UNIVERSIDAD NACIONAL MAYOR DE SAN MARCOS

Fundada en 1551

FACULTAD DE CIENCIAS MATEMÁTICAS
E.A.P. DE COMPUTACIÓN

“PLAN DE SEGURIDAD INFORMÁTICA PARA UNA ENTIDAD FINANCIERA”

TRABAJO MONOGRÁFICO Para optar el Título Profesional de: LICENCIADA AUTORA NORMA EDITH CÓRDOVA RODRÍGUEZ

LIMA – PERÚ 2003

DEDICATORIA
Este trabajo va dedicado a la Universidad Nacional Mayor de San Marcos, a la que le debo mi formación profesional y los éxitos que he alcanzado.

INDICE

INTRODUCCION CAPITULO I. OBJETIVOS Y ALCANCES 1.1 Objetivos.................................................................................................................1 CAPITULO II METODOLOGÍA Y PROCEDIMIENTOS UTILIZADO 2.1 Metodología ESA....................................................................................................3 CAPITULO III DIAGNÓSTICO DE LA SITUACIÓN ACTUAL DE LA ADMINISTRACIÓN DE LA SEGURIDAD DE INFORMACIÓN 3.1 3.2 Evaluación ............................................................................................................5 Alcances ............................................................................................................6 CAPITULO IV SEGURIDAD DE LA INFORMACIÓN – ROLES Y ESTRUCTURA ORGANIZACIONAL 4.1 4.2 4.3 Situación actual.....................................................................................................8 Roles y responsabilidades de la estructura organizacional de seguridad de información.....................................................................................................9 Organización del area de seguridad informática propuesta ............. 13 CAPITULO V EVALUACIÓN DE RIESGOS, AMENAZAS Y VULNERABILIDADES 5.1 5.2 5.3 Matriz de uso y estrategia de tecnología ....................................................... 16 Matriz de evaluación de amenazas y vulnerabilidades ............................... 26 Matriz de iniciativas del negocio / procesos .................................................. 38

CAPITULO VI POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN 6.1 6.2 6.3 Definición..............................................................................................................48 Cumplimiento obligatorio ...................................................................................49 Organización de la Seguridad ..........................................................................49 6.3.1 6.3.2 6.3.3 6.4 6.4.1 6.4.2 6.4.3 6.4.4 6.4.5 6.4.6 6.4.7 6.5 Estructura organizacional................................................................. 49 Acceso por parte de terceros........................................................... 50 Outsourcing ......................................................................................... 51 Inventario de activos.......................................................................... 52 Clasificación del acceso de la información.................................... 53 Definiciones........................................................................................ 54 Aplicación de controles para la información clasificada.............. 54 Análisis de riesgo............................................................................... 57 Cumplimiento ...................................................................................... 57 Aceptación de riesgo......................................................................... 58

Evaluacion de riesgo ..........................................................................................51

Seguridad del personal......................................................................................58 6.5.1 Seguridad en la definición de puestos de trabajo y recursos ..... 59 6.5.2 Capacitación de usuarios ................................................................. 60 6.5.3 Procedimientos de respuesta ante incidentes de seguridad..... 61 6.5.3.1 Registro de fallas ............................................................................. 62 6.5.3.2 Intercambios de información y correo electrónico...................... 62 6.5.3.3 Seguridad para media en tránsito ................................................. 64

6.6

Seguridad física de las instalaciones de procesamiento de datos .............64 6.6.1 6.6.2 6.6.3 Protección de las instalaciones de los centros de datos............. 64 Control de acceso a las instalaciones de cómputo ...................... 65 Acuerdo con regulaciones y leyes................................................... 66

6.7

Administración de comunicaciones y operaciones........................................66 6.7.1 Procedimientos y responsabilidades operacionales .................... 66 6.7.1.1 Procedimientos operativos documentados.................................. 66 6.7.1.2 Administración de operaciones realizadas por terceros............ 67 6.7.1.3 Control de cambios operacionales................................................ 67 6.7.1.4 Administración de incidentes de seguridad................................. 68 6.7.1.5 Separación de funciones de operaciones y desarrollo .............. 68 6.7.2 Protección contra virus...................................................................... 69 6.7.3 Copias de respaldo............................................................................ 70

6.8

Control de acceso de datos...............................................................................71 6.8.1 Identificación de usuarios ................................................................. 71

6.8.2 Seguridad de contraseñas................................................................ 72 6.8.2.1 Estructura .......................................................................................... 72 6.8.2.2 Vigencia............................................................................................. 73 6.8.2.3 Reutilización de contraseñas ......................................................... 73 6.8.2.4 Intentos fallidos de ingreso............................................................. 73 6.8.2.5 Seguridad de contraseñas ............................................................. 74 6.8.3 Control de transacciones .................................................................. 74 6.8.4 Control de producción y prueba ...................................................... 75 6.8.5 Controles de acceso de programas ................................................ 76 6.8.6 Administración de acceso de usuarios........................................... 76 6.8.7 Responsabilidades del usuario........................................................ 78 6.8.8 Seguridad de computadoras ............................................................ 79 6.8.9 Control de acceso a redes................................................................ 80 6.8.9.1 Conexiones con redes externas.................................................... 80 6.8.9.2 Estándares generales ..................................................................... 81 6.8.9.3 Política del uso de servicio de redes ............................................ 82 6.8.9.4 Segmentación de redes.................................................................. 83 6.8.9.5 Análisis de riesgo de red ................................................................ 83 6.8.9.6 Acceso remoto(dial-in) .................................................................... 83 6.8.9.7 Encripción de los datos................................................................... 84 6.8.10 Control de acceso al sistema operativo ......................................... 84 6.8.10.1 Estándares generales ................................................................... 84 6.8.10.2 Limitaciones de horario................................................................. 84 6.8.10.3 Administración de contraseñas ................................................... 85 6.8.10.4 Inactividad del sistema.................................................................. 85 6.8.10.5 Estándares de autenticación en los sistemas........................... 85 6.8.11 Control de acceso de aplicación...................................................... 85 6.8.11.1 Restricciones de acceso a información...................................... 86 6.8.11.2 Aislamiento de sistemas críticos................................................. 86 6.8.12 Monitoreo del acceso y uso de los sistemas................................. 86 6.8.12.1 Sincronización del reloj................................................................. 86 6.8.12.2 Responsabilidades generales...................................................... 87 6.8.12.3 Registro de eventos del sistema ................................................. 87 6.8.13 Computación móvil y teletrabajo ..................................................... 87 6.8.13.1 Responsabilidades generales...................................................... 87 6.8.13.2 Acceso remoto ............................................................................... 88 6.9 Desarrollo y mantenimiento de los sistemas..................................................89 6.9.1 Requerimientos de seguridad de sistemas.................................... 89 6.9.1.1 Control de cambios.......................................................................... 89 6.9.1.2 Análisis y especificación de los requerimientos de seguridad . 90 6.9.2 Seguridad en sistemas de aplicación............................................. 90 6.9.2.1 Desarrollo y prueba de aplicaciones............................................. 90 6.10 Cumplimiento normativo ...................................................................................91 6.10.1 Registros ............................................................................................. 91

6.10.2 6.10.3 6.10.4 6.11.1 6.11.2

Revisión de la política de seguridad y cumplimiento técnico ..... 92 Propiedad de los programas ............................................................ 92 Copiado de software adquirido y alquilado.................................... 92 Protección de las herramientas de auditoria ................................. 93 Controles de auditoria de sistemas................................................. 93

6.11 Consideraciones de auditoria de sistemas .....................................................93

6.12 Política de Comercio Electrónico .....................................................................94 6.12.1 Términos e información de comercio electrónico ......................... 95 6.12.1.1 Recolección de información y privacidad .................................. 95 6.12.1.2 Divulgación ..................................................................................... 95 6.12.2 Transferencia electrónica de fondos............................................... 96 6.13 Información almacenada en medios digitales y físicos ................................97 6.13.1 6.13.2 6.13.3 6.13.4 6.13.5 Etiquetado de la información............................................................ 97 Copiado de la información................................................................ 97 Distribución de la información.......................................................... 98 Almacenamiento de la información................................................. 98 Eliminación de la información .......................................................... 99 CAPITULO VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL 7.1 7.2 7.3 7.4 7.5 7.6 7.7 7.8 7.9 Clasificación de información...........................................................................102 Seguridad de red y comunicaciones.............................................................103 Inventario de accesos a los sistemas...........................................................106 Adaptación de contratos con proveedores ..................................................107 Campaña de concientización de usuarios. ..................................................108 Verificación y adaptación de los sistemas del banco.................................109 Estandarización de la configuración del software base.............................110 Revisión, y adaptación de procedimientos complementarios...................111 Cronograma tentativo de implementación...................................................113

CONCLUSIONES Y RECOMENDACIONES ........................................................114 ANEXOS A. B. C. Diseño de arquitectura de seguridad de red ................................................118 Circular n° g-105-2002 publicada por la Superintendencia de Banca y Seguros (SBS) sobre riesgos de tecnología de información.....................121 Detalle: Diagnostico de la Situacion Actual de la Administración de los riesgos de tecnologia de la informacion......................................................................132

BIBLIOGRAFÍA.. ..............................................................................................154

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

RESUMEN

La liberalización y la globalización de los servicios financieros, junto con la creciente sofisticación de la tecnología financiera, están haciendo cada vez más diversas y complejas las actividades de los bancos en términos de Seguridad.

En otros tiempos la seguridad de la información era fácilmente administrable, sólo bastaba con resguardar los documentos más importantes bajo llave y mantener seguros a los empleados que poseen el conocimiento poniendo guardias de seguridad. Hoy en día es más difícil.

Los sistemas electrónicos entraron en las oficinas y obligaron a los sistemas de seguridad a evolucionar para mantenerse al día con la tecnología cambiante. Luego, hace unos 5 años, los negocios, aún las empresas más pequeñas, se conectaron a Internet (una amplia red pública con pocas reglas y sin guardianes).

De manera similar a otro tipo de crímenes, el cuantificar los gastos y pérdidas en seguridad de la información o crímenes cibernéticos es muy difícil. tiende a minimizar los incidentes por motivos muchas veces justificables. Se

Por otro lado el objetivo fundamental de la seguridad no es proteger los sistemas, sino reducir los riesgos y dar soporte a las operaciones del negocio. La computadora más segura del mundo es aquella que está desconectada de cualquier red, enterrada profundamente en algún oscuro desierto y rodeada de guardias armados, pero es también la más inútil.

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

La seguridad es sólo uno de los componentes de la administración de riesgos – minimizar la exposición de la empresa y dar soporte a su capacidad de lograr su misión. Para ser efectiva, la seguridad debe estar integrada a los procesos del negocio y no delegada a algunas aplicaciones técnicas.

Los incidentes de seguridad más devastadores tienden más a ser internos que externos. Muchos de estos incidentes involucran a alguien llevando a cabo una actividad autorizada de un modo no autorizado. Aunque la tecnología tiene cierta ingerencia en limitar esta clase de eventos internos, las verificaciones y balances como parte de los procesos del negocio son mucho más efectivos.

Las computadoras no atacan a las empresas, lo hace la gente. Los empleados bien capacitados tienen mayores oportunidades de detectar y prevenir los incidentes de seguridad antes de que la empresa sufra algún daño. Pero para que los empleados sean activos, se requiere que entiendan como reconocer, responder e informar los problemas – lo cual constituye la piedra angular de la empresa con conciencia de seguridad lo que nosotros llamamos “cultura de seguridad”.

El presente trabajo describe como se define un Plan de Seguridad para una entidad financiera, empieza por definir la estructura organizacional (roles y funciones), después pasa a definir las políticas para finalmente concluir con un plan de implementación o adecuación a las políticas anteriormente definidas.

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

ABSTRACT

The liberalization and globalization of the financial services with the increasing sophistication of the financial technology are facing more complex banking activities in terms of security.

Long time ago, security information was easily management, just it was enough guard the more important documents under the keys and placed employees; who has the knowledge; safe, just placing bodyguards; nowadays it is harder. The electronics systems got in the office and made systems security evolved to be updated with the technology changes. Then, 5 years ago, the business; even the small companies were connected to Internet (a public network with few rules and without security).

In a similar way of other kind of crimes, measure security IT expenses and lost or cybernetic crimes are very difficult. People tend to minimize incidents for justifying reasons.

By the other hand, the main objective of IT Security is not to protect the systems; it is to reduce risks and to support the business operations. The most secure computer in the world is which is disconnected form the network, placed deeply in any dark desert and be surrounded by armed bodyguards, but it is also the most useless.

Security is just one of the components of risk management - minimize the exposition of the business and support the capacity of meet his mission. To be effective, security must be integrated through the business process and not delegate to some technical applications.

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

The more destructive security incidents tend mostly to be internal instead of external. Many of these involve someone taking an authorized activity in a way non-authorized. Although technology has some concern in limit these kind of internal events, the verifications and balances as part of the business process are more effective.

Computers does not attack enterprises, people do it. Employees with knowledge have more opportunities to detect and prevent security incidents before the enterprises suffer a damage. But to make employees more concern, we need that they understand, reply and inform security incidents – which is the most important thing inside the enterprise with security concern, which is called “security culture”.

The present work describes how you can define a Security Plan for a financial enterprise, begin defining define the the Organizational policies and structure finally (roles with and the

responsibilities),

then

ends

Implementation Plan which are the activities to meet the policies before mentioned.

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

INTRODUCCIÓN

Los eventos mundiales recientes han generado un mayor sentido de urgencia que antes con respecto a la necesidad de tener mayor seguridad - física y de otro tipo. Las empresas pueden haber reforzado las medidas de seguridad, pero nunca se sabe cuándo o cómo puede estar expuesta. A fin de brindar la más completa protección empresarial, se requiere de un sistema exhaustivo de seguridad. Es vital implementar un plan de seguridad. Sin embargo, implementar un plan proactivo que indique cómo sobrevivir a los múltiples escenarios también preparará a las empresas en el manejo de las amenazas inesperadas que podría afrontar en el futuro. La mayoría de las empresas ha invertido tiempo y dinero en la construcción de una infraestructura para la tecnología de la información que soporte su compañía, esa infraestructura de TI podría resultar ser una gran debilidad si se ve comprometida. Para las organizaciones que funcionan en la era de la informática interconectadas y con comunicación electrónica, las políticas de información bien documentadas que se comunican, entienden e implementen en toda la empresa, son herramientas comerciales esenciales en el entorno actual para minimizar los riesgos de seguridad. Imagine lo que sucedería si:

La información esencial fuera robada, se perdiera, estuviera en peligro, fuera alterada o borrada.

Los sistemas de correo electrónico no funcionaran durante un día o más. ¿Cuánto costaría esta improductividad?

Los clientes no pudieran enviar órdenes de compra a través de la red durante un prolongado periodo de tiempo.

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

Prepararse para múltiples escenarios parece ser la tendencia creciente. En un informe publicado por Giga Information Group con respecto a las tendencias de TI estimadas para el año 2002, se espera que los ejecutivos corporativos se interesen cada vez más en la prevención de desastres físicos, ciberterrorismo y espionaje de libre competencia. Implementar una política de seguridad completa le da valor intrínseco a su empresa. También mejorará la credibilidad y reputación de la empresa y aumentará la confianza de los accionistas principales, lo que le dará a la empresa una ventaja estratégica.

¿Cómo desarrollar una política de seguridad?

Identifique y evalúe los activos: Qué activos deben protegerse y cómo protegerlos de forma que permitan la prosperidad de la empresa.

Identifique las amenazas: ¿Cuáles son las causas de los potenciales problemas de seguridad? Considere la posibilidad de violaciones a la seguridad y el impacto que tendrían si ocurrieran.

Estas amenazas son externas o internas:
o

Amenazas externas: Se originan fuera de la organización y son los virus, gusanos, caballos de Troya, intentos de ataques de los hackers, retaliaciones de ex-empleados o espionaje industrial.

o

Amenazas internas: Son las amenazas que provienen del interior de la empresa y que pueden ser muy costosas porque el infractor tiene mayor acceso y perspicacia para saber donde reside la información sensible e importante. Las amenazas internas también incluyen el uso indebido del acceso a Internet por parte de los empleados, así como los problemas que podrían

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

ocasionar los empleados al enviar y revisar el material ofensivo a través de Internet.

Evalué los riesgos: Éste puede ser uno de los componentes más desafiantes del desarrollo de una política de seguridad. Debe calcularse la probabilidad de que ocurran ciertos sucesos y determinar cuáles tiene el potencial para causar mucho daño. El costo puede ser más que monetario - se debe asignar un valor a la pérdida de datos, la privacidad, responsabilidad legal, atención pública indeseada, la pérdida de clientes o de la confianza de los inversionistas y los costos asociados con las soluciones para las violaciones a la seguridad.

Asigne las responsabilidades: Seleccione un equipo de desarrollo que ayude a identificar las amenazas potenciales en todas las áreas de la empresa. Sería ideal la participación de un representante por cada departamento de la compañía. Los principales integrantes del equipo serían el administrador de redes, un asesor jurídico, un ejecutivo superior y representantes de los departamentos de Recursos Humanos y Relaciones Públicas.

Establezca políticas de seguridad: Cree una política que apunte a los documentos asociados; parámetros y procedimientos, normas, así como los contratos de empleados. Estos documentos deben tener información específica relacionada con las plataformas informáticas, las plataformas tecnológicas, las responsabilidades del usuario y la estructura organizacional. De esta forma, si se hacen cambios futuros, es más fácil cambiar los documentos subyacentes que la política en sí misma.

Implemente una política en toda la organización: La política que se escoja debe establecer claramente las responsabilidades en cuanto a la seguridad y reconocer quién es el propietario de los sistemas y datos

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

específicos. También puede requerir que todos los empleados firmen la declaración; si la firman, debe comunicarse claramente. Éstas son las tres partes esenciales de cumplimiento que debe incluir la política:
o

Cumplimiento: Indique un procedimiento para garantizar el cumplimiento y las consecuencias potenciales por incumplimiento.

o

Funcionarios de seguridad: Nombre individuos que sean directamente responsables de la seguridad de la información. Asegúrese de que no es la misma persona que supervisa, implementa o revisa la seguridad para que no haya conflicto de intereses.

o

Financiación: Asegúrese de que a cada departamento se le haya asignado los fondos necesarios para poder cumplir

adecuadamente con la política de seguridad de la compañía.

Administre el programa de seguridad: Establezca los procedimientos internos para implementar estos requerimientos y hacer obligatorio su cumplimiento.

Consideraciones importantes A través del proceso de elaboración de una política de seguridad, es importante asegurarse de que la política tenga las siguientes características:

Se pueda implementar y hacer cumplir Sea concisa y fácil de entender Compense la protección con la productividad

• •

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

Una vez la política se aprueba totalmente, debe hacerse asequible a todos los empleados porque, en ultima instancia, ellos son responsables de su éxito. Las políticas deben actualizarse anualmente (o mejor aún cada seis meses) para reflejar los cambios en la organización o cultura. Se debe mencionar que no debe haber dos políticas de seguridad iguales puesto que cada empresa es diferente y los detalles de la política dependen de las necesidades exclusivas de cada una. Sin embargo, usted puede comenzar con un sistema general de políticas de seguridad y luego personalizarlo de acuerdo con sus requerimientos específicos, limitaciones de financiación e infraestructura existente. Una política completa de seguridad de la información es un recurso valioso que amerita la dedicación de tiempo y esfuerzo. La política que adopte su empresa brinda una base sólida para respaldar el plan general de seguridad. Y una base sólida sirve para respaldar una empresa sólida.

BANCO ABC En el presente trabajo desarrollaremos el Plan de Seguridad para una entidad financiera a la cual llamaremos el Banco ABC. El Banco ABC es un banco de capital extranjero, tiene 35 agencias a nivel nacional, ofrece todos los productos financieros conocidos, posee presencia en Internet a través de su pagina web, es un banco mediano cuenta con 500 empleados y es regulado por la Superintendencia de Banca y Seguros.

A lo largo de todo el desarrollo del trabajo describiremos mas en detalle su estructura interna, evaluaremos los riesgos a los cuales están expuestos, para lo cual se realizara un diagnostico objetivo de la situación actual y como se deben contrarrestar, para finalmente terminar diseñando el Plan de Seguridad y

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

las principales actividades que deben ejecutarse para la implementación de las políticas de seguridad.

A continuación describiremos brevemente la situación actual de los aspectos más importantes en la elaboración del Plan de Seguridad; como son la organización, el propio Plan y la adecuación al Plan. A) Organización de seguridad de la información

Actualmente el Banco cuenta con un área de seguridad informática recientemente constituida, los roles y responsabilidades del área no han sido formalizados y las tareas desempeñadas por el área se limitan por ahora al control de accesos de la mayoría de sistemas del Banco. Algunas tareas correspondientes a la administración de seguridad son desarrolladas por el área de sistemas como la administración de red, firewalls y bases de datos, otras tareas son realizadas directamente por las áreas usuarias, y finalmente otras responsabilidades como la elaboración de las políticas y normas de seguridad, concientización de los usuarios, monitoreo de incidentes de seguridad, etc., no han sido asignadas formalmente a ninguna de las áreas. En este sentido, en el presente trabajo detallamos los roles y responsabilidades relacionadas a la administración de seguridad de la información que involucra no solamente a miembros de las áreas de seguridad informática y sistemas como administradores de seguridad de información y custodios de información, sino a los gerentes y jefes de las unidades de negocio como propietarios de información, y a los usuarios en general. B) Diseño del plan de seguridad de la información

Para el diseño del Plan de seguridad de la información se desarrollaran las siguientes etapas:
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

-

Evaluación de riesgos, amenazas y vulnerabilidades

Para la definición del alcance de las políticas y estándares y con el propósito de identificar las implicancias de seguridad del uso y estrategia de tecnología, amenazas y vulnerabilidades y nuevas iniciativas del negocio, se desarrollarán un conjunto de entrevistas con las Gerencias del Banco, personal del área de sistemas, auditoria interna y el área de seguridad informática. Producto de la consolidación de la información obtenida en dichas entrevistas se elaborará unas matrices que se presentarán en el capítulo N° V del presente documento.

-

Políticas de seguridad de información.

Con el objetivo de contar con una guía para la protección de información del Banco, se elaborarán las políticas y estándares de seguridad de la información, tomando en cuenta el estándar de seguridad de información ISO 17799, los requerimientos de la Circular N° G-105-2002 publicada por la Superintendencia de Banca y Seguros (SBS) sobre Riesgos de Tecnología de Información y las normas establecidas internamente por el Banco. Diseño de arquitectura de seguridad de red.

Con el objetivo de controlar las conexiones de la red del Banco con entidades externas y monitorear la actividad realizada a través de dichas conexiones, se elaborará una propuesta de arquitectura de red la cual incluye dispositivos de monitoreo de intrusos y herramientas de inspección de contenido.

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

C) Plan de Implementación

De la identificación de riesgos amenazas y vulnerabilidades relacionadas con la seguridad de la información del Banco, se lograron identificar las actividades más importantes a ser realizadas por el Banco con el propósito de alinear las medidas de seguridad implementadas para proteger la información del Banco, con las Políticas de seguridad y estándares elaborados.

Este plan de alto nivel incluye una descripción de la actividad a ser realizada, las etapas incluidas en su desarrollo y el tiempo estimado de ejecución.

El Autor

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

Capítulo I

OBJETIVOS Y ALCANCES

1.1

Objetivos

El objetivo del presente trabajo es realizar un diagnostico de la situación actual en cuanto a la seguridad de información que el Banco ABC actualmente administra y diseñar un Plan de Seguridad de la Información (PSI) que permita desarrollar operaciones seguras basadas en políticas y estándares claros y conocidos por todo el personal del Banco. Adicionalmente, el presente trabajo contempla la definición de la estrategia y los proyectos más importantes que deben ser llevados a cabo para culminar con el Plan de Implementación.

La

reglamentación que elaboró la SBS con respecto a los riesgos de

tecnología forma parte de un proceso de controles que se irán implementando, tal como lo muestra el gráfico siguiente, los primeros controles fueron enfocados hacia los riesgos propios del negocio (financieros y de capital), y él ultima en ser reglamentado es el que nos aboca hoy, que es el diseño de un Plan de Seguridad Informática (PSI) para esta entidad financiera.

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

Gráfico de Evolución de las regulaciones de la Superintendencia de Banca y Seguros

Riesgos Financieros • • • • • • • •

Riesgos de Negocios

Riesgos de Operaciones

Estructura Rentabilidad Adec. Capital De Crédito De liquidez De Tasa de Interés De Mercado De Moneda

• • •

Riesgo de Política Riesgo País Riesgo Sistémico Riesgo Político Riesgo de Crisis Bancarias Otros

• • • •

Procesos Tecnología Personas Eventos

• • •

1.

Plan de Seguridad Informática PSI

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

Capítulo II

METODOLOGÍA Y PROCEDIMIENTOS UTILIZADOS

2.1 Metodología ESA La estrategia empleada para la planificación y desarrollo del presente trabajo, está basada en la metodología Enterprise Security Arquitecture (ESA) para el diseño de un modelo de seguridad, como marco general establece el diseño de políticas, normas y procedimientos de seguridad para el posterior desarrollo de controles sobre la información de la empresa.

Visión y Estrategia de Seguridad
C o m p r o m i s o la Alta e r e n c i a de G
Iniciativas & P r o c e s o s de Negocios Estrategía d e Tecnología & Uso

Amenazas
Evaluación de Riesgo & Vulnerabilidad

Política Modelo de Seguridad
Arquitectura de Seguridad & Estándares Tecnicos Guías y Procedimientos Adminitrativos y de Usuario Final Procesos de Ejecución Procesos de Monitoreo Procesos de Recuperacíon

E s t r u c t u r a de Administración de S e g u r i d a d de I n f o r m a c i ó n

En el desarrollo del trabajo se utilizaron los siguientes procedimientos de trabajo:

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

P r o g r a m de E n t r e n a m i e ny o a t Concientización

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

1. Entrevistas para la identificación de riesgos amenazas y vulnerabilidades de la organización con el siguiente personal de la empresa:

-

Gerente de División de Negocios. Gerente de División de Riesgos Gerente de División de Administración y Operaciones Gerente de División de Finanzas Gerente de División de Negocios Internacionales Gerente de Negocios Internacionales Gerente de Asesoría Legal Auditor de Sistemas Gerente de Sistemas Gerente Adjunto de Seguridad Informática Asistente de Seguridad Informática

2. Definición y discusión de la organización del área de seguridad informática.

3. Elaboración de las políticas de seguridad de información del Banco tomando como referencia el estándar para seguridad de información ISO 17799, los requerimientos de la Circular N° G-105-2002 publicada por la Superintendencia de Banca y Seguros (SBS) sobre Riesgos de Tecnología de Información y las normas internas del Banco referidas a la seguridad de información.

4. Evaluación de la arquitectura de red actual y diseño de una propuesta de arquitectura de red.

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

Capítulo III

DIAGNÓSTICO DE LA SITUACIÓN ACTUAL DE LA ADMINISTRACIÓN DE LA SEGURIDAD DE INFORMACIÓN

3.1

Evaluación

Efectuada nuestra revisión de la administración de riesgos de tecnología de información del Banco hemos observado que el Plan de Seguridad de Información (PSI) no ha sido desarrollado. Si bien hemos observado la existencia de normas, procedimientos y controles que cubren distintos aspectos de la seguridad de la información, se carece en general de una metodología, guía o marco de trabajo que ayude a la identificación de riesgos y determinación de controles para mitigar los mismos.

Dentro de los distintos aspectos a considerar en la seguridad de la Información, se ha podido observar que se carece de Políticas de seguridad de la Información y de una Clasificación de Seguridad de los activos de Información del Banco. Cabe mencionar que se ha observado la existencia de controles, en el caso de la Seguridad Lógica, sobre los accesos a los sistemas de información así como procedimientos establecidos para el otorgamiento de dichos accesos. De igual manera se ha observado controles establecidos con respecto a la seguridad física y de personal.

Sin embargo, estos controles no obedecen a una definición previa de una Política de Seguridad ni de una evaluación de riesgos de seguridad de la información a nivel de todo el Banco. Los controles establecidos a la fecha son producto de evaluaciones particulares efectuadas por las áreas involucradas o bajo cuyo ámbito de responsabilidad recae cierto aspecto de la seguridad.

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

3.2 Alcances El alcance del diagnóstico de la situación de administración del riesgo de Tecnología de Información, en adelante TI, comprende la revisión de las siguientes funciones al interior del área de sistemas:
• Administración del área de Tecnología de Información

- Estructura organizacional Función de seguridad a dedicación exclusiva

- Políticas y procedimientos para administrar los riesgos de TI - Subcontratación de recursos.
• Actividades de desarrollo y mantenimiento de sistemas informáticos • Seguridad de la Información

- Administración de la Seguridad de la Información. - Aspectos de la seguridad de la información (lógica, personal y física y ambiental) - Inventario periódico de activos asociados a TI
• Operaciones computarizadas

- Administración de las operaciones y comunicaciones - Procedimientos de respaldo - Planeamiento para la continuidad de negocios Prueba del plan de continuidad de negocios

Asimismo, comprende la revisión de los siguientes aspectos:
• Cumplimiento normativo • Privacidad de la información • Auditoria de sistemas

El siguiente cuadro muestra el grado de cumplimiento en los aspectos relacionados a la adecuación del Plan de Seguridad:

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

Aspectos Evaluados
1 2 2.1 2.1.1.

Grado de Cumplimiento

Estructura de la seguridad de la Información Plan de seguridad de la Información Políticas, estándares y procedimientos de seguridad. Seguridad Lógica Seguridad de Personal Seguridad Física y Ambiental Clasificación de Seguridad Administración de las operaciones y comunicaciones Desarrollo y mantenimiento de sistemas informáticos Procedimientos de respaldo Plan de continuidad de negocios Planeamiento para la Continuidad de Negocios Criterios para el diseño e implementación del Plan de continuidad de Negocios

2.1.2 2.1.3

2.1.4 3 4 5 6 6.1

6.2

6.3 7 8 9 10

Prueba del Plan de Continuidad de Negocios Subcontratación Cumplimiento normativo Privacidad de la información Auditoria de Sistemas

Una descripción mas detallada de los aspectos evaluados pueden ser encontrados en el Anexo C.

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

Capítulo IV

SEGURIDAD DE LA INFORMACIÓN – ROLES Y ESTRUCTURA ORGANIZACIONAL

4.1

Situación actual

La administración de seguridad de información se encuentra distribuida principalmente entre las áreas de sistemas y el área de seguridad informática. En algunos casos, la administración de accesos es realizada por la jefatura o gerencia del área que utiliza la aplicación.

Las labores de seguridad realizadas actualmente por el área de seguridad informática son las siguientes: Creación y eliminación de usuarios Verificación y asignación de perfiles en las aplicaciones

Las labores de seguridad realizadas por el área de sistemas son las siguientes: Control de red Administración del firewall Administración de accesos a bases de datos

Las funciones de desarrollo y mantenimiento de políticas y estándares de seguridad no están definidas dentro de los roles de la organización. Cabe mencionar que el acceso con privilegio administrativo al computador central es restringido, el área de seguridad informática define una contraseña, la cual es enviada a la oficina de seguridad (Gerencia de Administración) en un sobre cerrado, en caso de necesitarse acceso con dicho privilegio, la contraseña puede ser obtenida por el gerente de sistemas o el jefe de soporte
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

técnico y producción, solicitando el sobre a la oficina de seguridad. Luego deben realizar un informe sobre la actividad realizada en el computador central. 4.2 ROLES Y RESPONSABILIDADES DE LA ESTRUCTURA ORGANIZACIONAL DE SEGURIDAD DE INFORMACIÓN El área organizacional encargada de la administración de seguridad de información debe soportar los objetivos de seguridad de información del Banco. Dentro de sus responsabilidades se encuentran la gestión del plan de seguridad de información así como la coordinación de esfuerzos entre el personal de sistemas y los empleados de las áreas de negocios, siendo éstos últimos los responsables de la información que utilizan. Asimismo, es responsable de promover la seguridad de información a lo largo de la organización con el fin de incluirla en el planeamiento y ejecución de los objetivos del negocio.

Es importante mencionar que las responsabilidades referentes a la seguridad de información son distribuidas dentro de toda la organización y no son de entera responsabilidad del área de seguridad informática, en ese sentido existen roles adicionales que recaen en los propietarios de la información, los custodios de información y el área de auditoria interna. Los propietarios de la información deben verificar la integridad de su información y velar por que se mantenga la disponibilidad y confidencialidad de la misma.

Los custodios de información tienen la responsabilidad de monitorear el cumplimiento de las actividades encargadas y el área de auditoria interna debe monitorear el cumplimiento de la política de seguridad y el cumplimiento adecuado de los procesos definidos para mantener la seguridad de información.

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

A continuación presentamos los roles y responsabilidades relacionadas a la administración de seguridad de información: Área de Seguridad Informática. El área organizacional encargada de la administración de seguridad de información tiene como responsabilidades:

Establecer y documentar las responsabilidades de la organización en cuanto a seguridad de información.

Mantener la política y estándares de seguridad de información de la organización.

Identificar objetivos de seguridad y estándares del Banco (prevención de virus, uso de herramientas de monitoreo, etc.)

• •

Definir metodologías y procesos relacionados a la seguridad de información. Comunicar aspectos básicos de seguridad de información a los empleados del Banco. Esto incluye un programa de concientización para comunicar aspectos básicos de seguridad de información y de las políticas del Banco.

Desarrollar controles para las tecnologías que utiliza la organización. Esto incluye el monitoreo de vulnerabilidades documentadas por los proveedores.

• • •

Monitorear el cumplimiento de la política de seguridad del Banco. Controlar e investigar incidentes de seguridad o violaciones de seguridad. Realizar una evaluación periódica de vulnerabilidades de los sistemas que conforman la red de datos del Banco.

Evaluar aspectos de seguridad de productos de tecnología, sistemas o aplicaciones utilizados en el Banco.

Asistir a las gerencias de división en la evaluación de seguridad de las iniciativas del negocio.

Verificar que cada activo de información del Banco haya sido asignado a un “propietario” el cual debe definir los requerimientos de seguridad como

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

políticas de protección, perfiles de acceso, respuesta ante incidentes y sea responsable final del mismo.

Administrar un programa de clasificación de activos de información, incluyendo la identificación de los propietarios de las aplicaciones y datos.

Coordinación de todas las funciones relacionadas a seguridad, como seguridad física, seguridad de personal y seguridad de información almacenada en medios no electrónicos.

• • • •

Desarrollar y administrar el presupuesto de seguridad de información. Reportar periódicamente a la gerencia de Administración y Operaciones. Administración de accesos a las principales aplicaciones del Banco. Elaborar y mantener un registro con la relación de los accesos de los usuarios sobre los sistemas y aplicaciones del Banco y realizar revisiones periódicas de la configuración de dichos accesos en los sistemas.

Controlar aspectos de seguridad en el intercambio de información con entidades externas.

Monitorear la aplicación de los controles de seguridad física de los principales activos de información.

Custodio de Información: Es el responsable de la administración diaria de la seguridad en los sistemas de información y el monitoreo del cumplimiento de las políticas de seguridad en los sistemas que se encuentran bajo su administración. Sus responsabilidades son:
• • •

Administrar accesos a nivel de red (sistema operativo). Administrar accesos a nivel de bases de datos. Administrar los accesos a archivos físicos de información almacenada en medios magnéticos (diskettes, cintas), ópticos (cd´s) o impresa.

Implementar controles definidos para los sistemas de información, incluyendo investigación e implementación de actualizaciones de seguridad

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

de los sistemas (service packs, fixes, etc.) en coordinación con el área de seguridad informática.
• •

Desarrollar procedimientos de autorización y autenticación. Monitorear el cumplimiento de la política y procedimientos de seguridad en los activos de información que custodia.

• •

Investigar brechas e incidentes de seguridad. Entrenar a los empleados en aspectos de seguridad de información en nuevas tecnologías o sistemas implantados bajo su custodia.

Asistir y administrar los procedimientos de backup, recuperación y plan de continuidad de sistemas.

Usuario: Las responsabilidades de los usuarios finales, es decir, aquellas personas que utilizan información del Banco como parte de su trabajo diario están definidas a continuación:
• • • • •

Mantener la confidencialidad de las contraseñas de aplicaciones y sistemas. Reportar supuestas violaciones de la seguridad de información. Asegurarse de ingresar información adecuada a los sistemas. Adecuarse a las políticas de seguridad del Banco. Utilizar la información del Banco únicamente para los propósitos autorizados.

Propietario de Información: Los propietarios de información son los gerentes y jefes de las unidades de negocio, los cuales, son responsables de la información que se genera y se utiliza en las operaciones de su unidad. Las áreas de negocios deben ser conscientes de los riesgos de tal forma que sea posible tomar decisiones para disminuir los mismos. Entre las responsabilidades de los propietarios de información se tienen:

Asignar los niveles iniciales de clasificación de información.

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

Revisión periódica de la clasificación de la información con el propósito de verificar que cumpla con los requerimientos del negocio.

Asegurar que los controles de seguridad aplicados sean consistentes con la clasificación realizada.

• • •

Determinar los criterios y niveles de acceso a la información. Revisar periódicamente los niveles de acceso a los sistemas a su cargo. Determinar los requerimientos de copias de respaldo para la información que les pertenece.

• •

Tomar las acciones adecuadas en caso de violaciones de seguridad. Verificar periódicamente la integridad y coherencia de la información producto de los procesos de su área.

Auditoria Interna: El personal de auditoria interna es responsable de monitorear el cumplimiento de los estándares y guías definidas en las políticas internas. Una estrecha relación del área de auditoria interna con el área de seguridad informática es crítica para la protección de los activos de información. Por lo tanto dentro del plan anual de evaluación del área de auditoria interna se debe incluir la evaluación periódica de los controles de seguridad de información definidos por el Banco. Auditoria interna debe colaborar con el área de seguridad informática en la identificación de amenazas y vulnerabilidades referentes a la seguridad de información del Banco. 4.3 ORGANIZACIÓN DEL AREA DE SEGURIDAD INFORMÁTICA PROPUESTA Dado el volumen de operaciones y la criticidad que presenta la información para el negocio del Banco y tomando en cuenta las mejores prácticas de la industria, es necesaria la existencia de un área organizacional que administre la seguridad informática. Como requisito indispensable, esta área debe ser
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

independiente de la Gerencia de Sistemas, la cual en muchos casos es la ejecutora de las normas y medidas de seguridad elaboradas.

Este proceso de independización de la administración de la seguridad del área de sistemas ya fue iniciado por el Banco al crear el área de seguridad informática, la cual, reporta a la Gerencia de división de Administración y Operaciones.

Considerando la falta de recursos con el perfil requerido que puedan ser rápidamente reasignados, el proceso de entendimiento y asimilación de las responsabilidades, los roles definidos correspondientes al área de seguridad informática, y la necesidad de implementar un esquema adecuado de seguridad, proponemos definir una estructura organizacional de seguridad transitoria en la cual se creará un comité de coordinación de seguridad de la información para la definición de los objetivos del área y el monitoreo de las actividades de la misma.

El comité de coordinación de seguridad de la información, estará conformado por las siguientes personas:
• • • •

Gerente de división de Administración y Operaciones (presidente del

comité). Jefe del área de seguridad informática (responsable del comité). Gerente de Sistemas. Auditor de Sistemas. Jefe del departamento de Riesgo Operativo y Tecnológico.

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

Comité de Coordinación de Seguridad de la Információn

Gerente de Administración y Operaciones

Seguridad Informática

Sistemas

Contraloría General

Operaciones

Recursos Humanos

Administración

Fig. 1: Estructura organizacional transitoria propuesta para la administración de la seguridad de información.

Gerente de División de Administración y Operaciones (Presidente del Comité)

Gerente de Sistemas

Jefe de Departamente de Riesgo Operativo y Tecnológico

Auditor de Sistemas

Jefe de Seguridad Informática (Responsable)

Fig. 2: Organización del Comité de coordinación de Seguridad de la Información.

Este comité, determinará el gradual traslado de las responsabilidades de seguridad al área de seguridad informática, monitoreará las labores realizadas por el área, colaborando a su vez con el entendimiento de la plataforma tecnológica, los procesos del negocio del Banco y la planificación inicial de actividades que desarrollará el área a corto plazo.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

El comité de coordinación deberá reunirse con una frecuencia quincenal, con la posibilidad de convocar reuniones de emergencia en caso de existir alguna necesidad que lo amerite.

Es importante resaltar que luego que el área de seguridad informática haya logrado una asimilación de sus funciones, un entendimiento de los procesos del negocio del Banco y una adecuada interrelación con las gerencias de las distintas divisiones del Banco, el jefe de área de seguridad informática debe reportar directamente al Gerente de división de Administración y Operaciones, convirtiéndose el comité de coordinación de seguridad informática, en un ente consultivo, dejando la labor de monitoreo a la gerencia de división.

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

Capítulo V

EVALUACIÓN DE RIESGOS, AMENAZAS Y VULNERABILIDADES

Con el propósito de obtener un adecuado entendimiento de la implicancia que tiene el uso de tecnología, las amenazas y vulnerabilidades, así como las iniciativas del negocio sobre la seguridad de la información del Banco, se efectuaron entrevistas, de las cuales se obtuvo las siguientes tres matrices, que nos muestran la implicancia en seguridad que presentan cada uno de los factores mencionados anteriormente, así como el estándar o medida a aplicar para minimizar los riesgos correspondientes. 5.1 Matriz de uso y estrategia de tecnología Esta matriz muestra la tecnología utilizada actualmente por el Banco y los cambios estratégicos planificados que impactan en ella, las implicancias de seguridad asociadas al uso de tecnología y los estándares o medidas propuestas para minimizar los riesgos generados por la tecnología empleada.

Tecnología Actual Windows NT, Windows 2000

Implicancia de seguridad

Estándar o medida de seguridad a aplicar

Se debe contar con controles de acceso adecuados a la data y sistemas soportados por el Sistema Operativo.

Estándar de mejores prácticas de seguridad para Windows NT Estándar de mejores prácticas de seguridad para Windows 2000.

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

Tecnología OS/400

Implicancia de seguridad Se debe contar con controles de acceso adecuados a la data y sistemas soportados por el computador Central. Los controles que posee este servidor deben ser lo más restrictivos posibles pues es el blanco potencial de la mayoría de intentos de acceso no autorizado.

Estándar o medida de seguridad a aplicar Estándar de mejores prácticas de seguridad para OS/400.

Base de datos SQL Server

Se debe contar con controles de acceso a información de los sistemas que soportan el negocio de la Compañía. •

Estándar de mejores prácticas de seguridad para bases de datos SQL Server. •

Banca electrónica a través de Internet.

El servidor Web se encuentra en calidad de "hosting" en Telefónica Data, se debe asegurar que el equipo cuente con las medidas de seguridad necesarias, tanto físicas como lógicas.

Estándares de encripción de información transmitida.

Cláusulas de confidencialidad y delimitación de responsabilidades en contratos con proveedores.

La transmisión de los datos es realizada a través de un medio público (Internet), se debe contar con medidas adecuadas para mantener •

Acuerdos de nivel de servicios con proveedores, en los cuales se detalle el

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

Tecnología

Implicancia de seguridad la confidencialidad de la información (encripción de la data). • El servidor Web que es accedido por los clientes puede ser blanco potencial de actividad vandálica con el propósito de afectar la imagen del Banco. • La disponibilidad del sistema es un factor clave para el éxito del servicio. • Transmisión de información • por medios públicos sin posibilidad de protección adicional. • Imposibilidad de mantener la confidencialidad de las operaciones con el proveedor del servicio telefónico. • Posibilidad de obtención de números de tarjeta y contraseñas del canal de transmisión telefónico. • • • •

Estándar o medida de seguridad a aplicar porcentaje mínimo de disponibilidad del sistema. Evaluación independiente de la seguridad del servidor que brinda el servicio, o acreditación de la misma por parte del proveedor.

Banca telefónica

Establecimiento de límites adecuados a las operaciones realizadas por vía telefónica. Posibilidad de registrar el número telefónico origen de la llamada. Controles en los sistemas de grabación de llamadas telefónica. Evaluar la posibilidad de notificar al cliente de manera automática e inmediata luego de realizada la operación.

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

Tecnología Sistema Central Core Bancario •

Implicancia de seguridad El sistema central es el sistema que soporta gran parte de los procesos del negocio del Banco, por lo tanto, todo acceso no autorizado al servidor representa un riesgo potencial para el negocio. • • • •

Estándar o medida de seguridad a aplicar Estándar de mejores prácticas de seguridad para OS/400. Revisión periódica de los accesos otorgados a los usuarios del sistema. Monitoreo periódico de la actividad realizada en el servidor. Verificación del control dual de aprobación en transacciones sensibles.

MIS (Management Information System)

El acceso a repositorios de información sensible debe ser restringido adecuadamente.

Estándares de seguridad de Windows 2000, bases de datos.

Adecuados controles de acceso y otorgamiento de perfiles a la aplicación.

Desarrollo de aplicaciones para las unidades de negocio, en periodos muy cortos.

Los proyectos de desarrollo en periodos muy cortos, comprenden un acelerado desarrollo de sistemas; la aplicación de medidas de seguridad, debería encontrarse incluida en el desarrollo del proyecto.

Estándar de mejores prácticas de seguridad para Windows 2000, OS/400.

Metodología para el desarrollo de aplicaciones.

Procedimientos de

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

Tecnología •

Implicancia de seguridad El tiempo de pase a producción de un nuevo sistema que soportará un producto estratégico, es muy importante para el éxito del negocio, lo cual puede originar que no se tomen las medidas de seguridad necesarias antes del pase a producción de los nuevos sistemas. • • • •

Estándar o medida de seguridad a aplicar control de cambios. Evaluación de requerimientos de seguridad de los sistemas antes de su pase a producción. Estándar de mejores prácticas de seguridad para aplicaciones distribuidas.

Computadoras personales.

Se debe contar con adecuados controles de acceso a información existente en computadoras personales.

Concientización y entrenamiento de los usuarios en temas de seguridad de la información.

Se requieren adecuados controles de accesos a la información de los sistemas desde las computadoras personales de usuarios.

Implementación de mayores controles de seguridad para computadoras personales.

La existencia de diversos sistemas operativos en el parque de computadores personales, tales como, Windows 95, Windows 98, Windows NT, Windows

Finalización del proyecto de migración de la plataforma de computadoras personales al sistema operativo Windows 2000

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

Tecnología

Implicancia de seguridad 2000 Professional, Windows XP, impide estandarizar la configuración de los sistemas. • Debe existir un control sobre los dispositivos que pudieran facilitar fuga de información (disqueteras, grabadoras de cd's, impresoras personales, etc.) • Se debe controlar y monitorear las aplicaciones y sistemas instalados en las PC´s • • • • • •

Estándar o medida de seguridad a aplicar y Windows XP. Estándares de mejores prácticas de seguridad para estaciones de trabajo. Actualización periódica de inventarios del software instalado. Monitoreo periódico de carpetas compartidas. Monitoreo de actividad de los usuarios, sistemas de detección de intrusos.

Correo electrónico

Posibilidad de interceptación no autorizada de mensajes de correo electrónico.

Se debe contar con estándares de encripción para los mensajes de correo electrónico que contengan información confidencial.

Riesgo de acceso no autorizado a información del servidor. •

Estándares de mejores prácticas de seguridad para Windows NT y Lotus Notes.

Posibilidad de utilización de recursos por parte de personas no autorizadas, para enviar correo •

Configuración de anti-

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

Tecnología

Implicancia de seguridad electrónico a terceros (relay no autorizado). • Posibilidad de recepción de correo inservible (SPAM). • • •

Estándar o medida de seguridad a aplicar relay. Implementación de un sistema de seguridad del contenido SMTP. Políticas de seguridad. Estándares de mejores prácticas de seguridad para servidores Windows NT, Windows 2000, correo electrónico, servidores Web y equipos de comunicaciones. • Delimitación de responsabilidades referentes a la seguridad de información en contratos con proveedores. • Mejores prácticas de seguridad para configuración de Firewalls. • Diseño e implementación de una arquitectura de seguridad de

Conexión a Internet y redes públicas / Firewall.

Riesgos de accesos no autorizados desde Internet y redes externas hacia los sistemas del Banco.

Adecuado uso del acceso a Internet por parte de los usuarios.

Los dispositivos que permiten controlar accesos, tales como, firewalls, servidores proxy, etc. Deben contar con medidas de seguridad adecuadas para evitar su manipulación por personas no autorizadas.

Riesgo de acceso no autorizado desde socios de negocios hacia los sistemas de La Compañía.

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

Tecnología

Implicancia de seguridad

Estándar o medida de seguridad a aplicar red.Utilización de sistemas de detección de intrusos. • Especificación de acuerdos de nivel de servicio con el proveedor. • Controles y filtros para el acceso a Internet.

En Proyecto Cambios en la infraestructura de red. • Los cambios en la infraestructura de red pueden generar nuevas puertas de entrada a intrusos si los cambios no son realizados con una adecuada planificación. • Una falla en la configuración de equipos de comunicaciones puede generar falta de disponibilidad de sistemas. • Un diseño de red inadecuado puede facilitar el ingreso no autorizado a la red de datos. Software de Riesgo de acceso no • Estándar de seguridad • • • Elaboración de una arquitectura de red con medidas de seguridad adecuadas. Establecer controles de acceso adecuados a la configuración de los equipos de comunicaciones. Plan de migración de infraestructura de red.

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

Tecnología administración remota de PC´s y servidores.

Implicancia de seguridad autorizado a las consolas de administración y agentes de administración remota. • • •

Estándar o medida de seguridad a aplicar para Windows NT Estándar de seguridad para Windows 2000 Estándar de seguridad para Windows XP Controles de acceso adecuados a las consolas y agentes de administración remota. • Establecimiento de adecuados procedimientos para tomar control remoto de PC´s o servidores. • Adecuada configuración del registro (log) de actividad realizada mediante administración remota.

Migración de servidores Windows NT Server a Windows 2000 Server.

Posibilidad de error en el traslado de los usuarios y permisos de acceso a los directorios de los nuevos servidores.

• • • •

Estándares de seguridad para Windows 2000. Procedimientos de control de cambios. Plan de migración a Windows 2000. Políticas de seguridad.

Posibilidad de existencia de vulnerabilidades no conocidas anteriormente.

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

Tecnología Implantación de Datawarehouse. •

Implicancia de seguridad Información sensible almacenada en un repositorio centralizado, requiere de controles de acceso adecuados. • La disponibilidad del sistema debe ser alta para no afectar las operaciones que soporta. • • • • •

Estándar o medida de seguridad a aplicar Estándares de Seguridad para Windows 2000. Estándar de seguridad en bases de datos SQL. Plan de implantación de Datawarehouse. Procedimientos para otorgamiento de perfiles. Políticas de seguridad.

5.2 Matriz de Evaluación de Amenazas y Vulnerabilidades En esta matriz se muestra los riesgos y amenazas identificadas, las implicancias de seguridad y los estándares o medidas de seguridad necesarias para mitigar dicha amenaza.

Amenaza / Vulnerabilidad Riesgos/ Amenazas Interés en obtener información estratégica del Banco, por parte de competidores de negocio.

Implicancia de Seguridad

Estándar o medida de seguridad a aplicar •

La existencia de información atractiva para competidores de negocio tales como información de clientes e información de marketing implica la aplicación de controles adecuados para el

Estándares de seguridad para servidores Windows 2000, Windows NT y OS/400.

Control de acceso a las aplicaciones del Banco. Revisión y depuración

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

Amenaza / Vulnerabilidad

Implicancia de Seguridad acceso a información. •

Estándar o medida de seguridad a aplicar periódica de los accesos otorgados. Restricciones en el manejo de información enviada por correo electrónico hacia redes externas, extraída en disquetes o cd´s e información impresa. • Verificación de la información impresa en reportes, evitar mostrar información innecesaria en ellos. • Políticas de seguridad. Estándares de seguridad para Windows NT, Windows 2000, OS/400 y bases de datos SQL. • Controles de accesos a los menús de las aplicaciones. Revisiones periódicas de los niveles de accesos de los usuarios. • Evaluación periódica de la integridad de la •

Interés en obtener beneficios económicos mediante actividad fraudulenta.

Debido al volumen de dinero que es administrado por es administrado por una entidad financiera, la amenaza de intento de fraude es una posibilidad muy tentadora tanto para personal interno del

Banco, así como para personal • externo.

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

Amenaza / Vulnerabilidad

Implicancia de Seguridad

Estándar o medida de seguridad a aplicar información por parte del propietario de la misma. • Revisiones periódicas de los registros (logs) de los sistemas y operaciones realizadas. • Mejores prácticas para configuración de firewalls, servidores y equipos de comunicaciones.

Actividad vandálica realizada por “hackers” o “crackers”

La actividad desarrollada por “hackers” o “crackers” de sistemas, puede afectar la disponibilidad, integridad y confidencialidad de la información del negocio. Estos actos vandálicos pueden ser desarrollados por personal interno o externo al Banco.

Estándares de seguridad para servidores Windows 2000.

Estándares de seguridad para servidores Windows NT.

Delimitación de responsabilidades y sanciones en los contratos con proveedores de servicios en calidad de “hosting”.

Adicionalmente si dicha actividad es realizada contra equipos que proveen servicios a los clientes (página Web del banco) la imagen y •

Verificación de evaluaciones periódicas o certificaciones de la seguridad de los

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

Amenaza / Vulnerabilidad

Implicancia de Seguridad reputación del Banco se podría ver afectada en un grado muy importante. •

Estándar o medida de seguridad a aplicar sistemas en calidad de “hosting”. Concientización y compromiso formal de los usuarios en temas relacionados a la seguridad de información. • Políticas de Seguridad. Adecuada arquitectura e implementación del sistema antivirus. • Verificación periódica de la actualización del antivirus de computadoras personales y servidores. • Generación periódica de reportes de virus detectados y actualización de antivirus.

Pérdida de información producto de infección por virus informático.

