Anexo SGSI

Plan de Seguridad Informtica para una Entidad Financiera .
Crdova Rodrguez, Norma Edith.
ANEXOS
A. DISEO DE ARQUITECTURA DE SEGURIDAD DE RED
ARQUITECTURA DE SEGURIDAD DE RED

Con el propsito de incrementar la seguridad de la plataforma tecnolgica del
Banco, se realiz un anlisis de su actual arquitectura de red principalmente en
el control de conexiones con redes externas. Producto de dicho anlisis se
diseo una nueva arquitectura de red, la cual posee controles de acceso para
las conexiones y la ubicacin recomendada para los detectores de intrusos a
ser implementados por el Banco.
A continuacin se muestra el diagrama con la arquitectura de red propuesta.
Fig 1: Arquitectura de red propuesta.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM

Para lograr implementar esta arquitectura de red, se deben realizar un conjunto

de cambios los cuales se detallan a continuacin:
1. Creacin de la Extranet: Controlar mediante un firewall la comunicacin

entre la red del Banco y redes externas como Banca Red y Reuters,
para evitar actividad no autorizada desde dichas redes hacia los equipos
de la red del Banco.
2. Implementar una red DMZ para evitar el ingreso de conexiones desde

Internet hacia la red interna de datos. Adicionalmente implementar un
sistema de inspeccin de contenido con el propsito de monitorear la
informacin que es transmitida va correo electrnico entre el Banco e
Internet.
En la red DMZ se debe ubicar un servidor de inspeccin de contenido, el
cual trabajara de la siguiente manera:
a. Ingreso de correo electrnico: El servidor de inspeccin de
contenido, recibir todos los correos enviados desde Internet,
revisar su contenido y los enviar al servidor Lotus Notes,
quin los entregar a su destinatario final.
b. Salida de correo electrnico: El Servidor Lotus Notes enviar
el correo electrnico al servidor de inspeccin de contenido,
quin revisar el contenido del mensaje, para transmitirlo a
travs de Internet a su destino final.
Esta nueva red DMZ puede ser empleada para ubicar nuevos equipos
que brindarn servicios a travs de Internet en el futuro tales como FTP,
Web, etc.
3. Para controlar el ingreso de virus informticos desde Internet, as como

para prevenir el envo de mensajes electrnicos conteniendo virus
informtico, se recomienda implementar un primer nivel de proteccin

antivirus mediante un sistema de inspeccin de servicios de Internet.

Este sistema inspeccionar la informacin recibida desde Internet, as
como la informacin enviada hacia otras entidades va Internet Este
sistema debe inspeccionar la navegacin de los usuarios (HTTP HyperText Transfer Protocol), la transferencia de archivos (FTP File
Transfer Protocol) y el intercambio de corroe electrnico (SMTP
Simple mail Transfer Protocol).
4. Luego de implementados los cambios previamente detallados, el

Firewall se torna en un punto crtico para las comunicaciones del Banco,
por lo cual se requiere implementar un sistema de Alta Disponibilidad de
Firewalls, el cual permita garantizar que el canal de comunicacin
permanezca disponible en caso de falla de uno de los Firewalls.
5. Con el propsito de prevenir la realizacin de actividad no autorizada

desde redes externas hacia la red del Banco y desde la red interna del
Banco hacia los servidores y hacia Internet, se debe implementar un
sistema de deteccin de intrusos que inspeccione el trfico que circula
por segmentos de red estratgicos tales como:
-
Internet, para detectar la actividad sospechosa proveniente desde

Internet.
Red DMZ, para detectar la actividad dirigida contra los servidores

pblicos que logr atravesar el Firewall.
Extranet, para detectar actividad realizada desde las redes externas

con las que se posee conexin.
Puntos estratgicos de la red interna, los cuales permitan detectar la

actividad realizada contra los equipos crticos del Banco.

B. CIRCULAR N G-105-2002 PUBLICADA POR LA SUPERINTENDENCIA

DE BANCA Y SEGUROS (SBS) SOBRE RIESGOS DE TECNOLOGA DE
INFORMACIN
Lima, 22 de febrero de 2002
CIRCULAR N G - 105 - 2002

----------------------------------------------Ref.: Riesgos de tecnologa de
informacin
----------------------------------------------Seor
Gerente General
Srvase tomar nota que, en uso de las atribuciones conferidas por el numeral 7 del
artculo 349 de la Ley General del Sistema Financiero y del Sistema de Seguros y
Orgnica de la Superintendencia de Banca y Seguros - Ley N 26702 y sus
modificatorias, en adelante Ley General, y por la Resolucin SBS N 1028-2001
del 27 de diciembre de 2001, con la finalidad de establecer criterios mnimos para
la identificacin y administracin de los riesgos asociados a la tecnologa de
informacin, a que se refiere el artculo 10 del Reglamento para la Administracin
de los Riesgos de Operacin, aprobado mediante la Resolucin SBS N 006-2002
del 4 de enero de 2002, esta Superintendencia ha considerado conveniente
establecer las siguientes disposiciones:
Alcance
Artculo 1.- Las disposiciones de la presente norma son aplicables a las empresas
sealadas en los artculos 16 y 17 de la Ley General, al Banco Agropecuario, a

la Corporacin Financiera de Desarrollo S.A. (COFIDE), al Banco de la Nacin, a

la Fundacin Fondo de Garanta para Prstamos a la Pequea Industria (FOGAPI)
y a las derramas y cajas de beneficios que se encuentren bajo la supervisin de
esta Superintendencia, en adelante empresas.
Definiciones
Artculo 2 .- Para efectos de la presente norma, sern de aplicacin las siguientes
definiciones:
a. Informacin: Cualquier forma de registro electrnico, ptico, magntico o en
otros medios similares, susceptible de ser procesada, distribuida y
almacenada.
b. Ley General: Ley N 26702, Ley General del Sistema Financiero y del
Sistema de Seguros y Orgnica de la Superintendencia de Banca y
Seguros.
c. Proceso crtico: Proceso considerado indispensable para la continuidad de
las operaciones y servicios de la empresa, y cuya falta o ejecucin
deficiente puede tener un impacto financiero significativo para la empresa.
d. Reglamento: Reglamento para la Administracin de los Riesgos de
Operacin aprobado por Resolucin SBS N 006-2002 del 4 de enero de
2002.
e. Riesgos de operacin: Entindase por riesgos de operacin a la posibilidad
de ocurrencia de prdidas financieras por deficiencias o fallas en los
procesos internos, en la tecnologa de informacin, en las personas o por
ocurrencia de eventos externos adversos.
f. Riesgos de tecnologa de informacin: Los riesgos de operacin asociados
a los sistemas informticos y a la tecnologa relacionada a dichos sistemas,

que pueden afectar el desarrollo de las operaciones y servicios que realiza

la empresa al atentar contra la confidencialidad, integridad y disponibilidad
de la informacin, entre otros criterios.
g. Seguridad de la informacin: Caracterstica de la informacin que se logra
mediante la adecuada combinacin de polticas, procedimientos, estructura
organizacional y herramientas informticas especializadas a efectos que
dicha informacin cumpla los criterios de confidencialidad, integridad y
disponibilidad.
h. Objetivo de control: Una declaracin del propsito o resultado deseado
mediante la implementacin de controles apropiados en una actividad de
tecnologa de informacin particular.
Responsabilidad de la empresa
Artculo 3.- Las empresas deben establecer e implementar las polticas y
procedimientos necesarios para administrar de manera adecuada y prudente los
riesgos de tecnologa de informacin, incidiendo en los procesos crticos
asociados a dicho riesgo, considerando las disposiciones contenidas en la
presente norma, en el Reglamento, y en el Reglamento del Sistema de Control
Interno aprobado mediante la Resolucin SBS N 1040-99 del 26 de noviembre de
1999.
La administracin de dicho riesgo debe permitir el adecuado cumplimiento de los
siguientes criterios de control interno:
i.
Eficacia. La informacin debe ser relevante y pertinente para los objetivos

de negocio y ser entregada en una forma adecuada y oportuna conforme
las necesidades de los diferentes niveles de decisin y operacin de la
empresa.

