Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Plan de Seguridad Informatica para Una Entidad Financiera
Plan de Seguridad Informatica para Una Entidad Financiera
Fundada en 1551
TRABAJO MONOGRFICO
Para optar el Ttulo Profesional de:
LICENCIADA
AUTORA
NORMA EDITH CRDOVA RODRGUEZ
LIMA PER
2003
DEDICATORIA
Este trabajo va dedicado a la Universidad
Nacional Mayor de San Marcos, a la que le
debo mi formacin profesional y los xitos
que he alcanzado.
INDICE
INTRODUCCION
CAPITULO I.
OBJETIVOS Y ALCANCES
1.1
Objetivos.................................................................................................................1
CAPITULO II
METODOLOGA Y PROCEDIMIENTOS UTILIZADO
Evaluacin ............................................................................................................5
Alcances ............................................................................................................6
CAPITULO IV
SEGURIDAD DE LA INFORMACIN ROLES Y ESTRUCTURA
ORGANIZACIONAL
4.1
4.2
4.3
Situacin actual.....................................................................................................8
Roles y responsabilidades de la estructura organizacional de seguridad de
informacin.....................................................................................................9
Organizacin del area de seguridad informtica propuesta
............. 13
CAPITULO V
EVALUACIN DE RIESGOS, AMENAZAS Y VULNERABILIDADES
5.1
5.2
5.3
CAPITULO VI
POLTICAS DE SEGURIDAD DE LA INFORMACIN
6.1
Definicin..............................................................................................................48
6.2
6.3
6.4
6.5
Estructura organizacional................................................................. 49
Acceso por parte de terceros........................................................... 50
Outsourcing ......................................................................................... 51
Inventario de activos.......................................................................... 52
Clasificacin del acceso de la informacin.................................... 53
Definiciones........................................................................................ 54
Aplicacin de controles para la informacin clasificada.............. 54
Anlisis de riesgo............................................................................... 57
Cumplimiento ...................................................................................... 57
Aceptacin de riesgo......................................................................... 58
6.6
6.7
6.8
6.8.2
Seguridad de contraseas................................................................ 72
6.8.2.1 Estructura .......................................................................................... 72
6.8.2.2 Vigencia............................................................................................. 73
6.8.2.3 Reutilizacin de contraseas ......................................................... 73
6.8.2.4 Intentos fallidos de ingreso............................................................. 73
6.8.2.5 Seguridad de contraseas ............................................................. 74
6.8.3
Control de transacciones .................................................................. 74
6.8.4
Control de produccin y prueba ...................................................... 75
6.8.5
Controles de acceso de programas ................................................ 76
6.8.6
Administracin de acceso de usuarios........................................... 76
6.8.7
Responsabilidades del usuario........................................................ 78
6.8.8
Seguridad de computadoras ............................................................ 79
6.8.9
Control de acceso a redes................................................................ 80
6.8.9.1 Conexiones con redes externas.................................................... 80
6.8.9.2 Estndares generales ..................................................................... 81
6.8.9.3 Poltica del uso de servicio de redes ............................................ 82
6.8.9.4 Segmentacin de redes.................................................................. 83
6.8.9.5 Anlisis de riesgo de red ................................................................ 83
6.8.9.6 Acceso remoto(dial-in) .................................................................... 83
6.8.9.7 Encripcin de los datos................................................................... 84
6.8.10 Control de acceso al sistema operativo ......................................... 84
6.8.10.1 Estndares generales ................................................................... 84
6.8.10.2 Limitaciones de horario................................................................. 84
6.8.10.3 Administracin de contraseas ................................................... 85
6.8.10.4 Inactividad del sistema.................................................................. 85
6.8.10.5 Estndares de autenticacin en los sistemas........................... 85
6.8.11 Control de acceso de aplicacin...................................................... 85
6.8.11.1 Restricciones de acceso a informacin...................................... 86
6.8.11.2 Aislamiento de sistemas crticos................................................. 86
6.8.12 Monitoreo del acceso y uso de los sistemas................................. 86
6.8.12.1 Sincronizacin del reloj................................................................. 86
6.8.12.2 Responsabilidades generales...................................................... 87
6.8.12.3 Registro de eventos del sistema ................................................. 87
6.8.13 Computacin mvil y teletrabajo ..................................................... 87
6.8.13.1 Responsabilidades generales...................................................... 87
6.8.13.2 Acceso remoto ............................................................................... 88
6.9
Registros ............................................................................................. 91
6.10.2
6.10.3
6.10.4
Etiquetado de la informacin............................................................ 97
Copiado de la informacin................................................................ 97
Distribucin de la informacin.......................................................... 98
Almacenamiento de la informacin................................................. 98
Eliminacin de la informacin .......................................................... 99
CAPITULO VII
PLAN DE IMPLEMENTACIN DE ALTO NIVEL
7.1
7.2
7.3
7.4
7.5
7.6
7.7
7.8
7.9
Clasificacin de informacin...........................................................................102
Seguridad de red y comunicaciones.............................................................103
Inventario de accesos a los sistemas...........................................................106
Adaptacin de contratos con proveedores ..................................................107
Campaa de concientizacin de usuarios. ..................................................108
Verificacin y adaptacin de los sistemas del banco.................................109
Estandarizacin de la configuracin del software base.............................110
Revisin, y adaptacin de procedimientos complementarios...................111
Cronograma tentativo de implementacin...................................................113
B.
