Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Anexo SGSI
Anexo SGSI
ANEXOS
A. DISEO DE ARQUITECTURA DE SEGURIDAD DE RED
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Srvase tomar nota que, en uso de las atribuciones conferidas por el numeral 7 del
artculo 349 de la Ley General del Sistema Financiero y del Sistema de Seguros y
Orgnica de la Superintendencia de Banca y Seguros - Ley N 26702 y sus
modificatorias, en adelante Ley General, y por la Resolucin SBS N 1028-2001
del 27 de diciembre de 2001, con la finalidad de establecer criterios mnimos para
la identificacin y administracin de los riesgos asociados a la tecnologa de
informacin, a que se refiere el artculo 10 del Reglamento para la Administracin
de los Riesgos de Operacin, aprobado mediante la Resolucin SBS N 006-2002
del 4 de enero de 2002, esta Superintendencia ha considerado conveniente
establecer las siguientes disposiciones:
Alcance
Artculo 1.- Las disposiciones de la presente norma son aplicables a las empresas
sealadas en los artculos 16 y 17 de la Ley General, al Banco Agropecuario, a
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Responsabilidad de la empresa
Artculo 3.- Las empresas deben establecer e implementar las polticas y
procedimientos necesarios para administrar de manera adecuada y prudente los
riesgos de tecnologa de informacin, incidiendo en los procesos crticos
asociados a dicho riesgo, considerando las disposiciones contenidas en la
presente norma, en el Reglamento, y en el Reglamento del Sistema de Control
Interno aprobado mediante la Resolucin SBS N 1040-99 del 26 de noviembre de
1999.
La administracin de dicho riesgo debe permitir el adecuado cumplimiento de los
siguientes criterios de control interno:
i.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
ii.
iii.
iv.
v.
vi.
Las actividades mnimas que deben desarrollarse para implementar el PSI, son las
siguientes:
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
de
registros
adecuados
que
permitan
verificar
el
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Separacin
del
ambiente
de
produccin
el
de
desarrollo.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
15
.-
Las
empresas
deben
adoptar
medidas
que
aseguren
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Las empresas autorizadas para operar en otros mdulos, para la verificacin del
cumplimiento antes sealado, debern asegurar una combinacin apropiada de
auditoria interna y/o externa, compatible con el nivel de complejidad y perfil de
riesgo de la empresa. La Superintendencia dispondr un tratamiento similar a las
empresas pertenecientes al mdulo 3, cuando a su criterio la complejidad de sus
sistemas informticos y su perfil de riesgo as lo amerite.
Informacin a la Superintendencia
Artculo 18.- El informe anual que las empresas deben presentar a la
Superintendencia, segn lo dispuesto en el Artculo 13 del Reglamento, deber
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Atentamente,
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
1.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
De
Brecha
Se
debera
contemplar
los
siguientes aspectos:
Divisin de Riesgo: rgano dependiente de la
Definicin y mantenimiento de
que
adecuadamente
asociados a la tecnologa de
informacin.
los
riesgos
departamento
Tecnolgicos
de
cargo
Riesgos
de
la
Operativos
Srta.
Patricia
administrar
los
riesgos
denominados
permita
TI.
La
responsabilidad
de
la
seguridad de la Informacin
Pacheco.
El Departamento de Riesgos
Operativos
Tecnolgicos
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Anlisis
Situacin Actual
De
Brecha
debera
contar
con
estructura
acorde
riesgos
de
indicadores
Auditoria
de
Sistemas:
Entre
otras,
sus
Efectuar
peridicas
de
la
tecnologa
que
ayuden
Tecnolgicos
debera
definir
los
mencionados
indicadores
en
conjunto
evaluaciones
los
El Departamento de Riesgos
Operativos
con
una
con
el
rea
de
de
Sistemas
Soporte
existe
dentro
de
la
estructura
roles
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Anlisis
Situacin Actual
De
Brecha
Se
siguientes aspectos:
deberan
contemplar
los
Evaluacin
seguridad
de
a
riesgos
los
de
que
est
expuesta la informacin.
Inventario
de
riesgos
de
seguridad de la informacin.
Seleccin
objetivos
de
de
controles
control
para
Mantenimiento
de
adecuados
registros
que
permitan
otros
mantener
pistas
de
auditoria.