ii.
Eficiencia. La informacin debe ser producida y entregada de forma

productiva y econmica.
iii.
Confidencialidad. La informacin debe ser accesible slo a aquellos que

se encuentren debidamente autorizados.
iv.
Integridad. La informacin debe ser completa, exacta y vlida.
v.
Disponibilidad. La informacin debe estar disponible en forma organizada

para los usuarios autorizados cuando sea requerida.
vi.
Cumplimiento normativo. La informacin debe cumplir con los criterios y

estndares internos de la empresa, las regulaciones definidas externamente
por el marco legal aplicable y las correspondientes entidades reguladoras,
as como los contenidos de los contratos pertinentes.
Estructura organizacional y procedimientos

Artculo 4.- Las empresas deben definir y mantener una estructura organizacional
y procedimientos que les permita administrar adecuadamente los riesgos
asociados a la tecnologa de informacin, consistente con su tamao y naturaleza,
as como con la complejidad de las operaciones que realizan.
Administracin de la seguridad de informacin
Artculo 5.- Las empresas debern establecer, mantener y documentar un sistema
de administracin de la seguridad de la informacin, en adelante "Plan de
Seguridad de la informacin - (PSI)". El PSI debe incluir los activos de tecnologa
que deben ser protegidos, la metodologa usada, los objetivos de control y
controles, as como el grado de seguridad requerido.
Las actividades mnimas que deben desarrollarse para implementar el PSI, son las
siguientes:

a. Definicin de una poltica de seguridad.

b. Evaluacin de riesgos de seguridad a los que est expuesta la informacin
c. Seleccin de controles y objetivos de control para reducir, eliminar o evitar
los riesgos identificados, indicando las razones de su inclusin o exclusin.
d. Plan de implementacin de los controles y procedimientos de revisin
peridicos.
e. Mantenimiento
de
registros
adecuados
que
permitan
verificar
el
cumplimiento de las normas, estndares, polticas, procedimientos y otros

definidos por la empresa, as como mantener pistas adecuadas de
auditoria.
Las empresas bancarias y las empresas de operaciones mltiples que accedan al

mdulo 3 de operaciones a que se refiere el artculo 290 de la Ley General
debern contar con una funcin de seguridad a dedicacin exclusiva.
Subcontratacin (outsourcing)
Artculo 6.- La empresa es responsable y debe verificar que se mantengan las
caractersticas de seguridad de la informacin contempladas en la presente
norma, incluso cuando ciertas funciones o procesos crticos puedan ser objeto de
una subcontratacin. Para ello se tendr en cuenta lo dispuesto en la Primera
Disposicin Final y Transitoria del Reglamento. Asimismo, la empresa debe
asegurarse y verificar que el proveedor del servicio sea capaz de aislar el
procesamiento y la informacin objeto de la subcontratacin, en todo momento y
bajo cualquier circunstancia.
En caso que las empresas deseen realizar su procesamiento principal en el

exterior, requerirn de la autorizacin previa y expresa de esta Superintendencia.

Las empresas que a la fecha de vigencia de la presente norma se encontrasen en

la situacin antes sealada, debern solicitar la autorizacin correspondiente. Para
la evaluacin de estas autorizaciones, las empresas debern presentar
documentacin que sustente lo siguiente:
a) La forma en que la empresa asegurar el cumplimiento de la presente
circular y la Primera Disposicin Final y Transitoria del Reglamento.
b) La empresa, as como los representantes de quienes brindarn el servicio
de procesamiento en el exterior, debern asegurar adecuado acceso a la
informacin con fines de supervisin, en tiempos razonables y a solo
requerimiento.
Aspectos de la seguridad de informacin
Artculo 7.- Para la administracin de la seguridad de la informacin, las
empresas debern tomar en consideracin los siguientes aspectos:
7.1 Seguridad lgica

Las empresas deben definir una poltica para el control de accesos, que incluya los
criterios para la concesin y administracin de los accesos a los sistemas de
informacin, redes y sistemas operativos, as como los derechos y atributos que se
confieren.
Entre otros aspectos, debe contemplarse lo siguiente:
a) Procedimientos formales para la concesin, administracin de derechos y
perfiles, as como la revocacin de usuarios. Revisiones peridicas deben
efectuarse sobre los derechos concedidos a los usuarios.
b) Los usuarios deben contar con una identificacin para su uso personal, de
tal manera que las posibles responsabilidades puedan ser seguidas e
identificadas.
c) Controles especiales sobre utilidades del sistema y herramientas de
auditoria.

d) Seguimiento sobre el acceso y uso de los sistemas y otras instalaciones

fsicas, para detectar actividades no autorizadas.
e) Usuarios remotos y computacin mvil.
7.2 Seguridad de personal

Las empresas deben definir procedimientos para reducir los riesgos asociados al
error humano , robo, fraude o mal uso de activos, vinculados al riesgo de
tecnologa de informacin. Al establecer estos procedimientos, deber tomarse en
consideracin, entre otros aspectos, la definicin de roles y responsabilidades
establecidos sobre la seguridad de informacin, verificacin de antecedentes,
polticas de rotacin y vacaciones, y entrenamiento.
7.3 Seguridad fsica y ambiental

Las empresas deben definir controles fsicos al acceso, dao o interceptacin de
informacin. El alcance incluir las instalaciones fsicas, reas de trabajo,
equipamiento, cableado, entre otros bienes fsicos susceptibles a riesgos de
seguridad.
Se definirn medidas adicionales para las reas de trabajo con necesidades
especiales de seguridad, como los centros de procesamiento, entre otras zonas en
que se maneje informacin que requiera de alto nivel de proteccin.
7.4 Clasificacin de seguridad

Las empresas deben realizar un inventario peridico de activos asociados a la
tecnologa de informacin que tenga por objetivo proveer la base para una
posterior clasificacin de seguridad de dichos activos. Esta clasificacin debe
indicar el nivel de riesgo existente para la empresa en caso de falla sobre la
seguridad, as como las medidas apropiadas de control que deben asociarse a las
clasificaciones.