C.
BIBLIOGRAFA.. ..............................................................................................154
RESUMEN
Se
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
ABSTRACT
The liberalization and globalization of the financial services with the increasing
sophistication of the financial technology are facing more complex banking
activities in terms of security.
Long time ago, security information was easily management, just it was enough
guard the more important documents under the keys and placed employees;
who has the knowledge; safe, just placing bodyguards; nowadays it is harder.
The electronics systems got in the office and made systems security evolved to
be updated with the technology changes. Then, 5 years ago, the business; even
the small companies were connected to Internet (a public network with few
rules and without security).
In a similar way of other kind of crimes, measure security IT expenses and lost
or cybernetic crimes are very difficult. People tend to minimize incidents for
justifying reasons.
By the other hand, the main objective of IT Security is not to protect the
systems; it is to reduce risks and to support the business operations. The most
secure computer in the world is which is disconnected form the network, placed
deeply in any dark desert and be surrounded by armed bodyguards, but it is
also the most useless.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
The present work describes how you can define a Security Plan for a financial
enterprise,
begin
responsibilities),
defining
then
define
the
the
Organizational
policies
and
structure
finally
(roles
ends
with
and
the
Implementation Plan which are the activities to meet the policies before
mentioned.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
INTRODUCCIN
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
el
impacto
que
tendran
si
ocurrieran.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
los
fondos
necesarios
para
poder
cumplir
Consideraciones importantes
A travs del proceso de elaboracin de una poltica de seguridad, es importante
asegurarse de que la poltica tenga las siguientes caractersticas:
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Una vez la poltica se aprueba totalmente, debe hacerse asequible a todos los
empleados porque, en ultima instancia, ellos son responsables de su xito. Las
polticas deben actualizarse anualmente (o mejor an cada seis meses) para
reflejar los cambios en la organizacin o cultura.
Se debe mencionar que no debe haber dos polticas de seguridad iguales
puesto que cada empresa es diferente y los detalles de la poltica dependen de
las necesidades exclusivas de cada una. Sin embargo, usted puede comenzar
con un sistema general de polticas de seguridad y luego personalizarlo de
acuerdo con sus requerimientos especficos, limitaciones de financiacin e
infraestructura existente.
Una poltica completa de seguridad de la informacin es un recurso valioso que
amerita la dedicacin de tiempo y esfuerzo. La poltica que adopte su empresa
brinda una base slida para respaldar el plan general de seguridad. Y una base
slida sirve para respaldar una empresa slida.
BANCO ABC
En el presente trabajo desarrollaremos el Plan de Seguridad para una entidad
financiera a la cual llamaremos el Banco ABC.
El Banco ABC es un banco de capital extranjero, tiene 35 agencias a nivel
nacional, ofrece todos los productos financieros conocidos, posee presencia en
Internet a travs de su pagina web, es un banco mediano cuenta con 500
empleados y es regulado por la Superintendencia de Banca y Seguros.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Con el objetivo de contar con una gua para la proteccin de informacin del
Banco, se elaborarn las polticas y estndares de seguridad de la informacin,
tomando en cuenta el estndar de seguridad de informacin ISO 17799, los
requerimientos de la Circular N G-105-2002 publicada por la Superintendencia
de Banca y Seguros (SBS) sobre Riesgos de Tecnologa de Informacin y las
normas establecidas internamente por el Banco.
-
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
C) Plan de Implementacin
El Autor
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Captulo I
OBJETIVOS Y ALCANCES
1.1
Objetivos
La
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Riesgos
Financieros
Riesgos de
Negocios
Riesgos de
Operaciones
Estructura
Rentabilidad
Adec. Capital
De Crdito
De liquidez
De Tasa de
Inters
De Mercado
De Moneda
Riesgo de
Poltica
Riesgo Pas
Riesgo
Sistmico
Procesos
Tecnologa
Personas
Eventos
Riesgo
Poltico
Riesgo de
Crisis
Bancarias
Otros
1.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Captulo II
C o m p r o m i sde
o la Alta
Gerencia
Iniciativas & P r o c e s o s
de Negocios
Estratega d e
Tecnologa & Uso
Evaluacin de Riesgo
& Vulnerabilidad
Poltica
Modelo de Seguridad
Arquitectura de Seguridad
& Estndares Tecnicos
Guas y Procedimientos
Adminitrativos y de Usuario Final
Procesos de
Ejecucin
Procesos de
Monitoreo
Procesos de
Recuperacon
P r o g r a m de
a E n t r e n a m i e nyt oConcientizacin
E s t r u c t u r a de Administracin de S e g u r i d a d de I n f o r m a c i n
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Auditor de Sistemas
Gerente de Sistemas
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Captulo III
3.1
Evaluacin
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
3.2 Alcances
El alcance del diagnstico de la situacin de administracin del riesgo de
Tecnologa de Informacin, en adelante TI, comprende la revisin de las
siguientes funciones al interior del rea de sistemas:
Administracin del rea de Tecnologa de Informacin
- Estructura organizacional
-
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Aspectos Evaluados
Grado de
Cumplimiento
2.1
2.1.1.