2.1 POLTICAS, ESTNDARES Y P ROCEDIMIENTOS DE S EGURIDAD
2.1
Declaracin
escrita
de
la
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Anlisis
Situacin Actual
De
Brecha
en
la
integridad,
disponibilidad
poltica.
confidencialidad.
Definicin de la propiedad de la
Poltica.
Polticas
debidamente
comunicadas.
continuacin.
Definicin de responsabilidades
de la seguridad.
Confirmacin de usuarios de
conocimiento de la poltica.
La
aspectos, de:
debera
Definicin de procedimientos
formales para la administracin
de perfiles y usuarios.
mismos.
Identificacin
nica
de
usuarios.
Controles
sobre
herramientas
utilidades
sistema.
personal
de
responsabilidad
de
los
usuarios.
Lgica
Seguridad
de
el
uso
auditoria
sensibles
de
y
del
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Anlisis
Situacin Actual
De
Brecha
Controles
sobre
usuarios
Administracin
restringida
de
Se debera considerar:
Procedimientos de revisin de
datos
otros aspectos:
su
Referencias
de
carcter,
verificacin
de
estudios,
de trabajo.
revisin
Normalizacin
de
entrega
informacin
los
actuales
de
el
proceso
contratacin
de
(Ex.
independiente
de
identidad)
dicha
trabajadores
en
de
manejo
conocimiento.
confidencial
de
a
informacin
los
nuevos
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Anlisis
Situacin Actual
De
Brecha
Definicin
apropiada
responsabilidad
personal
seguridad
nuevo,
la
verificacin
de
distintos
de
sobre
es
parte
la
de
los
trminos y condiciones de la
aceptacin
del
empleo
(ex.
Trminos en el contrato).
al
actividades
monitoreo
en
la
de
red
Se
aspectos, de:
siguientes aspectos:
reas seguras
Procedimientos de reubicacin de
empleados
los
fsicos e instalaciones
considerar
Banco.
debera
Procedimientos de Remocin o
reubicacin de activos.
Aseguramiento
de
oficinas,
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Anlisis
Situacin Actual
De
Brecha
datos .
Seguridad de Equipos
Aseguramiento de Cableado
siguientes aspectos:
Acciones y planes de
mantenimiento de equipos
del
Banco
no
existen
normas
activos fsicos
Proteccin de equipos
uso
reiterado
seguro
de
Controles generales
Se
licencias
siguientes aspectos:
hardware
razonablemente
actualizados
Sin
embargo
carece
de
inventarios
de
debera
Un
considerar
catlogo
activos
de
fsicos
los
todos
de
los
la
activo,
responsable
Banco.
criticidad.
Un
ubicacin
catlogo
fsica,
nivel
de
de
todos
los
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Anlisis
Situacin Actual
De
Brecha
herramientas
de
desarrollo,
otros,
ubicacin
vendedor,
lgica
fsica,
Un catlogo o descripcin de
alto nivel de todos los activos
de
informacin
mas
importantes de la organizacin.
Debe indicar informacin como
tipo de data, ubicacin lgica o
fsica, responsable o dueo de
la informacin, clasificacin de
la
informacin
nivel
de
criticidad.
Un
listado
de
servicios
todos
tales
como
comunicaciones,
servicios
cmputo,
generales,
documentar
los
la
etc.
informacin
unidades
afectadas
por
de
el
servicio.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Anlisis
Situacin Actual
De
Brecha
de
confidencialidad, integridad y
disponibilidad.
Asignacin
de
la
responsabilidad de clasificacin
Procedimientos
de
mantenimiento
de
la
clasificacin
3 ADMINISTRACIN DE OPERACIONES Y COMUNICACIONES
El Banco cuenta con:
Se
deberan
considerar
los
siguientes aspectos:
Procedimientos
responsabilidades
de
operacin.
Procedimientos
responsabilidades de operacin.
procedimientos
de
operaciones
en
los
sistemas de informacin
Procesos
de
revisin
reporte
procedimientos
operacin
de
as
de
como
operaciones.
procedimientos y niveles de
mantenimiento.
conformidad
de
dichas
Programacin de trabajos o
procesos
correctamente
los
ambientes
de
produccin
las
de
ser
documentada,
ejecuciones.
desarrollo.
debe
Administracin
de
facilidades
externas.
Cambios a los programas;
Pase a produccin; y
un
tercero,
debe
ser
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Anlisis
Situacin Actual
De
Brecha
Administracin de versiones
Adecuada
segregacin
de
funciones
riesgos
en
seguridad
para
Control
en
cambios
operacionales.
Proteccin contra software malicioso.
Controles
de
proteccin
software
malicioso
revisin
peridica
del
contra
virus
procedimientos
cumplimiento
de
incluyendo
dispositivos,
software,
cableado
definidos
auditor de sistemas.
adecuadamente
registrados.
Segregacin de funciones
Roles
responsabilidades
las
mantienen
funciones
mencionadas
independientes.
Sin
se
embargo,
segregadas.
deben
Posee
documentados.
acceso
tambin
la
lnea
de
ser
ser
correctamente
Roles
responsabilidades
en
actividades
pase
de
produccin
y
las
a
correctamente
definidos y segregados.
deben
cambios
adecuadamente aprobados.
Los
Adecuada
ambientes
separacin
de
produccin
de
y
desarrollo.
Operaciones de verificacin
Estndar de administracin de
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Anlisis
Situacin Actual
De
Brecha
Procedimientos
de
generacin
cambios
Se
usan
formatos
de
reporte
de
incluyendo
cambios de emergencia.
definido,
las
Administracin de incidentes de
seguridad.
Administracin de Red
Definicin de procedimientos y
equipos
de
respuesta
ante
incidentes de seguridad.
Segregacin de funciones.
respecto a la Internet.
operacin
de
administracin de aplicaciones,
almacenamiento de informacin.
de
IT
deben
ser
correctamente segregadas.
tercero.
Planeamiento de sistemas.
Procedimientos
formales
definidos de planeamiento de
recursos.
Proteccin
malicioso.
Controles
contra
software
preventivos
deteccin
sobre
software
de
el
uso
y
de
procedencia
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Anlisis
Situacin Actual
De
Brecha
Operaciones de verificacin
de
copias
de
respaldo.
Administracin de Red
Adecuados
controles
de
operacin
de
red
implementados.
Proteccin
de
comunicaciones
dispositivos
accesos,
la
red
usando
de
control
procedimientos
de
y
de
intrusos)
procedimientos de reporte.
Manipulacin
seguridad
de
dispositivos de almacenamiento
de informacin.
almacenamiento
documentacin de sistemas.
Intercambio
de
informacin
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Anlisis
Situacin Actual
De
Brecha
Controles de seguridad en el
Correo electrnico y cualquier
otro medio de transferencia de
informacin
(Ex.
Normas,
Seguridad
en
la
Banca
Electrnica.
4 DESARROLLO Y MANTENIMIENTO
El Banco cuenta con:
Contar
con
metodologas
estndares
actividades
desarrollo y mantenimiento de
como
tareas
dentro
de
un
proyecto:
formales
de
sistemas.
Definiciones
Perfil
Definiciones funcionales
Especificaciones funcionales
Diagrama de procesos
para
Prototipo
Plan de Trabajo
Control de acceso
Definiciones tcnicas
Autorizacin
Diagrama de Contexto
Criticidad
Modelo de datos
Cartilla tcnica
Cartilla de operador
Cartilla de usuario
Pruebas y capacitacin
la
aplicacin,
estos
del
sistema
Clasificacin de la
informacin
Disponibilidad
del
sistema
Integridad
confidencialidad
y
de
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Anlisis
Situacin Actual
De
Brecha
Pase a produccin
la informacin.
data.
requerimientos de control.
no autorizados e integridad de
Procesos
en
lote
("batch")
iniciales
que
mantienen
validan
la
fin
de
la informacin.
afectada
procesamiento.
por
un
mal
revisar
toda
sistema
llamado SUCAVE.
personal autorizado.
estas
rutinas
se
mantienen
actividades
Uso
de
informacin,
tcnicas
de
encriptacin estndar.
de
apoyado
informticos
por
en
el
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Anlisis
Situacin Actual
De
Brecha
produccin.