Administracin de las operaciones y comunicaciones

Artculo 8.- Las empresas deben establecer medidas de administracin de las
operaciones y comunicaciones que entre otros aspectos contendrn lo siguiente:
-
Control sobre los cambios en el ambiente operativo, que incluye cambios en

los sistemas de informacin, las instalaciones de procesamiento y los
procedimientos.
- Control sobre los cambios del ambiente de desarrollo al de produccin.
- Separacin de funciones para reducir el riesgo de error o fraude.
-
Separacin
del
ambiente
de
produccin
el
de
desarrollo.
- Controles preventivos y de deteccin sobre el uso de software de

procedencia dudosa, virus y otros similares.
-
Seguridad sobre las redes, medios de almacenamiento y documentacin de

sistemas.
- Seguridad sobre correo electrnico.
Seguridad sobre banca electrnica.
Desarrollo y mantenimiento de sistemas informticos - Requerimientos de

seguridad
Artculo 9.- Para la administracin de la seguridad en el desarrollo y
mantenimiento de sistemas informticos, se debe tomar en cuenta, entre otros, los
siguientes criterios:
a) Incluir en el anlisis de requerimientos para nuevos sistemas o mejoras a
los sistemas actuales, controles sobre el ingreso de informacin, el
procesamiento y la informacin de salida.
b) Aplicar tcnicas de encriptacin sobre la informacin crtica que debe ser
protegida.
c) Definir controles sobre la implementacin de aplicaciones antes del ingreso
a produccin.
d) Controlar el acceso a las libreras de programas fuente.

e) Mantener un estricto y formal control de cambios, que ser debidamente

apoyado por sistemas informticos en el caso de ambientes complejos o
con alto nmero de cambios.
Procedimientos de respaldo
Artculo 10.- Las empresas deben establecer procedimientos de respaldo
regulares y peridicamente validados. Estos procedimientos deben incluir las
medidas necesarias para asegurar que la informacin esencial pueda ser
recuperada en caso de falla en los medios o luego de un desastre. Estas medidas
sern coherentes con lo requerido en el Plan de Continuidad.
La empresa debe conservar la informacin de respaldo y los procedimientos de
restauracin en una ubicacin remota, a suficiente distancia para no verse
comprometida ante un dao en el centro principal de procesamiento.
Planeamiento para la continuidad de negocios
Artculo 11.- Las empresas, bajo responsabilidad de la Gerencia y el Directorio,
deben desarrollar y mantener un "Plan de Continuidad de Negocios" (PCN), que
tendr como objetivo asegurar un nivel aceptable de operatividad de los procesos
crticos, ante fallas mayores internas o externas.
Criterios para el diseo e implementacin del Plan de Continuidad de
Negocios
Artculo 12.- Para el desarrollo del PCN se debe realizar previamente una
evaluacin de riesgos asociados a la seguridad de la informacin. Culminada la
evaluacin, se desarrollarn sub-planes especficos para mantener o recuperar los
procesos crticos de negocios ante fallas en sus activos, causadas por eventos
internos (virus, errores no esperados en la implementacin, otros), o externos (falla
en las comunicaciones o energa, incendio, terremoto, proveedores, otros).

Prueba del Plan de Continuidad de Negocios

Artculo 13.- La prueba del PCN es una herramienta de la direccin para controlar
los riesgos sobre la continuidad de operacin y sobre la disponibilidad de la
informacin, por lo que la secuencia, frecuencia y profundidad de la prueba del
PCN, deber responder a la evaluacin formal y prudente que sobre dicho riesgo
realice cada empresa.
En todos los casos, mediante una nica prueba o una secuencia de ellas, segn lo
considere adecuado cada empresa de acuerdo a su evaluacin de riesgos, los
principales aspectos del PCN debern ser probados cuando menos cada dos
aos.
Anualmente, dentro del primer mes del ejercicio, se enviar a la Superintendencia
el programa de pruebas correspondiente, en que se indicar las actividades a
realizar durante el ciclo de 2 aos y una descripcin de los objetivos a alcanzar en
el ao que se inicia.
Cumplimiento formativo
Artculo 14.- La empresa deber asegurar que los requerimientos legales,
contractuales, o de regulacin sean cumplidos, y cuando corresponda,
incorporados en la lgica interna de las aplicaciones informticas.
Privacidad de la informacin
Artculo
15
.-
Las
empresas
deben
adoptar
medidas
que
aseguren
razonablemente la privacidad de la informacin que reciben de sus clientes y

usuarios de servicios, conforme la normatividad vigente sobre la materia.
Auditoria Interna y Externa
Artculo 16.- La Unidad de Auditoria Interna deber incorporar en su Plan Anual
de Trabajo la evaluacin del cumplimiento de lo dispuesto en la presente norma.
Asimismo, las Sociedades de Auditoria Externa debern incluir en su informe

sobre el sistema de control interno comentarios dirigidos a indicar si la entidad

cuenta con polticas y procedimientos para la administracin de los riesgos de
tecnologa de informacin, considerando asimismo, el cumplimiento de lo
dispuesto en la presente norma.
Auditoria de sistemas
Artculo 17.- Las empresas bancarias y aquellas empresas autorizadas a operar
en el Mdulo 3 conforme lo sealado en el artculo 290 de la Ley General,
debern contar con un servicio permanente de auditoria de sistemas, que
colaborar con la Auditoria interna en la verificacin del cumplimiento de los
criterios de control interno para las tecnologas de informacin, as como en el
desarrollo del Plan de Auditoria.
El citado servicio de auditoria de sistemas tomar en cuenta, cuando parte del

procesamiento u otras funciones sean realizadas por terceros, que es necesario
conducir su revisin con los mismos estndares exigidos a la empresa, por lo que
tomar en cuenta las disposiciones indicadas en la Primera Disposicin Final y
Transitoria del Reglamento.
Las empresas autorizadas para operar en otros mdulos, para la verificacin del
cumplimiento antes sealado, debern asegurar una combinacin apropiada de
auditoria interna y/o externa, compatible con el nivel de complejidad y perfil de
riesgo de la empresa. La Superintendencia dispondr un tratamiento similar a las
empresas pertenecientes al mdulo 3, cuando a su criterio la complejidad de sus
sistemas informticos y su perfil de riesgo as lo amerite.
Informacin a la Superintendencia
Artculo 18.- El informe anual que las empresas deben presentar a la
Superintendencia, segn lo dispuesto en el Artculo 13 del Reglamento, deber

incluir los riesgos de operacin asociados a la tecnologa de informacin, como

parte integral de dicha evaluacin, para lo cual se sujetar a lo dispuesto en dicho
Reglamento y a lo establecido en la presente norma.
Sanciones
Artculo 19.- En caso de incumplimiento de las disposiciones contenidas en la
presente norma, la Superintendencia aplicar las sanciones correspondientes de
conformidad con lo establecido en el Reglamento de Sanciones.
Plan de adecuacin
Artculo 20.- En el Plan de Adecuacin sealado en el segundo prrafo de la
Cuarta Disposicin Final y Transitoria del Reglamento, las empresas debern
incluir un sub-plan para la adecuacin a las disposiciones contenidas en la
presente norma.
Plazo de adecuacin
Artculo 21.- Las empresas contarn con un plazo de adecuacin a las
disposiciones de la presente norma que vence el 30 de junio de 2003
Atentamente,
SOCORRO HEYSEN ZEGARRA

Superintendente de Banca y Seguros (e)

C. DETALLE: DIAGNOSTICO DE LA SITUACION ACTUAL DE LA

ADMINISTRACIN DE LOS RIESGOS DE TECNOLOGIA DE LA
INFORMACION
La siguiente matriz muestra puntos especficos de la situacin actual en cuanto

a la administracin de seguridad y los compara contra los requerimientos de la
Circular G-105-2002 de la Superintendencia, contempla los siguientes
aspectos:
1.
Estructura de la organizacin de seguridad de la informacin