Seguridad Lgica
2.1.2
Seguridad de Personal
2.1.3
2.1.4
Clasificacin de Seguridad
Procedimientos de respaldo
6.1
6.2
6.3
Subcontratacin
Cumplimiento normativo
Privacidad de la informacin
10
Auditoria de Sistemas
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Captulo IV
4.1
Situacin actual
Las labores de seguridad realizadas por el rea de sistemas son las siguientes:
-
Control de red
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Verificar que cada activo de informacin del Banco haya sido asignado a un
propietario el cual debe definir los requerimientos de seguridad como
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Custodio de Informacin:
Es el responsable de la administracin diaria de la seguridad en los sistemas
de informacin y el monitoreo del cumplimiento de las polticas de seguridad en
los sistemas que se encuentran bajo su administracin. Sus responsabilidades
son:
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Usuario:
Las responsabilidades de los usuarios finales, es decir, aquellas personas que
utilizan informacin del Banco como parte de su trabajo diario estn definidas a
continuacin:
Propietario de Informacin:
Los propietarios de informacin son los gerentes y jefes de las unidades de
negocio, los cuales, son responsables de la informacin que se genera y se
utiliza en las operaciones de su unidad. Las reas de negocios deben ser
conscientes de los riesgos de tal forma que sea posible tomar decisiones para
disminuir los mismos.
Entre las responsabilidades de los propietarios de informacin se tienen:
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Auditoria Interna:
El personal de auditoria interna es responsable de monitorear el cumplimiento
de los estndares y guas definidas en las polticas internas. Una estrecha
relacin del rea de auditoria interna con el rea de seguridad informtica es
crtica para la proteccin de los activos de informacin. Por lo tanto dentro del
plan anual de evaluacin del rea de auditoria interna se debe incluir la
evaluacin peridica de los controles de seguridad de informacin definidos por
el Banco.
Auditoria interna debe colaborar con el rea de seguridad informtica en la
identificacin de amenazas y vulnerabilidades referentes a la seguridad de
informacin del Banco.
4.3
comit).
Gerente de Sistemas.
Auditor de Sistemas.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Comit de
Coordinacin de
Seguridad de la
Informcin
Gerente de
Administracin y
Operaciones
Seguridad
Informtica
Sistemas
Contralora
General
Recursos
Humanos
Operaciones
Administracin
Gerente de Divisin de
Administracin y
Operaciones
(Presidente del Comit)
Gerente de
Sistemas
Jefe de
Departamente de
Riesgo Operativo y
Tecnolgico
Auditor de
Sistemas
Jefe de Seguridad
Informtica
(Responsable)
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Captulo V
Tecnologa
Implicancia de seguridad
Estndar o medida de
seguridad a aplicar
Actual
Windows NT,
Estndar de mejores
Windows 2000
Windows NT
Sistema Operativo.
Estndar de mejores
prcticas de seguridad para
Windows 2000.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Tecnologa
OS/400
Estndar o medida de
Implicancia de seguridad
seguridad a aplicar
Estndar de mejores
OS/400.
Estndar de mejores
SQL Server
negocio de la Compaa.
Banca electrnica
El servidor Web se
Estndares de
a travs de
encuentra en calidad de
encripcin de
Internet.
"hosting" en Telefnica
informacin transmitida.
Clusulas de
confidencialidad y
delimitacin de
responsabilidades en
como lgicas.
contratos con
proveedores.
es realizada a travs de un
Acuerdos de nivel de
servicios con
proveedores, en los
cuales se detalle el
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Tecnologa
Estndar o medida de
Implicancia de seguridad
seguridad a aplicar
la confidencialidad de la
porcentaje mnimo de
informacin (encripcin de
disponibilidad del
la data).
sistema.
Evaluacin
independiente de la
el propsito de afectar la
acreditacin de la misma
La disponibilidad del
sistema es un factor clave
para el xito del servicio.
Banca telefnica
Transmisin de informacin
Establecimiento de
posibilidad de proteccin
operaciones realizadas
adicional.
por va telefnica.
Imposibilidad de mantener
Posibilidad de registrar
la confidencialidad de las
el nmero telefnico
operaciones con el
origen de la llamada.
Controles en los
telefnico.
sistemas de grabacin
Posibilidad de obtencin de
de llamadas telefnica.
nmeros de tarjeta y
Evaluar la posibilidad de
notificar al cliente de
transmisin telefnico.
manera automtica e
inmediata luego de
realizada la operacin.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Tecnologa
Sistema Central
Estndar o medida de
Implicancia de seguridad
Core Bancario
El sistema central es el
seguridad a aplicar
Estndar de mejores
prcticas de seguridad
para OS/400.
autorizado al servidor
representa un riesgo
Monitoreo peridico de
la actividad realizada en
el servidor.
MIS (Management
El acceso a repositorios de
Estndares de seguridad
Information
System)
ser restringido
de datos.
adecuadamente.
Adecuados controles de
acceso y otorgamiento
de perfiles a la
aplicacin.
Desarrollo de
Estndar de mejores
aplicaciones para
prcticas de seguridad
las unidades de
comprenden un acelerado
negocio, en
desarrollo de sistemas; la
OS/400.
periodos muy
aplicacin de medidas de
cortos.
seguridad, debera
desarrollo de
encontrarse incluida en el
aplicaciones.
Metodologa para el
Procedimientos de
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Tecnologa
Estndar o medida de
Implicancia de seguridad
seguridad a aplicar
control de cambios.
El tiempo de pase a
produccin de un nuevo
Evaluacin de
requerimientos de
producto estratgico, es
seguridad de los
sistemas antes de su
pase a produccin.
Estndar de mejores
prcticas de seguridad
para aplicaciones
distribuidas.
personales.
Concientizacin y
adecuados controles de
entrenamiento de los
acceso a informacin
usuarios en temas de
existente en computadoras
seguridad de la
personales.
informacin.
Se requieren adecuados
Implementacin de
controles de accesos a la
mayores controles de
seguridad para
computadoras
personales de usuarios.
personales.
La existencia de diversos
sistemas operativos en el
de migracin de la
parque de computadores
plataforma de
computadoras
personales al sistema
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Tecnologa
Estndar o medida de
Implicancia de seguridad
seguridad a aplicar
2000 Professional,
Windows XP, impide
y Windows XP.
estandarizar la
prcticas de seguridad
configuracin de los
para estaciones de
sistemas.
trabajo.
Actualizacin peridica
de inventarios del
software instalado.
informacin (disqueteras,
grabadoras de cd's,
impresoras personales,
Estndares de mejores
Monitoreo peridico de
carpetas compartidas.
Monitoreo de actividad
etc.)
de los usuarios,
Se debe controlar y
sistemas de deteccin
de intrusos.
y sistemas instalados en
las PCs
Correo electrnico
Posibilidad de
interceptacin no
estndares de encripcin
autorizada de mensajes de
correo electrnico.
Riesgo de acceso no
contengan informacin
autorizado a informacin
confidencial.
del servidor.
Estndares de mejores
Posibilidad de utilizacin de
prcticas de seguridad
para Windows NT y
personas no autorizadas,
Lotus Notes.
Configuracin de anti-
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Tecnologa
Estndar o medida de
Implicancia de seguridad
seguridad a aplicar
Implementacin de un
Posibilidad de recepcin de
contenido SMTP.
Riesgos de accesos no
Polticas de seguridad.
Internet y redes
Estndares de mejores
pblicas / Firewall.
prcticas de seguridad
para servidores
usuarios.
servidores Web y
equipos de
comunicaciones.
Conexin a
relay.
Delimitacin de
responsabilidades
referentes a la seguridad
de seguridad adecuadas
de informacin en
contratos con
por personas no
proveedores.
autorizadas.
Mejores prcticas de
Riesgo de acceso no
seguridad para
configuracin de
Firewalls.
sistemas de La Compaa.
Diseo e
implementacin de una
arquitectura de
seguridad de
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Tecnologa
Estndar o medida de
Implicancia de seguridad
seguridad a aplicar
red.Utilizacin de
sistemas de deteccin
de intrusos.
Especificacin de
acuerdos de nivel de
servicio con el
proveedor.
En Proyecto
Cambios en la
Los cambios en la
Elaboracin de una
infraestructura de
infraestructura de red
red.
medidas de seguridad
puertas de entrada a
adecuadas.
Establecer controles de
acceso adecuados a la
adecuada planificacin.
configuracin de los
Una falla en la
equipos de
configuracin de equipos
comunicaciones.
de comunicaciones puede
generar falta de
Plan de migracin de
infraestructura de red.
disponibilidad de sistemas.
Un diseo de red
inadecuado puede facilitar
el ingreso no autorizado a
la red de datos.
Software de
Riesgo de acceso no
Estndar de seguridad
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Tecnologa
Estndar o medida de
Implicancia de seguridad
administracin
remota de PCs y
administracin y agentes de
servidores.
administracin remota.
seguridad a aplicar
para Windows NT
Estndar de seguridad
para Windows 2000
Estndar de seguridad
para Windows XP
Controles de acceso
adecuados a las
consolas y agentes de
administracin remota.
Establecimiento de
adecuados
procedimientos para
tomar control remoto de
PCs o servidores.
Adecuada configuracin
del registro (log) de
actividad realizada
mediante administracin
remota.
Migracin de
Posibilidad de error en el
servidores
Windows NT
Server a Windows
2000 Server.
servidores.
Procedimientos de
control de cambios.
Posibilidad de existencia de
vulnerabilidades no
Estndares de seguridad
Plan de migracin a
Windows 2000.
Polticas de seguridad.
conocidas anteriormente.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Tecnologa
Implantacin de
Estndar o medida de
Implicancia de seguridad
Datawarehouse.
Informacin sensible
seguridad a aplicar
almacenada en un
repositorio centralizado,
2000.
requiere de controles de
acceso adecuados.
Estndares de
La disponibilidad del
Estndar de seguridad
Plan de implantacin de
Datawarehouse.
que soporta.
Procedimientos para
otorgamiento de perfiles.
Polticas de seguridad.
Amenaza /
Estndar o medida de
Implicancia de Seguridad
Vulnerabilidad
seguridad a aplicar
Riesgos/ Amenazas
Inters en obtener
La existencia de informacin
informacin
para servidores
estratgica del
Windows 2000,
informacin de clientes e
Windows NT y OS/400.
de competidores
informacin de marketing
de negocio.
implica la aplicacin de
Revisin y depuracin
Estndares de seguridad
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Amenaza /
Vulnerabilidad
Estndar o medida de
Implicancia de Seguridad
seguridad a aplicar
acceso a informacin.
Restricciones en el
manejo de informacin
enviada por correo
electrnico hacia redes
externas, extrada en
disquetes o cds e
informacin impresa.
Verificacin de la
informacin impresa en
reportes, evitar mostrar
informacin innecesaria
en ellos.
Polticas de seguridad.
Estndares de seguridad
Inters en obtener
beneficios
econmicos
mediante actividad
financiera, la amenaza de
fraudulenta.
Controles de accesos a
aplicaciones.
Revisiones peridicas de
los niveles de accesos
de los usuarios.
Evaluacin peridica de
la integridad de la
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Amenaza /
Estndar o medida de
Implicancia de Seguridad
Vulnerabilidad
seguridad a aplicar
informacin por parte del
propietario de la misma.
Revisiones peridicas de
los registros (logs) de los
sistemas y operaciones
realizadas.
Actividad
La actividad desarrollada
Estndares de seguridad
vandlica
para servidores
realizada por
Windows 2000.
hackers o
la disponibilidad, integridad
crackers
y confidencialidad de la
para servidores
Windows NT.
Estndares de seguridad
Delimitacin de
responsabilidades y
sanciones en los
externo al Banco.
contratos con
Adicionalmente si dicha
proveedores de servicios
actividad es realizada
en calidad de hosting.
Verificacin de
evaluaciones peridicas
o certificaciones de la
banco) la imagen y
seguridad de los
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Amenaza /
Estndar o medida de
Implicancia de Seguridad
Vulnerabilidad
seguridad a aplicar
sistemas en calidad de
hosting.
Concientizacin y
compromiso formal de
los usuarios en temas
relacionados a la
seguridad de
informacin.
Prdida de
El riesgo de prdida de
Polticas de Seguridad.
Adecuada arquitectura e
informacin
implementacin del
producto de
informtico es alto si no se
sistema antivirus.
administra adecuadamente
informtico.
la actualizacin del
antivirus de
concientizados en
computadoras
seguridad de informacin
personales y servidores.
Verificacin peridica de
Generacin peridica de
reportes de virus
detectados y
actualizacin de
antivirus.
Fuga de
informacin a
ser controlados
que ingresa de
adecuadamente, asimismo
manera temporal
sistemas.
accesos otorgados.
Depuracin peridica de
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Amenaza /
Estndar o medida de
Implicancia de Seguridad
Vulnerabilidad
seguridad a aplicar
en sustitucin de
empleados en
a correo electrnico y
vacaciones.
monitoreada.
transferencia de
realizar actividad no
Restricciones en acceso
Adecuada configuracin
y revisin peridica de
aplicaciones y sistema
Banco.
operativo.
Vulnerabilidades
No se cuenta con
un inventario de
inventario de los
perfiles de acceso
a las aplicaciones.
aplicaciones.
sistemas.
Revisiones peridicas de
los perfiles y accesos de
los usuarios por parte
del propietario de la
informacin.
Exceso de
La necesidad de utilizar
contraseas
posible la estructura de
las contraseas
usuarios.
de renovacin.
Uniformizar dentro de lo
Implementar un sistema
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Amenaza /
Vulnerabilidad
Estndar o medida de
Implicancia de Seguridad
seguridad a aplicar
retener en la memoria, la
de Servicio de directorio,
relacin de nombres de
usuario y contraseas
identificarse en l, y
mediante un proceso
sistemas. La necesidad de
automtico, ste lo
identifique en los
posee acceso.
de personal no autorizado.
Existencia de
El ambiente de produccin
de perfiles de acceso
de desarrollo y
personal temporal
de desarrollo en el
con acceso al
entorno de produccin.
entorno de
produccin.
de las mismas.
Inventario y depuracin
Adecuada segregacin
de funciones del
personal del rea de
sistemas.
Procedimiento de pase a
produccin.
Aplicaciones cuyo
El rea de seguridad
acceso no es
responsabilidades del
controlado por el
el proceso de asignacin de
rea de seguridad
rea de seguridad
informtica.
informtica.
Formalizacin de roles y
Traslado de la
responsabilidad del
control de accesos a
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Amenaza /
Vulnerabilidad
Estndar o medida de
Implicancia de Seguridad
seguridad a aplicar
usuario.
aplicaciones al rea de
seguridad informtica.
solicitud es el responsable de
los accesos que solicita para
los usuarios de su rea.
Falta de
conciencia en
seguridad por
seguridad y su implementacin
en temas relacionados a
la seguridad de
del Banco.
seguridad, se pueden
informacin.
establecer controles y un
Programa de
Capacitacin mediante
charlas, videos,
presentaciones, afiches,
ms dbil de la cadena de
recuerden
puede incrementar si el
permanentemente al
usuario la importancia
adecuada capacitacin y
de la seguridad de
orientacin en seguridad de
informacin.
informacin.
Falta de personal
con conocimientos
administracin de la seguridad
personal tcnico en
tcnicos de
informtica se requiere
temas de seguridad de
seguridad
informacin o inclusin
informtica.
elaboracin de polticas y
conocimientos de
administracin de seguridad
seguridad de
Capacitacin del
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Amenaza /
Estndar o medida de
Implicancia de Seguridad
Vulnerabilidad
seguridad a aplicar
en el rea de seguridad
informtica, as como
reas de seguridad
implementacin de controles y
informtica y sistemas.
configuracin de sistemas en
el rea de sistemas.
Falta de controles
adecuados para la
informacin que
herramienta Surf
envan los
Control.
usuarios hacia
Internet.
la fuga de informacin
reportes de la
efectividad de los
El Banco ha invertido en la
controles aplicados.
implementacin de una
Configuracin adecuada
Generacin peridica de
Implementacin de una
adecuada arquitectura
de red.
la configuracin de
Firewalls.
aplicado.
Implementacin y
administracin de
Vulnerabilidades:
herramientas para la
No existen controles
adecuados sobre el
de los correos
personal autorizado a
electrnicos enviados.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Amenaza /
Estndar o medida de
Implicancia de Seguridad
Vulnerabilidad
seguridad a aplicar
No existen herramientas de
inspeccin de contenido
para correo electrnico.
No existen
Existe informacin
controles
almacenada en las
procedimiento formal
adecuados para la
computadoras personales de
que contemple la
informacin
generacin de copia de
almacenada en las
respaldo de informacin
computadoras
importante de los
personales.
usuarios.
copias de respaldo de su
Establecimiento de un
Concluir el proceso de
informacin importante.
Vulnerabilidades:
operativo de las
El sistema operativo
computadoras
personales a Windows
2000 Professional o
de seguridad a la
Windows XP.
informacin existente en
Concientizacin de
ellas.
usuarios en temas
No existe un procedimiento
relacionados a la
seguridad de la
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Amenaza /
Estndar o medida de
Implicancia de Seguridad
Vulnerabilidad
seguridad a aplicar
de las carpetas
informacin.
El procedimiento para
realizar copias de respaldo
de la informacin
importante no es conocido
por todos los usuarios.
Diseo de arquitectura
inapropiada para
controlar accesos
desde redes
Banco.
de elementos de control
externas.
Vulnerabilidades:
de conexiones
(firewalls).
Existencia de redes
externas se conectan con
de seguridad de red.
Adecuada configuracin
Implementacin y
administracin de
proteccin de un firewall.
herramientas de
seguridad.
pblico no se encuentran
aislados de la red interna.
Fuga de
Es posible obtener la
informacin
encripcin de la data
estratgica
confidencial existente en
mediante
sustraccin de
computadoras porttiles.
Programas para
computadores
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Amenaza /
Estndar o medida de
Implicancia de Seguridad
Vulnerabilidad
seguridad a aplicar
porttiles.
Acceso no
autorizado a travs
segmentos de red
de enlaces
inalmbricos.
de seguridad especficas
segmento de red
inalmbrico mediante un
Firewall.
de la red inalmbrica.
Separacin del
Verificacin peridica de
la actividad realizada
desde la red
cercano.
inalmbrica.
Utilizacin de encripcin
.
Controles de
Posibilidad de acceso no
Implementacin de una
acceso hacia
adecuada arquitectura
Internet desde la
de red.
red interna.
equipos de terceros en
Internet.
Posibilidad de fuga de
Configuracin adecuada
de servidor Proxy.
informacin.
la configuracin de
Posibilidad de realizacin
Firewalls.
de actividad ilegal en
Implementacin y
equipos de terceros a
administracin de
travs de Internet.
herramientas para la
seguridad del contenido
de los correos
electrnicos enviados.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Amenaza /
Vulnerabilidad
Estndar o medida de
Implicancia de Seguridad
seguridad a aplicar
Monitoreo peridico de
la actividad, mediante el
anlisis de los registros
(logs) de los sistemas.
Iniciativa del
Implicancia de Seguridad
Estndar o medida de
Negocio
seguridad a aplicar
Datawarehouse.
Informacin sensible
Estndar de mejores
almacenada en un
prcticas de
repositorio centralizado,
seguridad para
requiere de controles de
Windows NT
acceso adecuados.
Estndar de mejores
La disponibilidad del
prcticas de
seguridad para
Windows
que soporta.
Plan de implantacin
de Datawarehouse.
Procedimientos para
otorgamiento de
perfiles.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Iniciativa del
Implicancia de Seguridad
Negocio
Estndar o medida de
seguridad a aplicar
Implementacin de
una arquitectura de
red segura.
Proyecto de
Consulta de informacin
Especificacin de
tercerizacin del
responsabilidades y
Call Center
obligaciones
Registro de informacin en
referentes a la
seguridad de la
terceros.
informacin del
Banco, en los
contratos con
terceros.
Especificacin de
acuerdos de nivel de
servicio.
Adecuados controles
de acceso a la
informacin
registrada en el
sistema
Proyecto de
El acceso de personal no
Estndares de
comunicacin con
seguridad para la
Conasev utilizando
almacenamiento de llaves
manipulacin y
firmas digitales
de encripcin (media,
revocacin de llaves
(Requerimiento de
smartcards, impresa)
de encripcin.
Conasev)
Implementacin de
controles de acceso a
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Iniciativa del
Implicancia de Seguridad
Negocio
Estndar o medida de
seguridad a aplicar
informacin.
dispositivos y llaves
de encripcin.
y encripcin de la
informacin se requiere el
ingreso de contraseas,
estas contraseas deben
ser mantenidas en forma
confidencial.
Digitalizacin
La disposicin de estos
Aplicacin de
(scanning) de
elementos en medios
estndares de
poderes y firmas.
digitales requiere de
seguridad de la
adecuados niveles de
plataforma que
contiene dicha
acceso no autorizado y
informacin.
ilegales.
Encripcin de la data
digitalizada.
Restriccin de
accesos a los
poderes y firmas
tanto a nivel de
aplicacin, como a
nivel de sistema
operativo.
Tercerizacin de
La administracin de
Clusulas de
operaciones de
confidencialidad y
sistemas y Help
establecimiento claro
Desk.
terceros representa un
de responsabilidades
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Iniciativa del
Implicancia de Seguridad
Negocio
Estndar o medida de
seguridad a aplicar
de los proveedores
posibilidad de fuga de
en los contratos,
informacin confidencial.
especificacin de
penalidades en caso
de incumplimiento.
Monitoreo peridico
de las operaciones
realizadas por
personal externo,
incluyendo la revisin
peridica de sus
actividades en los
registros (logs) de
aplicaciones y
sistema operativo.
Evitar otorgamiento
de privilegios
administrativos a
personal externo,
para evitar
manipulacin de
registros.
Proyecto de
El sistema SWIFT se
Estndar de mejores
interconexin del
encuentra en un segmento
prcticas de
Sistema Swift a la
seguridad para
servidores Windows
Banco.
seguridad de informacin.
NT
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Iniciativa del
Implicancia de Seguridad
Negocio
Estndar o medida de
seguridad a aplicar
Controles de acceso
a la aplicacin
dicho sistema se va a
SWIFT.
encontrar expuesto a
Estndares de
intentos de acceso no
encripcin de datos
la red de datos.
se comunican con l.
Acuerdos de
de copias de
guardan informacin
confidencialidad y
respaldo realizado
tiempo de respuesta
por Hermes.
banco, adicionalmente
deben encontrarse
el proveedor.
utilizadas en una
de respuesta del
emergencia y la
proveedor para
de backup en caso de
emergencia.
Verificacin peridica
del estado de las
cintas.
Procesamiento de
El almacenamiento de
Acuerdos de
transacciones de
confidencialidad y
tarjetas de crdito
tiempo de respuesta
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Iniciativa del
Implicancia de Seguridad
Negocio
Estndar o medida de
seguridad a aplicar
y dbito realizado
en contratos con el
por Unibanca.
no autorizada de
proveedor.
Estndares de
sus clientes.
encripcin de
informacin
transmitida.
El almacenamiento de
Acuerdos de
de Documentos
confidencialidad y
realizado por
tiempo de respuesta
terceros File
en contratos con
Service
no autorizada de
proveedores.
Verificacin peridica
sus clientes.
El almacenamiento de
de la documentacin.
El almacenamiento de
Acuerdos de
ensobrado de
confidencialidad en
estados de cuenta
contratos con
realizado por
proveedores.
Napatek
no autorizada de
Estndares de
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Iniciativa del
Implicancia de Seguridad
Negocio
Estndar o medida de
seguridad a aplicar
encripcin de datos
sus clientes.
transmitidos por
El envo de informacin
correo electrnico.
Verificacin de
integridad de la data
de transmisin seguro, o
transmitida.
Estndares de
informacin
informacin sensible
encripcin de datos
sensible a clientes
transmitidos.
y entidades
recaudadoras va
correo electrnico
Almacenamiento
El Banco almacena
Clasificacin y
fsico de
documentos importantes
etiquetado de la
informacin
de clientes, muchos de
informacin.
realizada al interior
del Banco.
confidencial, asimismo
controles fsicos de
acceso a la
informacin de
acuerdo a su
Implementacin de
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Iniciativa del
Implicancia de Seguridad
Negocio
Estndar o medida de
seguridad a aplicar
informacin importante. Se
debe asegurar que dicha
clasificacin.
Establecimiento de
condiciones
medidas de seguridad
apropiadas de
almacenamiento para
la integridad, disponibilidad
evitar su deterioro.
y confidencialidad de la
informacin.
Mantenimiento de un
registro de entrada y
salida de activos de
los archivos.
Acceso de
Clusulas de
personal de
confidencialidad y
Rehder a la red de
establecimiento claro
de responsabilidades
no autorizado a los
de los proveedores
sistemas.
en los contratos,
especificacin de
penalidades en caso
de incumplimiento.
Monitoreo de
actividad realizada
por personal externo.
Restricciones de
acceso a Internet
configurados en el
firewall.
Centro de
Especificacin de
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Iniciativa del
Implicancia de Seguridad
Negocio
Estndar o medida de
seguridad a aplicar
Contingencia
acuerdos de nivel de
ubicado en el TIC
encontrarse siempre
servicio y
de Telefnica
penalidades en caso
Data.
utilizados en casos de
de incumplimiento en
emergencia.
contratos con
Se debe asegurar la
proveedores.
integridad de la informacin
contingencia.
de respaldo y el grado de
Verificacin peridica
actualizacin de la misma
de la disponibilidad
de los sistemas y
produccin.
grado de
actualizacin de la
informacin.
Atencin en Front
Office.
Acuerdos de niveles
sistemas de
de servicio en
comunicaciones deben
contratos con
encontrarse disponibles en
proveedores de
comunicaciones.
Verificacin peridica
clientes.
de disponibilidad de
Los periodos de
los sistemas.
Implementacin de
mtricas de
rendimiento y
disponibilidad de los
sistemas.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Iniciativa del
Implicancia de Seguridad
Negocio
Soporte de IBM al
Servidor AS/400.
El servidor AS/400 es el
Estndar o medida de
seguridad a aplicar
Clusulas de
confidencialidad y
establecimiento claro
de responsabilidades
de los proveedores
en los contratos,
especificacin de
penalidades en caso
de incumplimiento.
Asignacin de un
proveedor accede
usuario distinto al
peridicamente al equipo,
no autorizado a
privilegios mnimos
informacin existente en el
necesarios.
mismo.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Captulo VI
6.1
Definicin
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
6.2
CUMPLIMIENTO OBLIGATORIO
ORGANIZACIN DE LA SEGURIDAD
Usuario
Custodio de informacin
Propietario de informacin
Auditor interno
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Datos que tienen un alto riesgo de ser blanco de fraude u otra actividad
ilcita:
- Datos contables utilizados en sistemas
- Sistemas que controlan desembolsos de fondos
6.4.3 Definiciones
Restringida: Informacin con mayor grado de sensibilidad; el acceso a
esta informacin debe de ser autorizado caso por caso.
Confidencial: Informacin sensible que solo debe ser divulgada a
aquellas personas que la necesiten para el cumplimiento de sus
funciones.
Uso Interno: Datos generados para facilitar las operaciones diarias;
deben de ser manejados de una manera discreta, pero no requiere de
medidas elaboradas de seguridad.
General: Informacin que es generada especficamente para su
divulgacin a la poblacin general de usuarios.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
General
con
informacin
correspondiente
otra
clasificacin.
Todo usuario, antes de transmitir informacin clasificada como
Restringida o Confidencial, debe asegurarse que el destinatario de la
informacin est autorizado a recibir dicha informacin.
Todo usuario que requiere acceso a informacin clasificada como
Restringida o Confidencial, debe ser autorizado por el propietario de
la misma. Las autorizaciones de acceso a este tipo de informacin
deben ser documentadas.
La clasificacin asignada a un tipo de informacin, solo puede ser
cambiada por el propietario de la informacin, luego de justificar
formalmente el cambio en dicha clasificacin.
Informacin en formato digital, clasificada como Restringida, debe ser
encriptada con un mtodo aprobado por los encargados de la
administracin de seguridad de la informacin, cuando es almacenada
en cualquier medio (disco duro, disquetes, cintas, CDs, etc.).
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
medios
de
almacenamiento,
incluyendo
discos
duros
de
6.4.4.2
documento
que
presente
informacin
clasificada
como
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Concientizacin peridica
Estudios muestran que la retencin y el conocimiento aplicable se
incrementa considerablemente cuando el tema es sujeto a revisin. Los
usuarios deben de ser informados anualmente sobre la importancia de la
seguridad de la informacin. Un resumen escrito de la informacin bsica
debe de ser entregada nuevamente a cada empleado y una copia firmada
debe de ser guardada en sus archivos.
La capacitacin en seguridad debe de incluir, pero no estar limitado, a los
siguientes aspectos:
-
Programas de cumplimiento
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Registro de fallas
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
6.6
Entrega en persona
FSICA
DE
LAS
INSTALACIONES
DE
PROCESAMIENTO DE DATOS
Se deben implementar medidas de seguridad fsica para asegurar la
integridad de las instalaciones y centros de cmputo. Las medidas de
proteccin deben ser consistentes con el nivel de clasificacin de los
activos y el valor de la informacin procesada y almacenada en las
instalaciones.
6.6.1 Proteccin de las instalaciones de los centros de datos
Un centro de procesamiento de datos o de cmputo es definido como
cualquier edificio o ambiente dentro de un edificio que contenga equipos
de almacenamiento, proceso o transmisin de informacin. Estos incluyen
pero no se limitan a los siguientes:
-
Consolas de administracin
Equipos de telecomunicaciones
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Asignacin
de
responsables
para
la
supervisin
de
dichas
actividades
-
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
6.7.1.5
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM