Plan de Seguridad Informatica para Una Entidad Financiera

UNIVERSIDAD NACIONAL MAYOR DE SAN MARCOS
Fundada en 1551
FACULTAD DE CIENCIAS MATEMTICAS

E.A.P. DE COMPUTACIN
PLAN DE SEGURIDAD INFORMTICA PARA UNA ENTIDAD FINANCIERA
TRABAJO MONOGRFICO
Para optar el Ttulo Profesional de:
LICENCIADA
AUTORA
NORMA EDITH CRDOVA RODRGUEZ
LIMA PER
2003
DEDICATORIA
Este trabajo va dedicado a la Universidad
Nacional Mayor de San Marcos, a la que le
debo mi formacin profesional y los xitos
que he alcanzado.
INDICE
INTRODUCCION
CAPITULO I.
OBJETIVOS Y ALCANCES
1.1
Objetivos.................................................................................................................1
CAPITULO II
METODOLOGA Y PROCEDIMIENTOS UTILIZADO
2.1 Metodologa ESA....................................................................................................3

CAPITULO III
DIAGNSTICO DE LA SITUACIN ACTUAL DE LA ADMINISTRACIN DE
LA SEGURIDAD DE INFORMACIN
3.1
3.2
Evaluacin ............................................................................................................5
Alcances ............................................................................................................6
CAPITULO IV
SEGURIDAD DE LA INFORMACIN ROLES Y ESTRUCTURA
ORGANIZACIONAL
4.1
4.2
4.3
Situacin actual.....................................................................................................8
Roles y responsabilidades de la estructura organizacional de seguridad de
informacin.....................................................................................................9
Organizacin del area de seguridad informtica propuesta
............. 13
CAPITULO V
EVALUACIN DE RIESGOS, AMENAZAS Y VULNERABILIDADES
5.1
5.2
5.3
Matriz de uso y estrategia de tecnologa ....................................................... 16

Matriz de evaluacin de amenazas y vulnerabilidades ............................... 26
Matriz de iniciativas del negocio / procesos .................................................. 38
CAPITULO VI
POLTICAS DE SEGURIDAD DE LA INFORMACIN
6.1
Definicin..............................................................................................................48
6.2
Cumplimiento obligatorio ...................................................................................49
6.3
Organizacin de la Seguridad ..........................................................................49

6.3.1
6.3.2
6.3.3
6.4
Evaluacion de riesgo ..........................................................................................51

6.4.1
6.4.2
6.4.3
6.4.4
6.4.5
6.4.6
6.4.7
6.5
Estructura organizacional................................................................. 49
Acceso por parte de terceros........................................................... 50
Outsourcing ......................................................................................... 51
Inventario de activos.......................................................................... 52
Clasificacin del acceso de la informacin.................................... 53
Definiciones........................................................................................ 54
Aplicacin de controles para la informacin clasificada.............. 54
Anlisis de riesgo............................................................................... 57
Cumplimiento ...................................................................................... 57
Aceptacin de riesgo......................................................................... 58
Seguridad del personal......................................................................................58

6.5.1
Seguridad en la definicin de puestos de trabajo y recursos ..... 59
6.5.2
Capacitacin de usuarios ................................................................. 60
6.5.3
Procedimientos de respuesta ante incidentes de seguridad..... 61
6.5.3.1 Registro de fallas ............................................................................. 62
6.5.3.2 Intercambios de informacin y correo electrnico...................... 62
6.5.3.3 Seguridad para media en trnsito ................................................. 64
6.6
Seguridad fsica de las instalaciones de procesamiento de datos .............64

6.6.1
6.6.2
6.6.3
6.7
Proteccin de las instalaciones de los centros de datos............. 64

Control de acceso a las instalaciones de cmputo ...................... 65
Acuerdo con regulaciones y leyes................................................... 66
Administracin de comunicaciones y operaciones........................................66

6.7.1
Procedimientos y responsabilidades operacionales .................... 66
6.7.1.1 Procedimientos operativos documentados.................................. 66
6.7.1.2 Administracin de operaciones realizadas por terceros............ 67
6.7.1.3 Control de cambios operacionales................................................ 67
6.7.1.4 Administracin de incidentes de seguridad................................. 68
6.7.1.5 Separacin de funciones de operaciones y desarrollo .............. 68
6.7.2
Proteccin contra virus...................................................................... 69
6.7.3
Copias de respaldo............................................................................ 70
6.8
Control de acceso de datos...............................................................................71

6.8.1
Identificacin de usuarios ................................................................. 71
6.8.2
Seguridad de contraseas................................................................ 72
6.8.2.1 Estructura .......................................................................................... 72
6.8.2.2 Vigencia............................................................................................. 73
6.8.2.3 Reutilizacin de contraseas ......................................................... 73
6.8.2.4 Intentos fallidos de ingreso............................................................. 73
6.8.2.5 Seguridad de contraseas ............................................................. 74
6.8.3
Control de transacciones .................................................................. 74
6.8.4
Control de produccin y prueba ...................................................... 75
6.8.5
Controles de acceso de programas ................................................ 76
6.8.6
Administracin de acceso de usuarios........................................... 76
6.8.7
Responsabilidades del usuario........................................................ 78
6.8.8
Seguridad de computadoras ............................................................ 79
6.8.9
Control de acceso a redes................................................................ 80
6.8.9.1 Conexiones con redes externas.................................................... 80
6.8.9.2 Estndares generales ..................................................................... 81
6.8.9.3 Poltica del uso de servicio de redes ............................................ 82
6.8.9.4 Segmentacin de redes.................................................................. 83
6.8.9.5 Anlisis de riesgo de red ................................................................ 83
6.8.9.6 Acceso remoto(dial-in) .................................................................... 83
6.8.9.7 Encripcin de los datos................................................................... 84
6.8.10 Control de acceso al sistema operativo ......................................... 84
6.8.10.1 Estndares generales ................................................................... 84
6.8.10.2 Limitaciones de horario................................................................. 84
6.8.10.3 Administracin de contraseas ................................................... 85
6.8.10.4 Inactividad del sistema.................................................................. 85
6.8.10.5 Estndares de autenticacin en los sistemas........................... 85
6.8.11 Control de acceso de aplicacin...................................................... 85
6.8.11.1 Restricciones de acceso a informacin...................................... 86
6.8.11.2 Aislamiento de sistemas crticos................................................. 86
6.8.12 Monitoreo del acceso y uso de los sistemas................................. 86
6.8.12.1 Sincronizacin del reloj................................................................. 86
6.8.12.2 Responsabilidades generales...................................................... 87
6.8.12.3 Registro de eventos del sistema ................................................. 87
6.8.13 Computacin mvil y teletrabajo ..................................................... 87
6.8.13.1 Responsabilidades generales...................................................... 87
6.8.13.2 Acceso remoto ............................................................................... 88
6.9
Desarrollo y mantenimiento de los sistemas..................................................89

6.9.1
Requerimientos de seguridad de sistemas.................................... 89
6.9.1.1 Control de cambios.......................................................................... 89
6.9.1.2 Anlisis y especificacin de los requerimientos de seguridad . 90
6.9.2
Seguridad en sistemas de aplicacin............................................. 90
6.9.2.1 Desarrollo y prueba de aplicaciones............................................. 90
6.10 Cumplimiento normativo ...................................................................................91

6.10.1
Registros ............................................................................................. 91
6.10.2
6.10.3
6.10.4
Revisin de la poltica de seguridad y cumplimiento tcnico ..... 92