1.1 Roles y responsabilidades
2. Plan de seguridad de la informacin

2.1 Polticas, estndares y procedimientos de seguridad
2.2 Seguridad lgica
2.3 Seguridad de personal
2.4 Seguridad fsica y ambiental
2.5 Clasificacin de seguridad
3. Administracin de las operaciones y comunicaciones.
4. Desarrollo y mantenimiento de sistemas informticos.
5. Procedimientos de respaldo.
6. Subcontratacin (Relacin y status de los contratos con terceros en
temas crticos)
7. Cumplimiento normativo
8. Privacidad de la informacin
9. Auditoria interna y externa
El detalle de la evaluacin de las reas mencionadas se muestra en una matriz

cuyo contenido es el siguiente:

- Situacin Actual: Muestra un resumen de la situacin encontrada en el

Banco a partir de la informacin relevada durante las entrevistas y de los
documentos entregados.
- Mejores Practicas: Muestra un resumen de las mejores prcticas en el

sector y los requerimientos mencionadas en la Circular G105-2002 de la
SBS uno de los motivos del presente trabajo.
- Anlisis de Brecha: Muestra de manera grfica la brecha existente entre la

situacin actual y los requerimientos de la SBS y las mejores prcticas del
sector.
Anlisis
Situacin Actual
SBS, Mejores Prcticas
De
Brecha
1 ESTRUCTURA ORGANIZACIONAL PARA LA ADMINISTRACIN DE RIESGOS DE T ECNOLOGA D E INFORMACIN

1.
El Banco cuenta con las siguientes unidades:
Se
debera
contemplar
los
siguientes aspectos:
Divisin de Riesgo: rgano dependiente de la
Definicin y mantenimiento de
Gerencia General, encargado de medir y controlar
una estructura organizacional
la calidad y capacidad de endeudamiento de los
que
clientes, con el objeto de mantener adecuados
adecuadamente
niveles de riesgo crediticio, tanto para aquellos
asociados a la tecnologa de
que se encuentren en evaluacin, como aquellos
informacin.
que ya han sido utilizados y se encuentran en

pleno proceso de cumplimiento de reembolsos.
Asimismo,
los
riesgos
departamento
Tecnolgicos
de
cargo
Riesgos
de
la
Operativos
Srta.
Patricia
administrar
los
riesgos
La unidad de riesgo deber

contar con un responsable de
denominados
la administracin del riesgo de
genricamente Riesgos de Mercado. Cuenta con

un
permita
TI.
La
responsabilidad
de
la
seguridad de la Informacin
Pacheco.
debera ser ejercida de forma

exclusiva.
Area de Seguridad: rgano encargado de velar

por la seguridad de las instalaciones del Banco,
as como del personal y Clientes que se
El Departamento de Riesgos
Operativos
Tecnolgicos

Anlisis
Situacin Actual
De
Brecha
encuentran y transitan en ellas.
debera
contar
con
estructura
acorde
Area de Seguridad Informtica: Enfocada a los
riesgos
de
aspectos de accesos a los aplicativos y sistemas.
evaluados para Banco y definir
rea que originalmente formo parte de Soporte
indicadores
Tcnico (Agosto 2001). No considera en sus
monitorear los mismos.
funciones las referentes a seguridad de la

plataforma y de la informacin.
Auditoria
de
Sistemas:
Entre
otras,
sus
Efectuar
peridicas
de
la
tecnologa
que
ayuden
Tecnolgicos
debera
definir
los
mencionados
indicadores
en
conjunto
evaluaciones
los
El Departamento de Riesgos
Operativos
funciones son las de:
con
una
con
el
rea
de
sistemas del Banco.
capacidad y apropiada utilizacin de los

recursos de cmputo.
Verificar el cumplimiento de las normas y

procedimientos referidos a las reas de
Desarrollo
de
Sistemas
Soporte
Tecnolgico, participando junto con estas

instancias y los usuarios directos durante el
ciclo de desarrollo de sistemas para la
implantacin de adecuados controles internos
y pistas de auditoria, incluyendo su posterior
evaluacin y seguimiento.
Se ha observado que la documentacin existente

con respecto a las distintas reas se encuentra
desactualizada.
No
existe
dentro
de
la
estructura
roles
equivalentes al de Oficial de Seguridad.
2 PLAN DE S EGURIDAD DE LA INFORMACIN

Anlisis
Situacin Actual
De
Brecha
El Banco no cuenta con un plan de Seguridad de
Se
la Informacin formalmente documentado que
gue las distintas normas con que cuenta el
Banco referentes a los riesgos y seguridad de la

Tecnologa de Informacin.
deberan
contemplar
los
Definicin de una poltica de

seguridad.
Evaluacin
seguridad
de
a
riesgos
los
de
que
est
expuesta la informacin.
Inventario
de
riesgos
de
seguridad de la informacin.
Seleccin
objetivos
de
de
controles
control
para
reducir, eliminar y evitar los

riesgos identificados, indicando
las razones de su inclusin o
exclusin
Plan de implementacin de los

controles y procedimientos de
revisin peridicos.
Mantenimiento
de
adecuados
registros
que
permitan
verificar el cumplimiento de las

normas, estndares, polticas,
procedimientos
otros
definidos por la empresa, as

como
mantener
pistas
de
auditoria.
2.1 POLTICAS, ESTNDARES Y P ROCEDIMIENTOS DE S EGURIDAD
2.1
El Banco no cuenta con polticas de seguridad
La definicin de una poltica de
formalmente documentadas que indiquen los
seguridad debera contemplar:
procedimientos de seguridad a ser adoptados
Declaracin
escrita
de
la

Anlisis
Situacin Actual
De
Brecha
para salvaguardar la informacin de posibles

prdidas
en
la
integridad,
disponibilidad
poltica.
confidencialidad.
Definicin de la propiedad de la
Poltica.
Sin embargo, se ha observado la existencia de

controles especficos en distintos aspectos de la
seguridad de la Informacin, que detallamos a
Polticas
debidamente
comunicadas.
Autoridad definida para realizar

cambios en la Poltica.
continuacin.
Aprobacin por el rea legal.

Alineamiento de la poltica con
la organizacin.
Definicin de responsabilidades
de la seguridad.
Confirmacin de usuarios de
conocimiento de la poltica.
2.2 SEGURIDAD LGICA

2.2
Hemos observado la existencia, entre otros
La
aspectos, de:
contemplar los siguientes aspectos:
Procedimientos definidos en el rea de
debera
Definicin de procedimientos
formales para la administracin
de perfiles y accesos a usuarios, incluyendo
de perfiles y usuarios.
mismos.
Identificacin
nica
de
usuarios.
Accesos a los sistemas de informacin del
Controles
sobre
Banco controlados al nivel de red de datos y
herramientas
aplicacin, para lo cual cada usuario cuenta
utilidades
con IDs y contraseas de uso estrictamente
sistema.
personal
de
responsabilidad
de
los
usuarios.
Lgica
sistemas para la concesin y administracin
la revocacin y revisiones peridicas de los
Seguridad
Controles de acceso a herramientas de
de
el
uso
auditoria
sensibles
de
y
del
Controles sobre el acceso y

uso de los sistemas y otras
instalaciones fsicas.

Anlisis
Situacin Actual
De
Brecha
auditoria en los sistemas de informacin.
Controles de acceso parciales a utilidades

sensibles del sistema.
Controles
sobre
usuarios
remotos y computacin mvil.
Administracin
restringida
de
Generacin parcial de pistas de auditoria en
los equipos de acceso remoto y
los sistemas de informacin.
configuracin de seguridad del

mismo.
Hemos observado que no cuenta con:
Controles de acceso a utilidades sensibles

del sistema sobre estaciones de trabajo
Win98/95.
Habilitacin de opciones de auditoria en los

sistemas operativos de red.
Procedimientos de revisin de pistas de

auditoria que contemplen no solo los registros
del computador central.
2.3 SEGURIDAD DE P ERSONAL

Hemos observado que el Banco se encuentra en
Se debera considerar:
un proceso de normalizacin llevado a cabo por el
Procedimientos de revisin de
rea de RRHH y la de OyM el cual incluye entre
datos
otros aspectos:
seleccin de personal previo a
Formalizacin de normas y procedimientos de
su
las distintas reas del Banco.
Referencias
de
carcter,
Identificacin de informacin relevante a
verificacin
de
estudios,
entregar a los nuevos trabajadores por rea
revisin de crdito si aplica- y
de trabajo.
revisin
Normalizacin
de
entrega
informacin
los
actuales
de
el
proceso
contratacin
de
(Ex.
independiente
de
identidad)
dicha
trabajadores
en
Entrega formal de las polticas
incluyendo documento de confirmacin de
de
manejo
conocimiento.
confidencial
de
a
informacin
los
nuevos

Anlisis
Situacin Actual
De
Brecha
integrantes del Banco.

Adicionalmente hemos observado que RRHH
Definicin
apropiada
considera dentro del proceso de evaluacin de
responsabilidad
personal
seguridad
nuevo,
la
verificacin
de
distintos
de
sobre
es
parte
la
de
los
aspectos de personales a modo de preseleccin o
trminos y condiciones de la
filtro de personal idneo para el Banco.
aceptacin
del
empleo
(ex.
Trminos en el contrato).
Difusin de las polticas con

respecto
al
actividades
monitoreo
en
la
de
red
sistemas de informacin, antes

entregar IDs a usuarios.
2.4 SEGURIDAD FSICA Y AMBIENTAL

Hemos observado la existencia, entre otros
Se
aspectos, de:
reas seguras
Normas de control de acceso fsico a reas
Procedimientos de reubicacin de
sensibles establecidos y en proceso de
empleados
mejora en el caso de la oficina principal.
Monitoreo constante de las instalaciones del
Controles ambientales as como medidas
Existen procedimientos definidos para el
Las copias de respaldo son almacenadas de

manera segura.
Controles de reas de carga y

descarga.
Controles fsicos de entrada.

Seguridad del permetro fsico
de las instalaciones.
deshecho de papeles de trabajo.
los
fsicos e instalaciones
preventivas y correctivas ante incendios.
considerar
Controles de acceso adecuados a sus activos
Banco.
debera
Procedimientos de Remocin o
reubicacin de activos.
Aseguramiento
de
oficinas,
reas de trabajo y facilidades.
Generadores de respaldo y UPS para red de

Anlisis
Situacin Actual
De
Brecha
datos .
Seguridad de Equipos
Aseguramiento de Cableado
Sin embargo encontramos deficiencias en los
Acciones y planes de
mantenimiento de equipos
Las medidas de seguridad existentes no se

extienden a la Informacin como activo de
valor
del
Banco
no
existen
normas
adecuadas con respecto al resguardo de la
Normas de seguridad para laptops.
misma cuando se trata de
activos fsicos
(equipos o elementos de almacenamiento de

informacin, documentos impresos, etc.).
Proteccin de equipos
Fuentes de poder redundantes.

Procedimientos de eliminacin
o
No existe un programa de concientizacin
uso
reiterado
seguro
de
equipos de manera segura
para el usuario con respecto al cuidado

necesario para con la informacin.
Controles generales
No existe una norma en uso sobre mesas y

pantallas limpias.
Poltica de mesa limpia

Poltica de pantallas limpias
El programa de mantenimiento preventivo de los

equipos del Banco se encuentra incompleto al
considerar nicamente al computador central.
2.5 CLASIFICACIN DE SEGURIDAD
El Banco cuenta con inventarios de software,
Se
licencias
hardware
razonablemente
actualizados
Sin
embargo
carece
de
inventarios
de
debera
Un
considerar
catlogo
activos
de
fsicos
los
todos
de
los
la
informacin, servicios y proveedores as como de
organizacin, indicando tipo de
una clasificacin de los elementos mencionados
activo,
con respecto a su nivel de riesgo dentro del
responsable
Banco.
criticidad.
Un
ubicacin
catlogo
fsica,
nivel
de
de
todos
los
activos de software tales como

Anlisis
Situacin Actual
De
Brecha
herramientas
de
desarrollo,
aplicaciones, etc. Debe indicar

entre
otros,
ubicacin
vendedor,
lgica
fsica,
responsable, nivel de criticidad,

clasificacin de la informacin,
etc.
Un catlogo o descripcin de
alto nivel de todos los activos
de
informacin
mas
importantes de la organizacin.
Debe indicar informacin como
tipo de data, ubicacin lgica o
fsica, responsable o dueo de
la informacin, clasificacin de
la
informacin
nivel
de
criticidad.
Un
listado
de
servicios
todos
tales
como
comunicaciones,
servicios
cmputo,
generales,
documentar
los
la
etc.
informacin
relativa a los proveedores del

servicio. Debera incluir entre
otros, persona de contacto con
el proveedor, procedimientos
de servicios de emergencia,
criticidad
negocio
unidades
afectadas
por
de
el
servicio.
Clasificacin de los sistemas

de informacin y/o grupos de

Anlisis
Situacin Actual
De
Brecha
data segn su criticidad y sus

caractersticas
de
confidencialidad, integridad y
disponibilidad.
Asignacin
de
la
responsabilidad de clasificacin
Procedimientos
de
mantenimiento
de
la
clasificacin
3 ADMINISTRACIN DE OPERACIONES Y COMUNICACIONES
El Banco cuenta con:
Se
deberan
considerar
los
Procedimientos
responsabilidades
de
operacin.
Procedimientos
Documentacin no formalizada relativa a los
responsabilidades de operacin.
procedimientos
de
operaciones
en
los
sistemas de informacin
Procesos
de
revisin
Documentacin formal de todos

los
reporte
procedimientos
operacin
de
as
de
como
operaciones.
procedimientos y niveles de
Controles establecidos relativos a cambios en
autorizacin definidos para su
los sistemas de informacin.
mantenimiento.
conformidad
de
dichas
Programacin de trabajos o
Control en cambios operacionales.
procesos
Adecuada separacin de las facilidades de
correctamente
los
as como el resultado de dichas
ambientes
de
produccin
las
de
ser
documentada,
ejecuciones.
desarrollo.
debe
Un Sistema a travs del cual se administran

las actividades de:
Administracin
de
facilidades
externas.
Cambios a los programas;
Pase a produccin; y
Todo procesos realizado en o

por
un
tercero,
debe
ser

Anlisis
Situacin Actual
De
Brecha
evaluado con respecto a los
Administracin de versiones
Adecuada
segregacin
de
funciones
riesgos
en
seguridad
para
desarrollar procedimientos que
labores de pase a produccin de sistemas.
mitiguen dichos riesgos.