El riesgo de pérdida de información por virus informático es alto si no se administra adecuadamente el sistema Antivirus y los usuarios no han sido concientizados en seguridad de información

Fuga de información a través del personal que ingresa de manera temporal

Los accesos otorgados al personal temporal deben ser controlados adecuadamente, asimismo la actividad realizada por

• •

Control adecuado de los accesos otorgados. Depuración periódica de accesos otorgados a los sistemas.

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

Amenaza / Vulnerabilidad en sustitución de empleados en vacaciones. •

Implicancia de Seguridad los mismos en los sistemas debe ser periódicamente monitoreada. El personal temporal podría realizar actividad no autorizada, la cual podría ser detectada cuando haya finalizado sus labores en el Banco. • •

Estándar o medida de seguridad a aplicar Restricciones en acceso a correo electrónico y transferencia de archivos hacia Internet. Adecuada configuración y revisión periódica de los registros (logs) de aplicaciones y sistema operativo.

Vulnerabilidades No se cuenta con un inventario de perfiles de acceso a las aplicaciones. El control sobre la actividad de los usuarios en los sistemas es llevado a cabo en muchos casos, mediante perfiles de usuarios controlando así los privilegios de acceso a los sistemas. • • Se debe contar con un inventario de los accesos que poseen los usuarios sobre las aplicaciones. Revisiones periódicas de los perfiles y accesos de los usuarios por parte del propietario de la información. Exceso de contraseñas manejadas por los usuarios. La necesidad de utilizar contraseñas distintas para cada sistema o aplicación del Banco, puede afectar la seguridad en la medida que el usuario no sea capaz de • • Uniformizar dentro de lo posible la estructura de las contraseñas empleadas y sus fechas de renovación. Implementar un sistema

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

Amenaza / Vulnerabilidad

Implicancia de Seguridad retener en la memoria, la relación de nombres de usuario y contraseñas utilizadas en todos los sistemas. La necesidad de anotar las contraseñas por parte de los usuarios, expone las mismas a acceso por parte de personal no autorizado. •

Estándar o medida de seguridad a aplicar de Servicio de directorio, el cual permita al usuario identificarse en él, y mediante un proceso automático, éste lo identifique en los sistemas en los cuales posee acceso.

Existencia de usuarios del área de desarrollo y personal temporal con acceso al entorno de producción.

El ambiente de producción debe contar con controles de acceso adecuados con respecto los usuarios de desarrollo, esto incluye las aplicaciones y bases de datos de las mismas.

Inventario y depuración de perfiles de acceso que poseen los usuarios de desarrollo en el entorno de producción.

Adecuada segregación de funciones del personal del área de sistemas.

• Aplicaciones cuyo acceso no es controlado por el área de seguridad informática. El área de seguridad informática debe participar en el proceso de asignación de accesos a las aplicaciones del Banco y verificar que la solicitud de accesos sea coherente con el cargo del • •

Procedimiento de pase a producción. Formalización de roles y responsabilidades del área de seguridad informática. Traslado de la responsabilidad del control de accesos a

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

Amenaza / Vulnerabilidad

Implicancia de Seguridad usuario. El gerente que aprueba la solicitud es el responsable de los accesos que solicita para los usuarios de su área. •

Estándar o medida de seguridad a aplicar aplicaciones al área de seguridad informática.

Falta de conciencia en seguridad por parte del personal del Banco.

El personal del Banco es el vínculo entre la política de seguridad y su implementación final para aplicar la política de seguridad, se pueden establecer controles y un monitoreo constante, pero la persona es siempre el punto más débil de la cadena de seguridad, este riesgo se puede incrementar si el usuario no recibe una adecuada capacitación y orientación en seguridad de información.

Programa de capacitación del Banco en temas relacionados a la seguridad de información.

Capacitación mediante charlas, videos, presentaciones, afiches, etc., los cuales recuerden permanentemente al usuario la importancia de la seguridad de información.

Falta de personal con conocimientos técnicos de seguridad informática.

Para una adecuada administración de la seguridad informática se requiere personal capacitado que pueda cumplir las labores de elaboración de políticas y administración de seguridad

Capacitación del personal técnico en temas de seguridad de información o inclusión nuevo de personal con conocimientos de seguridad de

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

Amenaza / Vulnerabilidad

Implicancia de Seguridad en el área de seguridad informática, así como implementación de controles y configuración de sistemas en el área de sistemas. •

Estándar o medida de seguridad a aplicar información para las áreas de seguridad informática y sistemas.

Falta de controles adecuados para la información que envían los usuarios hacia Internet.

El acceso hacia Internet por medios como correo electrónico, ftp (file transfer protocol) o incluso web en algunos casos, puede facilitar la fuga de información confidencial del Banco. El Banco ha invertido en la implementación de una herramienta para el filtrado de las páginas web que son accedidas por los usuarios, se debe asegurar que dicho control sea adecuadamente aplicado.

Configuración adecuada del servidor Proxy y la herramienta Surf Control.

Generación periódica de reportes de la efectividad de los controles aplicados.

Implementación de una adecuada arquitectura de red.

Mejores prácticas para la configuración de Firewalls.

Implementación y administración de

Vulnerabilidades: • No existen controles adecuados sobre el personal autorizado a enviar correo electrónico al exterior.

herramientas para la inspección del contenido de los correos electrónicos enviados.

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

Amenaza / Vulnerabilidad •

Implicancia de Seguridad No existen herramientas de inspección de contenido para correo electrónico. • Se pudo observar que usuarios que no se han identificado en el dominio del Banco, pueden acceder al servicio de navegación a través del servidor Proxy. •

Estándar o medida de seguridad a aplicar

No existen controles adecuados para la información almacenada en las computadoras personales.

Existe información almacenada en las computadoras personales de los usuarios que requiere ciertos niveles de seguridad. Los usuarios deben contar con procedimientos para realizar copias de respaldo de su información importante. Vulnerabilidades: • El sistema operativo Windows 95/98 no permite otorgar niveles apropiados de seguridad a la información existente en ellas. • No existe un procedimiento para verificación periódica

Establecimiento de un procedimiento formal que contemple la generación de copia de respaldo de información importante de los usuarios.

Concluir el proceso de migración del sistema operativo de las computadoras personales a Windows 2000 Professional o Windows XP.

Concientización de usuarios en temas relacionados a la seguridad de la

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

Amenaza / Vulnerabilidad

Implicancia de Seguridad de las carpetas compartidas por los usuarios. • El procedimiento para realizar copias de respaldo de la información importante no es conocido por todos los usuarios. • •

Estándar o medida de seguridad a aplicar información.

Arquitectura de red Posibilidad de acceso no inapropiada para controlar accesos desde redes externas. autorizado a sistemas por parte de personal externo al Banco. Vulnerabilidades: • Existencia de redes externas se conectan con la red del Banco sin la protección de un firewall. • Los servidores de acceso público no se encuentran aislados de la red interna. Fuga de información estratégica mediante sustracción de computadores Es posible obtener la información existente en las computadoras portátiles de los gerentes del banco mediante el robo de las mismas.

Diseño de arquitectura de seguridad de red. Adecuada configuración de elementos de control de conexiones (firewalls).

Implementación y administración de herramientas de seguridad.

Programas para encripción de la data confidencial existente en los discos duros de las computadoras portátiles.

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

Amenaza / Vulnerabilidad portátiles. Acceso no autorizado a través de enlaces inalámbricos. •

Implicancia de Seguridad

Estándar o medida de seguridad a aplicar • •

El riesgo de contar con segmentos de red inalámbricos sin medidas de seguridad específicas para este tipo de enlaces, radica en que cualquier persona podría conectar un equipo externo al Banco incluso desde un edificio cercano.

Evaluación del alcance de la red inalámbrica. Separación del segmento de red inalámbrico mediante un Firewall.

Verificación periódica de la actividad realizada desde la red inalámbrica.

• Controles de acceso hacia Internet desde la red interna. • • • •

Utilización de encripción .

Posibilidad de acceso no autorizado desde la red interna de datos hacia equipos de terceros en Internet. Posibilidad de fuga de información. Posibilidad de realización de actividad ilegal en equipos de terceros a través de Internet.

Implementación de una adecuada arquitectura de red.

• •

Configuración adecuada de servidor Proxy. Mejores prácticas para la configuración de Firewalls.

Implementación y administración de herramientas para la seguridad del contenido de los correos electrónicos enviados.

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

Amenaza / Vulnerabilidad

Implicancia de Seguridad •

Estándar o medida de seguridad a aplicar Monitoreo periódico de la actividad, mediante el análisis de los registros (logs) de los sistemas.

5.3 Matriz de Iniciativas del Negocio / Procesos En esta matriz se muestra las iniciativas y operaciones del negocio que poseen alta implicancia en seguridad y los estándares o medidas de seguridad a ser aplicados para minimizar los riesgos generados por ellas.

Iniciativa del Negocio

Implicancia de Seguridad

Estándar o medida de seguridad a aplicar

Iniciativas del Negocio Implantación de Datawarehouse. • Información sensible almacenada en un repositorio centralizado, requiere de controles de acceso adecuados. • La disponibilidad del sistema debe ser alta para no afectar las operaciones que soporta. • • • • Estándar de mejores prácticas de seguridad para Windows NT Estándar de mejores prácticas de seguridad para Windows Plan de implantación de Datawarehouse. Procedimientos para otorgamiento de perfiles.

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

Iniciativa del Negocio

Implicancia de Seguridad

Estándar o medida de seguridad a aplicar • Implementación de una arquitectura de red segura.

Proyecto de tercerización del Call Center

Consulta de información existente en los sistemas por parte de terceros.

Especificación de responsabilidades y obligaciones referentes a la seguridad de la información del Banco, en los contratos con terceros.

Registro de información en los sistemas por parte de terceros.

Especificación de acuerdos de nivel de servicio.

Adecuados controles de acceso a la información registrada en el sistema

Proyecto de comunicación con Conasev utilizando firmas digitales (Requerimiento de Conasev)

El acceso de personal no autorizado a los medios de almacenamiento de llaves de encripción (media, smartcards, impresa) debilita todo el sistema de encripción de la

Estándares de seguridad para la manipulación y revocación de llaves de encripción.

Implementación de controles de acceso a

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

Iniciativa del Negocio •

Implicancia de Seguridad información. Para los procesos de firma y encripción de la información se requiere el ingreso de contraseñas, estas contraseñas deben ser mantenidas en forma confidencial. •

Estándar o medida de seguridad a aplicar dispositivos y llaves de encripción.

Digitalización (scanning) de poderes y firmas.

La disposición de estos elementos en medios digitales requiere de adecuados niveles de protección para evitar su acceso no autorizado y utilización con fines ilegales.

Aplicación de estándares de seguridad de la plataforma que contiene dicha información.

• •

Encripción de la data digitalizada. Restricción de accesos a los poderes y firmas tanto a nivel de aplicación, como a nivel de sistema operativo.

Tercerización de operaciones de sistemas y Help Desk.

La administración de equipos críticos de la red del Banco por parte de terceros representa un

Cláusulas de confidencialidad y establecimiento claro de responsabilidades

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

Iniciativa del Negocio

Implicancia de Seguridad riesgo en especial por la posibilidad de fuga de información confidencial.

Estándar o medida de seguridad a aplicar de los proveedores en los contratos, especificación de penalidades en caso de incumplimiento. • Monitoreo periódico de las operaciones realizadas por personal externo, incluyendo la revisión periódica de sus actividades en los registros (logs) de aplicaciones y sistema operativo. • Evitar otorgamiento de privilegios administrativos a personal externo, para evitar manipulación de registros.

Proyecto de interconexión del Sistema Swift a la red de datos del Banco.

El sistema SWIFT se encuentra en un segmento aislado de la red de datos del Banco por razones de seguridad de información.

Estándar de mejores prácticas de seguridad para servidores Windows NT

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

Iniciativa del Negocio •

Implicancia de Seguridad Al unir el sistema Swift a la red de datos del Banco, dicho sistema se va a encontrar expuesto a intentos de acceso no autorizados por parte de equipos que comprenden la red de datos.

Estándar o medida de seguridad a aplicar • Controles de acceso a la aplicación SWIFT. • Estándares de encripción de datos entre el sistema Swift y los terminales que se comunican con él.

Operaciones del Negocio Almacenamiento de copias de respaldo realizado por Hermes. • Las cintas de backup guardan información confidencial del negocio del banco, adicionalmente deben encontrarse disponibles para ser utilizadas en una emergencia y la información que guardan debe mantenerse íntegra. • • • Acuerdos de confidencialidad y tiempo de respuesta en los contratos con el proveedor. Pruebas del tiempo de respuesta del proveedor para transportar las cintas de backup en caso de emergencia. Verificación periódica del estado de las cintas. Procesamiento de transacciones de tarjetas de crédito • El almacenamiento de información por parte de terceros podría representar • Acuerdos de confidencialidad y tiempo de respuesta

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

Iniciativa del Negocio y débito realizado por Unibanca.

Implicancia de Seguridad una fuente de divulgación no autorizada de información del Banco y sus clientes. • El acceso a los sistemas por parte de terceros debe ser controlado para evitar la realización de actividad no autorizada. •

Estándar o medida de seguridad a aplicar en contratos con el proveedor. • Estándares de encripción de información transmitida.

Almacenamiento de Documentos realizado por terceros “File Service”

El almacenamiento de información por parte de terceros podría representar una fuente de divulgación no autorizada de información del Banco y sus clientes.

Acuerdos de confidencialidad y tiempo de respuesta en contratos con proveedores.

Verificación periódica del grado de deterioro de la documentación.

El almacenamiento de información debe realizarse de manera adecuada para mantener la disponibilidad de los documentos y evitar su deterioro.

Impresión y ensobrado de estados de cuenta realizado por Napatek

El almacenamiento de información por parte de terceros podría representar una fuente de divulgación no autorizada de

Acuerdos de confidencialidad en contratos con proveedores.

Estándares de

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

Iniciativa del Negocio

Implicancia de Seguridad información del Banco y sus clientes. • El envío de información sensible al proveedor debe ser realizado por un canal de transmisión seguro, o en su defecto debe contar con medidas de encripción, que impidan su utilización en caso de ser interceptada. •

Estándar o medida de seguridad a aplicar encripción de datos transmitidos por correo electrónico. • Verificación de integridad de la data transmitida.

Envío de información sensible a clientes y entidades recaudadoras vía correo electrónico

Se debe asegurar que la información sensible transmitida a los clientes cuente con medidas de seguridad adecuadas las cuales permitan garantizar el cumplimiento de normas como el secreto bancario.

Estándares de encripción de datos transmitidos.

Almacenamiento físico de información realizada al interior del Banco.

El Banco almacena documentos importantes de clientes, muchos de ellos con información confidencial, asimismo existe información en otros medios como discos duros, cintas, etc., que albergan

Clasificación y etiquetado de la información.

Implementación de controles físicos de acceso a la información de acuerdo a su

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

Iniciativa del Negocio

Implicancia de Seguridad información importante. Se debe asegurar que dicha información cuente con medidas de seguridad adecuadas que aseguren la integridad, disponibilidad y confidencialidad de la información.

Estándar o medida de seguridad a aplicar clasificación. • Establecimiento de condiciones apropiadas de almacenamiento para evitar su deterioro. • Mantenimiento de un registro de entrada y salida de activos de los archivos.

Acceso de personal de Rehder a la red de datos del Banco.

Todo acceso de personal externo a la red de datos del Banco representa un riesgo potencial de acceso no autorizado a los sistemas.

Cláusulas de confidencialidad y establecimiento claro de responsabilidades de los proveedores en los contratos, especificación de penalidades en caso de incumplimiento.

Monitoreo de actividad realizada por personal externo.

Restricciones de acceso a Internet configurados en el firewall.

Centro de

Los sistemas ubicados en

Especificación de

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

Iniciativa del Negocio Contingencia ubicado en el TIC de Telefónica Data. •

Implicancia de Seguridad Telefónica Data deben encontrarse siempre disponibles para ser utilizados en casos de emergencia. Se debe asegurar la

Estándar o medida de seguridad a aplicar acuerdos de nivel de servicio y penalidades en caso de incumplimiento en contratos con proveedores. Pruebas del centro de contingencia. • Verificación periódica de la disponibilidad de los sistemas y grado de actualización de la información.

integridad de la información • existente en los sistemas de respaldo y el grado de actualización de la misma con respecto al sistema en producción.

Atención en Front Office.

Las aplicaciones y los sistemas de comunicaciones deben encontrarse disponibles en todo momento para no afectar la atención a los clientes.

Acuerdos de niveles de servicio en contratos con proveedores de comunicaciones.

Verificación periódica de disponibilidad de los sistemas.

Los periodos de indisponibilidad deben ser medidos. •

Implementación de métricas de rendimiento y disponibilidad de los sistemas.

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

Iniciativa del Negocio Soporte de IBM al Servidor AS/400. •

Implicancia de Seguridad El servidor AS/400 es el que soporta la mayor cantidad de procesos del negocio del Banco, por lo tanto se debe asegurar que el proveedor debe ser capaz de restaurar los servicios del servidor en el menor tiempo posible. • Asimismo dado que el proveedor accede periódicamente al equipo, existe el riesgo de acceso no autorizado a información existente en el mismo.

Estándar o medida de seguridad a aplicar • Cláusulas de confidencialidad y establecimiento claro de responsabilidades de los proveedores en los contratos, especificación de penalidades en caso de incumplimiento. • Asignación de un usuario distinto al utilizado por personal del Banco con los privilegios mínimos necesarios. • Inspección del log de actividades del proveedor luego de realizar mantenimiento al equipo.

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

Capítulo VI

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN

En este capitulo se elaboraran las políticas de seguridad con el propósito de proteger la información de la empresa, estas servirán de guía para la implementación de medidas de seguridad que contribuirán a mantener la integridad, confidencialidad y disponibilidad de los datos dentro de los sistemas de aplicación, redes, instalaciones de cómputo y procedimientos manuales. El documento de políticas de seguridad ha sido elaborado tomando como base la siguiente documentación:

-

Estándar de seguridad de la información ISO 17799 Requerimientos de la Circular N° G-105-2002 de la Superintendencia de Banca y Seguros (SBS) sobre Riesgos de Tecnología de Información.

6.1

Normas internas del Banco referidas a seguridad de información. Definición

Una Política de seguridad de información es un conjunto de reglas aplicadas a todas las actividades relacionadas al manejo de la información de una entidad, teniendo el propósito de proteger la información, los recursos y la reputación de la misma. Propósito El propósito de las políticas de seguridad de la información es proteger la información y los activos de datos del Banco. Las políticas son guías para asegurar la protección y la integridad de los datos dentro de los sistemas de aplicación, redes, instalaciones de cómputo y procedimientos manuales.

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

6.2

CUMPLIMIENTO OBLIGATORIO

El cumplimiento de las políticas y estándares de seguridad de la información es obligatorio y debe ser considerado como una condición en los contratos del personal. El Banco puede obviar algunas de las políticas de seguridad definidas en este documento, únicamente cuando se ha demostrado claramente que el cumplimiento de dichas políticas tendría un impacto significativo e inaceptable para el negocio. Toda excepción a las políticas debe ser documentada y aprobada por el área de seguridad informática y el área de auditoria interna, detallando el motivo que justifica el no-cumplimiento de la política. 6.3 ORGANIZACIÓN DE LA SEGURIDAD

En esta política se definen los roles y responsabilidades a lo largo de la organización con respecto a la protección de recursos de información. Esta política se aplica a todos los empleados y otros asociados con el Banco, cada uno de los cuales cumple un rol en la administración de la seguridad de la información. Todos los empleados son responsables de mantener un ambiente seguro, en tanto que el área de seguridad informática debe monitorear el cumplimiento de la política de seguridad definida y realizar las actualizaciones que sean necesarias, producto de los cambios en el entorno informático y las necesidades del negocio. 6.3.1 Estructura Organizacional En la administración de la seguridad de la información participan todos los empleados siguiendo uno o más de los siguientes roles: Área de Seguridad Informática Usuario Custodio de información Propietario de información Auditor interno

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

Los roles y funciones de administración de la seguridad de la información de cada uno de estas personas están detalladas en el Capitulo IV. 6.3.2 Acceso por parte de terceros El Banco debe establecer para terceros al menos las mismas restricciones de acceso a la información que a un usuario interno. Además, el acceso a la información debe limitarse a lo mínimo indispensable para cumplir con el trabajo asignado. Las excepciones deben ser analizadas y aprobadas por el área de seguridad informática. Esto incluye tanto acceso físico como lógico a los recursos de información del Banco. Todo acceso por parte de personal externo debe ser autorizado por un responsable interno, quien asume la responsabilidad por las acciones que pueda realizar el mismo. El personal externo debe firmar un acuerdo de no-divulgación antes de obtener acceso a información del Banco. Proveedores que requieran acceso a los sistemas de información del Banco deben tener acceso únicamente cuando sea necesario. Todas las conexiones que se originan desde redes o equipos externos al Banco, deben limitarse únicamente a los servidores y aplicaciones necesarios. Si es posible, estos servidores destino de las conexiones deben estar físicamente o lógicamente separados de la red interna del Banco. Los contratos relacionados a servicios de tecnologías de información deben ser aprobados por el área legal del Banco, y en el caso de que afecten la seguridad o las redes de la organización deben ser aprobados adicionalmente por el área de seguridad informática. Bajo determinadas condiciones, como en la ejecución de servicios críticos para el negocio, el Banco debe considerar efectuar una revisión independiente de la estructura de control interno del proveedor.

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

En los contratos de procesamiento de datos externos se debe especificar los requerimientos de seguridad y acciones a tomar en caso de violación de los contratos. Todos los contratos deben incluir una cláusula donde se establezca el derecho del Banco de nombrar a un representante autorizado para evaluar la estructura de control interna del proveedor. 6.3.3 Outsourcing Todos los contratos de Outsourcing deben incluir lo siguiente: Acuerdos sobre políticas y controles de seguridad. Determinación de niveles de disponibilidad aceptable. El derecho del Banco de auditar los controles de seguridad de información del proveedor. Determinación de los requerimientos legales del Banco. Metodología del proveedor para mantener y probar cíclicamente la seguridad del sistema. Que el servicio de procesamiento y la información del Banco objeto de la subcontratación estén aislados, en todo momento y bajo cualquier circunstancia. El proveedor es responsable de inmediatamente informar al responsable del contrato de cualquier brecha de seguridad que pueda comprometer información del Banco. Cualquier empleado del Banco debe informar de violaciones a la seguridad de la información por parte de proveedores al área de seguridad informática. 6.4 EVALUACION DE RIESGO El costo de las medidas y controles de seguridad no debe exceder la pérdida que se espera evitar. Para la evaluación del riesgo se deben de seguir los siguientes pasos: Clasificación del acceso de la información

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

-

Ejecución del análisis del riesgo identificando áreas vulnerables, pérdida potencial y selección de controles y objetivos de control para mitigar los riesgos, de acuerdo a los siguientes estándares. 6.4.1 Inventario de activos Los inventarios de activos ayudan a garantizar la vigencia de una protección eficaz de los recursos, y también pueden ser necesarios para otros propósitos de la empresa, como los relacionados con sanidad y seguridad, seguros o finanzas (administración de recursos). El proceso de compilación de un inventario de activos es un aspecto importante de la administración de riesgos. Una organización debe contar con la capacidad de identificar sus activos y el valor relativo e importancia de los mismos. Sobre la base de esta información, la organización puede entonces, asignar niveles de protección proporcionales al valor e importancia de los activos. Se debe elaborar y mantener un inventario de los activos importantes asociados a cada sistema de información. Cada activo debe ser claramente identificado y su propietario y clasificación en cuanto a seguridad deben ser acordados y documentados, junto con la ubicación vigente del mismo (importante cuando se emprende una recuperación posterior a una pérdida o daño). Ejemplos de activos asociados a sistemas de información son los siguientes: Recursos de información: bases de datos y archivos, documentación de sistemas, manuales de usuario, material de capacitación, procedimientos operativos o de soporte, planes de continuidad, disposiciones relativas a sistemas de emergencia para la reposición de información perdida (“fallback”), información archivada; Recursos de software: software de aplicaciones, software de sistemas, herramientas de desarrollo y utilitarios; Activos físicos: equipamiento informático (procesadores, monitores, computadoras portátiles, módems), equipos de comunicaciones

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

(routers, PBXs, máquinas de fax, contestadores automáticos), medios magnéticos (cintas y discos), otros equipos técnicos (suministro de electricidad, unidades de aire acondicionado), mobiliario, lugares de emplazamiento; Servicios: servicios informáticos y de comunicaciones, utilitarios generales, por Ej. calefacción, iluminación, energía eléctrica, aire acondicionado. 6.4.2 Clasificación del acceso de la información Toda la información debe de ser clasificada como Restringida, Confidencial, Uso Interno o General de acuerdo a lo definido en el capitulo 4.2.1. La clasificación de información debe de ser documentada por el Propietario, aprobada por la gerencia responsable y distribuida a los Custodios durante el proceso de desarrollo de sistemas o antes de la distribución de los documentos o datos. La clasificación asignada a un tipo de información, solo puede ser cambiada por el propietario de la información, luego de justificar formalmente el cambio en dicha clasificación. La información que existe en más de un medio (por ejemplo, documento fuente, registro electrónico, reporte o red) debe de tener la misma clasificación sin importar el formato. Frecuentemente, la información deja de ser sensible o crítica después de un cierto período de tiempo, verbigracia, cuando la información se ha hecho pública. Este aspecto debe ser tomado en cuenta por el propietario de la información, para realizar una reclasificación de la misma, puesto que la clasificación por exceso (“over- classification”) puede traducirse en gastos adicionales innecesarios para la organización. La información debe de ser examinada para determinar el impacto en el Banco si fuera divulgada o alterada por medios no autorizados. A continuación detallamos algunos ejemplos de información sensible:
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

q

Datos de interés para la competencia: - Estrategias de marketing - Listas de clientes - Fechas de renovación de créditos - Tarifaciones - Datos usados en decisiones de inversión

q

Datos que proveen acceso a información o servicios: - Llaves de encripción o autenticación - Contraseñas

q

Datos protegidos por legislación de privacidad vigente - Registros del personal - Montos de los pasivos de clientes - Datos históricos con 10 años de antigüedad

q

Datos que tienen un alto riesgo de ser blanco de fraude u otra actividad ilícita: - Datos contables utilizados en sistemas - Sistemas que controlan desembolsos de fondos

6.4.3 Definiciones Restringida: Información con mayor grado de sensibilidad; el acceso a esta información debe de ser autorizado caso por caso. Confidencial: Información sensible que solo debe ser divulgada a aquellas personas que la necesiten para el cumplimiento de sus funciones. Uso Interno: Datos generados para facilitar las operaciones diarias; deben de ser manejados de una manera discreta, pero no requiere de medidas elaboradas de seguridad. General: Información que es generada específicamente para su divulgación a la población general de usuarios.

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

6.4.4 Aplicación de controles para la información clasificada Las medidas de seguridad a ser aplicadas a los activos de información clasificados, incluyen pero no se limitan a las siguientes: 6.4.4.1

Información de la Compañía almacenada en formato digital

Todo contenedor de información en medio digital (CD´s, cintas de backup, diskettes, etc.) debe presentar una etiqueta con la clasificación correspondiente.

La información en formato digital clasificada como de acceso “General”, puede ser almacenada en cualquier sistema de la Compañía. Sin embargo se deben tomar las medidas necesarias para no mezclar información clasificación. “General” con información correspondiente a otra

• Todo usuario, antes de transmitir información clasificada como “Restringida” o “Confidencial”, debe asegurarse que el destinatario de la información esté autorizado a recibir dicha información. • Todo usuario que requiere acceso a información clasificada como “Restringida” o “Confidencial”, debe ser autorizado por el propietario de la misma. Las autorizaciones de acceso a este tipo de información deben ser documentadas. • La clasificación asignada a un tipo de información, solo puede ser cambiada por el propietario de la información, luego de justificar formalmente el cambio en dicha clasificación. • Información en formato digital, clasificada como “Restringida”, debe ser encriptada con un método aprobado por los encargados de la administración de seguridad de la información, cuando es almacenada en cualquier medio (disco duro, disquetes, cintas, CDs, etc.).

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

• Es recomendable el uso de técnicas de encripción para la información clasificada como “Restringida” o “Confidencial”, transmitida a través de la red de datos del Banco. • Toda transmisión de Información clasificada como “Restringida”, “Confidencial” o de “Uso Interno” realizada hacia o a través de redes externas a la Compañía debe realizarse utilizando un medio de transmisión seguro o utilizando técnicas de encripción aprobadas. • Todo documento en formato digital, debe presentar la clasificación correspondiente en la parte superior (cabecera) e inferior (pié de página) de cada página del documento. • Los medios de almacenamiento, incluyendo discos duros de

computadoras, que albergan información clasificada como “Restringida”, deben ser ubicados en ambientes cerrados diseñados para el almacenamiento de dicho tipo de información. En lugar de protección física, la información clasificada como “Restringida”, podría ser protegida con técnicas de encripción aprobadas por la Compañía.

6.4.4.2

Información de la Compañía almacenada en formato no digital

• Todo documento o contenedor de información debe ser etiquetado como “Restringida”, “Confidencial”, de “Uso interno” o de Acceso “General”, dependiendo de la clasificación asignada. • Todo documento que presente información clasificada como

“Confidencial” o “Restringida”, debe ser etiquetado en la parte superior e inferior de cada página con la clasificación correspondiente. • Todo documento clasificado como “Confidencial” o “Restringido” debe contar con una carátula en la cual se muestre la clasificación de la información que contiene.

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

• Los activos de información correspondiente a distintos niveles de clasificación, deben ser almacenados en distintos contenedores, de no ser posible dicha distinción, se asignará el nivel más critico de la información identificada a todo el contenedor de información. • El ambiente donde se almacena la información clasificada como “Restringida”, debe contar con adecuados controles de acceso y asegurado cuando se encuentre sin vigilancia. El acceso debe ser permitido solo al personal formalmente autorizado. Personal de limpieza debe ingresar al ambiente acompañado por personal autorizado. • Solo el personal formalmente autorizado debe tener acceso a información clasificada como “Restringida” o “Confidencial” • Los usuarios que utilizan documentos con información “Confidencial” o “Restringida” deben asegurarse de: - Almacenarlos en lugares adecuados - Evitar que usuarios no autorizados accedan a dichos documentos - Destruir los documentos si luego de su utilización dejan de ser necesarios

6.4.5 Análisis de riesgo Los Propietarios de la información y custodios son conjuntamente responsables del desarrollo de análisis de riesgos anual de los sistemas a su cargo. Como parte del análisis se debe identificar las aplicaciones de alta criticidad como críticas para la recuperación ante desastres. Es importante identificar: - Áreas vulnerables - Pérdida potencial - Selección de controles y objetivos de control para mitigar los riesgos, indicando las razones para su inclusión o exclusión (Seguridad de

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

datos, Plan de respaldo/recuperación, Procedimientos estándar de operación) Adicionalmente, un análisis de riesgo debe de ser conducido luego de cualquier cambio significativo en los sistemas, en concordancia con el clima cambiante de las operaciones en el negocio del Banco. El análisis de riesgo debe tener un propósito claramente definido y delimitado, existiendo dos posibilidades: cumplimiento con los controles y/o medidas de protección o la aceptación del riesgo. 6.4.6 Cumplimiento El cumplimiento satisfactorio del proceso de evaluación del riesgo se caracteriza por:

- Identificación y clasificación correcta de los activos a ser protegidos. - Aplicación consistente y continua de los controles y/o medidas para mitigar el riesgo (seguridad efectiva de datos, recuperación ante desastres adecuado) - Detección temprana de los riesgos, reporte adecuado de pérdidas, así como una respuesta oportuna y efectiva ante las perdidas ya materializadas. 6.4.7 Aceptación de riesgo La gerencia responsable puede obviar algún control o requerimiento de protección y aceptar el riesgo identificado solo cuando ha sido claramente demostrado que las opciones disponibles para lograr el cumplimiento han sido identificadas y evaluadas, y que éstas tendrían un impacto significativo y no aceptable para el negocio. La aceptación de riesgo por falta de cumplimiento de los controles y/o medidas de protección debe ser documentada, revisada por las partes

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

involucradas, comunicada por escrito y aceptada por las áreas responsables de la administración de la seguridad. 6.5 SEGURIDAD DEL PERSONAL Los estándares relacionados al personal deben ser aplicados para asegurarse que los empleados sean seleccionados adecuadamente antes de ser contratados, puedan ser fácilmente identificados mientras formen parte del Banco y que el acceso sea revocado oportunamente cuando un empleado es despedido o transferido. Deben desarrollarse estándares adicionales para asegurar que el personal sea consciente de todas sus responsabilidades y acciones apropiadas en el reporte de incidentes. Esta política se aplica a todos los empleados, personal contratado y proveedores. Los empleados son los activos más valiosos del Banco. Sin embargo, un gran número de problemas de seguridad de cómputo pueden ser causados por descuido o desinformación. Se deben de implementar procedimientos para manejar estos riesgos y ayudar al personal del Banco a crear un ambiente de trabajo seguro. Medidas de precaución deben de ser tomadas cuando se contrata, transfiere y despide a los empleados. Deben de establecerse controles para comunicar los cambios del personal y los requerimientos de recursos de cómputo a los responsables de la administración de la seguridad de la información. Es crucial que estos cambios sean atendidos a tiempo. 6.5.1 Seguridad en la definición de puestos de trabajo y recursos El departamento de Recursos Humanos debe de notificar al área de seguridad informática, la renuncia o despido de los empleados así como el inicio y fin de los periodos de vacaciones de los mismos. Cuando se notifique un despido o transferencia, el Custodio de información debe de asegurarse que el identificador de usuario sea revocado. Cuando se
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

notifique una transferencia o despido, el área de seguridad debe de asegurarse que las fichas o placas sean devueltas al Banco. Cualquier ítem entregado al empleado o proveedor como computadoras portátiles, llaves, tarjetas de identificación, software, datos, documentación, manuales, etc. deben de ser entregados a su gerente o al área de Recursos Humanos. La seguridad es responsabilidad de todos los empleados y personas involucradas con el Banco. Por ende, todos los empleados, contratistas, proveedores y personas con acceso a las instalaciones e información del Banco deben de acatar los estándares documentados en la política de seguridad del Banco e incluir la seguridad como una de sus responsabilidades principales. Todos los dispositivos personales de información, como por ejemplo computadoras de propiedad de los empleados o asistentes digitales personales (PDA – Personal Digital Assistant), que interactúen con los sistemas del Banco, deben ser aprobados y autorizados por la gerencia del Banco. 6.5.2 Capacitación de usuarios Es responsabilidad del área de seguridad informática promover constantemente la importancia de la seguridad a todos los usuarios de los sistemas de información. El programa de concientización en seguridad debe de contener continuas capacitaciones y charlas, adicionalmente se puede emplear diversos métodos como afiches, llaveros, mensajes de log-in, etc., los cuales recuerden permanentemente al usuario el papel importante que cumplen en el mantenimiento de la seguridad de la información.

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

Orientación para los empleados y/o servicios de terceros nuevos Cuando se contrate a un empleado nuevo y/o el servicio de algún tercero, se debe de entregar la política de seguridad así como las normas y procedimientos para el uso de las aplicaciones y los sistemas de información del Banco. Asimismo se debe entregar un resumen escrito de las medidas básicas de seguridad de la información. El personal de terceros debe recibir una copia del acuerdo de no divulgación firmado por el Banco y por el proveedor de servicios de terceros así como orientación con respecto a su responsabilidad en la confidencialidad de la información del Banco. Entre otros aspectos se debe considerar: El personal debe de ser comunicado de las implicancias de seguridad en relación a las responsabilidades de su trabajo Una copia firmada de la política de seguridad de información debe de ser guardada en el archivo del empleado Concientización periódica Estudios muestran que la retención y el conocimiento aplicable se incrementa considerablemente cuando el tema es sujeto a revisión. Los usuarios deben de ser informados anualmente sobre la importancia de la seguridad de la información. Un resumen escrito de la información básica debe de ser entregada nuevamente a cada empleado y una copia firmada debe de ser guardada en sus archivos. La capacitación en seguridad debe de incluir, pero no estar limitado, a los siguientes aspectos: Requerimientos de identificador de usuario y contraseña Seguridad de PC, incluyendo protección de virus Responsabilidades de la organización de seguridad de información Concientización de las técnicas utilizadas por “hackers” Programas de cumplimiento

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

-

Guías de acceso a Internet Guías de uso del correo electrónico Procesos de monitoreo de seguridad de la información utilizados Persona de contacto para información adicional

6.5.3 Procedimientos de respuesta ante incidentes de seguridad El personal encargado de la administración de seguridad debe ser plenamente identificado por todos los empleados del Banco. Si un empleado del Banco detecta o sospecha la ocurrencia de un incidente de seguridad, tiene la obligación de notificarlo al personal de seguridad informática. Si se sospecha la presencia de un virus en un sistema, el usuario debe desconectar el equipo de la red de datos, notificar al área de seguridad informática quien trabajará en coordinación con el área de soporte técnico, para la eliminación del virus antes de restablecer la conexión a la red de datos. Es responsabilidad del usuario (con la apropiada asistencia técnica) asegurarse que el virus haya sido eliminado por completo del sistema antes de conectar nuevamente el equipo a la red de datos. Si un empleado detecta una vulnerabilidad en la seguridad de la información debe notificarlo al personal encargado de la administración de la seguridad, asimismo, está prohibido para el empleado realizar pruebas de dicha vulnerabilidad o aprovechar ésta para propósito alguno. El área de seguridad informática debe documentar todos los reportes de incidentes de seguridad. Cualquier error o falla en los sistemas debe ser notificado a soporte técnico, quién determinará si el error es indicativo de una vulnerabilidad en la seguridad. Las acciones disciplinarias tomadas contra socios de negocio o proveedores por la ocurrencia de una violación de seguridad, deben ser

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

consistentes con la magnitud de la falta, ellas deben ser coordinadas con el área de Recursos Humanos. 6.5.3.1 Registro de fallas

El personal encargado de operar los sistemas de información debe registrar todos lo errores y fallas que ocurren en el procesamiento de información o en los sistemas de comunicaciones. Estos registros deben incluir lo siguiente: Nombre de la persona que reporta la falla Hora y fecha de ocurrencia de la falla Descripción del error o problema Responsable de solucionar el problema Descripción de la respuesta inicial ante el problema Descripción de la solución al problema Hora y fecha en la que se solucionó el problema

Los registros de fallas deben ser revisados semanalmente. Los registros de errores no solucionados deben permanecer abiertos hasta que se encuentre una solución al problema. Además, estos registros deben ser almacenados para una posterior verificación independiente. 6.5.3.2 Intercambios de información y correo electrónico

Los mensajes de correo electrónico deben ser considerados de igual manera que un memorándum formal, son considerados como parte de los registros del Banco y están sujetos a monitoreo y auditoria. Los sistemas de correo electrónico no deben ser utilizados para lo siguiente: Enviar cadenas de mensajes Enviar mensajes relacionados a seguridad, exceptuando al personal encargado de la administración de la seguridad de la información Enviar propaganda de candidatos políticos

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

-

Actividades ilegales, no éticas o impropias Actividades no relacionadas con el negocio del Banco Diseminar direcciones de correo electrónico a listas públicas

No deben utilizarse reglas de reenvío automático a direcciones que no pertenecen a la organización. No existe control sobre los mensajes de correo electrónico una vez que estos se encuentran fuera de la red del Banco. Deben establecerse controles sobre el intercambio de información del Banco con terceros para asegurar la confidencialidad e integridad de la información, y que se respete la propiedad intelectual de la misma. Debe tomarse en consideración: Acuerdos para el intercambio de software Seguridad de media en tránsito Controles sobre la transmisión mediante redes

Debe establecerse un proceso formal para aprobar la publicación de información del Banco. El desarrollo de páginas Web programables o inteligentes (utilizando tecnologías como CGI o ASP) debe considerarse como desarrollo de software y debe estar sujeto a los mismos controles. La información contenida en sistemas públicos no debe contener información restringida, confidencial o de uso interno. De igual manera, los equipos que brindan servicios Web, correo electrónico, comercio electrónico u otros servicios públicos no deben almacenar información restringida, confidencial o de uso interno. Antes que un empleado del Banco libere información que no sea de uso general debe verificarse la identidad del individuo u organización recipiente utilizando firmas digitales, referencias de terceros, conversaciones telefónicas u otros mecanismos similares. Debe establecerse controles sobre equipos de oficina como teléfonos, faxes e impresoras que procesan información sensible del Banco.

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

Información restringida o confidencial solo debe imprimirse en equipos específicamente designados para esta tarea. 6.5.3.3 Seguridad para media en tránsito

La información a ser transferida en media digital o impresa debe ser etiquetada con la clasificación de información respectiva y detallando claramente el remitente y recipiente del mismo. La información enviada por servicios postales debe ser protegida de accesos no autorizados mediante la utilización de: 6.6 Paquetes sellados o lacrados Entrega en persona Firmado y sellado de un cargo SEGURIDAD FÍSICA DE LAS INSTALACIONES DE

PROCESAMIENTO DE DATOS Se deben implementar medidas de seguridad física para asegurar la integridad de las instalaciones y centros de cómputo. Las medidas de protección deben ser consistentes con el nivel de clasificación de los activos y el valor de la información procesada y almacenada en las instalaciones. 6.6.1 Protección de las instalaciones de los centros de datos Un centro de procesamiento de datos o de cómputo es definido como cualquier edificio o ambiente dentro de un edificio que contenga equipos de almacenamiento, proceso o transmisión de información. Estos incluyen pero no se limitan a los siguientes: Mainframe, servidores, computadoras personales y periféricos Consolas de administración Librerías de cassettes o DASD Equipos de telecomunicaciones

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

-

Centrales telefónicas, PBX Armarios de alambrado eléctrico o cables

Los controles deben de ser evaluados anualmente para compensar cualquier cambio con relación a los riesgos físicos. Los gerentes que estén planeando o revisando cualquier ambiente automatizado, incluyendo el uso de las computadoras personales, deben contactarse con el personal encargado de la administración de la seguridad de la información para asistencia en el diseño de los controles físicos de seguridad.

6.6.2 Control de acceso a las instalaciones de cómputo El acceso a cualquier instalación de cómputo debe estar restringido únicamente al personal autorizado. Todas las visitas deben ser identificadas y se debe mantener un registro escrito de las mismas. Estas visitas deben ser en compañía de un empleado durante la permanencia en las instalaciones de computo. Si bien es recomendable que los proveedores de mantenimiento, a quienes se les otorga acceso continuo a las áreas sensibles, estén siempre acompañados por un empleado autorizado de la empresa, puede resultar poco práctico en algunos casos. Todo el personal en las instalaciones de cómputo deben de portar un carné, placa o ficha de identificación. Sistemas automatizados de seguridad para acceso físico deben de ser instalados en centros de cómputo principales. Centros pequeños pueden controlar el acceso físico mediante el uso de candados de combinación o llaves. Medidas apropiadas como guardias o puertas con alarmas, deben de ser utilizadas para proteger las instalaciones durante las horas no laborables. El retiro de cualquier equipo o medio electrónico de las instalaciones de cómputo debe de ser aprobado por escrito por personal autorizado.

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

6.6.3 Acuerdo con regulaciones y leyes Los controles de seguridad física deben de estar en acuerdo con las regulaciones existentes de fuego y seguridad, así como con los requerimientos contractuales de los seguros contratados.

6.7 ADMINISTRACIÓN DE COMUNICACIONES Y OPERACIONES La administración de las comunicaciones y operaciones del Banco, son esenciales para mantener un adecuado nivel de servicio a los clientes. Los requerimientos de seguridad deben ser desarrollados e implementados para mantener el control sobre las comunicaciones y las operaciones. Los procedimientos operacionales y las responsabilidades para mantener accesos adecuados a los sistemas, así como el control y la disponibilidad de los mismos, deben ser incluidas en las funciones operativas del Banco. Todas las comunicaciones e intercambios de información, tanto dentro de las instalaciones y sistemas del Banco como externas a ella, deben ser aseguradas, de acuerdo al valor de la información protegida. 6.7.1 Procedimientos y Responsabilidades Operacionales 6.7.1.1 Procedimientos operativos documentados

Todos los procedimientos de operación de los sistemas deben ser documentados y los cambios realizados a dichos procedimientos deben ser autorizados por la gerencia respectiva. Todos los procedimientos de encendido y apagado de los equipos deben ser documentados; dichos procedimientos deben incluir el detalle de personal clave a ser contactado en caso de fallas no contempladas en el procedimiento regular documentado. Todas las tareas programadas en los sistemas para su realización periódica, deben ser documentadas. Este documento debe incluir tiempo

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

de inicio, tiempo de duración de la tarea, procedimientos en caso de falla, entre otros. Los procedimientos para resolución de errores deben ser documentados, entre ellos se debe incluir: − Errores en la ejecución de procesos por lotes − Fallas o apagado de los sistemas − Códigos de error en la ejecución de procesos por lotes − Información de los contactos que podrían colaborar con la resolución de errores. 6.7.1.2 Administración de operaciones realizadas por terceros

Todos los procesos de operación realizados por terceros deben ser sujetos a una evaluación de riesgos de seguridad y se debe desarrollar procedimientos para administrar estos riesgos. Asignación actividades Determinar si se procesará información crítica. Determinar los controles de seguridad a implementar Evaluar el cumplimiento de los estándares de seguridad del Banco. Evaluar la implicancia de dichas tareas en los planes de contingencia del negocio Procedimientos de respuesta ante incidentes de seguridad Evaluar el cumplimiento de los estándares del Banco referentes a contratos con terceros. 6.7.1.3 Control de cambios operacionales de responsables para la supervisión de dichas

Todos los cambios realizados en los sistemas del Banco, a excepción de los cambios de emergencia, deben seguir los procedimientos de cambios establecidos.

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

Solo el personal encargado de la administración de la seguridad puede realizar o aprobar un cambio de emergencia. Dicho cambio debe ser documentado y aprobado en un periodo máximo de 24 horas luego de haberse producido el cambio. Los roles del personal involucrado en la ejecución de los cambios en los sistemas deben encontrarse debidamente especificados. Los cambios deben ser aprobados por la gerencia del área usuaria, el personal encargado de la administración de la seguridad de la información y el encargado del área de sistemas. Todos los requerimientos de cambios deben ser debidamente documentados, siguiendo los procedimientos para cambios existentes en el Banco. Antes de la realización de cualquier cambio a los sistemas se debe generar copias de respaldo de dichos sistemas. 6.7.1.4 Administración de incidentes de seguridad

Luego de reportado el incidente de seguridad, éste debe ser investigado por el área de seguridad informática. Se debe identificar la severidad del incidente para la toma de medidas correctivas. El personal encargado de la administración de la seguridad debe realizar la investigación de los incidentes de forma rápida y confidencial. Se debe mantener una documentación de todos los incidentes de seguridad ocurridos en el Banco. Se debe mantener intacta la evidencia que prueba la ocurrencia de una violación de seguridad producida tanto por entes internos o externos, para su posterior utilización en procesos legales en caso de ser necesario.

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

6.7.1.5

Separación de funciones de operaciones y desarrollo

El ambiente de prueba debe de mantenerse siempre separado del ambiente de producción, debiendo existir controles de acceso adecuados para cada uno de ellos. El ambiente de producción es aquel en el cual residen los programas ejecutables de producción y los datos necesarios para el funcionamiento de los mismos. Solo el personal autorizado a efectuar los cambios en los sistemas debe contar con privilegios de escritura en los mismos. Los programas compiladores no deben ser instalados en los sistemas en producción, todo el código debe ser compilado antes de ser transferido al ambiente de producción. Las pruebas deben de realizarse utilizando datos de prueba. Sin embargo, copias de datos de producción pueden ser usadas para las pruebas, siempre y cuando los datos sean autorizados por el propietario y manejados de manera confidencial. El personal de desarrollo puede tener acceso de solo lectura a los datos de producción. La actualización de los permisos de acceso a los datos de producción debe de ser autorizada por el propietario de información y otorgada por un periodo limitado. Se deben utilizar estándares de nombres para distinguir el conjunto de nombres de las tareas y de los datos, del modelo y de los ambientes de producción. Un procedimiento de control de cambio debe de asegurar que todos los cambios del modelo y ambientes de producción hayan sido revisados y aprobados por el (los) gerente(s) apropiados. 6.7.2 Protección contra virus El área de seguridad informática debe realizar esfuerzos para determinar el origen de la infección por virus informático, para evitar la reinfección de los equipos del Banco.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

La posesión de virus o cualquier programa malicioso está prohibida a todos los usuarios. Se tomarán medidas disciplinarias en caso se encuentren dichos programas en computadoras personales de usuarios. Todos los archivos adjuntos recibidos a través del correo electrónico desde Internet deben ser revisados por un antivirus antes de ejecutarlos. Asimismo está prohibido el uso de diskettes y discos compactos provenientes de otra fuente que no sea la del mismo BANCO ABC, a excepción de los provenientes de las interfaces con organismos reguladores, proveedores y clientes, los cuales necesariamente deben pasar por un proceso de verificación y control en el área de Sistemas (Help Desk), antes de ser leídos. El programa antivirus debe encontrarse habilitado en todos las computadoras del Banco y debe ser actualizado periódicamente. En caso de detectar fallas en el funcionamiento de dichos programas éstas deben ser comunicadas al área de soporte técnico. El programa antivirus debe ser configurado para realizar revisiones periódicas para la detección de virus en los medios de almacenamiento de las computadoras del Banco. Debe contarse con un procedimiento para la actualización periódica de los programas antivirus y el monitoreo de los virus detectados. Es obligación del personal del Banco, emplear sólo los programas cuyas licencias han sido obtenidas por el Banco y forman parte de su plataforma estándar. Asimismo, se debe evitar compartir directorios o archivos con otros usuarios; en caso de ser absolutamente necesario, coordinar con la Gerencia respectiva y habilitar el acceso sólo a nivel de lectura, informando al Departamento de Producción y Soporte Técnico. Todo el personal del Banco debe utilizar los protectores de pantalla y/o papel tapiz autorizados por la Institución; el estándar es: Papel Tapiz: BANCO ABC Protector de Pantalla: BANCO ABC.

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

6.7.3 Copias de respaldo Los Custodios de información deben definir un cronograma para la retención y rotación de las copias de respaldo, basado en los requerimientos establecidos por los Propietarios de información,

incluyendo el almacenamiento en uno o más ubicaciones distintos a las del centro de cómputo. Los Custodios de información son también responsables de asegurar que se generen copias de respaldo del software de los servidores del Banco, y que las políticas de manipulación de información se ejercen para las copias de respaldo trasladadas o almacenadas fuera de los locales del Banco. Debe formalmente definirse procedimientos para la creación y recuperación de copias de respaldo.

Trimestralmente deben efectuarse pruebas para probar la capacidad de restaurar información en caso sea necesario. Estas pruebas deben efectuarse en un ambiente distinto al ambiente de producción. Los usuarios deben generar copias de respaldo de información crítica transfiriendo o duplicando archivos a la carpeta personal establecida para dicho fin por la Gerencia de Sistemas, la cual se encuentra ubicada en uno de los servidores del Banco. Deben generarse copias de respaldo de estos servidores según un cronograma definido por los Custodios de información.

Las cintas con copias de respaldo deben ser enviadas a un local remoto periódicamente, basándose en un cronograma determinado por la gerencia del Banco. Los mensajes electrónicos, así como cualquier información considerada importante, deben ser guardados en copias de respaldo y retenidos por dispositivos automáticos.

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

6.8 CONTROL DE ACCESO DE DATOS La información manejada por los sistemas de información y las redes asociadas debe estar adecuadamente protegida contra modificaciones no autorizadas, divulgación o destrucción. El uso inteligente de controles de acceso previene errores o negligencias del personal, así como reduce la posibilidad del acceso no autorizado. 6.8.1 Identificación de Usuarios Cada usuario de un sistema automatizado debe de ser identificado de manera única, y el acceso del usuario así como su actividad en los sistemas debe de ser controlado, monitoreado y revisado. Cada usuario de un sistema debe tener un código de identificación que no sea compartido con otro usuario. Para lograr el acceso a los sistemas automatizados, se requiere que el usuario provea una clave que solo sea conocida por él. Debe establecerse un procedimiento para asegurar que el código de identificación de un usuario sea retirado de todos los sistemas cuando un empleado es despedido o transferido. Los terminales y computadoras personales deben bloquearse luego de quince (15) minutos de inactividad. El usuario tendrá que autenticarse antes de reanudar su actividad. El usuario debe ser instruido en el uso correcto de las características de seguridad del terminal y funciones de todas las plataformas, estaciones de trabajo, terminales, computadoras personales, etc., y debe cerrar la sesión o bloquear la estación de trabajo cuando se encuentre desatendida. Todos los consultores, contratistas, proveedores y personal temporal deben tener los derechos de acceso cuidadosamente controlados. El acceso solo debe ser válido hasta el final del trimestre o incluso antes, dependiendo de la terminación del contrato.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

Todos los sistemas deben proveer pistas de auditoria del ingreso a los sistemas y violaciones de los mismos. A partir de estos datos, los custodios de los sistemas deben elaborar reportes periódicos los cuales deben ser revisados por el área de seguridad informática. Estos reportes también deben incluir la identidad del usuario, y la fecha y hora del evento. Si es apropiado, las violaciones deben ser reportadas al gerente del individuo. Violaciones repetitivas o significantes o atentados de accesos deben ser reportados al gerente a cargo de la persona y al área de seguridad de la información.

6.8.2 Seguridad de contraseñas 6.8.2.1 Estructura

Todas las contraseñas deben tener una longitud mínima de ocho (8) caracteres y no deben contener espacios en blanco. Las contraseñas deben ser difíciles de adivinar. Palabras de diccionario, identificadores de usuario y secuencias comunes de caracteres, como por ejemplo “12345678” o “QWERTY”, no deben ser empleadas. Así mismo, detalles personales como los nombres de familiares, número de documento de identidad, número de teléfono o fechas de cumpleaños no deben ser usadas salvo acompañados con otros caracteres adicionales que no tengan relación directa. Las contraseñas deben incluir al menos un carácter no alfanumérico. Las contraseñas deben contener al menos un carácter alfabético en mayúscula y uno en minúscula. 6.8.2.2 Vigencia

Todas las contraseñas deben expirar dentro de un periodo que no exceda los noventa (90) días. Cada gerente debe determinar un máximo periodo de vigencia de las contraseñas, el cual es recomendable no sea menos de (30) días.