Propiedad de los programas ............................................................ 92
Copiado de software adquirido y alquilado.................................... 92
6.11 Consideraciones de auditoria de sistemas .....................................................93

6.11.1
6.11.2
Proteccin de las herramientas de auditoria ................................. 93

Controles de auditoria de sistemas................................................. 93
6.12 Poltica de Comercio Electrnico .....................................................................94

6.12.1
Trminos e informacin de comercio electrnico ......................... 95
6.12.1.1 Recoleccin de informacin y privacidad .................................. 95
6.12.1.2 Divulgacin ..................................................................................... 95
6.12.2
Transferencia electrnica de fondos............................................... 96
6.13 Informacin almacenada en medios digitales y fsicos ................................97
6.13.1
6.13.2
6.13.3
6.13.4
6.13.5
Etiquetado de la informacin............................................................ 97
Copiado de la informacin................................................................ 97
Distribucin de la informacin.......................................................... 98
Almacenamiento de la informacin................................................. 98
Eliminacin de la informacin .......................................................... 99
CAPITULO VII
PLAN DE IMPLEMENTACIN DE ALTO NIVEL
7.1
7.2
7.3
7.4
7.5
7.6
7.7
7.8
7.9
Clasificacin de informacin...........................................................................102
Seguridad de red y comunicaciones.............................................................103
Inventario de accesos a los sistemas...........................................................106
Adaptacin de contratos con proveedores ..................................................107
Campaa de concientizacin de usuarios. ..................................................108
Verificacin y adaptacin de los sistemas del banco.................................109
Estandarizacin de la configuracin del software base.............................110
Revisin, y adaptacin de procedimientos complementarios...................111
Cronograma tentativo de implementacin...................................................113
CONCLUSIONES Y RECOMENDACIONES ........................................................114

ANEXOS
A.
Diseo de arquitectura de seguridad de red ................................................118
B.
Circular n g-105-2002 publicada por la Superintendencia de Banca y

Seguros (SBS) sobre riesgos de tecnologa de informacin.....................121
C.
Detalle: Diagnostico de la Situacion Actual de la Administracin de los riesgos

de tecnologia de la informacion......................................................................132
BIBLIOGRAFA.. ..............................................................................................154
Plan de Seguridad Informtica para una Entidad Financiera .

Crdova Rodrguez, Norma Edith.
RESUMEN
La liberalizacin y la globalizacin de los servicios financieros, junto con la

creciente sofisticacin de la tecnologa financiera, estn haciendo cada vez
ms diversas y complejas las actividades de los bancos en trminos de
Seguridad.
En otros tiempos la seguridad de la informacin era fcilmente administrable,

slo bastaba con resguardar los documentos ms importantes bajo llave y
mantener seguros a los empleados que poseen el conocimiento poniendo
guardias de seguridad. Hoy en da es ms difcil.
Los sistemas electrnicos entraron en las oficinas y obligaron a los sistemas de

seguridad a evolucionar para mantenerse al da con la tecnologa cambiante.
Luego, hace unos 5 aos, los negocios, an las empresas ms pequeas, se
conectaron a Internet (una amplia red pblica con pocas reglas y sin
guardianes).
De manera similar a otro tipo de crmenes, el cuantificar los gastos y prdidas

en seguridad de la informacin o crmenes cibernticos es muy difcil.
Se
tiende a minimizar los incidentes por motivos muchas veces justificables.
Por otro lado el objetivo fundamental de la seguridad no es proteger los

sistemas, sino reducir los riesgos y dar soporte a las operaciones del negocio.
La computadora ms segura del mundo es aquella que est desconectada de
cualquier red, enterrada profundamente en algn oscuro desierto y rodeada de
guardias armados, pero es tambin la ms intil.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM

La seguridad es slo uno de los componentes de la administracin de riesgos

minimizar la exposicin de la empresa y dar soporte a su capacidad de lograr
su misin. Para ser efectiva, la seguridad debe estar integrada a los procesos
del negocio y no delegada a algunas aplicaciones tcnicas.
Los incidentes de seguridad ms devastadores tienden ms a ser internos que

externos. Muchos de estos incidentes involucran a alguien llevando a cabo una
actividad autorizada de un modo no autorizado. Aunque la tecnologa tiene
cierta ingerencia en limitar esta clase de eventos internos, las verificaciones y
balances como parte de los procesos del negocio son mucho ms efectivos.
Las computadoras no atacan a las empresas, lo hace la gente. Los empleados

bien capacitados tienen mayores oportunidades de detectar y prevenir los
incidentes de seguridad antes de que la empresa sufra algn dao. Pero para
que los empleados sean activos, se requiere que entiendan como reconocer,
responder e informar los problemas lo cual constituye la piedra angular de la
empresa con conciencia de seguridad lo que nosotros llamamos cultura de
seguridad.
El presente trabajo describe como se define un Plan de Seguridad para una

entidad financiera, empieza por definir la estructura organizacional (roles y
funciones), despus pasa a definir las polticas para finalmente concluir con un
plan de implementacin o adecuacin a las polticas anteriormente definidas.

ABSTRACT
The liberalization and globalization of the financial services with the increasing
sophistication of the financial technology are facing more complex banking
activities in terms of security.
Long time ago, security information was easily management, just it was enough
guard the more important documents under the keys and placed employees;
who has the knowledge; safe, just placing bodyguards; nowadays it is harder.
The electronics systems got in the office and made systems security evolved to
be updated with the technology changes. Then, 5 years ago, the business; even
the small companies were connected to Internet (a public network with few
rules and without security).
In a similar way of other kind of crimes, measure security IT expenses and lost
or cybernetic crimes are very difficult. People tend to minimize incidents for
justifying reasons.
By the other hand, the main objective of IT Security is not to protect the
systems; it is to reduce risks and to support the business operations. The most
secure computer in the world is which is disconnected form the network, placed
deeply in any dark desert and be surrounded by armed bodyguards, but it is
also the most useless.
Security is just one of the components of risk management - minimize the

exposition of the business and support the capacity of meet his mission. To be
effective, security must be integrated through the business process and not
delegate to some technical applications.

The more destructive security incidents tend mostly to be internal instead of

external. Many of these involve someone taking an authorized activity in a way
non-authorized. Although technology has some concern in limit these kind of
internal events, the verifications and balances as part of the business process
are more effective.
Computers does not attack enterprises, people do it. Employees with

knowledge have more opportunities to detect and prevent security incidents
before the enterprises suffer a damage. But to make employees more concern,
we need that they understand, reply and inform security incidents which is the
most important thing inside the enterprise with security concern, which is called
security culture.
The present work describes how you can define a Security Plan for a financial
enterprise,
begin
responsibilities),
defining
then
define
the
the
Organizational
policies
and
structure
finally
(roles
ends
with
and
the
Implementation Plan which are the activities to meet the policies before
mentioned.

INTRODUCCIN
Los eventos mundiales recientes han generado un mayor sentido de urgencia

que antes con respecto a la necesidad de tener mayor seguridad - fsica y de
otro tipo. Las empresas pueden haber reforzado las medidas de seguridad,
pero nunca se sabe cundo o cmo puede estar expuesta. A fin de brindar la
ms completa proteccin empresarial, se requiere de un sistema exhaustivo de
seguridad. Es vital implementar un plan de seguridad. Sin embargo,
implementar un plan proactivo que indique cmo sobrevivir a los mltiples
escenarios tambin preparar a las empresas en el manejo de las amenazas
inesperadas que podra afrontar en el futuro.
La mayora de las empresas ha invertido tiempo y dinero en la construccin de
una infraestructura para la tecnologa de la informacin que soporte su
compaa, esa infraestructura de TI podra resultar ser una gran debilidad si se
ve comprometida. Para las organizaciones que funcionan en la era de la
informtica interconectadas y con comunicacin electrnica, las polticas de
informacin bien documentadas que se comunican, entienden e implementen
en toda la empresa, son herramientas comerciales esenciales en el entorno
actual para minimizar los riesgos de seguridad.
Imagine lo que sucedera si:
La informacin esencial fuera robada, se perdiera, estuviera en peligro,

fuera alterada o borrada.
Los sistemas de correo electrnico no funcionaran durante un da o ms.

Cunto costara esta improductividad?
Los clientes no pudieran enviar rdenes de compra a travs de la red

durante un prolongado periodo de tiempo.

Prepararse para mltiples escenarios parece ser la tendencia creciente. En un

informe publicado por Giga Information Group con respecto a las tendencias de
TI estimadas para el ao 2002, se espera que los ejecutivos corporativos se
interesen cada vez ms en la prevencin de desastres fsicos, ciberterrorismo y
espionaje de libre competencia. Implementar una poltica de seguridad
completa le da valor intrnseco a su empresa. Tambin mejorar la credibilidad
y reputacin de la empresa y aumentar la confianza de los accionistas
principales, lo que le dar a la empresa una ventaja estratgica.
Cmo desarrollar una poltica de seguridad?
Identifique y evale los activos: Qu activos deben protegerse y cmo

protegerlos de forma que permitan la prosperidad de la empresa.
Identifique las amenazas: Cules son las causas de los potenciales

problemas de seguridad? Considere la posibilidad de violaciones a la
seguridad
el
impacto
que
tendran
si
ocurrieran.
Estas amenazas son externas o internas:

o
Amenazas externas: Se originan fuera de la organizacin y son

los virus, gusanos, caballos de Troya, intentos de ataques de los
hackers, retaliaciones de ex-empleados o espionaje industrial.
Amenazas internas: Son las amenazas que provienen del

interior de la empresa y que pueden ser muy costosas porque el
infractor tiene mayor acceso y perspicacia para saber donde
reside la informacin sensible e importante. Las amenazas
internas tambin incluyen el uso indebido del acceso a Internet
por parte de los empleados, as como los problemas que podran

ocasionar los empleados al enviar y revisar el material ofensivo a

travs de Internet.
Evalu los riesgos: ste puede ser uno de los componentes ms

desafiantes del desarrollo de una poltica de seguridad. Debe calcularse
la probabilidad de que ocurran ciertos sucesos y determinar cules tiene
el potencial para causar mucho dao. El costo puede ser ms que
monetario - se debe asignar un valor a la prdida de datos, la privacidad,
responsabilidad legal, atencin pblica indeseada, la prdida de clientes
o de la confianza de los inversionistas y los costos asociados con las
soluciones para las violaciones a la seguridad.
Asigne las responsabilidades: Seleccione un equipo de desarrollo que

ayude a identificar las amenazas potenciales en todas las reas de la
empresa. Sera ideal la participacin de un representante por cada
departamento de la compaa. Los principales integrantes del equipo
seran el administrador de redes, un asesor jurdico, un ejecutivo
superior y representantes de los departamentos de Recursos Humanos
y Relaciones Pblicas.
Establezca polticas de seguridad: Cree una poltica que apunte a los

documentos asociados; parmetros y procedimientos, normas, as como
los contratos de empleados. Estos documentos deben tener informacin
especfica relacionada con las plataformas informticas, las plataformas
tecnolgicas, las responsabilidades del usuario y la estructura
organizacional. De esta forma, si se hacen cambios futuros, es ms fcil
cambiar los documentos subyacentes que la poltica en s misma.
Implemente una poltica en toda la organizacin: La poltica que se

escoja debe establecer claramente las responsabilidades en cuanto a la
seguridad y reconocer quin es el propietario de los sistemas y datos

especficos. Tambin puede requerir que todos los empleados firmen la

declaracin; si la firman, debe comunicarse claramente. stas son las
tres partes esenciales de cumplimiento que debe incluir la poltica:
o
Cumplimiento: Indique un procedimiento para garantizar el

cumplimiento y las consecuencias potenciales por incumplimiento.
Funcionarios de seguridad: Nombre individuos que sean

directamente responsables de la seguridad de la informacin.
Asegrese de que no es la misma persona que supervisa,
implementa o revisa la seguridad para que no haya conflicto de
intereses.
Financiacin: Asegrese de que a cada departamento se le haya

asignado
los
fondos
necesarios
para
poder
cumplir
adecuadamente con la poltica de seguridad de la compaa.
Administre el programa de seguridad: Establezca los procedimientos

internos para implementar estos requerimientos y hacer obligatorio su
cumplimiento.
Consideraciones importantes
A travs del proceso de elaboracin de una poltica de seguridad, es importante
asegurarse de que la poltica tenga las siguientes caractersticas:
Se pueda implementar y hacer cumplir
Sea concisa y fcil de entender
Compense la proteccin con la productividad

Una vez la poltica se aprueba totalmente, debe hacerse asequible a todos los
empleados porque, en ultima instancia, ellos son responsables de su xito. Las
polticas deben actualizarse anualmente (o mejor an cada seis meses) para
reflejar los cambios en la organizacin o cultura.
Se debe mencionar que no debe haber dos polticas de seguridad iguales
puesto que cada empresa es diferente y los detalles de la poltica dependen de
las necesidades exclusivas de cada una. Sin embargo, usted puede comenzar
con un sistema general de polticas de seguridad y luego personalizarlo de
acuerdo con sus requerimientos especficos, limitaciones de financiacin e
infraestructura existente.
Una poltica completa de seguridad de la informacin es un recurso valioso que
amerita la dedicacin de tiempo y esfuerzo. La poltica que adopte su empresa
brinda una base slida para respaldar el plan general de seguridad. Y una base
slida sirve para respaldar una empresa slida.
BANCO ABC
En el presente trabajo desarrollaremos el Plan de Seguridad para una entidad
financiera a la cual llamaremos el Banco ABC.
El Banco ABC es un banco de capital extranjero, tiene 35 agencias a nivel
nacional, ofrece todos los productos financieros conocidos, posee presencia en
Internet a travs de su pagina web, es un banco mediano cuenta con 500
empleados y es regulado por la Superintendencia de Banca y Seguros.
A lo largo de todo el desarrollo del trabajo describiremos mas en detalle su

estructura interna, evaluaremos los riesgos a los cuales estn expuestos, para
lo cual se realizara un diagnostico objetivo de la situacin actual y como se
deben contrarrestar, para finalmente terminar diseando el Plan de Seguridad y

las principales actividades que deben ejecutarse para la implementacin de las

polticas de seguridad.
A continuacin describiremos brevemente la situacin actual de los aspectos

ms importantes en la elaboracin del Plan de Seguridad; como son la
organizacin, el propio Plan y la adecuacin al Plan.
A) Organizacin de seguridad de la informacin
Actualmente el Banco cuenta con un rea de seguridad informtica

recientemente constituida, los roles y responsabilidades del rea no han sido
formalizados y las tareas desempeadas por el rea se limitan por ahora al
control de accesos de la mayora de sistemas del Banco. Algunas tareas
correspondientes a la administracin de seguridad son desarrolladas por el
rea de sistemas como la administracin de red, firewalls y bases de datos,
otras tareas son realizadas directamente por las reas usuarias, y finalmente
otras responsabilidades como la elaboracin de las polticas y normas de
seguridad, concientizacin de los usuarios, monitoreo de incidentes de
seguridad, etc., no han sido asignadas formalmente a ninguna de las reas.
En este sentido, en el presente trabajo detallamos los roles y responsabilidades
relacionadas a la administracin de seguridad de la informacin que involucra
no solamente a miembros de las reas de seguridad informtica y sistemas
como administradores de seguridad de informacin y custodios de informacin,
sino a los gerentes y jefes de las unidades de negocio como propietarios de
informacin, y a los usuarios en general.
B) Diseo del plan de seguridad de la informacin
Para el diseo del Plan de seguridad de la informacin se desarrollaran las

siguientes etapas:

Evaluacin de riesgos, amenazas y vulnerabilidades
Para la definicin del alcance de las polticas y estndares y con el propsito de

identificar las implicancias de seguridad del uso y estrategia de tecnologa,
amenazas y vulnerabilidades y nuevas iniciativas del negocio, se desarrollarn
un conjunto de entrevistas con las Gerencias del Banco, personal del rea de
sistemas, auditoria interna y el rea de seguridad informtica. Producto de la
consolidacin de la informacin obtenida en dichas entrevistas se elaborar
unas matrices que se presentarn en el captulo N V del presente documento.
Polticas de seguridad de informacin.
Con el objetivo de contar con una gua para la proteccin de informacin del
Banco, se elaborarn las polticas y estndares de seguridad de la informacin,
tomando en cuenta el estndar de seguridad de informacin ISO 17799, los
requerimientos de la Circular N G-105-2002 publicada por la Superintendencia
de Banca y Seguros (SBS) sobre Riesgos de Tecnologa de Informacin y las
normas establecidas internamente por el Banco.
-
Diseo de arquitectura de seguridad de red.
Con el objetivo de controlar las conexiones de la red del Banco con

entidades externas y monitorear la actividad realizada a travs de dichas
conexiones, se elaborar una propuesta de arquitectura de red la cual
incluye dispositivos de monitoreo de intrusos y herramientas de inspeccin
de contenido.

C) Plan de Implementacin
De la identificacin de riesgos amenazas y vulnerabilidades relacionadas

con la seguridad de la informacin del Banco, se lograron identificar las
actividades ms importantes a ser realizadas por el Banco con el propsito
de alinear las medidas de seguridad implementadas para proteger la
informacin del Banco, con las Polticas de seguridad y estndares
elaborados.
Este plan de alto nivel incluye una descripcin de la actividad a ser

realizada, las etapas incluidas en su desarrollo y el tiempo estimado de
ejecucin.
El Autor

Captulo I
OBJETIVOS Y ALCANCES
1.1
Objetivos
El objetivo del presente trabajo es realizar un diagnostico de la situacin actual

en cuanto a la seguridad de informacin que el Banco ABC actualmente
administra y disear un Plan de Seguridad de la Informacin (PSI) que permita
desarrollar operaciones seguras basadas en polticas y estndares claros y
conocidos por todo el personal del Banco. Adicionalmente, el presente trabajo
contempla la definicin de la estrategia y los proyectos ms importantes que
deben ser llevados a cabo para culminar con el Plan de Implementacin.
La
reglamentacin que elabor la SBS con respecto a los riesgos de
tecnologa forma parte de un proceso de controles que se irn implementando,

tal como lo muestra el grfico siguiente, los primeros controles fueron
enfocados hacia los riesgos propios del negocio (financieros y de capital), y l
ultima en ser reglamentado es el que nos aboca hoy, que es el diseo de un
Plan de Seguridad Informtica (PSI) para esta entidad financiera.

Grfico de Evolucin de las regulaciones de la Superintendencia de

Banca y Seguros
Riesgos
Financieros
Riesgos de
Negocios
Riesgos de
Operaciones
Estructura
Rentabilidad
Adec. Capital
De Crdito
De liquidez
De Tasa de
Inters
De Mercado
De Moneda
Riesgo de
Poltica
Riesgo Pas
Riesgo
Sistmico
Procesos
Tecnologa
Personas
Eventos
Riesgo
Poltico
Riesgo de
Crisis
Bancarias
Otros
1.
Plan de Seguridad Informtica PSI

Captulo II
METODOLOGA Y PROCEDIMIENTOS UTILIZADOS
2.1 Metodologa ESA

La estrategia empleada para la planificacin y desarrollo del presente trabajo,
est basada en la metodologa Enterprise Security Arquitecture (ESA) para el
diseo de un modelo de seguridad, como marco general establece el diseo de
polticas, normas y procedimientos de seguridad para el posterior desarrollo de
C o m p r o m i sde
o la Alta
Gerencia
Visin y Estrategia de Seguridad

Amenazas
Iniciativas & P r o c e s o s
de Negocios
Estratega d e
Tecnologa & Uso
Evaluacin de Riesgo
& Vulnerabilidad
Poltica
Modelo de Seguridad
Arquitectura de Seguridad
& Estndares Tecnicos
Guas y Procedimientos
Adminitrativos y de Usuario Final
Procesos de
Ejecucin
Procesos de
Monitoreo
Procesos de
Recuperacon
P r o g r a m de
a E n t r e n a m i e nyt oConcientizacin
controles sobre la informacin de la empresa.
E s t r u c t u r a de Administracin de S e g u r i d a d de I n f o r m a c i n
En el desarrollo del trabajo se utilizaron los siguientes procedimientos de

trabajo:

1. Entrevistas para la identificacin de riesgos amenazas y vulnerabilidades de

la organizacin con el siguiente personal de la empresa:
Gerente de Divisin de Negocios.
Gerente de Divisin de Riesgos
Gerente de Divisin de Administracin y Operaciones
Gerente de Divisin de Finanzas
Gerente de Divisin de Negocios Internacionales
Gerente de Negocios Internacionales
Gerente de Asesora Legal
Auditor de Sistemas
Gerente de Sistemas
Gerente Adjunto de Seguridad Informtica
Asistente de Seguridad Informtica
2. Definicin y discusin de la organizacin del rea de seguridad informtica.
3. Elaboracin de las polticas de seguridad de informacin del Banco

tomando como referencia el estndar para seguridad de informacin ISO
17799, los requerimientos de la Circular N G-105-2002 publicada por la
Superintendencia de Banca y Seguros (SBS) sobre Riesgos de Tecnologa
de Informacin y las normas internas del Banco referidas a la seguridad de
informacin.
4. Evaluacin de la arquitectura de red actual y diseo de una propuesta de

arquitectura de red.

Captulo III
DIAGNSTICO DE LA SITUACIN ACTUAL DE LA ADMINISTRACIN DE LA

SEGURIDAD DE INFORMACIN
3.1
Evaluacin
Efectuada nuestra revisin de la administracin de riesgos de tecnologa de

informacin del Banco hemos observado que el Plan de Seguridad de
Informacin (PSI) no ha sido desarrollado. Si bien hemos observado la
existencia de normas, procedimientos y controles que cubren distintos aspectos
de la seguridad de la informacin, se carece en general de una metodologa,
gua o marco de trabajo que ayude a la identificacin de riesgos y
determinacin de controles para mitigar los mismos.
Dentro de los distintos aspectos a considerar en la seguridad de la Informacin,

se ha podido observar que se carece de Polticas de seguridad de la
Informacin y de una Clasificacin de Seguridad de los activos de Informacin
del Banco. Cabe mencionar que se ha observado la existencia de controles, en
el caso de la Seguridad Lgica, sobre los accesos a los sistemas de
informacin as como procedimientos establecidos para el otorgamiento de
dichos accesos. De igual manera se ha observado controles establecidos con
respecto a la seguridad fsica y de personal.
Sin embargo, estos controles no obedecen a una definicin previa de una

Poltica de Seguridad ni de una evaluacin de riesgos de seguridad de la
informacin a nivel de todo el Banco. Los controles establecidos a la fecha son
producto de evaluaciones particulares efectuadas por las reas involucradas o
bajo cuyo mbito de responsabilidad recae cierto aspecto de la seguridad.

3.2 Alcances
El alcance del diagnstico de la situacin de administracin del riesgo de
Tecnologa de Informacin, en adelante TI, comprende la revisin de las
siguientes funciones al interior del rea de sistemas:
Administracin del rea de Tecnologa de Informacin
- Estructura organizacional
-
Funcin de seguridad a dedicacin exclusiva
- Polticas y procedimientos para administrar los riesgos de TI

- Subcontratacin de recursos.
Actividades de desarrollo y mantenimiento de sistemas informticos
Seguridad de la Informacin
- Administracin de la Seguridad de la Informacin.

- Aspectos de la seguridad de la informacin (lgica, personal y fsica y
ambiental)
- Inventario peridico de activos asociados a TI
Operaciones computarizadas
- Administracin de las operaciones y comunicaciones

- Procedimientos de respaldo
- Planeamiento para la continuidad de negocios
-
Prueba del plan de continuidad de negocios
Asimismo, comprende la revisin de los siguientes aspectos:

Cumplimiento normativo
Privacidad de la informacin
Auditoria de sistemas
El siguiente cuadro muestra el grado de cumplimiento en los aspectos

relacionados a la adecuacin del Plan de Seguridad:

Aspectos Evaluados
Grado de
Cumplimiento
Estructura de la seguridad de la Informacin
Plan de seguridad de la Informacin

Polticas, estndares y procedimientos de seguridad.
2.1
2.1.1.
Seguridad Lgica
2.1.2
Seguridad de Personal
2.1.3
Seguridad Fsica y Ambiental
2.1.4
Clasificacin de Seguridad
Administracin de las operaciones y comunicaciones
Desarrollo y mantenimiento de sistemas informticos
Procedimientos de respaldo
Plan de continuidad de negocios
6.1
6.2
Planeamiento para la Continuidad de Negocios

Criterios para el diseo e implementacin del Plan de
continuidad de Negocios
6.3
Prueba del Plan de Continuidad de Negocios
Subcontratacin
Cumplimiento normativo
Privacidad de la informacin
10
Auditoria de Sistemas
Una descripcin mas detallada de los aspectos evaluados pueden ser

encontrados en el Anexo C.

Captulo IV
SEGURIDAD DE LA INFORMACIN ROLES Y ESTRUCTURA

ORGANIZACIONAL
4.1
Situacin actual
La administracin de seguridad de informacin se encuentra distribuida

principalmente entre las reas de sistemas y el rea de seguridad informtica.
En algunos casos, la administracin de accesos es realizada por la jefatura o
gerencia del rea que utiliza la aplicacin.
Las labores de seguridad realizadas actualmente por el rea de seguridad

informtica son las siguientes:
-
Creacin y eliminacin de usuarios
Verificacin y asignacin de perfiles en las aplicaciones
Las labores de seguridad realizadas por el rea de sistemas son las siguientes:
-
Control de red
Administracin del firewall
Administracin de accesos a bases de datos
Las funciones de desarrollo y mantenimiento de polticas y estndares de

seguridad no estn definidas dentro de los roles de la organizacin.
Cabe mencionar que el acceso con privilegio administrativo al computador
central es restringido, el rea de seguridad informtica define una contrasea,
la cual es enviada a la oficina de seguridad (Gerencia de Administracin) en un
sobre cerrado, en caso de necesitarse acceso con dicho privilegio, la
contrasea puede ser obtenida por el gerente de sistemas o el jefe de soporte

tcnico y produccin, solicitando el sobre a la oficina de seguridad. Luego

deben realizar un informe sobre la actividad realizada en el computador central.
4.2 ROLES Y RESPONSABILIDADES DE LA ESTRUCTURA
ORGANIZACIONAL DE SEGURIDAD DE INFORMACIN
El rea organizacional encargada de la administracin de seguridad de
informacin debe soportar los objetivos de seguridad de informacin del Banco.
Dentro de sus responsabilidades se encuentran la gestin del plan de
seguridad de informacin as como la coordinacin de esfuerzos entre el
personal de sistemas y los empleados de las reas de negocios, siendo stos
ltimos los responsables de la informacin que utilizan. Asimismo, es
responsable de promover la seguridad de informacin a lo largo de la
organizacin con el fin de incluirla en el planeamiento y ejecucin de los
objetivos del negocio.
Es importante mencionar que las responsabilidades referentes a la seguridad

de informacin son distribuidas dentro de toda la organizacin y no son de
entera responsabilidad del rea de seguridad informtica, en ese sentido
existen roles adicionales que recaen en los propietarios de la informacin, los
custodios de informacin y el rea de auditoria interna.
Los propietarios de la informacin deben verificar la integridad de su
informacin y velar por que se mantenga la disponibilidad y confidencialidad de
la misma.
Los custodios de informacin tienen la responsabilidad de monitorear el

cumplimiento de las actividades encargadas y el rea de auditoria interna debe
monitorear el cumplimiento de la poltica de seguridad y el cumplimiento
adecuado de los procesos definidos para mantener la seguridad de
informacin.

A continuacin presentamos los roles y responsabilidades relacionadas a la

administracin de seguridad de informacin:
rea de Seguridad Informtica.
El rea organizacional encargada de la administracin de seguridad de
informacin tiene como responsabilidades:
Establecer y documentar las responsabilidades de la organizacin en

cuanto a seguridad de informacin.
Mantener la poltica y estndares de seguridad de informacin de la

organizacin.
Identificar objetivos de seguridad y estndares del Banco (prevencin de

virus, uso de herramientas de monitoreo, etc.)
Definir metodologas y procesos relacionados a la seguridad de informacin.
Comunicar aspectos bsicos de seguridad de informacin a los empleados

del Banco. Esto incluye un programa de concientizacin para comunicar
aspectos bsicos de seguridad de informacin y de las polticas del Banco.
Desarrollar controles para las tecnologas que utiliza la organizacin. Esto

incluye el monitoreo de vulnerabilidades documentadas por los
proveedores.
Monitorear el cumplimiento de la poltica de seguridad del Banco.
Controlar e investigar incidentes de seguridad o violaciones de seguridad.
Realizar una evaluacin peridica de vulnerabilidades de los sistemas que

conforman la red de datos del Banco.
Evaluar aspectos de seguridad de productos de tecnologa, sistemas o

aplicaciones utilizados en el Banco.
Asistir a las gerencias de divisin en la evaluacin de seguridad de las

iniciativas del negocio.
Verificar que cada activo de informacin del Banco haya sido asignado a un
propietario el cual debe definir los requerimientos de seguridad como

polticas de proteccin, perfiles de acceso, respuesta ante incidentes y sea

responsable final del mismo.
Administrar un programa de clasificacin de activos de informacin,