Limitacin de operadores a travs de mens
de acceso.
Control
en
cambios
operacionales.
Proteccin contra software malicioso.
Controles
de
proteccin
software
malicioso
revisin
peridica
del
contra
virus
procedimientos
cumplimiento
Todo cambio en la red de

datos,
de
incluyendo
dispositivos,
software,
cableado
equipos de comunicacin debe
efectividad de dichos controles, tanto por
seguir procedimientos formales
parte del rea de sistemas como por parte del
definidos
auditor de sistemas.
adecuadamente
registrados.
Segregacin de funciones
Roles
responsabilidades
deben ser claramente definidos
y las funciones adecuadamente

Todas
las
mantienen
funciones
mencionadas
independientes.
Sin
se
embargo,
cabe mencionar que el actual Auditor de
segregadas.
deben
Posee
documentados.
acceso
tambin
la
lnea
de
Asimismo, eventualmente usuarios finales
ser
ser
correctamente
Roles
responsabilidades
en
actividades
pase
de
produccin
tienen acceso a la lnea de comandos;
y
las
a
correctamente
definidos y segregados.
restringida a tareas puntuales. No existe

control formal sobre estas actividades.
deben
Los resultados de todo cambio
acceso a datos de produccin y desarrollo.
comandos de ambos entornos.
cambios
adecuadamente aprobados.
Sistemas del Banco perteneci al equipo de

soporte del rea de sistemas y mantiene
Los
Adecuada
ambientes
separacin
de
produccin
de
y
desarrollo.
Operaciones de verificacin
Estndar de administracin de

Anlisis
Situacin Actual
De
Brecha
Procedimientos
de
generacin
cambios
Se
usan
formatos
de
reporte
de
incluyendo
cambios de emergencia.
almacenamiento de copias de contingencia

definidos.
definido,
Control de accesos a escritura

sobre sistemas en produccin.
las
actividades de operacin y generacin de

copias de respaldo.
Administracin de incidentes de
seguridad.
Administracin de Red
Definicin de procedimientos y
equipos
de
respuesta
ante
incidentes de seguridad.
Se cuenta con un sistema Proxy y un filtro de

paquetes como elementos de proteccin de
red. No se cuenta con una DMZ ni con una
Segregacin de funciones.
arquitectura de seguridad red apropiada con
respecto a la Internet.
Las actividades de desarrollo,

migracin
operacin
de
sistemas, as como las de

Manipulacin y seguridad de dispositivos de
administracin de aplicaciones,
almacenamiento de informacin.
helpdesk, administracin de red

y
de
IT
deben
ser
correctamente segregadas.
Las copias de respaldo se encuentran en una

localidad distinta y son aseguradas por un
tercero.
Planeamiento de sistemas.
No existen polticas con respecto al manejo
Procedimientos
formales
de otros dispositivos de almacenamiento de
definidos de planeamiento de
informacin en el rea de sistemas.
recursos.
Intercambio de informacin y seguridad
Proteccin
malicioso.
Controles y restricciones establecidas, no

documentadas ni formalizados, respecto al
uso del correo electrnico.
Controles
contra
software
preventivos
deteccin
sobre
software
de
el
uso
y
de
procedencia
dudosa, virus, etc.).

Anlisis
Situacin Actual
De
Brecha
Operaciones de verificacin
Adecuado registro de fallas.

Adecuados procedimientos de
generacin
de
copias
de
respaldo.
Registros adecuados de todas

las actividades de operacin.
Administracin de Red
Adecuados
controles
de
operacin
de
red
implementados.
Proteccin
de
comunicaciones
dispositivos
accesos,
la
red
usando
de
control
procedimientos
de
y
sistemas de monitoreo de red

(Deteccin
de
intrusos)
procedimientos de reporte.
Manipulacin
seguridad
de
dispositivos de almacenamiento
de informacin.
Aseguramiento sobre medios

de
almacenamiento
documentacin de sistemas.
Intercambio
de
informacin
(Correo electrnico y otros) y

seguridad

Anlisis
Situacin Actual
De
Brecha
Controles de seguridad en el
Correo electrnico y cualquier
otro medio de transferencia de
informacin
(Ex.
Normas,
filtros, sistemas de proteccin

contra virus, etc.).
Seguridad
en
la
Banca
Electrnica.
4 DESARROLLO Y MANTENIMIENTO
El Banco cuenta con:
Se debera considerar lo siguiente:
Metodologa de Desarrollo y Mantenimiento
Contar
con
metodologas
de Aplicaciones que especifica las siguientes
estndares
actividades
desarrollo y mantenimiento de
como
tareas
dentro
de
un
proyecto:
formales
de
sistemas.
Definiciones
Perfil
definidos antes de la fase de
Definiciones funcionales
diseo y se debe determinar un
Especificaciones funcionales
apropiado ambiente de control
Diagrama de procesos
para
Prototipo
requerimientos deben incluir:
Plan de Trabajo
Control de acceso
Definiciones tcnicas
Autorizacin
Diagrama de Contexto
Criticidad
Diagrama de flujo de datos
Modelo de datos
Cartilla tcnica
Cartilla de operador
Cartilla de usuario
Pruebas y capacitacin
Acta de conformidad de pruebas
Los requerimientos deben ser
la
aplicacin,
estos
del
sistema
Clasificacin de la
informacin
Disponibilidad
del
sistema
Integridad
confidencialidad
y
de

Anlisis
Situacin Actual
De
Brecha
Pase a produccin
la informacin.
Las aplicaciones cuentan con controles de
tener rutinas de validacin de
totales, cuadres, etc. Estos son generalmente
data.
usuarias y se deja documentado dichos
detectar inexactitud, cambios
requerimientos de control.
no autorizados e integridad de
Procesos
en
lote
("batch")
iniciales
que
mantienen
validan
la
fin
de
la informacin.
Se deben definir controles para
informacin a procesar. Asimismo, para el
prevenir que la data se vea
caso especfico de Lotes Contables, se valida
afectada
la informacin inicial a procesar durante el
procesamiento.
por dicha actividad.
por
un
mal
Se deben definir controles que

permitan
revisar
toda
Rutinas de consistencia de informacin que
informacin obtenida por un
se remite a otras entidades como COFIDE y
sistema
SBS, realizadas a travs de un sistema
asegurando que sea completa,
llamado SUCAVE.
correcta y solo disponible para
Libreras de rutinas ya estandarizadas y
personal autorizado.
revisadas para controles de fechas, campos
numricos y cadenas de caracteres, totales

numricos, clculo de intereses, entre otros.
Sin embargo, cabe sealar que en algunos
casos
estas
rutinas
se
mantienen
independientes en cada programa y no en

una librera de rutinas que invoca todo
programa que lo necesite.
Toda la data debe ser revisada

peridicamente,
da, para evitar se retrase el procesamiento
proyecto por los responsables de las reas
actividades
Todas las aplicaciones debern
edicin y cuando se requiere de controles en
definidos en las etapas de definicin del
Uso
informacin con Unibanca, con la Cmara de
de
informacin,
tcnicas
de
encriptacin estndar.
Controles para el acceso a las

libreras de programa fuentes.
Mantener un estricto y formal

control de cambios, que sea
debidamente
sistemas
Tcnicas de encriptacin para intercambio de
de
apoyado
informticos
por
en
el
caso de ambientes complejos o

con alto nmero de cambios.
Compensacin Electrnica y SUNAD

Anlisis
Situacin Actual
De
Brecha
Entornos independientes de desarrollo y
produccin.
La
Procedimientos
formales
adecuados para las pruebas y
metodologa
mantenimiento
de
de
desarrollo
aplicaciones
reportes de las mismas.
indica
la
necesidad de una actividad de prueba de los

cambios
y/o
embargo,
nuevos
no
requerimientos;
existe
sin
procedimientos
especficos definidos para la documentacin

de
las
pruebas
realizadas
ni
para
la
conformidad de las mismas.
Cabe sealar que se mantiene versiones de los

programas fuente y compilados en los entornos
de Desarrollo y Produccin. El sistema Fenix
administra los cambios y versiones del entorno de
desarrollo y la actualizacin en el entorno de
produccin se encuentra a cargo del Jefe de
Soporte Tcnico.
Los estndares de mantenimiento y desarrollo no
se encuentran completos.
5 PROCEDIMIENTOS DE R ESPALDO
Se cuenta con un procedimiento formalizado para
Los procedimientos de generacin
el respaldo de informacin del computador central
de copias de respaldo deberan
y de usuario final, este procedimiento establece:
contar con los siguientes controles
Para archivo de datos, se realiza con una
clave:
frecuencia
diaria,
dos
copias
tres
Aseguramiento
de
el
generacin
de
generaciones.
proceso
Para software base, se realiza con una
copias
frecuencia
culminado exitosamente.
diaria,
generaciones.
dos
copias
tres
de
que
de
respaldo
Procedimientos
haya
que

Anlisis
Situacin Actual
De
Brecha
Para los programas fuente, se realiza de
contemplen pruebas peridicas
forma diaria, una copia en tres generaciones.
de las copias de respaldo.
Para la informacin de usuarios finales, se
El tiempo de almacenamiento
realiza de forma diaria, una copia en tres
de las copias de respaldo debe
generaciones.
estar en concordancia con los

requisitos legales y normativos
vigentes.
Todas las copias se guardan en la bveda central

del Banco y de forma mensual se remiten a
almacenar en la empresa PROSEGUR.
Se encuentra en proceso de definicin un

procedimiento de verificacin de cintas, por la
antigedad de las mismas.
Se mantiene informacin histrica desde el inicio
de actividades del Banco.
Generacin
de
Contingencias
Plan
que
de
abarque
todos los procesos crticos del

Banco y que se ha desarrollado
siguiendo
una
metodologa
formal.
Procedimientos
revisin
peridica del plan.
Creacin de un equipo para

implementar el plan en el que
todos los miembros conocen

Anlisis
Situacin Actual
De
Brecha
sus responsabilidades y cmo

deben cumplir con las tareas
asignadas.
Existencia
de
preparativos
adecuados para asegurarse de

la
continuidad
del
procesamiento
computadorizado (existe centro
de procesamiento alterno).
Una
copia
del
plan
de
contingencias se almacena en
una sede remota y ser de fcil
acceso
en
caso
de
que
ocurriere cualquier forma de

desastre.
Preparativos de contingencia
para el hardware y software de
comunicaciones y redes.
Realizacin peridica un backup de los archivos de datos

crticos,
bibliotecas
los
sistemas
de
programas
almacenndolo en una sede

remota cuyo tiempo de acceso
sea adecuado.
Identificacin del equipamiento

requerido por los especialistas
y se hicieron los preparativos
para su reemplazo.
Se debera considerar lo siguiente:

Anlisis
Situacin Actual
De
Brecha
Revisin del impacto sobre el

negocio, previo al diseo del
Plan
de
negocios,
continuidad
de
identificando
las
partes ms expuestas a riesgo.

-
Realizar revisin del impacto

en el negocio, estableciendo
los procedimientos a seguirse
en el caso de que ocurriera un
desastre
(por
ej.
Explosin,
incendio, dao por tormenta,

prdida de personal clave) en
cualquiera de las dependencias
operativas de la organizacin.
-
Deberan
existir
planes
de
contingencia para cada recurso

computadorizado.
-
El
plan
de
debera
contingencias
contemplar
necesidades
las
de
departamentos
trminos
los
usuarios
de
en
traslados,
ubicacin y operacin.
-
El
plan
debera
de
contingencias
asegurar
que
se
observen normas de seguridad

de informacin en caso de que
ocurriera un desastre.
-
El
cronograma
recuperacin
de
cada
para
la
funcin
debera ser revisado asegurando

Anlisis
Situacin Actual
De
Brecha
que sea adecuado.
El plan de contingencias debera

probarse
peridicamente
para
asegurarse de que an es viable y

efectivo.
6 SUBCONTRATACIN
Encontramos que el Banco tiene principalmente,
El plan de contingencias debe
los siguientes servicios contratados:
incluir
prestado por terceros.
UNIBANCA: Procesamiento de transacciones
la
prdida
del
servicio
de tarjetas (diario)
HERMES: Distribucin de tarjetas de crdito y

dbito.
Informacin
necesaria
tarjetas
recibidas de UNIBANCA. (diario)
NAPATEK: Impresin de estados de cuenta y
Los contratos de servicios con

terceros deberan incluir entre otros
aspectos, los siguientes:
las acciones que se tomarn de
ensobrado. Recibe informacin va una
no cumplirse el contrato.
transferencia electrnica de archivos - "File

Transfer" (mensual).
Rehder: Se transmite informacin de monto
de
controles
de
seguridad
polticas
garantizar
el
para
cumplimiento
seguro de desgravamenes (mensual).
de
los
requerimientos.
TELEFONICA: Centro de procesamiento de
datos de respaldo. Entrar en operatividad el
Determinacin de los niveles

de servicio requeridos (Service
31 de Mayo.
Acuerdos
aplicarse
facturado por cada cliente (e-mail) para el
Requerimientos de seguridad y
Level Agreements o SLA).

PROSEGUR: Almacenamiento de copias de
respaldo.
El derecho de la entidad, y la
Superintendencia de Banca y
No se obtuvo informacin (contratos) relativa a los

servicios prestados por UNIBANCA.
Seguros, o las personas que

ellos designen, de auditar el
ambiente de la empresa que

Anlisis
Situacin Actual
De
Brecha
El Banco no cuenta con un procedimiento definido
brinda el servicio, para verificar
para la inclusin de clusulas relativas a la
los
confidencialidad, niveles de servicio, etc., en los
aplicados
contratos de servicios prestados por terceros al
sistemas.
Banco.
controles
a
de
la
data
Documentacin
controles
seguridad
y
sobre
fsicos
los
los
lgicos,
empleados por la empresa que

brinda el servicio, para proteger
la confidencialidad, integridad y
disponibilidad de la informacin
y equipos de la entidad.
Determinacin
de
requerimientos
incluyendo
los
legales,
privacidad
proteccin de la data.
Procedimiento
que
asegure
que la empresa que brinda el

servicio
realizar
pruebas
peridicas para mantener la

seguridad de la data y los
sistemas.
Clusula sobre exclusividad de

equipos
que
procesan
informacin del Banco.

7 CUMPLIMIENTO NORMATIVO
El Banco ha implementado
cumplimiento
normativo
controles para el
relativo
al
uso
de
Se debera contar con:
Definicin de responsable del
software licenciado, tales como:
cumplimiento de las normas
Controles manuales peridicos por parte del
emitidas
rea de sistemas y el rea de auditoria de
Superintendencia.
por
la
sistemas.

Anlisis
Situacin Actual
De
Brecha
Compromiso
firmado
por
los
usuarios
Procedimientos
de
referente al software autorizado, tipificando el
establecidos
para
incumplimiento como falta grave.
cumplimiento de las normas
Evaluacin de software para auditoras de
emitidas
software de forma automtica.
Superintendencia.
el
por
Control
de
almacenada segn perodos determinados
normas
sobre
por ley.
intelectual
La informacin, tanto fsica como digital es
control
la
cumplimiento
la
de
propiedad
(licenciamiento
de
software).
Existe un procedimiento de comunicacin de

las normas legales emitidas aplicables a las
distintas reas del Banco y el rea de
auditoria interna realiza labores de control
con respecto a la implementacin de dichas
normas.
Sin embargo:
No existe un responsable definido en la

estructura del Banco encargado de mantener
actualizada sobre las normas emitidas por
organismos reguladores.
8 PRIVACIDAD DE LA INFORMACIN
El Banco no cuenta con:
Se debera contar con:
Un responsable asignado para la salvaguarda

de la privacidad de la informacin.
Definicin de responsabilidades
con respecto a la aplicacin del
secreto
Si bien durante las diversas charlas realizadas en

los Comits se tocan temas referentes al secreto
bancario
de
la
privicidad de la Informacin.
Restricciones
de
acceso
bancario, no se han implementado controles
informacin en salvaguarda de
especficos en todas las reas del Banco con el
su privacidad y del secreto
fin de evitar la exposicin de informacin sensible
bancario.

Anlisis
Situacin Actual
De
Brecha
de los clientes y del Banco as como limitar el
acceso del personal a dicha informacin.
Existencia
internas
de
para
autorizaciones
la
entrega
transferencia de informacin.
En el rea de sistemas se han implementado
controles respecto a la limitacin de acceso a
informacin de clientes y se ha registrado
evidencia de incidentes y acciones tomadas por
auditoria interna, dicha situacin no se replica en
las distintas reas del Banco.
9 AUDITORIA INTERNA Y EXTERNA
El Banco no cuenta con:
Un
rea
incluyendo
de
en
auditoria
su
plan
interna
de
que
auditoria
esta
La Unidad de Auditoria Interna
el
deber incorporar en su Plan
cumplimiento de lo dispuesto en la norma G-
Anual de Trabajo la evaluacin
105-2002 de la Superintendencia.
del
cumplimiento
de
lo
dispuesto en la norma G-1052002 de la Superintendencia.
Las sociedades de Auditoria

Externa debern incluir en su
informe sobre el sistema de
control
interno
comentarios
dirigidos a indicar si la entidad

cuenta
con
procedimientos
polticas
para
la
administracin de los riesgos

de tecnologa de informacin.
El Banco deber contar con un
servicio permanente de auditoria de
sistemas.

Anexo SGSI

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Anexo SGSI

Cargado por

Copyright:

Formatos disponibles

Plan de Seguridad Informtica para una Entidad Financiera .

Crdova Rodrguez, Norma Edith.

ARQUITECTURA DE SEGURIDAD DE RED

A continuacin se muestra el diagrama con la arquitectura de red propuesta.

Fig 1: Arquitectura de red propuesta.

Plan de Seguridad Informtica para una Entidad Financiera .

Para lograr implementar esta arquitectura de red, se deben realizar un conjunto

1. Creacin de la Extranet: Controlar mediante un firewall la comunicacin

2. Implementar una red DMZ para evitar el ingreso de conexiones desde

3. Para controlar el ingreso de virus informticos desde Internet, as como

Plan de Seguridad Informtica para una Entidad Financiera .

antivirus mediante un sistema de inspeccin de servicios de Internet.

4. Luego de implementados los cambios previamente detallados, el

5. Con el propsito de prevenir la realizacin de actividad no autorizada

Internet, para detectar la actividad sospechosa proveniente desde

Red DMZ, para detectar la actividad dirigida contra los servidores

Extranet, para detectar actividad realizada desde las redes externas

Puntos estratgicos de la red interna, los cuales permitan detectar la

Plan de Seguridad Informtica para una Entidad Financiera .

B. CIRCULAR N G-105-2002 PUBLICADA POR LA SUPERINTENDENCIA

Lima, 22 de febrero de 2002

CIRCULAR N G - 105 - 2002

Plan de Seguridad Informtica para una Entidad Financiera .

la Corporacin Financiera de Desarrollo S.A. (COFIDE), al Banco de la Nacin, a

Plan de Seguridad Informtica para una Entidad Financiera .

que pueden afectar el desarrollo de las operaciones y servicios que realiza

Eficacia. La informacin debe ser relevante y pertinente para los objetivos

Plan de Seguridad Informtica para una Entidad Financiera .

Eficiencia. La informacin debe ser producida y entregada de forma

Confidencialidad. La informacin debe ser accesible slo a aquellos que

Integridad. La informacin debe ser completa, exacta y vlida.

Disponibilidad. La informacin debe estar disponible en forma organizada

Cumplimiento normativo. La informacin debe cumplir con los criterios y

Estructura organizacional y procedimientos

Plan de Seguridad Informtica para una Entidad Financiera .

a. Definicin de una poltica de seguridad.

cumplimiento de las normas, estndares, polticas, procedimientos y otros

Las empresas bancarias y las empresas de operaciones mltiples que accedan al

En caso que las empresas deseen realizar su procesamiento principal en el

Plan de Seguridad Informtica para una Entidad Financiera .

Las empresas que a la fecha de vigencia de la presente norma se encontrasen en

7.1 Seguridad lgica

Plan de Seguridad Informtica para una Entidad Financiera .

d) Seguimiento sobre el acceso y uso de los sistemas y otras instalaciones

7.2 Seguridad de personal

7.3 Seguridad fsica y ambiental

7.4 Clasificacin de seguridad

Plan de Seguridad Informtica para una Entidad Financiera .

Administracin de las operaciones y comunicaciones

Control sobre los cambios en el ambiente operativo, que incluye cambios en

- Controles preventivos y de deteccin sobre el uso de software de

Seguridad sobre las redes, medios de almacenamiento y documentacin de

Seguridad sobre banca electrnica.

Desarrollo y mantenimiento de sistemas informticos - Requerimientos de

Plan de Seguridad Informtica para una Entidad Financiera .

e) Mantener un estricto y formal control de cambios, que ser debidamente

Plan de Seguridad Informtica para una Entidad Financiera .

Prueba del Plan de Continuidad de Negocios

razonablemente la privacidad de la informacin que reciben de sus clientes y

Plan de Seguridad Informtica para una Entidad Financiera .

sobre el sistema de control interno comentarios dirigidos a indicar si la entidad

El citado servicio de auditoria de sistemas tomar en cuenta, cuando parte del

Plan de Seguridad Informtica para una Entidad Financiera .