La
Procedimientos
formales
metodologa
mantenimiento
de
de
desarrollo
aplicaciones
indica
la
y/o
embargo,
nuevos
no
requerimientos;
existe
sin
procedimientos
las
pruebas
realizadas
ni
para
la
5 PROCEDIMIENTOS DE R ESPALDO
Se cuenta con un procedimiento formalizado para
clave:
frecuencia
diaria,
dos
copias
tres
Aseguramiento
de
el
generacin
de
generaciones.
proceso
copias
frecuencia
culminado exitosamente.
diaria,
generaciones.
dos
copias
tres
de
que
de
respaldo
Procedimientos
haya
que
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Anlisis
Situacin Actual
De
Brecha
El tiempo de almacenamiento
generaciones.
Se debera considerar:
Generacin
de
Contingencias
Plan
que
de
abarque
una
metodologa
formal.
Procedimientos
revisin
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Anlisis
Situacin Actual
De
Brecha
Existencia
de
preparativos
continuidad
del
procesamiento
computadorizado (existe centro
de procesamiento alterno).
Una
copia
del
plan
de
contingencias se almacena en
una sede remota y ser de fcil
acceso
en
caso
de
que
Preparativos de contingencia
para el hardware y software de
comunicaciones y redes.
los
sistemas
de
programas
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Anlisis
Situacin Actual
De
Brecha
de
negocios,
continuidad
de
identificando
las
(por
ej.
Explosin,
Deberan
existir
planes
de
El
plan
de
debera
contingencias
contemplar
necesidades
las
de
departamentos
trminos
los
usuarios
de
en
traslados,
ubicacin y operacin.
-
El
plan
debera
de
contingencias
asegurar
que
se
El
cronograma
recuperacin
de
cada
para
la
funcin
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Anlisis
Situacin Actual
De
Brecha
peridicamente
para
incluir
la
prdida
del
servicio
de tarjetas (diario)
Informacin
necesaria
tarjetas
no cumplirse el contrato.
de
controles
de
seguridad
polticas
garantizar
el
para
cumplimiento
de
los
requerimientos.
TELEFONICA: Centro de procesamiento de
datos de respaldo. Entrar en operatividad el
31 de Mayo.
Acuerdos
aplicarse
Requerimientos de seguridad y
El derecho de la entidad, y la
Superintendencia de Banca y
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Anlisis
Situacin Actual
De
Brecha
los
aplicados
sistemas.
Banco.
controles
a
de
la
data
Documentacin
controles
seguridad
y
sobre
fsicos
los
los
lgicos,
Determinacin
de
requerimientos
incluyendo
los
legales,
privacidad
proteccin de la data.
Procedimiento
que
asegure
realizar
pruebas
que
procesan
normativo
controles para el
relativo
al
uso
de
emitidas
Superintendencia.
por
la
sistemas.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Anlisis
Situacin Actual
De
Brecha
Compromiso
firmado
por
los
usuarios
Procedimientos
de
establecidos
para
emitidas
Superintendencia.
el
por
Control
de
normas
sobre
por ley.
intelectual
control
la
cumplimiento
la
de
propiedad
(licenciamiento
de
software).
Sin embargo:
8 PRIVACIDAD DE LA INFORMACIN
El Banco no cuenta con:
Definicin de responsabilidades
con respecto a la aplicacin del
secreto
bancario
de
la
privicidad de la Informacin.
Restricciones
de
acceso
informacin en salvaguarda de
bancario.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Anlisis
Situacin Actual
De
Brecha
Existencia
internas
de
para
autorizaciones
la
entrega
transferencia de informacin.
En el rea de sistemas se han implementado
controles respecto a la limitacin de acceso a
informacin de clientes y se ha registrado
evidencia de incidentes y acciones tomadas por
auditoria interna, dicha situacin no se replica en
las distintas reas del Banco.
9 AUDITORIA INTERNA Y EXTERNA
El Banco no cuenta con:
Un
rea
incluyendo
de
en
Se debera considerar:
auditoria
su
plan
interna
de
que
auditoria
esta
el
105-2002 de la Superintendencia.
del
cumplimiento
de
lo
interno
comentarios
con
procedimientos
polticas
para
la
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM