recibir dicha información.
• Todo usuario que requiere acceso a información clasificada como
“Restringida” o “Confidencial”, debe ser autorizado por el propietario de
la misma. Las autorizaciones de acceso a este tipo de información
deben ser documentadas.
• La clasificación asignada a un tipo de información, solo puede ser
cambiada por el propietario de la información, luego de justificar
formalmente el cambio en dicha clasificación.
• Información en formato digital, clasificada como “Restringida”, debe ser
encriptada con un método aprobado por los encargados de la
administración de seguridad de la información, cuando es almacenada
en cualquier medio (disco duro, disquetes, cintas, CDs, etc.).
• Es recomendable el uso de técnicas de encripción para la información

clasificada como “Restringida” o “Confidencial”, transmitida a través de la
red de datos del Banco.
• Toda transmisión de Información clasificada como “Restringida”,
“Confidencial” o de “Uso Interno” realizada hacia o a través de redes
externas a la Compañía debe realizarse utilizando un medio de
transmisión seguro o utilizando técnicas de encripción aprobadas.
• Todo documento en formato digital, debe presentar la clasificación
correspondiente en la parte superior (cabecera) e inferior (pié de página)
de cada página del documento.
• Los medios de almacenamiento, incluyendo discos duros de
computadoras, que albergan información clasificada como “Restringida”,
deben ser ubicados en ambientes cerrados diseñados para el
almacenamiento de dicho tipo de información. En lugar de protección
física, la información clasificada como “Restringida”, podría ser protegida
con técnicas de encripción aprobadas por la Compañía.
6.4.4.2 Información de la Compañía almacenada en formato no

digital
• Todo documento o contenedor de información debe ser etiquetado como
“Restringida”, “Confidencial”, de “Uso interno” o de Acceso “General”,
dependiendo de la clasificación asignada.
• Todo documento que presente información clasificada como
“Confidencial” o “Restringida”, debe ser etiquetado en la parte superior e
inferior de cada página con la clasificación correspondiente.
• Todo documento clasificado como “Confidencial” o “Restringido” debe
contar con una carátula en la cual se muestre la clasificación de la
información que contiene.
• Los activos de información correspondiente a distintos niveles de

clasificación, deben ser almacenados en distintos contenedores, de no ser
posible dicha distinción, se asignará el nivel más critico de la información
identificada a todo el contenedor de información.
• El ambiente donde se almacena la información clasificada como
“Restringida”, debe contar con adecuados controles de acceso y
asegurado cuando se encuentre sin vigilancia. El acceso debe ser
permitido solo al personal formalmente autorizado. Personal de limpieza
debe ingresar al ambiente acompañado por personal autorizado.
• Solo el personal formalmente autorizado debe tener acceso a información
clasificada como “Restringida” o “Confidencial”
• Los usuarios que utilizan documentos con información “Confidencial” o
“Restringida” deben asegurarse de:
- Almacenarlos en lugares adecuados
- Evitar que usuarios no autorizados accedan a dichos documentos
- Destruir los documentos si luego de su utilización dejan de ser
necesarios
6.4.5 Análisis de riesgo

Los Propietarios de la información y custodios son conjuntamente
responsables del desarrollo de análisis de riesgos anual de los sistemas a
su cargo. Como parte del análisis se debe identificar las aplicaciones de
alta criticidad como críticas para la recuperación ante desastres. Es
importante identificar:
- Áreas vulnerables
- Pérdida potencial
- Selección de controles y objetivos de control para mitigar los riesgos,
indicando las razones para su inclusión o exclusión (Seguridad de
datos, Plan de respaldo/recuperación, Procedimientos estándar de

operación)
Adicionalmente, un análisis de riesgo debe de ser conducido luego de
cualquier cambio significativo en los sistemas, en concordancia con el
clima cambiante de las operaciones en el negocio del Banco.
El análisis de riesgo debe tener un propósito claramente definido y
delimitado, existiendo dos posibilidades: cumplimiento con los controles
y/o medidas de protección o la aceptación del riesgo.
6.4.6 Cumplimiento
El cumplimiento satisfactorio del proceso de evaluación del riesgo se
caracteriza por:
- Identificación y clasificación correcta de los activos a ser protegidos.

- Aplicación consistente y continua de los controles y/o medidas para
mitigar el riesgo (seguridad efectiva de datos, recuperación ante
desastres adecuado)
- Detección temprana de los riesgos, reporte adecuado de pérdidas, así
como una respuesta oportuna y efectiva ante las perdidas ya
materializadas.
6.4.7 Aceptación de riesgo

La gerencia responsable puede obviar algún control o requerimiento de
protección y aceptar el riesgo identificado solo cuando ha sido
claramente demostrado que las opciones disponibles para lograr el
cumplimiento han sido identificadas y evaluadas, y que éstas tendrían un
impacto significativo y no aceptable para el negocio.
La aceptación de riesgo por falta de cumplimiento de los controles y/o
medidas de protección debe ser documentada, revisada por las partes
involucradas, comunicada por escrito y aceptada por las áreas

responsables de la administración de la seguridad.
6.5 SEGURIDAD DEL PERSONAL

Los estándares relacionados al personal deben ser aplicados para asegurarse
que los empleados sean seleccionados adecuadamente antes de ser
contratados, puedan ser fácilmente identificados mientras formen parte del
Banco y que el acceso sea revocado oportunamente cuando un empleado es
despedido o transferido. Deben desarrollarse estándares adicionales para
asegurar que el personal sea consciente de todas sus responsabilidades y
acciones apropiadas en el reporte de incidentes.
Esta política se aplica a todos los empleados, personal contratado y
proveedores.
Los empleados son los activos más valiosos del Banco. Sin embargo, un
gran número de problemas de seguridad de cómputo pueden ser causados
por descuido o desinformación. Se deben de implementar procedimientos
para manejar estos riesgos y ayudar al personal del Banco a crear un
ambiente de trabajo seguro.
Medidas de precaución deben de ser tomadas cuando se contrata,
transfiere y despide a los empleados. Deben de establecerse controles
para comunicar los cambios del personal y los requerimientos de recursos
de cómputo a los responsables de la administración de la seguridad de la
información. Es crucial que estos cambios sean atendidos a tiempo.
6.5.1 Seguridad en la definición de puestos de trabajo y recursos

El departamento de Recursos Humanos debe de notificar al área de
seguridad informática, la renuncia o despido de los empleados así como
el inicio y fin de los periodos de vacaciones de los mismos. Cuando se
notifique un despido o transferencia, el Custodio de información debe de
asegurarse que el identificador de usuario sea revocado. Cuando se
notifique una transferencia o despido, el área de seguridad debe de

asegurarse que las fichas o placas sean devueltas al Banco. Cualquier
ítem entregado al empleado o proveedor como computadoras portátiles,
llaves, tarjetas de identificación, software, datos, documentación,
manuales, etc. deben de ser entregados a su gerente o al área de
Recursos Humanos.
La seguridad es responsabilidad de todos los empleados y personas
involucradas con el Banco. Por ende, todos los empleados, contratistas,
proveedores y personas con acceso a las instalaciones e información del
Banco deben de acatar los estándares documentados en la política de
seguridad del Banco e incluir la seguridad como una de sus
responsabilidades principales.
Todos los dispositivos personales de información, como por ejemplo
computadoras de propiedad de los empleados o asistentes digitales
personales (PDA – Personal Digital Assistant), que interactúen con los
sistemas del Banco, deben ser aprobados y autorizados por la gerencia
del Banco.
6.5.2 Capacitación de usuarios

Es responsabilidad del área de seguridad informática promover
constantemente la importancia de la seguridad a todos los usuarios de los
sistemas de información. El programa de concientización en seguridad
debe de contener continuas capacitaciones y charlas, adicionalmente se
puede emplear diversos métodos como afiches, llaveros, mensajes de
log-in, etc., los cuales recuerden permanentemente al usuario el papel
importante que cumplen en el mantenimiento de la seguridad de la
información.
Orientación para los empleados y/o servicios de terceros nuevos

Cuando se contrate a un empleado nuevo y/o el servicio de algún tercero,
se debe de entregar la política de seguridad así como las normas y
procedimientos para el uso de las aplicaciones y los sistemas de
información del Banco. Asimismo se debe entregar un resumen escrito de
las medidas básicas de seguridad de la información.
El personal de terceros debe recibir una copia del acuerdo de no
divulgación firmado por el Banco y por el proveedor de servicios de
terceros así como orientación con respecto a su responsabilidad en la
confidencialidad de la información del Banco.
Entre otros aspectos se debe considerar:
- El personal debe de ser comunicado de las implicancias de seguridad
en relación a las responsabilidades de su trabajo
- Una copia firmada de la política de seguridad de información debe de
ser guardada en el archivo del empleado
Concientización periódica
Estudios muestran que la retención y el conocimiento aplicable se
incrementa considerablemente cuando el tema es sujeto a revisión. Los
usuarios deben de ser informados anualmente sobre la importancia de la
seguridad de la información. Un resumen escrito de la información básica
debe de ser entregada nuevamente a cada empleado y una copia firmada
debe de ser guardada en sus archivos.
La capacitación en seguridad debe de incluir, pero no estar limitado, a los
siguientes aspectos:
- Requerimientos de identificador de usuario y contraseña
- Seguridad de PC, incluyendo protección de virus
- Responsabilidades de la organización de seguridad de información
- Concientización de las técnicas utilizadas por “hackers”
- Programas de cumplimiento
- Guías de acceso a Internet

- Guías de uso del correo electrónico
- Procesos de monitoreo de seguridad de la información utilizados
- Persona de contacto para información adicional
6.5.3 Procedimientos de respuesta ante incidentes de seguridad

El personal encargado de la administración de seguridad debe ser
plenamente identificado por todos los empleados del Banco.
Si un empleado del Banco detecta o sospecha la ocurrencia de un
incidente de seguridad, tiene la obligación de notificarlo al personal de
seguridad informática. Si se sospecha la presencia de un virus en un
sistema, el usuario debe desconectar el equipo de la red de datos,
notificar al área de seguridad informática quien trabajará en coordinación
con el área de soporte técnico, para la eliminación del virus antes de
restablecer la conexión a la red de datos. Es responsabilidad del usuario
(con la apropiada asistencia técnica) asegurarse que el virus haya sido
eliminado por completo del sistema antes de conectar nuevamente el
equipo a la red de datos.
Si un empleado detecta una vulnerabilidad en la seguridad de la
información debe notificarlo al personal encargado de la administración de
la seguridad, asimismo, está prohibido para el empleado realizar pruebas
de dicha vulnerabilidad o aprovechar ésta para propósito alguno.
El área de seguridad informática debe documentar todos los reportes de
incidentes de seguridad.
Cualquier error o falla en los sistemas debe ser notificado a soporte
técnico, quién determinará si el error es indicativo de una vulnerabilidad
en la seguridad.
Las acciones disciplinarias tomadas contra socios de negocio o
proveedores por la ocurrencia de una violación de seguridad, deben ser
consistentes con la magnitud de la falta, ellas deben ser coordinadas con

el área de Recursos Humanos.
6.5.3.1 Registro de fallas

El personal encargado de operar los sistemas de información debe
registrar todos lo errores y fallas que ocurren en el procesamiento de
información o en los sistemas de comunicaciones. Estos registros deben
incluir lo siguiente:
- Nombre de la persona que reporta la falla
- Hora y fecha de ocurrencia de la falla
- Descripción del error o problema
- Responsable de solucionar el problema
- Descripción de la respuesta inicial ante el problema
- Descripción de la solución al problema
- Hora y fecha en la que se solucionó el problema
Los registros de fallas deben ser revisados semanalmente. Los registros

de errores no solucionados deben permanecer abiertos hasta que se
encuentre una solución al problema. Además, estos registros deben ser
almacenados para una posterior verificación independiente.
6.5.3.2 Intercambios de información y correo electrónico

Los mensajes de correo electrónico deben ser considerados de igual
manera que un memorándum formal, son considerados como parte de
los registros del Banco y están sujetos a monitoreo y auditoria. Los
sistemas de correo electrónico no deben ser utilizados para lo siguiente:
- Enviar cadenas de mensajes
- Enviar mensajes relacionados a seguridad, exceptuando al personal
encargado de la administración de la seguridad de la información
- Enviar propaganda de candidatos políticos
- Actividades ilegales, no éticas o impropias

- Actividades no relacionadas con el negocio del Banco
- Diseminar direcciones de correo electrónico a listas públicas
No deben utilizarse reglas de reenvío automático a direcciones que no
pertenecen a la organización. No existe control sobre los mensajes de
correo electrónico una vez que estos se encuentran fuera de la red del
Banco.
Deben establecerse controles sobre el intercambio de información del
Banco con terceros para asegurar la confidencialidad e integridad de la
información, y que se respete la propiedad intelectual de la misma. Debe
tomarse en consideración:
- Acuerdos para el intercambio de software
- Seguridad de media en tránsito
- Controles sobre la transmisión mediante redes
Debe establecerse un proceso formal para aprobar la publicación de
información del Banco. El desarrollo de páginas Web programables o
inteligentes (utilizando tecnologías como CGI o ASP) debe considerarse
como desarrollo de software y debe estar sujeto a los mismos controles.
La información contenida en sistemas públicos no debe contener
información restringida, confidencial o de uso interno. De igual manera,
los equipos que brindan servicios Web, correo electrónico, comercio
electrónico u otros servicios públicos no deben almacenar información
restringida, confidencial o de uso interno. Antes que un empleado del
Banco libere información que no sea de uso general debe verificarse la
identidad del individuo u organización recipiente utilizando firmas
digitales, referencias de terceros, conversaciones telefónicas u otros
mecanismos similares.
Debe establecerse controles sobre equipos de oficina como teléfonos,
faxes e impresoras que procesan información sensible del Banco.
Información restringida o confidencial solo debe imprimirse en equipos

específicamente designados para esta tarea.
6.5.3.3 Seguridad para media en tránsito

La información a ser transferida en media digital o impresa debe ser
etiquetada con la clasificación de información respectiva y detallando
claramente el remitente y recipiente del mismo. La información enviada
por servicios postales debe ser protegida de accesos no autorizados
mediante la utilización de:
- Paquetes sellados o lacrados
- Entrega en persona
- Firmado y sellado de un cargo
6.6 SEGURIDAD FÍSICA DE LAS INSTALACIONES DE

PROCESAMIENTO DE DATOS
Se deben implementar medidas de seguridad física para asegurar la
integridad de las instalaciones y centros de cómputo. Las medidas de
protección deben ser consistentes con el nivel de clasificación de los
activos y el valor de la información procesada y almacenada en las
instalaciones.
6.6.1 Protección de las instalaciones de los centros de datos

Un centro de procesamiento de datos o de cómputo es definido como
cualquier edificio o ambiente dentro de un edificio que contenga equipos
de almacenamiento, proceso o transmisión de información. Estos incluyen
pero no se limitan a los siguientes:
- Mainframe, servidores, computadoras personales y periféricos
- Consolas de administración
- Librerías de cassettes o DASD
- Equipos de telecomunicaciones
- Centrales telefónicas, PBX

- Armarios de alambrado eléctrico o cables
Los controles deben de ser evaluados anualmente para compensar
cualquier cambio con relación a los riesgos físicos.
Los gerentes que estén planeando o revisando cualquier ambiente
automatizado, incluyendo el uso de las computadoras personales, deben
contactarse con el personal encargado de la administración de la
seguridad de la información para asistencia en el diseño de los controles
físicos de seguridad.
6.6.2 Control de acceso a las instalaciones de cómputo

El acceso a cualquier instalación de cómputo debe estar restringido
únicamente al personal autorizado.
Todas las visitas deben ser identificadas y se debe mantener un registro
escrito de las mismas. Estas visitas deben ser en compañía de un
empleado durante la permanencia en las instalaciones de computo.
Si bien es recomendable que los proveedores de mantenimiento, a
quienes se les otorga acceso continuo a las áreas sensibles, estén
siempre acompañados por un empleado autorizado de la empresa, puede
resultar poco práctico en algunos casos.
Todo el personal en las instalaciones de cómputo deben de portar un
carné, placa o ficha de identificación. Sistemas automatizados de
seguridad para acceso físico deben de ser instalados en centros de
cómputo principales. Centros pequeños pueden controlar el acceso físico
mediante el uso de candados de combinación o llaves.
Medidas apropiadas como guardias o puertas con alarmas, deben de ser
utilizadas para proteger las instalaciones durante las horas no laborables.
El retiro de cualquier equipo o medio electrónico de las instalaciones de
cómputo debe de ser aprobado por escrito por personal autorizado.
6.6.3 Acuerdo con regulaciones y leyes

Los controles de seguridad física deben de estar en acuerdo con las
regulaciones existentes de fuego y seguridad, así como con los
requerimientos contractuales de los seguros contratados.
6.7 ADMINISTRACIÓN DE COMUNICACIONES Y OPERACIONES
La administración de las comunicaciones y operaciones del Banco, son

esenciales para mantener un adecuado nivel de servicio a los clientes. Los
requerimientos de seguridad deben ser desarrollados e implementados
para mantener el control sobre las comunicaciones y las operaciones.
Los procedimientos operacionales y las responsabilidades para mantener

accesos adecuados a los sistemas, así como el control y la disponibilidad
de los mismos, deben ser incluidas en las funciones operativas del Banco.
Todas las comunicaciones e intercambios de información, tanto dentro de
las instalaciones y sistemas del Banco como externas a ella, deben ser
aseguradas, de acuerdo al valor de la información protegida.
6.7.1 Procedimientos y Responsabilidades Operacionales

6.7.1.1 Procedimientos operativos documentados
Todos los procedimientos de operación de los sistemas deben ser
documentados y los cambios realizados a dichos procedimientos deben
ser autorizados por la gerencia respectiva.
Todos los procedimientos de encendido y apagado de los equipos deben
ser documentados; dichos procedimientos deben incluir el detalle de
personal clave a ser contactado en caso de fallas no contempladas en el
procedimiento regular documentado.
Todas las tareas programadas en los sistemas para su realización
periódica, deben ser documentadas. Este documento debe incluir tiempo
de inicio, tiempo de duración de la tarea, procedimientos en caso de

falla, entre otros.
Los procedimientos para resolución de errores deben ser documentados,
entre ellos se debe incluir:
− Errores en la ejecución de procesos por lotes
− Fallas o apagado de los sistemas
− Códigos de error en la ejecución de procesos por lotes
− Información de los contactos que podrían colaborar con la resolución
de errores.
6.7.1.2 Administración de operaciones realizadas por terceros

Todos los procesos de operación realizados por terceros deben ser
sujetos a una evaluación de riesgos de seguridad y se debe desarrollar
procedimientos para administrar estos riesgos.
- Asignación de responsables para la supervisión de dichas
actividades
- Determinar si se procesará información crítica.
- Determinar los controles de seguridad a implementar
- Evaluar el cumplimiento de los estándares de seguridad del Banco.
- Evaluar la implicancia de dichas tareas en los planes de contingencia
del negocio
- Procedimientos de respuesta ante incidentes de seguridad
- Evaluar el cumplimiento de los estándares del Banco referentes a
contratos con terceros.
6.7.1.3 Control de cambios operacionales

Todos los cambios realizados en los sistemas del Banco, a excepción de
los cambios de emergencia, deben seguir los procedimientos de
cambios establecidos.
Solo el personal encargado de la administración de la seguridad puede

realizar o aprobar un cambio de emergencia. Dicho cambio debe ser
documentado y aprobado en un periodo máximo de 24 horas luego de
haberse producido el cambio.
Los roles del personal involucrado en la ejecución de los cambios en los
sistemas deben encontrarse debidamente especificados.
Los cambios deben ser aprobados por la gerencia del área usuaria, el
personal encargado de la administración de la seguridad de la
información y el encargado del área de sistemas. Todos los
requerimientos de cambios deben ser debidamente documentados,
siguiendo los procedimientos para cambios existentes en el Banco.
Antes de la realización de cualquier cambio a los sistemas se debe
generar copias de respaldo de dichos sistemas.
6.7.1.4 Administración de incidentes de seguridad

Luego de reportado el incidente de seguridad, éste debe ser investigado
por el área de seguridad informática. Se debe identificar la severidad del
incidente para la toma de medidas correctivas.
El personal encargado de la administración de la seguridad debe realizar
la investigación de los incidentes de forma rápida y confidencial.
Se debe mantener una documentación de todos los incidentes de
seguridad ocurridos en el Banco.
Se debe mantener intacta la evidencia que prueba la ocurrencia de una
violación de seguridad producida tanto por entes internos o externos,
para su posterior utilización en procesos legales en caso de ser
necesario.
6.7.1.5 Separación de funciones de operaciones y desarrollo

El ambiente de prueba debe de mantenerse siempre separado del
ambiente de producción, debiendo existir controles de acceso
adecuados para cada uno de ellos.
El ambiente de producción es aquel en el cual residen los programas
ejecutables de producción y los datos necesarios para el funcionamiento
de los mismos. Solo el personal autorizado a efectuar los cambios en los
sistemas debe contar con privilegios de escritura en los mismos.
Los programas compiladores no deben ser instalados en los sistemas en
producción, todo el código debe ser compilado antes de ser transferido
al ambiente de producción.
Las pruebas deben de realizarse utilizando datos de prueba. Sin
embargo, copias de datos de producción pueden ser usadas para las
pruebas, siempre y cuando los datos sean autorizados por el propietario
y manejados de manera confidencial.
El personal de desarrollo puede tener acceso de solo lectura a los datos
de producción. La actualización de los permisos de acceso a los datos
de producción debe de ser autorizada por el propietario de información y
otorgada por un periodo limitado.
Se deben utilizar estándares de nombres para distinguir el conjunto de
nombres de las tareas y de los datos, del modelo y de los ambientes de
producción.
Un procedimiento de control de cambio debe de asegurar que todos los
cambios del modelo y ambientes de producción hayan sido revisados y
aprobados por el (los) gerente(s) apropiados.
6.7.2 Protección contra virus

El área de seguridad informática debe realizar esfuerzos para determinar
el origen de la infección por virus informático, para evitar la reinfección de
los equipos del Banco.
La posesión de virus o cualquier programa malicioso está prohibida a

todos los usuarios. Se tomarán medidas disciplinarias en caso se
encuentren dichos programas en computadoras personales de usuarios.
Todos los archivos adjuntos recibidos a través del correo electrónico
desde Internet deben ser revisados por un antivirus antes de ejecutarlos.
Asimismo está prohibido el uso de diskettes y discos compactos
provenientes de otra fuente que no sea la del mismo BANCO ABC, a
excepción de los provenientes de las interfaces con organismos
reguladores, proveedores y clientes, los cuales necesariamente deben
pasar por un proceso de verificación y control en el área de Sistemas
(Help Desk), antes de ser leídos.
El programa antivirus debe encontrarse habilitado en todos las
computadoras del Banco y debe ser actualizado periódicamente. En caso
de detectar fallas en el funcionamiento de dichos programas éstas deben
ser comunicadas al área de soporte técnico. El programa antivirus debe
ser configurado para realizar revisiones periódicas para la detección de
virus en los medios de almacenamiento de las computadoras del Banco.
Debe contarse con un procedimiento para la actualización periódica de los
programas antivirus y el monitoreo de los virus detectados.
Es obligación del personal del Banco, emplear sólo los programas cuyas
licencias han sido obtenidas por el Banco y forman parte de su plataforma
estándar. Asimismo, se debe evitar compartir directorios o archivos con
otros usuarios; en caso de ser absolutamente necesario, coordinar con la
Gerencia respectiva y habilitar el acceso sólo a nivel de lectura,
informando al Departamento de Producción y Soporte Técnico.
Todo el personal del Banco debe utilizar los protectores de pantalla y/o
papel tapiz autorizados por la Institución; el estándar es:
Papel Tapiz: BANCO ABC
Protector de Pantalla: BANCO ABC.

Plan de Seguridad Informática para Una Entidad Financiera"

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Plan de Seguridad Informática para Una Entidad Financiera"

Uploaded by

Copyright:

Available Formats

UNIVERSIDAD NACIONAL MAYOR DE SAN MARCOS

FACULTAD DE CIENCIAS MATEMÁTICAS

“PLAN DE SEGURIDAD INFORMÁTICA PARA UNA ENTIDAD FINANCIERA”

NORMA EDITH CÓRDOVA RODRÍGUEZ

Este trabajo va dedicado a la Universidad

2.1 Metodología ESA....................................................................................................3

3.1 Evaluación ............................................................................................................5

4.1 Situación actual.....................................................................................................8

5.1 Matriz de uso y estrategia de tecnología ....................................................... 16

6.2 Cumplimiento obligatorio ...................................................................................49

6.3 Organización de la Seguridad ..........................................................................49

A. Diseño de arquitectura de seguridad de red ................................................118

B. Circular n° g-105-2002 publicada por la Superintendencia de Banca y

C. Detalle: Diagnostico de la Situacion Actual de la Administración de los riesgos

La liberalización y la globalización de los servicios financieros, junto con la

En otros tiempos la seguridad de la información era fácilmente administrable,

Los sistemas electrónicos entraron en las oficinas y obligaron a los sistemas de

De manera similar a otro tipo de crímenes, el cuantificar los gastos y pérdidas

Por otro lado el objetivo fundamental de la seguridad no es proteger los

La seguridad es sólo uno de los componentes de la administración de riesgos –

Las computadoras no atacan a las empresas, lo hace la gente. Los empleados

El presente trabajo describe como se define un Plan de Seguridad para una

Security is just one of the components of risk management - minimize the

The more destructive security incidents tend mostly to be internal instead of

Computers does not attack enterprises, people do it. Employees with

Los eventos mundiales recientes han generado un mayor sentido de urgencia

La mayoría de las empresas ha invertido tiempo y dinero en la construcción de

Imagine lo que sucedería si:

• La información esencial fuera robada, se perdiera, estuviera en peligro,

• Los sistemas de correo electrónico no funcionaran durante un día o más.

• Los clientes no pudieran enviar órdenes de compra a través de la red

Prepararse para múltiples escenarios parece ser la tendencia creciente. En un

¿Cómo desarrollar una política de seguridad?

• Identifique y evalúe los activos: Qué activos deben protegerse y cómo

• Identifique las amenazas: ¿Cuáles son las causas de los potenciales

o Amenazas externas: Se originan fuera de la organización y son

o Amenazas internas: Son las amenazas que provienen del

ocasionar los empleados al enviar y revisar el material ofensivo a

• Asigne las responsabilidades: Seleccione un equipo de desarrollo que

• Establezca políticas de seguridad: Cree una política que apunte a los

• Implemente una política en toda la organización: La política que se

específicos. También puede requerir que todos los empleados firmen la

o Cumplimiento: Indique un procedimiento para garantizar el

o Funcionarios de seguridad: Nombre individuos que sean

o Financiación: Asegúrese de que a cada departamento se le haya

• Administre el programa de seguridad: Establezca los procedimientos

A través del proceso de elaboración de una política de seguridad, es importante

• Se pueda implementar y hacer cumplir

• Sea concisa y fácil de entender

• Compense la protección con la productividad

Se debe mencionar que no debe haber dos políticas de seguridad iguales

Una política completa de seguridad de la información es un recurso valioso que

En el presente trabajo desarrollaremos el Plan de Seguridad para una entidad

A lo largo de todo el desarrollo del trabajo describiremos mas en detalle su

las principales actividades que deben ejecutarse para la implementación de las

A continuación describiremos brevemente la situación actual de los aspectos

A) Organización de seguridad de la información

Actualmente el Banco cuenta con un área de seguridad informática

B) Diseño del plan de seguridad de la información

Para el diseño del Plan de seguridad de la información se desarrollaran las

- Evaluación de riesgos, amenazas y vulnerabilidades

Para la definición del alcance de las políticas y estándares y con el propósito de

- Políticas de seguridad de información.