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

6.8.2.3

Reutilización de contraseñas

No debe permitirse la reutilización de ninguna de las 5 últimas contraseñas. Esto asegura que los usuarios no utilicen las mismas contraseñas en intervalos regulares. Los usuarios no deben poder cambiar sus contraseñas más de una vez al día. A los usuarios con privilegios administrativos, no se les debe permitir la reutilización de las últimas 13 contraseñas. 6.8.2.4 Intentos fallidos de ingreso

Todos los sistemas deben estar configurados para deshabilitar los identificadores de los usuarios en caso de ocurrir (3) intentos fallidos de autenticación. En los casos que los sistemas utilizados no soporten controles para las características establecidas para la estructura, vigencia, reutilización e intentos fallidos de ingreso, se debe documentar la excepción a la política, detallando la viabilidad de modificar la aplicación para soportar las características establecidas para las contraseñas. 6.8.2.5 Seguridad de contraseñas

Es importante que todos los empleados protejan sus contraseñas, debiéndose seguir las siguientes regulaciones: Bajo ninguna circunstancia, se debe escribir las contraseñas en papel, o almacenarlas en medios digitales no encriptados. Las contraseñas no deben ser divulgadas a ningún otro usuario salvo bajo el pedido de un gerente, con autorización del área de seguridad informática y auditoria interna. Si se divulga la contraseña, esta debe ser cambiada durante el próximo ingreso. El usuario autorizado es responsable de todas las acciones realizadas por alguna persona a quién se le ha comunicado la contraseña o identificador de usuario.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

-

Los sistemas no deben mostrar la contraseña en pantalla o en impresiones, recuperadas. para prevenir que éstas sean observadas o

-

Las contraseñas deben estar siempre encriptadas cuando se encuentren almacenadas o cuando sean transmitidas a través de redes.

-

El control de acceso a archivos, bases de datos, computadoras y otros sistemas de recursos mediante contraseñas compartidas está prohibido.

6.8.3 Control de transacciones Los empleados deben tener acceso únicamente al conjunto de transacciones en línea requeridas para ejecutar sus tareas asignadas. Este conjunto de transacciones debe estar claramente definido para prevenir alguna ocurrencia de fraude y malversación. El conjunto de transacciones debe ser definido durante el proceso de desarrollo de sistemas, revisado periódicamente y mantenido por la gerencia Propietaria. El acceso para la ejecución de transacciones sensibles debe ser controlado mediante una adecuada segregación de tareas. Por ejemplo, los usuarios que tengan permiso para registrar instrucciones de pago no deben poder verificar o aprobar su propio trabajo. Toda operación realizada en los sistemas que afecten información sensible como saldos operativos contables, deben contar con controles duales de aprobación, dichos controles de aprobación deben ser asignados con una adecuada segregación de funciones. Reportes de auditoria de transacciones sensibles o de alto valor deben ser revisadas por la gerencia usuaria responsable en intervalos regulares apropiados. Los reportes deben incluir la identidad del usuario, la fecha y la hora del evento.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

6.8.4 Control de producción y prueba El ambiente de prueba debe mantenerse siempre separado del ambiente de producción, se deben implementar controles de acceso adecuados en ambos ambientes. Las pruebas deben realizarse utilizando datos de prueba. Sin embargo, copias de datos de producción pueden ser usadas para las pruebas, siempre y cuando los datos sean autorizados por el Propietario y manejados de manera confidencial. El personal de desarrollo puede tener acceso de sólo lectura a los datos de producción. La actualización de los permisos de acceso a los datos de producción debe ser autorizada por el propietario y otorgada por un periodo limitado. Estándares de nombres deben ser utilizados para distinguir los datos y programas de desarrollo y producción. Un procedimiento de control de cambios debe asegurar que todos los cambios del modelo y ambientes de producción hayan sido revisados y aprobados por el (los) gerente(s) apropiados, y el personal encargado de la administración de la seguridad de la información. Los programas de producción, sistemas operativos y librerías de documentación deben ser considerados datos confidenciales y ser protegidos. Debe realizarse una adecuada segregación de tareas dentro del área de procesamiento de datos o sistemas. Las tareas del personal de soporte de aplicación, soporte técnico, y operadores del centro de datos deben estar claramente definidas y sus permisos de acceso a los datos deben basarse en los requerimientos específicos de su trabajo. 6.8.5 Controles de acceso de programas Los controles de acceso de programas deben asegurar que los usuarios no puedan acceder a la información sin autorización.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

Los programas deben poder generar una pista de auditoria de todos los accesos y violaciones. Las violaciones de los controles de acceso deben ser registradas y revisadas por el propietario o por el personal del área de sistemas custodio de los datos. Las violaciones de seguridad deben ser reportadas al gerente del empleado y al área responsable de la administración de la seguridad de la información. Se debe tener cuidado particular en todos los ambientes para asegurar que ninguna persona tenga control absoluto. Los operadores de sistemas, por ejemplo, no deben tener acceso ilimitado a los identificadores de superusuario. Dichos identificadores de usuario, son solo necesarios durante una emergencia y deben ser cuidadosamente controlados por la gerencia usuaria, quien debe realizar un monitoreo periódico de su utilización.

6.8.6 Administración de acceso de usuarios La asignación de identificadores de usuario especiales o privilegiados (como cuentas administrativas y supervisores) debe ser revisada cada 3 meses. Los propietarios de la información son responsables de revisar los privilegios de los sistemas periódicamente y de retirar todos aquellos que ya no sean requeridos por los usuarios. Es recomendable realizar revisiones trimestralmente debido al continuo cambio de los ambientes de trabajo y la importancia de los datos. Es responsabilidad del propietario de la información y de los administradores de sistemas ver que los privilegios de acceso estén alineados con las necesidades del negocio, sean asignados basándose en requerimientos y que se comunique la lista correcta de accesos al área de sistemas de información.

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

En las situaciones donde los usuarios con accesos a información altamente sensible sean despedidos, los supervisores deben coordinar directamente con el área de seguridad informática para eliminar el acceso de ese usuario. Se debe buscar el desarrollo de soluciones técnicas para evitar el uso de accesos privilegiados innecesarios. Luego del despido o renuncia de algún empleado, es responsabilidad del jefe del empleado revisar cualquier archivo físico o digital elaborado o modificado por el usuario. El gerente debe también asignar la propiedad de dicha información a la persona relevante así como determinar la destrucción de los archivos innecesarios. Todos los usuarios que tienen acceso a las cuentas privilegiadas deben tener sus propias cuentas personales para uso del negocio. Por ende, los administradores de sistemas y empleados con acceso a cuentas privilegiadas deben usar sus cuentas personales para realizar actividades de tipo no privilegiadas. Cuentas de usuario que no son utilizadas por noventa (90) días deben ser automáticamente deshabilitadas. Las cuentas que no han sido utilizadas por un periodo largo demuestran que el acceso de información de ese sistema no es necesario. Los custodios de la información deben informar al propietario de la información la existencia de las cuentas inactivas. Todos los accesos a los sistemas de información deben estar controlados mediante un método de autenticación incluyendo una combinación mínima de identificador de usuario/contraseña. Dicha combinación debe proveer la verificación de la identidad del usuario. Para los usuarios con tareas similares, se debe utilizar grupos o controles de acceso relacionados a roles para asignar permisos y accesos a las cuentas del individuo. Todos los usuarios de los sistemas de información deben de tener un identificador de usuario único que sea válido durante el período laboral del
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

usuario. Los identificadores de usuarios no deben de ser utilizados por otros individuos incluso luego de que el usuario original haya renunciado o haya sido despedido. Los sistemas no deben permitir que los usuarios puedan tener sesiones múltiples para un mismo sistema, salvo bajo autorización específica del propietario de la información. 6.8.7 Responsabilidades del usuario Todo equipo de cómputo, alquilado o de propiedad del Banco, así como los servicios compartidos facturados a cada unidad de negocio serán usados solo para actividades relacionadas al negocio del Banco. Los sistemas del Banco no pueden ser usados para desarrollar software para negocios personales o externos al Banco. Los equipos no deben ser usados para preparar documentos para uso externo, salvo bajo la aprobación escrita del gerente del área usuaria.

Se debe implementar protectores de pantallas en todas las computadoras personales y servidores, activándose luego de cinco (5) minutos de inactividad. Toda la actividad realizada utilizando un identificador de usuario determinado, es de responsabilidad del empleado a quién le fue asignado. Por consiguiente, los usuarios no deben compartir la información de su identificador con otros o permitir que otros empleados utilicen su identificador de usuario para realizar cualquier acción. También, los usuarios están prohibidos de realizar cualquier acción utilizando un identificador que no sea el propio. 6.8.8 Seguridad de computadoras Se debe mantener un inventario actualizado de todo el software y hardware existente en el Banco, la responsabilidad del mantenimiento del
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

inventario es del jefe de producción de la gerencia de sistemas. Todo traslado o asignación de equipos debe ser requerida por el gerente del área usuaria, es de responsabilidad del jefe de producción de la gerencia de sistemas, la verificación y realización del requerimiento. Es de responsabilidad del usuario, efectuar un correcto uso del equipo de cómputo que le fue asignado, así como de los programas en él instalados; cualquier cambio y/o traslado deberá ser solicitado con anticipación por su respectiva Gerencia. Asimismo el usuario debe verificar que cualquier cambio y/o traslado del Equipo de Cómputo que le fue asignado, se realice por personal de Soporte Técnico, así como también la instalación o retiro de software. Cualquier microcomputador, computadora personal o portátil / notebook perteneciente al Banco debe ser únicamente utilizada para propósitos de negocios. Estas computadoras pueden ser utilizadas de las siguientes maneras: - Como un terminal comunicándose con otra computadora - Como una computadora aislada que realice su propio procesamiento sin comunicación con ninguna otra computadora Medidas apropiadas de seguridad de computadoras personales, como los programas de seguridad de computadoras personales o los candados físicos, deben ser utilizados en relación con los datos y aplicaciones en ejecución. Sin importar su uso, las medidas de seguridad deben ser implementadas en todas las microcomputadoras y computadoras personales: - Una vez habilitada la computadora, ésta no debe dejarse desatendida, incluso por un periodo corto. - Todo los disquetes, cintas, CD´s y otros dispositivos de

almacenamiento de información incluyendo información impresa, que contengan datos sensibles deben ser guardados en un ambiente seguro cuando no sean utilizados.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

- El acceso a los datos almacenados en un microcomputador debe ser limitado a los usuarios apropiados.

Los discos duros no deben contener datos sensibles salvo en las computadoras cuyo acceso físico sea restringido o que tengan instalados un programa de seguridad y que los accesos a la computadora y a sus archivos sean controlados adecuadamente. Los disquetes no deben ser expuestos a temperaturas altas o a elementos altamente magnéticos. Deben generarse copias de respaldo de documentos y datos de manera periódica, asimismo, deben desarrollarse procedimientos para su adecuada restauración en el caso de pérdida. Todos los programas instalados en las computadoras deben ser legales, aprobados y periódicamente inventariados. Solo los programas adquiridos o aprobados por el Banco, serán instalados en las computadoras del Banco. El uso de programas de juegos, de distribución gratuita (freeware o shareware) o de propiedad personal está prohibido, salvo que éste sea aprobado por la gerencia y se haya revisado la ausencia de virus en el mismo. 6.8.9 Control de acceso a redes 6.8.9.1 Conexiones con redes externas

Los sistemas de red son vulnerables y presentan riesgos inherentes a su naturaleza y complejidad. Los accesos remotos ( ial-in) y conexiones d con redes externas, exponen a los sistemas del Banco a niveles mayores de riesgo. Asegurando que todos los enlaces de una red cuenten con adecuados niveles de seguridad, se logra que los activos más valiosos de las unidades de negocio estén protegidos de un ataque directo o indirecto.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

Todas las conexiones realizadas entre la red interna del Banco e Internet, deben ser controladas por un firewall para prevenir accesos no autorizados. El área de seguridad de información debe aprobar todas las conexiones con redes o dispositivos externos. El acceso desde Internet hacia la red interna del Banco no debe ser permitido sin un dispositivo de fuerte autenticación o certificado basado en utilización de contraseñas dinámicas. El esquema de direccionamiento interno de la red no debe ser visible desde redes o equipos externos. Esto evita que “hackers” u otras personas pueden obtener fácilmente información sobre la estructura de red del Banco y computadoras internas. Para eliminar las vulnerabilidades inherentes al protocolo TCP/IP, ruteadores y firewalls deben rechazar conexiones externas que parecieran originarias de direcciones internas (ip spoofing).

6.8.9.2

Estándares generales

Los accesos a los recursos de información deben solicitar como mínimo uno de los tres factores de autenticación: Factor de conocimiento: algo que solo el usuario conoce. Por ejemplo: contraseña o PIN. Factor de posesión: algo que solo el usuario posee. Por ejemplo: smartcard o token. Factor biométrico: algo propio de las características biológicas del usuario. Por ejemplo: lectores de retina o identificadores de voz. La posibilidad de efectuar encaminamiento y re-direccionamiento de paquetes, debe ser configurada estrictamente en los equipos que necesiten realizar dicha función. Todos los componentes de la red deben mostrar el siguiente mensaje de alerta en el acceso inicial.

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

“Aviso de alerta: Estos sistemas son de uso exclusivo del personal y agentes autorizados del Banco. El uso no autorizado está prohibido y sujeto a penalidades legales”. Todos los componentes de la red de datos deben ser identificados de manera única y su uso restringido. Esto incluye la protección física de todos los puntos vulnerables de una red. Las estaciones de trabajo y computadoras personales deben ser bloqueadas mediante la facilidad del sistema operativo, mientras se encuentren desatendidas. Todos los dispositivos de red, así como el cableado deben ser ubicado de manera segura. Cualquier unidad de control, concentrador, multiplexor o procesador de comunicación ubicado fuera de una área con seguridad física, debe estar protegido de un acceso no autorizado.

6.8.9.3

Política del uso de servicio de redes

Todas las conexiones de red internas y externas deben cumplir con las políticas del Banco sobre servicios de red y control de acceso. Es responsabilidad del área de sistemas de información y seguridad de información determinar lo siguiente: - Elementos de la red que pueden ser accedidos - El procedimiento de autorización para la obtención de acceso - Controles para la protección de la red. Todos los servicios habilitados en los sistemas deben contar con una justificación coherente con las necesidades del negocio. Los riesgos asociados a los servicios de red deben determinarse y ser resueltos antes de la implementación del servicio. Algunos servicios estrictamente prohibidos incluyen TFTP e IRC/Chat.

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

6.8.9.4

Segmentación de redes

La arquitectura de red del Banco debe considerar la separación de redes que requieran distintos niveles de seguridad. Esta separación debe realizarse de acuerdo a la clase de información albergada en los sistemas que constituyen dichas redes. Esto debe incluir equipos de acceso público. 6.8.9.5 Análisis de riesgo de red

Cualquier nodo de la red de datos, debe asumir el nivel de sensibilidad de la información o actividad de procesamiento de datos más sensible al que tenga acceso. Se deben implementar controles que compensen los riesgos más altos. 6.8.9.6 Acceso remoto(dial-in)

Los usuarios que ingresen a los sistemas del Banco mediante acceso remoto (dial-in) deben ser identificados antes de obtener acceso a los sistemas. Por lo tanto, dicho acceso debe ser controlado por un equipo que permita la autenticación de los usuarios al conectarse a la red de datos. Técnicas y productos apropiadas para el control de los accesos remotos (dial-in) incluyen: Técnicas de identificación de usuarios: Técnicas que permitan identificar de manera unívoca al usuario que inicia la conexión, es recomendable que la técnica elegida utilice por lo menos 2 de los factores de autenticación definidos anteriormente. Ejemplo: tokens (dispositivos generadores de contraseñas dinámicas). Técnicas de identificación de terminales: Técnicas que permiten identificar unívocamente al terminal remoto que realiza la conexión. Ejemplo: callback (técnica que permite asegurar que el número telefónico fuente de la conexión sea autorizado)
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

6.8.9.7

Encripción de los datos

Los algoritmos de encripción DES, 3DES y RSA son técnicas de encripción aceptables para las necesidades de los negocios de hoy. Estas pueden ser empleadas para satisfacer los requerimientos de encripción de datos del Banco. Las contraseñas, los códigos o números de identificación personal y los identificadores de terminales de acceso remoto deben encontrarse encriptados durante la transmisión y en su medio de almacenamiento. La encripción de datos ofrece protección ante accesos no autorizados a la misma; debe ser utilizada si luego de una evaluación de riesgo se concluye que es necesaria. 6.8.10 Control de acceso al sistema operativo 6.8.10.1 Estándares generales Los usuarios que posean privilegios de superusuario, deben utilizar el mismo identificador con el que se autentican normalmente en los sistemas. Los administradores deben otorgarle los privilegios especiales a los identificadores de los usuarios que lo necesiten. Todos los usuarios deben poseer un único identificador. El uso de identificadores de usuario compartidos debe estar sujeto a autorización. Cada cuenta de usuario debe poseer una contraseña asociada, la cual solo debe ser conocida por el dueño del identificador de usuario. Seguridad adicional puede ser añadida al proceso, como identificadores biométricos o generadores de contraseñas dinámicas.

6.8.10.2 Limitaciones de horario Las aplicaciones críticas deben estar sujetas a periodos de acceso restringidos, el acceso a los sistemas en un horario distinto debe ser deshabilitado o suspendido.

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

6.8.10.3 Administración de contraseñas Los administradores de seguridad deben realizar pruebas mensuales sobre la calidad de las contraseñas que son empleadas por los usuarios, esta actividad puede involucrar el uso de herramientas para obtención de contraseñas. Todas las bases de datos o aplicaciones que almacenen contraseñas deben ser aseguradas, de tal manera, que solo los administradores de los sistemas tengan acceso a ellas. 6.8.10.4 Inactividad del sistema Las sesiones en los sistemas que no se encuentren activas por mas de 30 minutos deben ser concluidas de manera automática. Las computadoras personales, laptops y servidores, deben ser

configurados con un protector de pantalla con contraseña, cuando sea aplicable. El periodo de inactividad para la activación del protector de pantalla debe ser de 5 minutos. Los sistemas deben forzar la reautenticación de los usuarios luego de 2 horas de inactividad. 6.8.10.5 Estándares de autenticación en los sistemas Los sistemas, durante el proceso de autenticación, deben mostrar avisos preventivos sobre los accesos no autorizados a los sistemas. Los identificadores de los usuarios deben ser bloqueados luego de 3 intentos fallidos de autenticación en los sistemas, el desbloqueo de la cuenta debe ser realizado manualmente por el administrador del sistema. Los sistemas deben ser configurados para no mostrar ninguna información que pueda facilitar el acceso a los mismos, luego de intentos fallidos de autenticación.

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

6.8.11 Control de acceso de aplicación 6.8.11.1 Restricciones de acceso a información Para la generación de cuentas de usuario en los sistemas así como para la asignación de perfiles, el gerente del área usuaria es el responsable de presentar la ‘Solicitud de Usuarios y/o Perfiles de Acceso a los Sistemas de Cómputo’, al área de Seguridad Informática, quien generará los Usuarios y Contraseñas correspondientes, para luego remitirlas al Departamento de Recursos Humanos, para que éste a su vez los entregue al Usuario Final, con la confidencialidad requerida. Se debe otorgar a los usuarios acceso solamente a la información mínima necesaria para la realización de sus labores. Esta tarea puede ser realizada utilizando una combinación de: - Seguridad lógica de la aplicación. - Ocultar opciones no autorizadas en los sistemas - Restringir el acceso a línea de comando - Limitar los permisos a los archivos de los sistemas (solo lectura) - Controles sobre la información de salida de los sistemas (reportes, consultas en línea, etc.) 6.8.11.2 Aislamiento de sistemas críticos Basados en el tipo de información, las redes pueden requerir separación. Los sistemas que procesan información muy crítica deben ser aislados físicamente de sistemas que procesan información menos crítica. 6.8.12 Monitoreo del acceso y uso de los sistemas 6.8.12.1 Sincronización del reloj Los relojes de todos los sistemas deben ser sincronizados para asegurar la consistencia de todos los registros de auditoria. Debe desarrollarse un

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

procedimiento para el ajuste de cualquier desvío en la sincronización de los sistemas. 6.8.12.2 Responsabilidades generales Los administradores de los sistemas deben realizar monitoreo periódico de los sistemas como parte de su rutina diaria de trabajo, este monitoreo no debe estar limitado solamente a la utilización y performance del sistema sino debe incluir el monitoreo del acceso de los usuarios a los sistemas.

6.8.12.3 Registro de eventos del sistema La actividad de los usuarios vinculada al acceso a información clasificada como “confidencial” o “restringida” debe ser registrada para su posterior inspección. El propietario de la información debe revisar dicho registro mensualmente.

Todos los eventos de seguridad relevantes de una computadora que alberga información confidencial, deben ser registrados en un log de eventos de seguridad. Esto incluye errores en autenticación,

modificaciones de datos, utilización de cuentas privilegiadas, cambios en la configuración de acceso a archivos, modificación a los programas o sistema operativo instalados, cambios en los privilegios o permisos de los usuarios o el uso de cualquier función privilegiada del sistema.

Los “logs” (bitácoras) de seguridad deben ser almacenados por un periodo mínimo de 3 meses. Acceso a dichos logs debe ser permitido solo a personal autorizado. En la medida de lo posible, los logs deben ser almacenados en medios de “solo lectura”.

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

6.8.13 Computación móvil y teletrabajo 6.8.13.1 Responsabilidades generales Los usuarios que realizan trabajo en casa con información del Banco, pueden tener el concepto errado de que la seguridad de información solo es aplicable en el trabajo en oficina, sin tomar en cuenta que algunas amenazas de seguridad son comunes en ambos entornos de trabajo y que incluso existen algunas nuevas amenazas en el trabajo en casa. El personal que realiza trabajo en casa debe tener en cuenta las amenazas de seguridad que existen en dicho entorno laboral y tomar las medidas apropiadas para mantener la seguridad de información.

La utilización de programas para el control remoto de equipos como PCAnywhere está prohibida a menos que se cuente con el consentimiento formal del administrador de seguridad. La utilización inapropiada de este tipo de programas puede facilitar el acceso de un intruso a los sistemas de información del Banco. 6.8.13.2 Acceso remoto Medidas de seguridad adicionales deben ser implementadas para proteger la información almacenada en dispositivos móviles. Entre las medidas a tomarse se deben incluir: - Encripción de los datos - Contraseñas de encendido - Concientización de usuarios - Protección de la data transmitida hacia y desde dispositivos móviles. Ej. VPN, SSL o PGP. - Medidas de autenticación adicionales para obtener acceso a la red de datos. Ej. SecureID tokens.

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

Con el propósito de evitar los problemas relacionados a virus informáticos y propiedad de los datos existentes en computadoras externas, solamente equipos del Banco deben ser utilizados para ser conectados a su red de datos. La única excepción a este punto es la conexión hacia el servidor de correo electrónico para recepción y envío del correo electrónico.

Todos los accesos dial-in/dial-out deben contar con autorización del área de seguridad informática y deben contar con la autorización respectiva que justifique su necesidad para el desenvolvimiento del negocio. 6.9 DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS El diseño de la infraestructura del Banco, las aplicaciones de negocio y las aplicaciones del usuario final deben soportar los requerimientos generales de seguridad documentados en la política de seguridad del Banco. Estos requerimientos deben ser incorporados en cada paso del ciclo de desarrollo de los sistemas, incluyendo todas las fases de diseño, desarrollo, mantenimiento y producción. Los requerimientos de seguridad y control deben estar: - determinados durante cualquier diseño de sistemas, - desarrollados dentro de la arquitectura del sistema - implementados en la instalación final del sistema. Adicionalmente, todo los procesos de desarrollo y soporte a estos sistemas deben seguir los requerimientos de seguridad incluidos en esta política de seguridad. 6.9.1 Requerimientos de seguridad de sistemas 6.9.1.1 Control de cambios

El área responsable de la administración de cambios debe retener todos los formularios de solicitud de cambio, planes de cambio de programa y
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

resultados de pruebas de acuerdo con los estándares de retención de registros del Banco. Los gerentes técnicos de las áreas son responsables de retener una copia de la documentación de solicitud de cambio pertinente a su respectiva área.

Los procedimientos de prueba deben estar documentados en los formularios de solicitud de cambio. Si se notara problemas durante el proceso de prueba, el proveedor debe documentar el problema, realizar las modificaciones apropiadas en el ambiente de desarrollo y entregarlo para que se vuelva a probar. 6.9.1.2 Análisis y especificación de los requerimientos de seguridad Para todos los sistemas desarrollados por o para el Banco, se debe determinar los requerimientos de seguridad antes de comenzar la fase de desarrollo de la aplicación. Durante la fase de diseño del sistema, los propietarios de la información, el área de sistemas y el área de seguridad de la información deben determinar un control adecuado para el ambiente de la aplicación. Estos requerimientos deben incluir, pero no están limitadas a: - Control de acceso - Autorización - Criticidad del sistema - Clasificación de la información - Niveles de disponibilidad requeridos - Confidencialidad e integridad de la información

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

6.9.2 Seguridad en sistemas de aplicación 6.9.2.1 Los Desarrollo y prueba de aplicaciones de prueba deben estar adecuadamente

procedimientos

documentados en los formularios de solicitud de cambio. El gerente del desarrollador debe efectuar una revisión independiente de los resultados de la unidad de prueba. Como resultado, se debe evidenciar una aprobación formal por parte del gerente del desarrollador en el formulario de solicitud de cambio.

Durante la prueba de integración, restricciones de acceso lógico deben asegurar que los desarrolladores no tengan accesos de actualización y que el código siendo probado no sea modificado sin consentimiento del usuario. Copias de los datos de producción o conjuntos prediseñados de datos de prueba deben ser usados para propósitos de prueba.

Todas las modificaciones significativas, mejoras grandes y sistemas nuevos deben ser probados por los usuarios del sistema antes de la instalación del software en el ambiente de producción. El plan de aceptación del usuario debe incluir pruebas de todas las funciones principales, procesos y sistemas de interfaces. Los procedimientos de prueba deben ser adecuadamente documentados en los formularios de solicitud de cambio.

Durante las pruebas de aceptación, restricciones lógicas de acceso deben asegurar que los desarrolladores no tengan acceso de actualización y que el código fuente siendo probado no pueda ser modificado sin consentimiento escrito por el usuario. Si se notara problemas, el usuario debe documentar el problema, el desarrollador debe realizar las modificaciones apropiadas en el ambiente de desarrollo y lo entregará para volver a probarlo.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

6.10

CUMPLIMIENTO NORMATIVO

Toda ley, norma, regulación o acuerdo contractual debe ser documentado y revisado por el área legal del Banco. Requerimientos específicos para controles y otras actividades relacionadas a estas regulaciones legales deben ser delegados al área organizacional respectiva, la cual es responsable por el cumplimiento de la norma en cuestión. Los recursos informáticos del Banco deben ser empleados exclusivamente para tareas vinculadas al negocio. 6.10.1 Registros Deben desarrollarse estándares de retención, almacenamiento, manejo y eliminación de registros que son requeridos por normas legales u otras regulaciones. Debe definirse un cronograma de retención para estos registros que debe incluir: - Tipo de información - Regulaciones o leyes aplicables - Fuentes de este tipo de información - Tiempos de retención requeridos - Requerimientos de traslado y almacenamiento - Procedimientos de eliminación - Requerimientos de control específicos estipulados en la norma relacionada 6.10.2 Revisión de la política de seguridad y cumplimiento técnico Los gerentes y jefes deben asegurarse que las responsabilidades de seguridad sean cumplidas y las funciones relacionadas se ejecuten apropiadamente. Es responsabilidad del personal encargado de la administración de la seguridad y de auditoria interna verificar el cumplimiento de las políticas

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

de seguridad. Las excepciones deben ser reportadas a la gerencia apropiada. 6.10.3 Propiedad de los programas Cualquier programa escrito por algún empleado del Banco dentro del alcance de su trabajo así como aquellos adquiridos por el Banco son de propiedad del Banco. Los contratos para desarrollo externo deben acordarse por escrito y deben señalar claramente el propietario de los derechos del programa. En la mayoría de circunstancias, el Banco debería ser propietaria de todos los programas de cómputo desarrollados, debiendo pagar los costos de desarrollo. Cada programa elaborado por desarrolladores propios del Banco o por desarrolladores externos contratados por el Banco, debe contener la información de derecho de autor correspondiente. Generalmente, el aviso debe aparecer en cuando el usuario inicie la aplicación. Un aviso legible también debe estar anexado a las copias de los programas almacenados en dispositivos como cartuchos, cassettes, discos o disquetes. 6.10.4 Copiado de software adquirido y alquilado Los contratos con proveedores y paquetes propietarios de software deben definir claramente los límites de su uso. Los empleados están prohibidos de copiar o utilizar dicho software de manera contraria a la provisión del contrato. Toda infracción de los derechos de autor del software constituye robo.

Los productos adquiridos o alquilados para ejecutarse en una unidad de procesamiento o en un sitio particular no deben ser copiados y ejecutados en procesadores adicionales sin algún acuerdo por parte del proveedor.

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

Los programas no pueden ser copiados salvo dentro del límite acordado con el proveedor (por ejemplo, copias de respaldo para protección). Los empleados o contratistas que realicen copias adicionales para evitar el costo de adquisición de otro paquete serán hechos responsables de sus acciones. 6.11 CONSIDERACIONES DE AUDITORIA DE SISTEMAS

6.11.1 Protección de las herramientas de auditoria Todas las herramientas, incluyendo programas, aplicaciones,

documentación y papeles de trabajo, requeridos para la auditoria de sistemas deben protegerse de amenazas posibles como se indica en esta política de seguridad. 6.11.2 Controles de auditoria de sistemas Todas las actividades de auditoria deben ser revisadas para el planeamiento y la ejecución correcta de la auditoria. Esto incluye, pero no se limita a lo siguiente: - minimizar cualquier interrupción de las operaciones del negocio - acuerdo de todas las actividades y objetivos de auditoria con la gerencia - límite del alcance de la evaluación de un ambiente controlado, asegurando que no se brinde accesos impropios para la realización de las tareas de auditoria - identificación de los recursos y habilidades necesarias para cualquier tarea técnica - registro de todas las actividades y desarrollo de la documentación de las tareas realizadas, procedimientos de auditoria, hallazgos y recomendaciones.

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

6.12

POLÍTICA DE COMERCIO ELECTRÓNICO

El propósito de esta política es presentar un esquema para el comportamiento aceptable cuando se realizan actividades de comercio electrónico (e-commerce). Los controles definidos, tienen el propósito de proteger el comercio electrónico de numerosas amenazas de red que puedan resultar en actividad fraudulenta y divulgación o modificación de la información.

Esta política se aplica a todos los empleados del Banco involucrados con comercio electrónico y a los socios de comercio electrónico del Banco. Los socios de comercio electrónico del Banco incluyen las unidades de negocio de la organización, los clientes, socios comerciales y otros terceros.

El Banco debe asegurar la claridad de toda la información documentada y divulgar la información necesaria para asegurar el uso apropiado del comercio electrónico. El Banco y los socios de comercio electrónico deben de someterse a la legislación nacional sobre el uso de la información de clientes y las estadísticas derivadas.

Los documentos y transacciones electrónicas usadas en el comercio electrónico deben ser legalmente admisibles. Las unidades de negocio afiliadas del Banco deben demostrar que sus sistemas de cómputo funcionan adecuadamente para establecer la autenticación de los documentos y transacciones legales. Los sistemas de información usados deben estar de acuerdo con los estándares de seguridad corporativos antes de estar disponibles en producción.

Los sistemas de comercio electrónico deben publicar sus términos de negocios a los clientes. El uso de autoridades de certificación y archivos

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

confiables de terceros deben estar documentados, de acuerdo con la política de seguridad de información del Banco.

Actividades de roles y responsabilidades entre el Banco y los socios de comercio electrónico deben de establecerse, documentarse y ser soportadas por un acuerdo documentado que comprometa a ambos al acuerdo de los términos de transacciones. 6.12.1 Términos e información de comercio electrónico 6.12.1.1 Recolección de información y privacidad El Banco debe utilizar niveles apropiados de seguridad según el tipo de información recolectada, mantenida y transferida a terceros debiendo asegurarse de: - Aplicar estándares corporativos de encripción y autenticación para la transferencia de información sensible. - Aplicar controles corporativos técnicos de seguridad para proteger los datos mantenidos por computadoras; y - Considerar la necesidad de que los terceros involucrados en las transacciones de clientes, también mantengan niveles apropiados de seguridad.

El Banco debe adoptar prácticas de información que

manejen

cuidadosamente la información personal de los clientes. Todos los sistemas de comercio electrónico del Banco deben seguir una política de privacidad basada en principios de información, deben tomar medidas apropiadas para proveer seguridad adecuada y respetar las preferencias de los clientes con respecto al envío de mensajes de correo electrónico no solicitados.

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

6.12.1.2 Divulgación El Banco debe proveer suficiente información sobre la propia transacción en línea, para permitir que los clientes tomen una decisión informada sobre si ejecutar las transacciones en línea. Información divulgada debe incluir, pero no estar limitada a: - Términos de transacción; - Disponibilidad de producto e información de envío; y - Precios y costos. El Banco debe también brindar al cliente las opciones de: - Revisión y aprobación de la transacción; y - Recepción de una confirmación. 6.12.2 Transferencia electrónica de fondos Transacciones de valor, sobre redes de telecomunicación, que resulten de movimientos de fondos, deben estar protegidas con medidas que sean proporcionales a la pérdida potencial debido a error o fraude. En sistemas donde el valor promedio de transacción excede los $50,000 o en los

cuales transacciones sobre los $100,000 sean frecuentes, se debe verificar el origen de la transacción así como el contenido de la misma de acuerdo a los estándares definidos por el Banco.

Para todos los casos en que un mensaje de transferencia electrónica de fondos sea enviado sobre un circuito por lo menos se debe verificar el origen del mensaje mediante un método apropiado considerando el riesgo involucrado.

Algunas circunstancias requieren de la verificación de la ubicación física del terminal que origina la transacción, mientras que en otras una adecuada técnica usada para identificar el usuario del terminal es suficiente.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

Los sistemas que utilicen soluciones de encripción o autenticación deben usar los estándares de ANSI aceptados. La encripción de la información transmitida es necesaria cuando el origen y el destino se encuentran conectados por un enlace físico de comunicación que pueda ser accedido por un tercero. Las soluciones de punto a punto son preferibles para redes multi-nodos.

Los datos de identificación personal como PIN’s, PIC’s y contraseñas no deben ser transmitidas o almacenadas sin protección en cualquier medio. Los sistemas nuevos que involucren el movimiento de fondos o transacciones de valor sobre redes de telecomunicaciones debe incorporar estos controles en su diseño.

Cualquier cambio en los sistemas o redes existentes, deben respetar dichos controles. 6.13 INFORMACIÓN ALMACENADA EN MEDIOS DIGITALES Y

FÍSICOS Toda información almacenada en cualquier dispositivo o medio del Banco, incluyendo disquetes, reportes, códigos fuentes de programas de computadora, correo electrónico y datos confidenciales de los clientes, es propiedad del Banco. Las prácticas de seguridad de datos deben ser consistentes para ser efectivas. Los datos sensibles deben ser protegidos, sin importar la forma en que sean almacenados. 6.13.1 Etiquetado de la información Toda información impresa o almacenada en medios físicos transportables (cintas de backup, cd´s, etc.) que sean confidenciales o restringidas,

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

deben estar claramente etiquetadas como tal, con letras grandes que sean legibles sin la necesidad de un lector especial. Todo documento o contenedor de información debe ser etiquetado como “Restringida”, “Confidencial”, de “Uso interno” o de Acceso “General”, dependiendo de la clasificación asignada. Todo documento en formato digital o impreso, debe presentar una etiqueta en la parte superior e inferior de cada página, con la clasificación correspondiente. Todo documento clasificado como “Confidencial” o “Restringido” debe contar con una carátula en la cual se muestre la clasificación de la información que contiene. 6.13.2 Copiado de la información Reportes confidenciales y restringidos no deben ser copiados sin la autorización del propietario de la información. Reportes confidenciales pueden ser copiados sólo para los individuos autorizados a conocer su contenido. Los gerentes son los responsables de determinar dicha necesidad, para cada persona a la cual le sea distribuido dicho reporte. Los reportes restringidos deben ser controlados por un solo custodio, quién es responsable de registrar los individuos autorizados que soliciten el documento. El copiado de cualquier dato restringido o confidencial almacenado en un medio magnético debe ser aprobado por el propietario y clasificado al igual que el original. 6.13.3 Distribución de la información La información confidencial y restringida debe ser controlada cuando es trasmitida por correo electrónico interno, externo o por courier. Si el

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

servicio de courier o correo externo es usado, se debe solicitar una confirmación de entrega al receptor. Los reportes confidenciales y otros documentos sensibles deben usarse en conjunto con sobres confidenciales y estos últimos también ser sellados. Materiales restringidos de alta sensibilidad deben enviarse con un sobre etiquetado ‘Solo a ser abierto por el destinatario’. La entrega personal es requisito para la información extremadamente sensible. Los datos sensibles de la empresa que sean transportados a otra instalación deben ser transportados en contenedores apropiados. Todo usuario, antes de transmitir información clasificada como

“Restringida” o “Confidencial”, debe asegurarse que el destinatario de la información esté autorizado a recibir dicha información. La transmisión de información clasificada como “Restringida” o

“Confidencial”, transmitida desde o hacia el Banco a través de redes externas, debe realizarse utilizando un medio de transmisión seguro, es recomendable el uso de técnicas de encripción para la información transmitida. 6.13.4 Almacenamiento de la información Los activos de información correspondiente a distintos niveles de clasificación, deben ser almacenados en distintos contenedores. La información etiquetada como “de uso interno” debe ser guardada de manera que sea inaccesible a personas ajenas a la empresa. La información “Confidencial o “Restringida” debe ser asegurada para que esté sólo disponible a los individuos específicamente autorizados para acceder a ella.

El ambiente donde se almacena la información clasificada como “Restringida”, debe contar con adecuados controles de acceso y asegurado cuando se encuentre sin vigilancia. El acceso debe ser
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

permitido solo al personal formalmente autorizado. Personal de limpieza debe ingresar al ambiente acompañado por personal autorizado.

La información en formato digital clasificada como de acceso “General”, puede ser almacenada en cualquier sistema del Banco. Sin embargo se deben tomar las medidas necesarias para no mezclar información “General” con información correspondiente a otra clasificación.

Información en Formato digital, clasificada como “Restringida”, debe ser encriptada con un método aprobado por el área de seguridad informática, cuando es almacenada en cualquier medio (disco duro, disquetes, cintas, CD´s, etc.).

Los

medios

de

almacenamiento,

incluyendo

discos

duros

de

computadoras, que albergan información clasificada como “Restringida”, deben ser ubicados en ambientes cerrados diseñados para el almacenamiento de dicho tipo de información. Cuando información clasificada como “de uso Interno”, Confidencial o Restringida se guarde fuera del Banco, debe ser almacenada en instalaciones que cuenten con adecuados controles de acceso. El envío y recepción de medios magnéticos para ser almacenados en instalaciones alternas debe ser autorizado por el personal responsable de los mismos y registrado en bitácoras apropiadas. 6.13.5 Eliminación de la información La eliminación de documentos y otras formas de información deben asegurar la confidencialidad de la información de las unidades de negocio.

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

Se debe borrar los datos de los medios magnéticos, como cassettes, disquetes, discos duros, DASD, que se dejen de usar en el Banco debido a daño u obsolencia, antes de que estos sean eliminados.

En el caso de los equipos dañados, la empresa de reparación o destrucción del equipo debe certificar que los datos hayan sido destruidos o borrados.

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

Capítulo VII

PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL

Luego de la identificación de riesgos amenazas y vulnerabilidades se pudo determinar el conjunto de actividades más importantes a ser realizadas por el Banco, las cuales permitan alinear las medidas de seguridad existentes con las exigidas por las Políticas de Seguridad elaboradas.

Estas actividades han sido agrupadas en un plan de implementación, el cual contiene los objetivos de cada actividad, el tiempo estimado de ejecución y las etapas a ser cubiertas en cada actividad identificada.

Las actividades a ser realizadas por el Banco son las siguientes: Clasificación de la Información Seguridad de red y comunicaciones Inventario de accesos a los sistemas Adaptación de contratos con proveedores Campaña de concientización de usuarios Verificación y adaptación de los sistemas del Banco Estandarización de la configuración del software base Revisión y adaptación de procedimientos complementarios.

Para cada actividad se ha elaborado una breve descripción (objetivo), las tareas a ser desarrolladas (etapas), la relación de precedencia que presenta con otras actividades y un tiempo estimado de duración. El tiempo estimado para el desarrollo de cada etapa debe ser revisado antes de iniciar la misma y puede sufrir variaciones de acuerdo a dicha evaluación final.

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

7.1

Clasificación de Información Ninguna 16 – 22 semanas Con el objetivo de proteger los activos de información de manera adecuada, se debe realizar un proyecto para la clasificación de la información utilizada por las distintas unidades de negocio, mediante la cual se podrán definir los recursos apropiados y necesarios para proteger los activos de información. El objetivo de la clasificación es priorizar la utilización de recursos para aquella información que requiere de mayores niveles de protección. Los criterios a ser empleados para la clasificación de la información son los siguientes: - Información Restringida (R): Información con mayor grado de sensibilidad; el acceso a esta información debe de ser autorizado caso por caso. - Información Confidencial (C): Información sensible que solo debe ser divulgada a aquellas personas que la necesiten para el cumplimiento de sus funciones. - Información de Uso Interno (I): Datos generados para facilitar las operaciones diarias; deben de ser manejados de una manera discreta, pero no requiere de medidas elaboradas de seguridad. - Información General (G): Información que es generada específicamente para su divulgación al público en general.

Dependencia Tiempo estimado Objetivo

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

Etapas

-

Elaboración de un inventario de activos de información incluyendo información almacenada en medios digitales e información impresa.

-

Definición de responsables por activos identificados Clasificación de la información por parte de los responsables definidos.

-

Consolidación de los activos de información clasificados.

-

Determinación de las medidas de seguridad a ser aplicados para cada activo clasificado.

- Implementación de las medidas de seguridad determinadas previamente.

7.2

Seguridad de red y comunicaciones

Dependencia Tiempo estimado Objetivo

Ninguna 11 – 17 semanas

Para

evitar

manipulación

de

los

equipos

de

comunicaciones por personal no autorizado y garantizar que la configuración que poseen brinde mayor seguridad y eficiencia a las comunicaciones, se requiere que los equipos que soportan dicho servicio, se encuentren adecuadamente configurados. Etapas A. Adaptación de sistemas de comunicaciones a políticas de seguridad. (Tiempo estimado: 3-5 semanas) Elaboración de un inventario de equipos de

comunicaciones (routers, switches, firewalls, etc)

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

-

Elaboración de estándares de configuración para los equipos de comunicaciones (basarse en la política de seguridad definida, documentación de proveedores, etc.)

-

Evaluación de equipos identificados. Adaptación de los equipos a la política de seguridad.

B. Adaptación a la arquitectura de red propuesta. (Tiempo estimado: 6-8 semanas)

B.1. Creación de la Extranet: Controlar mediante un firewall la comunicación entre la red del Banco y redes externas como Banca Red y Reuters, para evitar actividad no autorizada desde dichas redes hacia los equipos de la red del Banco.

B.2. Implementar una red DMZ para evitar el ingreso de conexiones desde Internet hacia la red interna de datos. Adicionalmente implementar un sistema de inspección de contenido con el propósito de monitorear la información que es transmitida vía correo electrónico entre el Banco e Internet. En la red DMZ se debe ubicar un servidor de inspección de contenido, el cual trabajaría de la siguiente manera:

a) Ingreso de correo electrónico: El servidor de inspección de contenido, recibirá todos los correos enviados desde Internet, revisará su contenido y

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

los enviará al servidor Lotus Notes, quién los entregará a su destinatario final. b) Salida de correo electrónico: El Servidor Lotus Notes enviará el correo electrónico al servidor de inspección de contenido, quién revisará el

contenido del mensaje, para transmitirlo a través de Internet a su destino final. Esta nueva red DMZ puede ser empleada para ubicar nuevos equipos que brindarán servicios a través de Internet en el futuro tales como FTP, Web, etc.

B.3. Implementar servicios de

un

sistema

de

Antivirus FTP,

para

Internet

(SMTP,

HTTP).

Implementar un gateway antivirus de servicios de Internet, a través del cual pasarán las

comunicaciones establecidas entre la red interna del Banco e Internet. (duración aproximada: 1 semana)

B.4. Implementar un sistema de Alta Disponibilidad de firewalls en las crítica conexiones y se donde una fluye alta

información

requiera

disponibilidad de las comunicaciones. (duración aproximada: 2 semanas)

B.5. Implementar un sistema de monitoreo de Intrusos para detectar los intentos de intrusión o ataque desde redes externas hacia la red de datos del Banco. Asimismo se recomienda la

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

implementación del sistema en la red interna del Banco donde se ubican servidores críticos para detectar intentos de intrusión o ataque realizados desde la red interna del Banco hacia los servidores. (duración aproximada: 2 semanas)

C.

Proyectos complementarios (tiempo estimado 2-4 semanas) Evaluación de seguridad de la red inalámbrica y aplicación de controles de ser necesarios. Verificación de la configuración de: Servidor Proxy, Surf Control Firewall Servidor de correo electrónico

7.3

Inventario de accesos a los sistemas

Dependencia Tiempo estimado Objetivo

Ninguna 9 - 12 semanas

Con el propósito de obtener un control adecuado sobre el acceso de los usuarios a los sistemas del Banco, se debe realizar un inventario de todos los accesos que poseen ellos sobre cada uno de los sistemas. Este inventario debe ser actualizado al modificar el perfil de acceso de algún usuario y será utilizado para realizar revisiones periódicas de los accesos otorgados en los sistemas.

Etapas

- Elaboración de un inventario de las aplicaciones y

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

sistemas del Banco - Elaboración de un inventario de los perfiles de acceso de cada sistema - Verificación de los perfiles definidos en los sistemas para cada usuario - Revisión y aprobación de los accesos por parte de las gerencias respectivas - Depurar los perfiles accesos de los usuarios a los sistemas. - Mantenimiento periódico del inventario. 7.4 Adaptación de contratos con proveedores Ninguna 24 semanas (tiempo parcial)

Dependencia Tiempo estimado Objetivo

Con el objetivo de asegurar el cumplimiento de las políticas de seguridad del Banco en el servicio brindado por los proveedores, es necesario realizar una revisión de los mismos y su grado de cumplimiento respecto a las políticas de seguridad definidas, de ser necesario dichos contratos deben ser modificados para el cumplimiento de la política de seguridad del Banco.

Etapas

- Elaboración de cláusulas estándar referidas a seguridad de información, para ser incluidas en los contratos con proveedores - Elaboración de un inventario de los contratos existentes con proveedores - Revisión de los contratos y analizar el grado de

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

cumplimiento de la política de seguridad. - Negociar con los proveedores para la inclusión de las cláusulas en los contratos.

7.5

Campaña de concientización de usuarios. Ninguna 5-7 semanas Con el objetivo de lograr un compromiso y concientización de los usuarios en temas referentes a seguridad de información del Banco, se debe realizar una campaña de concientización del personal la cual esté orientada a todo el personal como conceptos básicos de seguridad y a grupos específicos con temas correspondientes a sus responsabilidades en la organización. Definición del mensaje a transmitir y material a ser empleado para los distintos grupos de usuarios, entre ellos: Personal en general: información general sobre seguridad, políticas y estándares incluyendo protección de virus, contraseñas, seguridad física, sanciones, correo electrónico y uso de Internet. Personal de Sistemas: Políticas de seguridad, estándares y controles específicos para la tecnología y aplicaciones utilizadas. Gerencias y jefaturas: Monitoreo de seguridad, responsabilidades de supervisión, políticas de sanción. Identificación del personal de cada departamento que se encargará de actualizar a su propio grupo en temas de seguridad. Establecimiento de un cronograma de capacitación, el cual debe incluir, empleados nuevos, requerimientos anuales de capacitación, actualizaciones. Desarrollo el cronograma de presentaciones. - Realizar la campaña según el cronograma elaborado, asegurándose de mantener un registro actualizado de la capacitación de cada usuario.

Dependencia Tiempo estimado Objetivo

Etapas

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

7.6

Verificación y adaptación de los sistemas del Banco. Actividad A. 20 – 30 semanas

Dependencia Tiempo estimado bjetivo

Con el objetivo de asegurar el cumplimiento de la política de seguridad en los controles existentes, se debe verificar el grado de cumplimiento de las políticas de seguridad en los sistemas del Banco y adaptarlos en caso de verificar su incumplimiento.

Etapas

- Elaboración de un inventario de las aplicaciones existentes, incluyendo los servicios brindados a clientes como banca electrónica y banca telefónica. - Elaboración de un resumen de los requisitos que deben cumplir las aplicaciones según la política y estándares de seguridad. - Evaluación del grado de cumplimiento de la política de seguridad para cada una de las aplicaciones existentes y la viabilidad de su modificación para cumplir con la política de seguridad, elaborando la relación de cambios que deben ser realizados en cada aplicación. - Adaptación de los sistemas a la política de seguridad (diseño, desarrollo, pruebas, actualización de la documentación, etc.) - Estandarización de controles para contraseñas de los sistemas. - Los sistemas no requerirán modificaciones si su adaptación no es viable. - Pase a producción de sistemas adaptados.

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

7.7

Estandarización de la configuración del software base Ninguna 12 semanas

Dependencia Tiempo estimado Objetivo

Con el objetivo de proteger adecuadamente la información existente en servidores y computadores personales, se debe realizar una adecuada configuración de los parámetros de seguridad del software base que soporta las aplicaciones del Banco.

Etapas

- Finalización el proceso de migración de computadores personales a Windows XP o Windows 2000 Professional. - Elaboración de un inventario de sistema operativo de servidores y computadores personales. - Elaboración de estándares de configuración para Windows XP Professional, Windows 2000 Professional, Windows NT Server, SQL Server y OS/400. - Elaboración de un inventario de bases de datos existentes. - Evaluación de los de sistemas identificados. - Adaptación del software base a la política de seguridad.

7.8

Revisión, y adaptación de procedimientos complementarios Actividad B. 8 semanas

Dependencia Tiempo estimado

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

Objetivo

Adaptar los procedimientos y controles complementarios del Banco de acuerdo a lo estipulado en las políticas de seguridad.

Etapas

- Revisión y adaptación de controles y estándares para desarrollo de sistemas - Elaboración de procedimientos de monitoreo, incluyendo procedimientos para verificación periódica de carpetas compartidas, generación de copias de respaldo de información de usuarios, aplicación de controles de seguridad para información en computadores portátiles, etc. - Elaboración de procedimientos de monitoreo y reporte sobre la administración de los sistemas y herramientas de seguridad, entre ellas: antivirus, servidores de seguridad del contenido, servidor Proxy, servidor firewall, sistema de detección de intrusos. - Establecimiento de controles para la información transmitida a clientes y proveedores. - Revisión y establecimiento de controles para el almacenamiento físico de información. - Revisión y establecimiento de controles para personal externo que realiza labores utilizando activos de información del Banco para el Banco (Soporte Técnico, Rehder, proveedores, etc.)

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

7.9

Cronograma tentativo de implementación

Los proyectos antes mencionados deben ser liderados por el área de seguridad informática y sus responsables deben ser definidos individualmente para cada uno de ellos. A continuación se presenta un cronograma sugerido para la realización de las actividades correspondientes al presente plan de implementación:

ACTIVIDAD Clasificación de Información Seguridad de red y comunicaciones Inventario de Accesos a los sistemas Adaptación de contratos con proveedores Campaña de concientización de usuarios. Verificación y adaptación de los sistemas del Banco. Estandarización de la configuración del software base Revisión y adaptación de procedimientos complementarios

Mes Mes 1 2

Mes Mes Mes Mes 3 4 5 6

Mes Mes Mes Mes 7 8 9 10

Nota: La duración de los proyectos está sujeta a variaciones dependientes a la situación existente y el análisis realizado previo a cada actividad

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

CONCLUSIONES Y RECOMENDACIONES

Dentro de las principales conclusiones y recomendaciones más importantes tenemos: •

Para nadie es un secreto la importancia de implementar un programa completo de seguridad de la información. Sin embargo, crear un programa de seguridad con componentes "bloqueadores de cookies" rara vez produce resultados efectivos. Lo más efectivo es utilizar una metodología comprobada que diseñe el programa de seguridad con base en las necesidades de su empresa, recuerde cada empresa es diferente.

La clave para desarrollar con éxito un programa efectivo de seguridad de la información consiste en recordar que las políticas, estándares y procedimientos de seguridad de la información son un grupo de documentos interrelacionados. La relación de los documentos es lo que dificulta su desarrollo, aunque es muy poderosa cuando se pone en práctica. Muchas organizaciones ignoran esta interrelación en un esfuerzo por simplificar el proceso de desarrollo. Sin embargo, estas mismas relaciones son las que permiten que las organizaciones exijan y cumplan los requerimientos de seguridad.

¿Por qué las organizaciones necesitan una Política de Seguridad de la Información?

Por lo general se argumenta que las organizaciones requieren una Política de Seguridad de la Información para cumplir con sus "requerimientos de seguridad de la información". Ciertamente, muchas organizaciones no tienen requerimientos de seguridad de la información
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

como tal, sino que tienen necesidades empresariales que deben desarrollar e implementar. Las empresas, especialmente las compañías cotizadas en bolsa y las organizaciones gubernamentales, están sujetas a las reglamentaciones operacionales de los gobiernos estatales y locales, así como de los organismos que reglamentan la industria. En el caso de las compañías cotizadas en bolsa, los funcionarios corporativos deben ser diligentes en sus operaciones y tener responsabilidad fiduciaria ante los accionistas - estas estipulaciones jurídicas requieren efectivamente que la organización proteja la información que utiliza, a la que tiene acceso o que crea para que la compañía opere con eficiencia y rentabilidad. Entonces surge la necesidad de proteger la información la necesidad no es académica, ni es creada por los "genios técnicos" que buscan justificar su existencia en la organización. •

¿La seguridad de la información siempre requiere inversión adicional? Las empresas podrían o no necesitar más recursos, esto depende del enfoque adoptado por la organización para el desarrollo de las políticas. Una Política de Seguridad de la Información generalmente exige que todos en la organización protejan la información para que la empresa pueda cumplir con sus responsabilidades reglamentarias, jurídicas y fiduciarias. Se usa mal y con frecuencia las palabras "generalmente" y "proteger" para justificar mayor inversión cuando no es necesaria. Esto puede parecer contrario a la intuición, pero la inversión adicional para proteger la información no siempre garantiza el éxito. Pero si es recomendable tener un presupuesto asignado para cumplir con estos fines. Para evaluar las necesidades de inversión, debe consultar estas "reglas" en orden secuencial:

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

Regla Nº 1: Saber qué información tiene y donde se encuentra. Regla Nº 2: Saber el valor de la información que se tiene y la dificultad de volverla a crear si se daña o pierde. Regla Nº 3: Saber quiénes están autorizados para acceder a la información y que pueden hacer con ella. Regla Nº 4: Saber la velocidad con que puede acceder a la información si no está disponible por alguna razón (por pérdida, modificación no autorizada, etc.)

Estas cuatro reglas son aparentemente simples. Sin embargo, las respuestas permitirán el diseño e implementación de un programa de protección a la información puesto que las respuestas pueden ser muy difíciles. No toda la información tiene el mismo valor y por lo tanto no requiere el mismo nivel de protección (con el costo que implica). •

Es clave entender por qué se necesita proteger la información, desde un punto de vista comercial es clave determinar la necesidad de tener una Política de Seguridad de la Información. Para ello, se necesitara saber cuál es la información y en donde se encuentra para que pueda proceder a definir los controles que se necesitan para protegerla.

Características principales de una Política de Seguridad de la Información: ü Debe estar escrita en lenguaje simple, pero jurídicamente viable ü Debe basarse en las razones que tiene la empresa para proteger la información ü Debe ser consistente con las demás políticas organizacionales

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

ü Debe hacerse cumplir - se exige y mide el cumplimiento ü Debe tener en cuenta los aportes hechos por las personas afectadas por la política ü Debe definir el papel y responsabilidades de las personas, departamentos y organizaciones para los que aplica la política ü No debe violar las políticas locales, estatales ü Debe definir las consecuencias en caso de incumplimiento de la política ü Debe estar respaldada por documentos "palpables", como los estándares y procedimientos para la seguridad de la información, que se adapten a los cambios en las operaciones de las empresas, las necesidades, los requerimientos jurídicos y los cambios tecnológicos. ü Debe ser aprobada y firmada por el gerente general de la organización. No obtener este compromiso significa que el cumplimiento de la política es opcional - situación que hará que fracase las políticas de protección de la información. • Redactar una política para la seguridad de la información puede ser sencillo comparado con su implementación y viabilidad. La política organizacional y las presiones por lo general aseguran que habrá dificultad y consumo de tiempo para crear y adoptar una Política de Seguridad de la Información, a menos que un "líder fuerte" dirija el programa de políticas. Esta persona generalmente es un "político", una persona influyente, un facilitador y sobretodo una persona que sepa
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

escuchar, para que pueda articular y aclarar las inquietudes y temores de las personas respecto a la introducción de una nueva política.

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

ANEXOS A. DISEÑO DE ARQUITECTURA DE SEGURIDAD DE RED

ARQUITECTURA DE SEGURIDAD DE RED Con el propósito de incrementar la seguridad de la plataforma tecnológica del Banco, se realizó un análisis de su actual arquitectura de red principalmente en el control de conexiones con redes externas. Producto de dicho análisis se diseño una nueva arquitectura de red, la cual posee controles de acceso para las conexiones y la ubicación recomendada para los detectores de intrusos a ser implementados por el Banco.

A continuación se muestra el diagrama con la arquitectura de red propuesta.

Fig 1: Arquitectura de red propuesta.

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

Para lograr implementar esta arquitectura de red, se deben realizar un conjunto de cambios los cuales se detallan a continuación:

1. Creación de la Extranet: Controlar mediante un firewall la comunicación entre la red del Banco y redes externas como Banca Red y Reuters, para evitar actividad no autorizada desde dichas redes hacia los equipos de la red del Banco.

2. Implementar una red DMZ para evitar el ingreso de conexiones desde Internet hacia la red interna de datos. Adicionalmente implementar un sistema de inspección de contenido con el propósito de monitorear la información que es transmitida vía correo electrónico entre el Banco e Internet. En la red DMZ se debe ubicar un servidor de inspección de contenido, el cual trabajaría de la siguiente manera: a. Ingreso de correo electrónico: El servidor de inspección de contenido, recibirá todos los correos enviados desde Internet, revisará su contenido y los enviará al servidor Lotus Notes, quién los entregará a su destinatario final. b. Salida de correo electrónico: El Servidor Lotus Notes enviará el correo electrónico al servidor de inspección de contenido, quién revisará el contenido del mensaje, para transmitirlo a través de Internet a su destino final. Esta nueva red DMZ puede ser empleada para ubicar nuevos equipos que brindarán servicios a través de Internet en el futuro tales como FTP, Web, etc.

3. Para controlar el ingreso de virus informáticos desde Internet, así como para prevenir el envío de mensajes electrónicos conteniendo virus informático, se recomienda implementar un primer nivel de protección
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

antivirus mediante un sistema de inspección de servicios de Internet. Este sistema inspeccionará la información recibida desde Internet, así como la información enviada hacia otras entidades vía Internet Este sistema debe inspeccionar la navegación de los usuarios (HTTP HyperText Transfer Protocol), la transferencia de archivos (FTP – File Transfer Protocol) y el intercambio de corroe electrónico (SMTP – Simple mail Transfer Protocol).

4. Luego de implementados los cambios previamente detallados, el Firewall se torna en un punto crítico para las comunicaciones del Banco, por lo cual se requiere implementar un sistema de Alta Disponibilidad de Firewalls, el cual permita garantizar que el canal de comunicación permanezca disponible en caso de falla de uno de los Firewalls.

5. Con el propósito de prevenir la realización de actividad no autorizada desde redes externas hacia la red del Banco y desde la red interna del Banco hacia los servidores y hacia Internet, se debe implementar un sistema de detección de intrusos que inspeccione el tráfico que circula por segmentos de red estratégicos tales como: Internet, para detectar la actividad sospechosa proveniente desde Internet. Red DMZ, para detectar la actividad dirigida contra los servidores públicos que logró atravesar el Firewall. Extranet, para detectar actividad realizada desde las redes externas con las que se posee conexión. Puntos estratégicos de la red interna, los cuales permitan detectar la actividad realizada contra los equipos críticos del Banco.

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

B. CIRCULAR N° G-105-2002 PUBLICADA POR LA SUPERINTENDENCIA DE BANCA Y SEGUROS (SBS) SOBRE RIESGOS DE TECNOLOGÍA DE INFORMACIÓN

Lima, 22 de febrero de 2002

CIRCULAR Nº G - 105 - 2002 ----------------------------------------------Ref.: Riesgos de tecnología de información ----------------------------------------------Señor Gerente General

Sírvase tomar nota que, en uso de las atribuciones conferidas por el numeral 7 del artículo 349º de la Ley General del Sistema Financiero y del Sistema de Seguros y Orgánica de la Superintendencia de Banca y Seguros - Ley Nº 26702 y sus modificatorias, en adelante Ley General, y por la Resolución SBS N° 1028-2001 del 27 de diciembre de 2001, con la finalidad de establecer criterios mínimos para la identificación y administración de los riesgos asociados a la tecnología de información, a que se refiere el artículo 10º del Reglamento para la Administración de los Riesgos de Operación, aprobado mediante la Resolución SBS Nº 006-2002 del 4 de enero de 2002, esta Superintendencia ha considerado conveniente establecer las siguientes disposiciones: Alcance Artículo 1º.- Las disposiciones de la presente norma son aplicables a las empresas señaladas en los artículos 16° y 17° de la Ley General, al Banco Agropecuario, a

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

la Corporación Financiera de Desarrollo S.A. (COFIDE), al Banco de la Nación, a la Fundación Fondo de Garantía para Préstamos a la Pequeña Industria (FOGAPI) y a las derramas y cajas de beneficios que se encuentren bajo la supervisión de esta Superintendencia, en adelante empresas. Definiciones Artículo 2º .- Para efectos de la presente norma, serán de aplicación las siguientes definiciones: a. Información: Cualquier forma de registro electrónico, óptico, magnético o en otros medios similares, susceptible de ser procesada, distribuida y almacenada. b. Ley General: Ley N° 26702, Ley General del Sistema Financiero y del Sistema de Seguros y Orgánica de la Superintendencia de Banca y Seguros. c. Proceso crítico: Proceso considerado indispensable para la continuidad de las operaciones y servicios de la empresa, y cuya falta o ejecución deficiente puede tener un impacto financiero significativo para la empresa. d. Reglamento: Reglamento para la Administración de los Riesgos de Operación aprobado por Resolución SBS N° 006-2002 del 4 de enero de 2002. e. Riesgos de operación: Entiéndase por riesgos de operación a la posibilidad de ocurrencia de pérdidas financieras por deficiencias o fallas en los procesos internos, en la tecnología de información, en las personas o por ocurrencia de eventos externos adversos. f. Riesgos de tecnología de información: Los riesgos de operación asociados a los sistemas informáticos y a la tecnología relacionada a dichos sistemas,

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

que pueden afectar el desarrollo de las operaciones y servicios que realiza la empresa al atentar contra la confidencialidad, integridad y disponibilidad de la información, entre otros criterios. g. Seguridad de la información: Característica de la información que se logra mediante la adecuada combinación de políticas, procedimientos, estructura organizacional y herramientas informáticas especializadas a efectos que dicha información cumpla los criterios de confidencialidad, integridad y disponibilidad. h. Objetivo de control: Una declaración del propósito o resultado deseado mediante la implementación de controles apropiados en una actividad de tecnología de información particular.

Responsabilidad de la empresa Artículo 3°.- Las empresas deben establecer e implementar las políticas y procedimientos necesarios para administrar de manera adecuada y prudente los riesgos de tecnología de información, incidiendo en los procesos críticos asociados a dicho riesgo, considerando las disposiciones contenidas en la presente norma, en el Reglamento, y en el Reglamento del Sistema de Control Interno aprobado mediante la Resolución SBS Nº 1040-99 del 26 de noviembre de 1999. La administración de dicho riesgo debe permitir el adecuado cumplimiento de los siguientes criterios de control interno: i. Eficacia. La información debe ser relevante y pertinente para los objetivos de negocio y ser entregada en una forma adecuada y oportuna conforme las necesidades de los diferentes niveles de decisión y operación de la empresa.

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

ii.

Eficiencia. La información debe ser producida y entregada de forma productiva y económica.

iii.

Confidencialidad. La información debe ser accesible sólo a aquellos que se encuentren debidamente autorizados.

iv. v.

Integridad. La información debe ser completa, exacta y válida. Disponibilidad. La información debe estar disponible en forma organizada para los usuarios autorizados cuando sea requerida.

vi.

Cumplimiento normativo. La información debe cumplir con los criterios y estándares internos de la empresa, las regulaciones definidas externamente por el marco legal aplicable y las correspondientes entidades reguladoras, así como los contenidos de los contratos pertinentes.

Estructura organizacional y procedimientos Artículo 4°.- Las empresas deben definir y mantener una estructura organizacional y procedimientos que les permita administrar adecuadamente los riesgos asociados a la tecnología de información, consistente con su tamaño y naturaleza, así como con la complejidad de las operaciones que realizan. Administración de la seguridad de información Artículo 5º.- Las empresas deberán establecer, mantener y documentar un sistema de administración de la seguridad de la información, en adelante "Plan de Seguridad de la información - (PSI)". El PSI debe incluir los activos de tecnología que deben ser protegidos, la metodología usada, los objetivos de control y controles, así como el grado de seguridad requerido.

Las actividades mínimas que deben desarrollarse para implementar el PSI, son las siguientes:

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

a. Definición de una política de seguridad. b. Evaluación de riesgos de seguridad a los que está expuesta la información c. Selección de controles y objetivos de control para reducir, eliminar o evitar los riesgos identificados, indicando las razones de su inclusión o exclusión. d. Plan de implementación de los controles y procedimientos de revisión periódicos. e. Mantenimiento de registros adecuados que permitan verificar el

cumplimiento de las normas, estándares, políticas, procedimientos y otros definidos por la empresa, así como mantener pistas adecuadas de auditoria.

Las empresas bancarias y las empresas de operaciones múltiples que accedan al módulo 3 de operaciones a que se refiere el artículo 290º de la Ley General deberán contar con una función de seguridad a dedicación exclusiva. Subcontratación (outsourcing) Artículo 6º.- La empresa es responsable y debe verificar que se mantengan las características de seguridad de la información contempladas en la presente norma, incluso cuando ciertas funciones o procesos críticos puedan ser objeto de una subcontratación. Para ello se tendrá en cuenta lo dispuesto en la Primera Disposición Final y Transitoria del Reglamento. Asimismo, la empresa debe asegurarse y verificar que el proveedor del servicio sea capaz de aislar el procesamiento y la información objeto de la subcontratación, en todo momento y bajo cualquier circunstancia.

En caso que las empresas deseen realizar su procesamiento principal en el exterior, requerirán de la autorización previa y expresa de esta Superintendencia.

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

Las empresas que a la fecha de vigencia de la presente norma se encontrasen en la situación antes señalada, deberán solicitar la autorización correspondiente. Para la evaluación de estas autorizaciones, las empresas deberán presentar documentación que sustente lo siguiente: a) La forma en que la empresa asegurará el cumplimiento de la presente circular y la Primera Disposición Final y Transitoria del Reglamento. b) La empresa, así como los representantes de quienes brindarán el servicio de procesamiento en el exterior, deberán asegurar adecuado acceso a la información con fines de supervisión, en tiempos razonables y a solo requerimiento. Aspectos de la seguridad de información Artículo 7°.- Para la administración de la seguridad de la información, las empresas deberán tomar en consideración los siguientes aspectos:

7.1 Seguridad lógica Las empresas deben definir una política para el control de accesos, que incluya los criterios para la concesión y administración de los accesos a los sistemas de información, redes y sistemas operativos, así como los derechos y atributos que se confieren. Entre otros aspectos, debe contemplarse lo siguiente: a) Procedimientos formales para la concesión, administración de derechos y perfiles, así como la revocación de usuarios. Revisiones periódicas deben efectuarse sobre los derechos concedidos a los usuarios. b) Los usuarios deben contar con una identificación para su uso personal, de tal manera que las posibles responsabilidades puedan ser seguidas e identificadas. c) Controles especiales sobre utilidades del sistema y herramientas de auditoria.

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

d) Seguimiento sobre el acceso y uso de los sistemas y otras instalaciones físicas, para detectar actividades no autorizadas. e) Usuarios remotos y computación móvil.

7.2 Seguridad de personal Las empresas deben definir procedimientos para reducir los riesgos asociados al error humano , robo, fraude o mal uso de activos, vinculados al riesgo de tecnología de información. Al establecer estos procedimientos, deberá tomarse en consideración, entre otros aspectos, la definición de roles y responsabilidades establecidos sobre la seguridad de información, verificación de antecedentes, políticas de rotación y vacaciones, y entrenamiento.

7.3 Seguridad física y ambiental Las empresas deben definir controles físicos al acceso, daño o interceptación de información. El alcance incluirá las instalaciones físicas, áreas de trabajo, equipamiento, cableado, entre otros bienes físicos susceptibles a riesgos de seguridad. Se definirán medidas adicionales para las áreas de trabajo con necesidades especiales de seguridad, como los centros de procesamiento, entre otras zonas en que se maneje información que requiera de alto nivel de protección.

7.4 Clasificación de seguridad Las empresas deben realizar un inventario periódico de activos asociados a la tecnología de información que tenga por objetivo proveer la base para una posterior clasificación de seguridad de dichos activos. Esta clasificación debe indicar el nivel de riesgo existente para la empresa en caso de falla sobre la seguridad, así como las medidas apropiadas de control que deben asociarse a las clasificaciones.

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

Administración de las operaciones y comunicaciones Artículo 8º.- Las empresas deben establecer medidas de administración de las operaciones y comunicaciones que entre otros aspectos contendrán lo siguiente: Control sobre los cambios en el ambiente operativo, que incluye cambios en los sistemas de información, las instalaciones de procesamiento y los procedimientos. - Control sobre los cambios del ambiente de desarrollo al de producción. - Separación de funciones para reducir el riesgo de error o fraude. Separación del ambiente de producción y el de desarrollo.

- Controles preventivos y de detección sobre el uso de software de procedencia dudosa, virus y otros similares. Seguridad sobre las redes, medios de almacenamiento y documentación de sistemas. - Seguridad sobre correo electrónico. Seguridad sobre banca electrónica.

Desarrollo y mantenimiento de sistemas informáticos - Requerimientos de seguridad Artículo 9º.- Para la administración de la seguridad en el desarrollo y mantenimiento de sistemas informáticos, se debe tomar en cuenta, entre otros, los siguientes criterios: a) Incluir en el análisis de requerimientos para nuevos sistemas o mejoras a los sistemas actuales, controles sobre el ingreso de información, el procesamiento y la información de salida. b) Aplicar técnicas de encriptación sobre la información crítica que debe ser protegida. c) Definir controles sobre la implementación de aplicaciones antes del ingreso a producción. d) Controlar el acceso a las librerías de programas fuente.

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

e) Mantener un estricto y formal control de cambios, que será debidamente apoyado por sistemas informáticos en el caso de ambientes complejos o con alto número de cambios. Procedimientos de respaldo Artículo 10º.- Las empresas deben establecer procedimientos de respaldo regulares y periódicamente validados. Estos procedimientos deben incluir las medidas necesarias para asegurar que la información esencial pueda ser recuperada en caso de falla en los medios o luego de un desastre. Estas medidas serán coherentes con lo requerido en el Plan de Continuidad. La empresa debe conservar la información de respaldo y los procedimientos de restauración en una ubicación remota, a suficiente distancia para no verse comprometida ante un daño en el centro principal de procesamiento. Planeamiento para la continuidad de negocios Artículo 11º.- Las empresas, bajo responsabilidad de la Gerencia y el Directorio, deben desarrollar y mantener un "Plan de Continuidad de Negocios" (PCN), que tendrá como objetivo asegurar un nivel aceptable de operatividad de los procesos críticos, ante fallas mayores internas o externas. Criterios para el diseño e implementación del Plan de Continuidad de Negocios Artículo 12º.- Para el desarrollo del PCN se debe realizar previamente una evaluación de riesgos asociados a la seguridad de la información. Culminada la evaluación, se desarrollarán sub-planes específicos para mantener o recuperar los procesos críticos de negocios ante fallas en sus activos, causadas por eventos internos (virus, errores no esperados en la implementación, otros), o externos (falla en las comunicaciones o energía, incendio, terremoto, proveedores, otros).

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

Prueba del Plan de Continuidad de Negocios Artículo 13º.- La prueba del PCN es una herramienta de la dirección para controlar los riesgos sobre la continuidad de operación y sobre la disponibilidad de la información, por lo que la secuencia, frecuencia y profundidad de la prueba del PCN, deberá responder a la evaluación formal y prudente que sobre dicho riesgo realice cada empresa. En todos los casos, mediante una única prueba o una secuencia de ellas, según lo considere adecuado cada empresa de acuerdo a su evaluación de riesgos, los principales aspectos del PCN deberán ser probados cuando menos cada dos años. Anualmente, dentro del primer mes del ejercicio, se enviará a la Superintendencia el programa de pruebas correspondiente, en que se indicará las actividades a realizar durante el ciclo de 2 años y una descripción de los objetivos a alcanzar en el año que se inicia. Cumplimiento formativo Artículo 14º.- La empresa deberá asegurar que los requerimientos legales, contractuales, o de regulación sean cumplidos, y cuando corresponda, incorporados en la lógica interna de las aplicaciones informáticas. Privacidad de la información Artículo 15º .Las empresas deben adoptar medidas que aseguren

razonablemente la privacidad de la información que reciben de sus clientes y usuarios de servicios, conforme la normatividad vigente sobre la materia. Auditoria Interna y Externa Artículo 16º.- La Unidad de Auditoria Interna deberá incorporar en su Plan Anual de Trabajo la evaluación del cumplimiento de lo dispuesto en la presente norma. Asimismo, las Sociedades de Auditoria Externa deberán incluir en su informe

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

sobre el sistema de control interno comentarios dirigidos a indicar si la entidad cuenta con políticas y procedimientos para la administración de los riesgos de tecnología de información, considerando asimismo, el cumplimiento de lo dispuesto en la presente norma. Auditoria de sistemas Artículo 17º.- Las empresas bancarias y aquellas empresas autorizadas a operar en el Módulo 3 conforme lo señalado en el artículo 290° de la Ley General, deberán contar con un servicio permanente de auditoria de sistemas, que colaborará con la Auditoria interna en la verificación del cumplimiento de los criterios de control interno para las tecnologías de información, así como en el desarrollo del Plan de Auditoria.

El citado servicio de auditoria de sistemas tomará en cuenta, cuando parte del procesamiento u otras funciones sean realizadas por terceros, que es necesario conducir su revisión con los mismos estándares exigidos a la empresa, por lo que tomará en cuenta las disposiciones indicadas en la Primera Disposición Final y Transitoria del Reglamento.

Las empresas autorizadas para operar en otros módulos, para la verificación del cumplimiento antes señalado, deberán asegurar una combinación apropiada de auditoria interna y/o externa, compatible con el nivel de complejidad y perfil de riesgo de la empresa. La Superintendencia dispondrá un tratamiento similar a las empresas pertenecientes al módulo 3, cuando a su criterio la complejidad de sus sistemas informáticos y su perfil de riesgo así lo amerite. Información a la Superintendencia Artículo 18°.- El informe anual que las empresas deben presentar a la Superintendencia, según lo dispuesto en el Artículo 13° del Reglamento, deberá

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

incluir los riesgos de operación asociados a la tecnología de información, como parte integral de dicha evaluación, para lo cual se sujetará a lo dispuesto en dicho Reglamento y a lo establecido en la presente norma. Sanciones Artículo 19°.- En caso de incumplimiento de las disposiciones contenidas en la presente norma, la Superintendencia aplicará las sanciones correspondientes de conformidad con lo establecido en el Reglamento de Sanciones. Plan de adecuación Artículo 20°.- En el Plan de Adecuación señalado en el segundo párrafo de la Cuarta Disposición Final y Transitoria del Reglamento, las empresas deberán incluir un sub-plan para la adecuación a las disposiciones contenidas en la presente norma. Plazo de adecuación Artículo 21°.- Las empresas contarán con un plazo de adecuación a las disposiciones de la presente norma que vence el 30 de junio de 2003

Atentamente,

SOCORRO HEYSEN ZEGARRA Superintendente de Banca y Seguros (e)

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

C. DETALLE: DIAGNOSTICO DE LA SITUACION ACTUAL DE LA ADMINISTRACIÓN DE LOS RIESGOS DE TECNOLOGIA DE LA INFORMACION

La siguiente matriz muestra puntos específicos de la situación actual en cuanto a la administración de seguridad y los compara contra los requerimientos de la Circular G-105-2002 de la Superintendencia, contempla los siguientes aspectos:

1.

Estructura de la organización de seguridad de la información 1.1 Roles y responsabilidades

2. Plan de seguridad de la información 2.1 Políticas, estándares y procedimientos de seguridad 2.2 Seguridad lógica 2.3 Seguridad de personal 2.4 Seguridad física y ambiental 2.5 Clasificación de seguridad 3. Administración de las operaciones y comunicaciones. 4. Desarrollo y mantenimiento de sistemas informáticos. 5. Procedimientos de respaldo. 6. Subcontratación (Relación y status de los contratos con terceros en temas críticos) 7. Cumplimiento normativo 8. Privacidad de la información 9. Auditoria interna y externa

El detalle de la evaluación de las áreas mencionadas se muestra en una matriz cuyo contenido es el siguiente:

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

- Situación Actual: Muestra un resumen de la situación encontrada en el
Banco a partir de la información relevada durante las entrevistas y de los documentos entregados.

- Mejores Practicas: Muestra un resumen de las mejores prácticas en el
sector y los requerimientos mencionadas en la Circular G105-2002 de la SBS uno de los motivos del presente trabajo.

- Análisis de Brecha: Muestra de manera gráfica la brecha existente entre la
situación actual y los requerimientos de la SBS y las mejores prácticas del sector.
Análisis Situación Actual SBS, Mejores Prácticas De Brecha 1 ESTRUCTURA ORGANIZACIONAL PARA LA ADMINISTRACIÓN DE RIESGOS DE T ECNOLOGÍA D E INFORMACIÓN 1. El Banco cuenta con las siguientes unidades: Se debería contemplar los

siguientes aspectos: División de Riesgo: Órgano dependiente de la Gerencia General, encargado de medir y controlar la calidad y capacidad de endeudamiento de los clientes, con el objeto de mantener adecuados niveles de riesgo crediticio, tanto para aquellos que se encuentren en evaluación, como aquellos que ya han sido utilizados y se encuentran en pleno proceso de cumplimiento de reembolsos. Asimismo, los riesgos denominados

-

Definición y mantenimiento de una estructura organizacional que permita administrar los riesgos

adecuadamente

asociados a la tecnología de información.

-

La unidad de riesgo deberá contar con un responsable de la administración del riesgo de TI.

genéricamente Riesgos de Mercado. Cuenta con un departamento a de cargo Riesgos de la Operativos Srta. y

Tecnológicos Pacheco.

Patricia

-

La

responsabilidad

de

la

seguridad de la Información debería ser ejercida de forma

Area de Seguridad: Órgano encargado de velar por la seguridad de las instalaciones del Banco, así como del personal y Clientes que se

exclusiva.

-

El Departamento de Riesgos Operativos y Tecnológicos

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

Análisis Situación Actual SBS, Mejores Prácticas De Brecha encuentran y transitan en ellas. debería estructura Area de Seguridad Informática: Enfocada a los aspectos de accesos a los aplicativos y sistemas. Área que originalmente formo parte de Soporte Técnico (Agosto 2001). No considera en sus funciones las referentes a seguridad de la plataforma y de la información. riesgos contar acorde de con con una los

tecnología

evaluados para Banco y definir indicadores que ayuden a

monitorear los mismos.

-

El Departamento de Riesgos Operativos debería y Tecnológicos los en de

definir indicadores el área

Auditoria

de

Sistemas:

Entre

otras,

sus

mencionados conjunto con

funciones son las de:

-

Efectuar

evaluaciones

periódicas

de

la

sistemas del Banco.

capacidad y apropiada utilización de los recursos de cómputo.

-

Verificar el cumplimiento de las normas y procedimientos referidos a las Áreas de Desarrollo de Sistemas y Soporte

Tecnológico, participando junto con estas instancias y los usuarios directos durante el ciclo de desarrollo de sistemas para la implantación de adecuados controles internos y pistas de auditoria, incluyendo su posterior evaluación y seguimiento.

Se ha observado que la documentación existente con respecto a las distintas áreas se encuentra desactualizada. No existe dentro de la estructura roles

equivalentes al de Oficial de Seguridad.

2 PLAN DE S EGURIDAD DE LA INFORMACIÓN

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

Análisis Situación Actual SBS, Mejores Prácticas De Brecha 2 El Banco no cuenta con un plan de Seguridad de la Información formalmente documentado que guíe las distintas normas con que cuenta el Banco referentes a los riesgos y seguridad de la Tecnología de Información. Se deberían contemplar los

siguientes aspectos:

-

Definición de una política de seguridad. Evaluación seguridad a de los riesgos que de está

expuesta la información.

-

Inventario

de

riesgos

de

seguridad de la información. Selección objetivos de de controles control y

para

reducir, eliminar y evitar los riesgos identificados, indicando las razones de su inclusión o exclusión

-

Plan de implementación de los controles y procedimientos de revisión periódicos.

-

Mantenimiento adecuados

de que

registros permitan

verificar el cumplimiento de las normas, estándares, políticas, procedimientos y otros

definidos por la empresa, así como mantener pistas de

auditoria. 2.1 POLÍTICAS, ESTÁNDARES Y P ROCEDIMIENTOS DE S EGURIDAD 2.1 El Banco no cuenta con políticas de seguridad formalmente documentadas que indiquen los procedimientos de seguridad a ser adoptados La definición de una política de seguridad debería contemplar:

-

Declaración

escrita

de

la

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

Análisis Situación Actual SBS, Mejores Prácticas De Brecha para salvaguardar la información de posibles pérdidas en la integridad, disponibilidad y política.

-

Definición de la propiedad de la Política. Políticas comunicadas. Autoridad definida para realizar cambios en la Política. Aprobación por el área legal. Alineamiento de la política con la organización. Definición de responsabilidades de la seguridad. Confirmación de usuarios de conocimiento de la política. debidamente

confidencialidad.

Sin embargo, se ha observado la existencia de controles específicos en distintos aspectos de la seguridad de la Información, que detallamos a continuación.

2.2 SEGURIDAD LÓGICA 2.2 Hemos observado la existencia, entre otros aspectos, de: La Seguridad Lógica debería

contemplar los siguientes aspectos:

-

Procedimientos definidos en el área de sistemas para la concesión y administración de perfiles y accesos a usuarios, incluyendo la revocación y revisiones periódicas de los mismos.

-

Definición de procedimientos formales para la administración de perfiles y usuarios.

-

Identificación usuarios. Controles sobre de

única

de

-

Accesos a los sistemas de información del Banco controlados al nivel de red de datos y aplicación, para lo cual cada usuario cuenta con IDs y contraseñas de uso estrictamente personal usuarios. y de responsabilidad de los

el

uso

de y del

herramientas utilidades sistema.

auditoria

sensibles

-

Controles sobre el acceso y uso de los sistemas y otras instalaciones físicas.

-

Controles de acceso a herramientas de

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

Análisis Situación Actual SBS, Mejores Prácticas De Brecha auditoria en los sistemas de información.

-

Controles

sobre

usuarios

-

Controles de acceso parciales a utilidades sensibles del sistema. Generación parcial de pistas de auditoria en los sistemas de información.

remotos y computación móvil. Administración restringida de

los equipos de acceso remoto y configuración de seguridad del mismo.

Hemos observado que no cuenta con:

-

Controles de acceso a utilidades sensibles del sistema sobre estaciones de trabajo Win98/95.

-

Habilitación de opciones de auditoria en los sistemas operativos de red. Procedimientos de revisión de pistas de auditoria que contemplen no solo los registros del computador central.

2.3 SEGURIDAD DE P ERSONAL Hemos observado que el Banco se encuentra en un proceso de normalización llevado a cabo por el área de RRHH y la de OyM el cual incluye entre otros aspectos: Se debería considerar:

-

Procedimientos de revisión de datos en el proceso de

selección de personal previo a su contratación de de (Ex. carácter, estudios,

-

Formalización de normas y procedimientos de las distintas áreas del Banco. Identificación de información relevante a entregar a los nuevos trabajadores por área de trabajo.

Referencias verificación

revisión de crédito –si aplica- y revisión independiente de

-

Normalización información a

de los

entrega actuales

de

dicha

identidad)

trabajadores

-

Entrega formal de las políticas de manejo de a información los nuevos

incluyendo documento de confirmación de conocimiento.

confidencial

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

Análisis Situación Actual SBS, Mejores Prácticas De Brecha integrantes del Banco. Adicionalmente hemos observado que RRHH considera dentro del proceso de evaluación de personal nuevo, la verificación de distintos

-

Definición

apropiada sobre parte de

de la los

responsabilidad seguridad es

aspectos de personales a modo de preselección o filtro de personal idóneo para el Banco.

términos y condiciones de la aceptación del empleo (ex.

Términos en el contrato).

-

Difusión de las políticas con respecto actividades al monitoreo en la red de y

sistemas de información, antes entregar IDs a usuarios.

2.4 SEGURIDAD FÍSICA Y AMBIENTAL Hemos observado la existencia, entre otros aspectos, de: Se debería considerar los

siguientes aspectos:

-

Controles de acceso adecuados a sus activos físicos e instalaciones Normas de control de acceso físico a áreas sensibles establecidos y en proceso de mejora en el caso de la oficina principal. Áreas seguras Procedimientos de reubicación de empleados

-

Controles de áreas de carga y descarga. Controles físicos de entrada. Seguridad del perímetro físico de las instalaciones. Procedimientos de Remoción o reubicación de activos. Aseguramiento de oficinas,

-

Monitoreo constante de las instalaciones del Banco. Controles ambientales así como medidas preventivas y correctivas ante incendios. Existen procedimientos definidos para el deshecho de papeles de trabajo. Las copias de respaldo son almacenadas de manera segura. Generadores de respaldo y UPS para red de

áreas de trabajo y facilidades.

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

Análisis Situación Actual SBS, Mejores Prácticas De Brecha datos . Seguridad de Equipos Aseguramiento de Cableado Sin embargo encontramos deficiencias en los siguientes aspectos:

-

Acciones y planes de mantenimiento de equipos

-

Las medidas de seguridad existentes no se extienden a la Información como activo de valor del Banco y no existen normas

Protección de equipos Normas de seguridad para laptops.

adecuadas con respecto al resguardo de la misma cuando se trata de activos físicos

(equipos o elementos de almacenamiento de información, documentos impresos, etc.).

-

Fuentes de poder redundantes. Procedimientos de eliminación o uso reiterado seguro de

-

No existe un programa de concientización para el usuario con respecto al cuidado necesario para con la información.

equipos de manera segura

Controles generales

-

No existe una norma en uso sobre “mesas y pantallas limpias”.

-

Política de “mesa limpia” Política de “pantallas limpias”

El programa de mantenimiento preventivo de los equipos del Banco se encuentra incompleto al considerar únicamente al computador central. 2.5 CLASIFICACIÓN DE SEGURIDAD El Banco cuenta con inventarios de software, licencias actualizados Sin embargo carece de inventarios de y hardware razonablemente Se debería considerar los

siguientes aspectos:

-

Un

catálogo

de

todos de

los la

activos

físicos

información, servicios y proveedores así como de una clasificación de los elementos mencionados con respecto a su nivel de riesgo dentro del Banco.

organización, indicando tipo de activo, ubicación y nivel física, de

responsable criticidad.

-

Un

catálogo

de

todos

los

activos de software tales como

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

Análisis Situación Actual SBS, Mejores Prácticas De Brecha herramientas de desarrollo,

aplicaciones, etc. Debe indicar entre ubicación otros, lógica vendedor, y física,

responsable, nivel de criticidad, clasificación de la información, etc.

-

Un catálogo o descripción de alto nivel de todos los activos de información mas

importantes de la organización. Debe indicar información como tipo de data, ubicación lógica o física, responsable o dueño de la información, clasificación de la información y nivel de

criticidad.

-

Un

listado

de tales

todos

los como

servicios

comunicaciones, servicios generales, la

cómputo, etc. y

documentar

información

relativa a los proveedores del servicio. Debería incluir entre otros, persona de contacto con el proveedor, procedimientos de servicios de emergencia, criticidad negocio servicio. y unidades por de el

afectadas

-

Clasificación de los sistemas de información y/o grupos de

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

Análisis Situación Actual SBS, Mejores Prácticas De Brecha data según su criticidad y sus características de

confidencialidad, integridad y disponibilidad.

-

Asignación

de

la

responsabilidad de clasificación Procedimientos mantenimiento clasificación 3 ADMINISTRACIÓN DE OPERACIONES Y COMUNICACIONES El Banco cuenta con: Se deberían considerar los de de la

siguientes aspectos: Procedimientos operación. y responsabilidades de Procedimientos y

-

Documentación no formalizada relativa a los procedimientos de operaciones en los

responsabilidades de operación.

-

Documentación formal de todos los procedimientos así de como

sistemas de información

-

Procesos conformidad

de

revisión de

y

reporte

de

operación

dichas

operaciones.

procedimientos y niveles de autorización definidos para su mantenimiento.

Controles establecidos relativos a cambios en los sistemas de información.

Control en cambios operacionales.

Programación de trabajos o procesos correctamente debe ser

-

Adecuada separación de las facilidades de los ambientes de producción y las de

documentada,

así como el resultado de dichas ejecuciones.

desarrollo.

-

Un Sistema a través del cual se administran las actividades de: Administración externas. Cambios a los programas; Pase a producción; y de facilidades

-

-

Todo procesos realizado en o por un tercero, debe ser

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

Análisis Situación Actual SBS, Mejores Prácticas De Brecha

-

Administración de versiones segregación de funciones en

evaluado con respecto a los riesgos y seguridad para

Adecuada

labores de pase a producción de sistemas. Limitación de operadores a través de menús de acceso.

desarrollar procedimientos que mitiguen dichos riesgos.

Control operacionales.

en

cambios

Protección contra software malicioso.

-

virus y de o

Todo cambio en la red de datos, incluyendo software, o

Controles software revisión

de

protección y del

contra

malicioso periódica

procedimientos cumplimiento

dispositivos,

cableado

equipos de comunicación debe seguir procedimientos formales definidos registrados. y adecuadamente

efectividad de dichos controles, tanto por parte del área de sistemas como por parte del auditor de sistemas.

Segregación de funciones

-

Roles

y

responsabilidades

deben ser claramente definidos

-

y las funciones adecuadamente Todas las funciones mencionadas Sin se segregadas. mantienen independientes. embargo,

cabe mencionar que el actual Auditor de Sistemas del Banco perteneció al equipo de soporte del área de sistemas y mantiene acceso a datos de producción y desarrollo. Posee acceso también a la línea de

-

Los

cambios

deben

ser

adecuadamente aprobados. Los resultados de todo cambio deben ser correctamente Roles en pase y las a

documentados. responsabilidades actividades producción de

comandos de ambos entornos.

-

Asimismo, eventualmente usuarios finales tienen acceso a la línea de comandos; restringida a tareas puntuales. No existe control formal sobre estas actividades.

correctamente

definidos y segregados.

-

Adecuada ambientes

separación de producción

de y

Operaciones de verificación

desarrollo.

-

Estándar de administración de

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

Análisis Situación Actual SBS, Mejores Prácticas De Brecha

-

Procedimientos

de

generación

y

cambios

definido,

incluyendo

almacenamiento de copias de contingencia definidos.

cambios de emergencia.

formatos de reporte de las

Control de accesos a escritura sobre sistemas en producción.

-

Se

usan

actividades de operación y generación de copias de respaldo. Administración de incidentes de seguridad. Administración de Red

-

Definición de procedimientos y equipos de respuesta ante

-

Se cuenta con un sistema Proxy y un filtro de paquetes como elementos de protección de red. No se cuenta con una DMZ ni con una arquitectura de seguridad red apropiada con respecto a la Internet.

incidentes de seguridad.

Segregación de funciones.

-

Las actividades de desarrollo, migración y operación de

sistemas, así como las de Manipulación y seguridad de dispositivos de almacenamiento de información. administración de aplicaciones, helpdesk, administración de red y de IT deben ser

-

Las copias de respaldo se encuentran en una localidad distinta y son aseguradas por un tercero.

correctamente segregadas.

Planeamiento de sistemas.

-

No existen políticas con respecto al manejo de otros dispositivos de almacenamiento de información en el área de sistemas.

-

Procedimientos

formales

definidos de planeamiento de recursos.

Intercambio de información y seguridad

Protección malicioso.

contra

software

-

Controles y restricciones establecidas, no documentadas ni formalizados, respecto al uso del correo electrónico.

-

Controles detección software

preventivos sobre de el uso

y de

procedencia

dudosa, virus, etc.).

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

Análisis Situación Actual SBS, Mejores Prácticas De Brecha

Operaciones de verificación

-

Adecuado registro de fallas. Adecuados procedimientos de generación respaldo. de copias de

-

Registros adecuados de todas las actividades de operación.

Administración de Red

-

Adecuados operación

controles de

de red

implementados.

-

Protección

de

la

red

y

comunicaciones dispositivos accesos, de

usando control de y

procedimientos

sistemas de monitoreo de red (Detección de intrusos) y

procedimientos de reporte.

Manipulación

y

seguridad

de

dispositivos de almacenamiento de información.

-

Aseguramiento sobre medios de almacenamiento y

documentación de sistemas.

Intercambio

de

información

(Correo electrónico y otros) y seguridad

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

Análisis Situación Actual SBS, Mejores Prácticas De Brecha

-

Controles de seguridad en el Correo electrónico y cualquier otro medio de transferencia de información (Ex. Normas,

filtros, sistemas de protección contra virus, etc.).

-

Seguridad Electrónica.

en

la

Banca

4 DESARROLLO Y MANTENIMIENTO El Banco cuenta con: Se debería considerar lo siguiente:

-

Metodología de Desarrollo y Mantenimiento de Aplicaciones que especifica las siguientes actividades proyecto: § § § § § § § § § § § § § § § § Definiciones Perfil Definiciones funcionales Especificaciones funcionales Diagrama de procesos Prototipo Plan de Trabajo Definiciones técnicas Diagrama de Contexto Diagrama de flujo de datos Modelo de datos Cartilla técnica Cartilla de operador Cartilla de usuario Pruebas y capacitación Acta de conformidad de pruebas como tareas dentro de un

-

Contar

con

metodologías formales

y de

estándares

desarrollo y mantenimiento de sistemas.

-

Los requerimientos deben ser definidos antes de la fase de diseño y se debe determinar un apropiado ambiente de control para la § § § § § § aplicación, estos

requerimientos deben incluir: Control de acceso Autorización Criticidad sistema Clasificación de la información Disponibilidad sistema Integridad confidencialidad y de del del

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

Análisis Situación Actual § SBS, Mejores Prácticas De Brecha Pase a producción la información.

-

Las aplicaciones cuentan con controles de edición y cuando se requiere de controles en totales, cuadres, etc. Estos son generalmente definidos en las etapas de definición del proyecto por los responsables de las áreas usuarias y se deja documentado dichos requerimientos de control.

-

Todas las aplicaciones deberán tener rutinas de validación de data.

-

Toda la data debe ser revisada periódicamente, a fin de

detectar inexactitud, cambios no autorizados e integridad de

-

Procesos actividades

en

lote iniciales

("batch") que

mantienen validan la

la información.

-

Se deben definir controles para prevenir que la data se vea afectada por un mal

información a procesar. Asimismo, para el caso específico de Lotes Contables, se valida la información inicial a procesar durante el día, para evitar se retrase el procesamiento por dicha actividad.

procesamiento.

-

Se deben definir controles que permitan revisar toda

-

Rutinas de consistencia de información que se remite a otras entidades como COFIDE y SBS, realizadas a través de un sistema llamado SUCAVE.

información obtenida por un sistema de información,

asegurando que sea completa, correcta y solo disponible para personal autorizado.

-

Librerías de rutinas ya estandarizadas y revisadas para controles de fechas, campos numéricos y cadenas de caracteres, totales numéricos, cálculo de intereses, entre otros. Sin embargo, cabe señalar que en algunos casos estas rutinas se mantienen

-

Uso

de

técnicas

de

encriptación estándar. Controles para el acceso a las librerías de programa fuentes. Mantener un estricto y formal control de cambios, que sea debidamente sistemas apoyado en por el

independientes en cada programa y no en una librería de rutinas que invoca todo programa que lo necesite.

-

informáticos

Técnicas de encriptación para intercambio de información con Unibanca, con la Cámara de Compensación Electrónica y SUNAD

caso de ambientes complejos o con alto número de cambios.

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

Análisis Situación Actual SBS, Mejores Prácticas De Brecha

-

Entornos independientes de desarrollo y producción. La metodología de de desarrollo indica y la

-

Procedimientos

formales

y

adecuados para las pruebas y reportes de las mismas.

mantenimiento

aplicaciones

necesidad de una actividad de prueba de los cambios embargo, y/o nuevos no requerimientos; sin

existe

procedimientos

específicos definidos para la documentación de las pruebas realizadas ni para la

conformidad de las mismas.

Cabe señalar que se mantiene versiones de los programas fuente y compilados en los entornos de Desarrollo y Producción. El sistema Fenix administra los cambios y versiones del entorno de desarrollo y la actualización en el entorno de producción se encuentra a cargo del Jefe de Soporte Técnico. Los estándares de mantenimiento y desarrollo no se encuentran completos.

5 PROCEDIMIENTOS DE R ESPALDO Se cuenta con un procedimiento formalizado para el respaldo de información del computador central y de usuario final, este procedimiento establece: Los procedimientos de generación de copias de respaldo deberían contar con los siguientes controles clave:

-

Para archivo de datos, se realiza con una frecuencia diaria, dos copias y tres

-

Aseguramiento proceso copias de de

de

que

el de haya

generaciones.

generación respaldo

-

Para software base, se realiza con una frecuencia diaria, dos copias y tres

culminado exitosamente.

generaciones.

-

Procedimientos

que

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

Análisis Situación Actual SBS, Mejores Prácticas De Brecha

-

Para los programas fuente, se realiza de forma diaria, una copia en tres generaciones. Para la información de usuarios finales, se realiza de forma diaria, una copia en tres generaciones.

contemplen pruebas periódicas de las copias de respaldo.

-

El tiempo de almacenamiento de las copias de respaldo debe estar en concordancia con los requisitos legales y normativos

Todas las copias se guardan en la bóveda central del Banco y de forma mensual se remiten a almacenar en la empresa PROSEGUR.

vigentes.

Se encuentra en proceso de definición un procedimiento de verificación de cintas, por la antigüedad de las mismas. Se mantiene información histórica desde el inicio de actividades del Banco.

-

Se debería considerar:

-

Generación Contingencias

de que

Plan

de

abarque

todos los procesos críticos del Banco y que se ha desarrollado siguiendo formal. una metodología

-

Procedimientos periódica del plan.

revisión

Creación de un equipo para implementar el plan en el que todos los miembros conocen

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

Análisis Situación Actual SBS, Mejores Prácticas De Brecha sus responsabilidades y cómo deben cumplir con las tareas asignadas.

-

Existencia

de

preparativos

adecuados para asegurarse de la continuidad del

procesamiento computadorizado (existe centro de procesamiento alterno).

-

Una

copia

del

plan

de

contingencias se almacena en una sede remota y será de fácil acceso en caso de que

ocurriere cualquier forma de desastre.

-

Preparativos de contingencia para el hardware y software de comunicaciones y redes.

-

Realización periódica un backup de los archivos de datos críticos, bibliotecas los de sistemas y

programas

almacenándolo en una sede remota cuyo tiempo de acceso sea adecuado.

-

Identificación del equipamiento requerido por los especialistas y se hicieron los preparativos para su reemplazo.

-

Se debería considerar lo siguiente:

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

Análisis Situación Actual SBS, Mejores Prácticas De Brecha

-

Revisión del impacto sobre el negocio, previo al diseño del Plan de continuidad identificando de las

negocios,

partes más expuestas a riesgo. Realizar revisión del impacto en el negocio, estableciendo los procedimientos a seguirse en el caso de que ocurriera un desastre (por ej. Explosión,

incendio, daño por tormenta, pérdida de personal clave) en cualquiera de las dependencias operativas de la organización. Deberían existir planes de

contingencia para cada recurso computadorizado. El plan de contingencias las los en

debería necesidades

contemplar de usuarios

departamentos términos de

traslados,

ubicación y operación. El plan de contingencias que se

debería

asegurar

observen normas de seguridad de información en caso de que ocurriera un desastre. El cronograma de cada para la

recuperación

función

debería ser revisado asegurando

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

Análisis Situación Actual SBS, Mejores Prácticas De Brecha que sea adecuado.

El plan de contingencias debería probarse periódicamente para

asegurarse de que aún es viable y efectivo. 6 SUBCONTRATACIÓN Encontramos que el Banco tiene principalmente, los siguientes servicios contratados: El plan de contingencias debe incluir la pérdida del servicio

-

UNIBANCA: Procesamiento de transacciones de tarjetas (diario) HERMES: Distribución de tarjetas de crédito y débito. Información necesaria y tarjetas

prestado por terceros.

Los contratos de servicios con terceros deberían incluir entre otros aspectos, los siguientes:

recibidas de UNIBANCA. (diario)

-

NAPATEK: Impresión de estados de cuenta y “ensobrado”. Recibe información vía una transferencia electrónica de archivos - "File Transfer" (mensual).

-

Requerimientos de seguridad y las acciones que se tomarán de no cumplirse el contrato.

-

Acuerdos seguridad aplicarse

de y para

controles políticas garantizar de

de a el los

-

Rehder: Se transmite información de monto facturado por cada cliente (e-mail) para el seguro de desgravamenes (mensual).

cumplimiento requerimientos.

-

TELEFONICA: Centro de procesamiento de datos de respaldo. Entrará en operatividad el 31 de Mayo.

-

Determinación de los niveles de servicio requeridos ( Service Level Agreements o SLA).

-

PROSEGUR: Almacenamiento de copias de respaldo.

-

El derecho de la entidad, y la Superintendencia de Banca y

No se obtuvo información (contratos) relativa a los servicios prestados por UNIBANCA.

Seguros, o las personas que ellos designen, de auditar el ambiente de la empresa que

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

Análisis Situación Actual SBS, Mejores Prácticas De Brecha El Banco no cuenta con un procedimiento definido para la inclusión de cláusulas relativas a la confidencialidad, niveles de servicio, etc., en los contratos de servicios prestados por terceros al Banco. brinda el servicio, para verificar los controles a la de seguridad y los

aplicados sistemas.

data

-

Documentación controles físicos

sobre y

los

lógicos,

empleados por la empresa que brinda el servicio, para proteger la confidencialidad, integridad y disponibilidad de la información y equipos de la entidad.

-

Determinación requerimientos incluyendo

de

los legales,

privacidad

y

protección de la data.

-

Procedimiento

que

asegure

que la empresa que brinda el servicio realizará pruebas

periódicas para mantener la seguridad de la data y los sistemas.

-

Cláusula sobre exclusividad de equipos que procesan

información del Banco. 7 CUMPLIMIENTO NORMATIVO El Banco ha implementado cumplimiento normativo controles para el al uso de Se debería contar con:

relativo

-

Definición de responsable del cumplimiento de las normas emitidas por la

software licenciado, tales como:

-

Controles manuales periódicos por parte del área de sistemas y el área de auditoria de sistemas.

Superintendencia.

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

Análisis Situación Actual SBS, Mejores Prácticas De Brecha

-

Compromiso

firmado

por

los

usuarios

-

Procedimientos establecidos

de para

control el

referente al software autorizado, tipificando el incumplimiento como falta grave.

cumplimiento de las normas emitidas por la

-

Evaluación de software para auditorías de software de forma automática. La información, tanto física como digital es almacenada según períodos determinados por ley.

Superintendencia.

-

Control normas

de

cumplimiento la

de

sobre

propiedad de

intelectual software).

(licenciamiento

-

Existe un procedimiento de comunicación de las normas legales emitidas aplicables a las distintas áreas del Banco y el área de auditoria interna realiza labores de control con respecto a la implementación de dichas normas.

Sin embargo:

-

No existe un responsable definido en la estructura del Banco encargado de mantener actualizada sobre las normas emitidas por organismos reguladores.

8 PRIVACIDAD DE LA INFORMACIÓN El Banco no cuenta con: Se debería contar con:

-

Un responsable asignado para la salvaguarda de la privacidad de la información.

-

Definición de responsabilidades con respecto a la aplicación del secreto bancario y de la

Si bien durante las diversas charlas realizadas en los Comités se tocan temas referentes al secreto bancario, no se han implementado controles específicos en todas las áreas del Banco con el fin de evitar la exposición de información sensible

privicidad de la Información.

-

Restricciones

de

acceso

a

información en salvaguarda de su privacidad y del secreto bancario.

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

Análisis Situación Actual SBS, Mejores Prácticas De Brecha de los clientes y del Banco así como limitar el acceso del personal a dicha información.

-

Existencia internas

de para

autorizaciones la entrega y

transferencia de información. En el área de sistemas se han implementado controles respecto a la limitación de acceso a información de clientes y se ha registrado evidencia de incidentes y acciones tomadas por auditoria interna, dicha situación no se replica en las distintas áreas del Banco. 9 AUDITORIA INTERNA Y EXTERNA El Banco no cuenta con: Se debería considerar: interna de que esta el

-

Un

área

de en

auditoria su plan

-

La Unidad de Auditoria Interna deberá incorporar en su Plan Anual de Trabajo la evaluación del cumplimiento de lo

incluyendo

auditoria

cumplimiento de lo dispuesto en la norma G105-2002 de la Superintendencia.

dispuesto en la norma G-1052002 de la Superintendencia.

-

Las sociedades de Auditoria Externa deberán incluir en su informe sobre el sistema de control interno comentarios

dirigidos a indicar si la entidad cuenta con políticas para y la

procedimientos

administración de los riesgos de tecnología de información. El Banco deberá contar con un servicio permanente de auditoria de sistemas.

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

BIBLIOGRAFÍA

1.

Information Technology Security for Managers - Workshop sobre temas de Seguridad – IBM Global Service. http://www.ibm.com/services/securite ISO /IEC 17799:2000 http://www.iso1799.com British Standard 7799 INFOSEC’S WORST NIGHTMARES http://www.infosecuritymag.com/2002/nov/nightmares.shtml ¿Como elaborar politicas de Seguridad efectivas? http://www.symantec.com/region/mx/enterprisesecurity

2.

3.

4.

5.

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM

Sign up to vote on this title
UsefulNot useful