incluyendo la identificacin de los propietarios de las aplicaciones y datos.
Coordinacin de todas las funciones relacionadas a seguridad, como

seguridad fsica, seguridad de personal y seguridad de informacin
almacenada en medios no electrnicos.
Desarrollar y administrar el presupuesto de seguridad de informacin.
Reportar peridicamente a la gerencia de Administracin y Operaciones.
Administracin de accesos a las principales aplicaciones del Banco.
Elaborar y mantener un registro con la relacin de los accesos de los

usuarios sobre los sistemas y aplicaciones del Banco y realizar revisiones
peridicas de la configuracin de dichos accesos en los sistemas.
Controlar aspectos de seguridad en el intercambio de informacin con

entidades externas.
Monitorear la aplicacin de los controles de seguridad fsica de los

principales activos de informacin.
Custodio de Informacin:
Es el responsable de la administracin diaria de la seguridad en los sistemas
de informacin y el monitoreo del cumplimiento de las polticas de seguridad en
los sistemas que se encuentran bajo su administracin. Sus responsabilidades
son:
Administrar accesos a nivel de red (sistema operativo).
Administrar accesos a nivel de bases de datos.
Administrar los accesos a archivos fsicos de informacin almacenada en

medios magnticos (diskettes, cintas), pticos (cds) o impresa.
Implementar controles definidos para los sistemas de informacin,

incluyendo investigacin e implementacin de actualizaciones de seguridad

de los sistemas (service packs, fixes, etc.) en coordinacin con el rea de

seguridad informtica.
Desarrollar procedimientos de autorizacin y autenticacin.
Monitorear el cumplimiento de la poltica y procedimientos de seguridad en

los activos de informacin que custodia.
Investigar brechas e incidentes de seguridad.
Entrenar a los empleados en aspectos de seguridad de informacin en

nuevas tecnologas o sistemas implantados bajo su custodia.
Asistir y administrar los procedimientos de backup, recuperacin y plan de

continuidad de sistemas.
Usuario:
Las responsabilidades de los usuarios finales, es decir, aquellas personas que
utilizan informacin del Banco como parte de su trabajo diario estn definidas a
continuacin:
Mantener la confidencialidad de las contraseas de aplicaciones y sistemas.
Reportar supuestas violaciones de la seguridad de informacin.
Asegurarse de ingresar informacin adecuada a los sistemas.
Adecuarse a las polticas de seguridad del Banco.
Utilizar la informacin del Banco nicamente para los propsitos

autorizados.
Propietario de Informacin:
Los propietarios de informacin son los gerentes y jefes de las unidades de
negocio, los cuales, son responsables de la informacin que se genera y se
utiliza en las operaciones de su unidad. Las reas de negocios deben ser
conscientes de los riesgos de tal forma que sea posible tomar decisiones para
disminuir los mismos.
Entre las responsabilidades de los propietarios de informacin se tienen:
Asignar los niveles iniciales de clasificacin de informacin.

Revisin peridica de la clasificacin de la informacin con el propsito de

verificar que cumpla con los requerimientos del negocio.
Asegurar que los controles de seguridad aplicados sean consistentes con la

clasificacin realizada.
Determinar los criterios y niveles de acceso a la informacin.
Revisar peridicamente los niveles de acceso a los sistemas a su cargo.
Determinar los requerimientos de copias de respaldo para la informacin

que les pertenece.
Tomar las acciones adecuadas en caso de violaciones de seguridad.
Verificar peridicamente la integridad y coherencia de la informacin

producto de los procesos de su rea.
Auditoria Interna:
El personal de auditoria interna es responsable de monitorear el cumplimiento
de los estndares y guas definidas en las polticas internas. Una estrecha
relacin del rea de auditoria interna con el rea de seguridad informtica es
crtica para la proteccin de los activos de informacin. Por lo tanto dentro del
plan anual de evaluacin del rea de auditoria interna se debe incluir la
evaluacin peridica de los controles de seguridad de informacin definidos por
el Banco.
Auditoria interna debe colaborar con el rea de seguridad informtica en la
identificacin de amenazas y vulnerabilidades referentes a la seguridad de
informacin del Banco.
4.3
ORGANIZACIN DEL AREA DE SEGURIDAD INFORMTICA

PROPUESTA
Dado el volumen de operaciones y la criticidad que presenta la informacin

para el negocio del Banco y tomando en cuenta las mejores prcticas de la
industria, es necesaria la existencia de un rea organizacional que administre
la seguridad informtica. Como requisito indispensable, esta rea debe ser

independiente de la Gerencia de Sistemas, la cual en muchos casos es la

ejecutora de las normas y medidas de seguridad elaboradas.
Este proceso de independizacin de la administracin de la seguridad del rea

de sistemas ya fue iniciado por el Banco al crear el rea de seguridad
informtica, la cual, reporta a la Gerencia de divisin de Administracin y
Operaciones.
Considerando la falta de recursos con el perfil requerido que puedan ser

rpidamente reasignados, el proceso de entendimiento y asimilacin de las
responsabilidades, los roles definidos correspondientes al rea de seguridad
informtica, y la necesidad de implementar un esquema adecuado de
seguridad, proponemos definir una estructura organizacional de seguridad
transitoria en la cual se crear un comit de coordinacin de seguridad de la
informacin para la definicin de los objetivos del rea y el monitoreo de las
actividades de la misma.
El comit de coordinacin de seguridad de la informacin, estar conformado

por las siguientes personas:
Gerente de divisin de Administracin y Operaciones (presidente del
comit).
Jefe del rea de seguridad informtica (responsable del comit).
Gerente de Sistemas.
Auditor de Sistemas.
Jefe del departamento de Riesgo Operativo y Tecnolgico.

Comit de
Coordinacin de
Seguridad de la
Informcin
Gerente de
Administracin y
Operaciones
Seguridad
Informtica
Sistemas
Contralora
General
Recursos
Humanos
Operaciones
Administracin
Fig. 1: Estructura organizacional transitoria propuesta para la

administracin de la seguridad de informacin.
Gerente de Divisin de
Administracin y
Operaciones
(Presidente del Comit)
Gerente de
Sistemas
Jefe de
Departamente de
Riesgo Operativo y
Tecnolgico
Auditor de
Sistemas
Jefe de Seguridad
Informtica
(Responsable)
Fig. 2: Organizacin del Comit de coordinacin de Seguridad de la

Informacin.
Este comit, determinar el gradual traslado de las responsabilidades de

seguridad al rea de seguridad informtica, monitorear las labores realizadas
por el rea, colaborando a su vez con el entendimiento de la plataforma
tecnolgica, los procesos del negocio del Banco y la planificacin inicial de
actividades que desarrollar el rea a corto plazo.

El comit de coordinacin deber reunirse con una frecuencia quincenal, con la

posibilidad de convocar reuniones de emergencia en caso de existir alguna
necesidad que lo amerite.
Es importante resaltar que luego que el rea de seguridad informtica haya

logrado una asimilacin de sus funciones, un entendimiento de los procesos del
negocio del Banco y una adecuada interrelacin con las gerencias de las
distintas divisiones del Banco, el jefe de rea de seguridad informtica debe
reportar directamente al Gerente de divisin de Administracin y Operaciones,
convirtindose el comit de coordinacin de seguridad informtica, en un ente
consultivo, dejando la labor de monitoreo a la gerencia de divisin.

Captulo V
EVALUACIN DE RIESGOS, AMENAZAS Y VULNERABILIDADES
Con el propsito de obtener un adecuado entendimiento de la implicancia que

tiene el uso de tecnologa, las amenazas y vulnerabilidades, as como las
iniciativas del negocio sobre la seguridad de la informacin del Banco, se
efectuaron entrevistas, de las cuales se obtuvo las siguientes tres matrices, que
nos muestran la implicancia en seguridad que presentan cada uno de los
factores mencionados anteriormente, as como el estndar o medida a aplicar
para minimizar los riesgos correspondientes.
5.1 Matriz de uso y estrategia de tecnologa
Esta matriz muestra la tecnologa utilizada actualmente por el Banco y los
cambios estratgicos planificados que impactan en ella, las implicancias de
seguridad asociadas al uso de tecnologa y los estndares o medidas
propuestas para minimizar los riesgos generados por la tecnologa empleada.
Tecnologa
Implicancia de seguridad
Estndar o medida de
seguridad a aplicar
Actual
Windows NT,
Se debe contar con controles
Estndar de mejores
Windows 2000
de acceso adecuados a la data
prcticas de seguridad para
y sistemas soportados por el
Windows NT
Sistema Operativo.
Estndar de mejores
Windows 2000.

Tecnologa
OS/400
Estndar o medida de
seguridad a aplicar
Estndar de mejores
de acceso adecuados a la data
y sistemas soportados por el
OS/400.
computador Central. Los

controles que posee este
servidor deben ser lo ms
restrictivos posibles pues es el
blanco potencial de la mayora
de intentos de acceso no
autorizado.
Base de datos
Estndar de mejores
SQL Server
de acceso a informacin de los
sistemas que soportan el
bases de datos SQL Server.
negocio de la Compaa.
Banca electrnica
El servidor Web se
Estndares de
a travs de
encuentra en calidad de
encripcin de
Internet.
"hosting" en Telefnica
informacin transmitida.
Data, se debe asegurar
Clusulas de
que el equipo cuente con
confidencialidad y
las medidas de seguridad
delimitacin de
necesarias, tanto fsicas
responsabilidades en
como lgicas.
contratos con
La transmisin de los datos
proveedores.
es realizada a travs de un
Acuerdos de nivel de
medio pblico (Internet), se
servicios con
debe contar con medidas
proveedores, en los
adecuadas para mantener
cuales se detalle el

Tecnologa
Estndar o medida de
seguridad a aplicar
la confidencialidad de la
porcentaje mnimo de
informacin (encripcin de
disponibilidad del
la data).
sistema.
El servidor Web que es
Evaluacin
accedido por los clientes
independiente de la
puede ser blanco potencial
seguridad del servidor
de actividad vandlica con
que brinda el servicio, o
el propsito de afectar la
acreditacin de la misma
imagen del Banco.
por parte del proveedor.
La disponibilidad del
sistema es un factor clave
para el xito del servicio.
Banca telefnica
Transmisin de informacin
Establecimiento de
por medios pblicos sin
lmites adecuados a las
posibilidad de proteccin
operaciones realizadas
adicional.
por va telefnica.
Imposibilidad de mantener
Posibilidad de registrar
la confidencialidad de las
el nmero telefnico
operaciones con el
origen de la llamada.
proveedor del servicio
Controles en los
telefnico.
sistemas de grabacin
Posibilidad de obtencin de
de llamadas telefnica.
nmeros de tarjeta y
Evaluar la posibilidad de
contraseas del canal de
notificar al cliente de
transmisin telefnico.
manera automtica e
inmediata luego de
realizada la operacin.

Tecnologa
Sistema Central
Estndar o medida de
Core Bancario
El sistema central es el
seguridad a aplicar
Estndar de mejores
sistema que soporta gran
prcticas de seguridad
parte de los procesos del
para OS/400.
negocio del Banco, por lo
Revisin peridica de los
tanto, todo acceso no
accesos otorgados a los
autorizado al servidor
usuarios del sistema.
representa un riesgo
potencial para el negocio.
Monitoreo peridico de
la actividad realizada en
el servidor.
Verificacin del control

dual de aprobacin en
transacciones sensibles.
MIS (Management
El acceso a repositorios de
Estndares de seguridad
Information
informacin sensible debe
de Windows 2000, bases
System)
ser restringido
de datos.
adecuadamente.
Adecuados controles de
acceso y otorgamiento
de perfiles a la
aplicacin.
Desarrollo de
Los proyectos de desarrollo
Estndar de mejores
aplicaciones para
en periodos muy cortos,
las unidades de
comprenden un acelerado
para Windows 2000,
negocio, en
desarrollo de sistemas; la
OS/400.
periodos muy
aplicacin de medidas de
cortos.
seguridad, debera
desarrollo de
encontrarse incluida en el
aplicaciones.
desarrollo del proyecto.
Metodologa para el
Procedimientos de

Tecnologa
Estndar o medida de
seguridad a aplicar
control de cambios.
El tiempo de pase a
produccin de un nuevo
Evaluacin de
sistema que soportar un
requerimientos de
producto estratgico, es
seguridad de los
muy importante para el
sistemas antes de su
xito del negocio, lo cual
pase a produccin.
puede originar que no se
Estndar de mejores
tomen las medidas de
seguridad necesarias antes
para aplicaciones
del pase a produccin de
distribuidas.
los nuevos sistemas.

Computadoras
personales.
Se debe contar con
Concientizacin y
adecuados controles de
entrenamiento de los
acceso a informacin
usuarios en temas de
existente en computadoras
seguridad de la
personales.
informacin.
Se requieren adecuados
Implementacin de
controles de accesos a la
mayores controles de
informacin de los sistemas
seguridad para
desde las computadoras
computadoras
personales de usuarios.
personales.
La existencia de diversos
Finalizacin del proyecto
sistemas operativos en el
de migracin de la
parque de computadores
plataforma de
personales, tales como,
computadoras
Windows 95, Windows 98,
personales al sistema
Windows NT, Windows
operativo Windows 2000

Tecnologa
Estndar o medida de
seguridad a aplicar
2000 Professional,
Windows XP, impide
y Windows XP.
estandarizar la
configuracin de los
para estaciones de
sistemas.
trabajo.
Debe existir un control
Actualizacin peridica
sobre los dispositivos que
de inventarios del
pudieran facilitar fuga de
software instalado.
informacin (disqueteras,
grabadoras de cd's,
impresoras personales,
Estndares de mejores
carpetas compartidas.
Monitoreo de actividad
etc.)
de los usuarios,
Se debe controlar y
sistemas de deteccin
monitorear las aplicaciones
de intrusos.
y sistemas instalados en
las PCs
Correo electrnico
Posibilidad de
Se debe contar con
interceptacin no
estndares de encripcin
autorizada de mensajes de
para los mensajes de
correo electrnico.
correo electrnico que
Riesgo de acceso no
contengan informacin
autorizado a informacin
confidencial.
del servidor.
Posibilidad de utilizacin de
recursos por parte de
para Windows NT y
personas no autorizadas,
Lotus Notes.
para enviar correo
Configuracin de anti-

Tecnologa
Estndar o medida de
seguridad a aplicar
electrnico a terceros (relay

no autorizado).
Implementacin de un
Posibilidad de recepcin de
sistema de seguridad del
correo inservible (SPAM).
contenido SMTP.
Riesgos de accesos no
Polticas de seguridad.
Internet y redes
autorizados desde Internet
pblicas / Firewall.
y redes externas hacia los
sistemas del Banco.
para servidores
Adecuado uso del acceso a
Windows NT, Windows
Internet por parte de los
2000, correo electrnico,
usuarios.
servidores Web y
Los dispositivos que
equipos de
permiten controlar accesos,
comunicaciones.
Conexin a
relay.
tales como, firewalls,
Delimitacin de
servidores proxy, etc.
responsabilidades
Deben contar con medidas
referentes a la seguridad
de seguridad adecuadas
de informacin en
para evitar su manipulacin
contratos con
por personas no
proveedores.
autorizadas.
Mejores prcticas de
Riesgo de acceso no
seguridad para
autorizado desde socios de
configuracin de
negocios hacia los
Firewalls.
sistemas de La Compaa.
Diseo e
implementacin de una
arquitectura de
seguridad de

Tecnologa
Estndar o medida de
seguridad a aplicar
red.Utilizacin de
sistemas de deteccin
de intrusos.
Especificacin de
acuerdos de nivel de
servicio con el
proveedor.
Controles y filtros para el

acceso a Internet.
En Proyecto
Cambios en la
Los cambios en la
Elaboracin de una
infraestructura de
infraestructura de red
arquitectura de red con
red.
pueden generar nuevas
medidas de seguridad
puertas de entrada a
adecuadas.
intrusos si los cambios no
Establecer controles de
son realizados con una
acceso adecuados a la
adecuada planificacin.
configuracin de los
Una falla en la
equipos de
configuracin de equipos
comunicaciones.
de comunicaciones puede
generar falta de
Plan de migracin de
infraestructura de red.
disponibilidad de sistemas.
Un diseo de red
inadecuado puede facilitar
el ingreso no autorizado a
la red de datos.
Software de
Riesgo de acceso no
Estndar de seguridad

Tecnologa
Estndar o medida de
administracin
autorizado a las consolas de
remota de PCs y
administracin y agentes de
servidores.
administracin remota.
seguridad a aplicar
para Windows NT
para Windows 2000
para Windows XP
Controles de acceso
adecuados a las
consolas y agentes de
administracin remota.
Establecimiento de
adecuados
procedimientos para
tomar control remoto de
PCs o servidores.
Adecuada configuracin
del registro (log) de
actividad realizada
mediante administracin
remota.
Migracin de
Posibilidad de error en el
servidores
traslado de los usuarios y
Windows NT
permisos de acceso a los
Server a Windows
directorios de los nuevos
2000 Server.
servidores.
para Windows 2000.
Procedimientos de
control de cambios.
Posibilidad de existencia de
vulnerabilidades no
Plan de migracin a
Windows 2000.
conocidas anteriormente.

Tecnologa
Implantacin de
Estndar o medida de
Datawarehouse.
Informacin sensible
seguridad a aplicar
almacenada en un
Seguridad para Windows
repositorio centralizado,
2000.
requiere de controles de
acceso adecuados.
Estndares de
en bases de datos SQL.
sistema debe ser alta para

no afectar las operaciones
Plan de implantacin de
Datawarehouse.
que soporta.
Procedimientos para
otorgamiento de perfiles.
5.2 Matriz de Evaluacin de Amenazas y Vulnerabilidades

En esta matriz se muestra los riesgos y amenazas identificadas, las
implicancias de seguridad y los estndares o medidas de seguridad necesarias
para mitigar dicha amenaza.
Amenaza /
Estndar o medida de
Implicancia de Seguridad
Vulnerabilidad
seguridad a aplicar
Riesgos/ Amenazas
Inters en obtener
La existencia de informacin
informacin
atractiva para competidores de
para servidores
estratgica del
negocio tales como
Windows 2000,
Banco, por parte
informacin de clientes e
Windows NT y OS/400.
de competidores
informacin de marketing
de negocio.
implica la aplicacin de
aplicaciones del Banco.
controles adecuados para el
Revisin y depuracin
Control de acceso a las

Amenaza /
Vulnerabilidad
Estndar o medida de
seguridad a aplicar
acceso a informacin.
peridica de los accesos

otorgados.
Restricciones en el
manejo de informacin
enviada por correo
electrnico hacia redes
externas, extrada en
disquetes o cds e
informacin impresa.
Verificacin de la
informacin impresa en
reportes, evitar mostrar
informacin innecesaria
en ellos.
Inters en obtener
Debido al volumen de dinero
beneficios
que es administrado por es
para Windows NT,
econmicos
administrado por una entidad
Windows 2000, OS/400
mediante actividad
financiera, la amenaza de
y bases de datos SQL.
fraudulenta.
intento de fraude es una
Controles de accesos a
posibilidad muy tentadora
los mens de las
tanto para personal interno del
aplicaciones.
Banco, as como para personal

externo.
Revisiones peridicas de
los niveles de accesos
de los usuarios.
Evaluacin peridica de
la integridad de la

Amenaza /
Estndar o medida de
Vulnerabilidad
seguridad a aplicar
informacin por parte del
propietario de la misma.
los registros (logs) de los
sistemas y operaciones
realizadas.
Mejores prcticas para

configuracin de
firewalls, servidores y
equipos de
comunicaciones.
Actividad
La actividad desarrollada
vandlica
por hackers o crackers
para servidores
realizada por
de sistemas, puede afectar
Windows 2000.
hackers o
la disponibilidad, integridad
crackers
y confidencialidad de la
para servidores
informacin del negocio.
Windows NT.
Estos actos vandlicos
Delimitacin de
pueden ser desarrollados
responsabilidades y
por personal interno o
sanciones en los
externo al Banco.
contratos con
Adicionalmente si dicha
proveedores de servicios
actividad es realizada
en calidad de hosting.
contra equipos que
Verificacin de
proveen servicios a los
evaluaciones peridicas
clientes (pgina Web del
o certificaciones de la
banco) la imagen y
seguridad de los

Amenaza /
Estndar o medida de
Vulnerabilidad
seguridad a aplicar
reputacin del Banco se
sistemas en calidad de
podra ver afectada en un
hosting.
grado muy importante.
Concientizacin y
compromiso formal de
los usuarios en temas
relacionados a la
seguridad de
informacin.
Prdida de
El riesgo de prdida de
Polticas de Seguridad.
Adecuada arquitectura e
informacin
informacin por virus
implementacin del
producto de
informtico es alto si no se
sistema antivirus.
infeccin por virus
administra adecuadamente
informtico.
el sistema Antivirus y los
la actualizacin del
usuarios no han sido
antivirus de
concientizados en
computadoras
seguridad de informacin
personales y servidores.
Verificacin peridica de
Generacin peridica de
reportes de virus
detectados y
actualizacin de
antivirus.
Fuga de
Los accesos otorgados al
Control adecuado de los
informacin a
personal temporal deben
travs del personal
ser controlados
que ingresa de
adecuadamente, asimismo
accesos otorgados a los
manera temporal
la actividad realizada por
sistemas.
accesos otorgados.
Depuracin peridica de

Amenaza /
Estndar o medida de
Vulnerabilidad
seguridad a aplicar
en sustitucin de
los mismos en los sistemas
empleados en
debe ser peridicamente
a correo electrnico y
vacaciones.
monitoreada.
transferencia de
El personal temporal podra
archivos hacia Internet.
realizar actividad no
Restricciones en acceso
autorizada, la cual podra
y revisin peridica de
ser detectada cuando haya
los registros (logs) de
finalizado sus labores en el
aplicaciones y sistema
Banco.
operativo.
Vulnerabilidades
No se cuenta con
El control sobre la actividad de
un inventario de
los usuarios en los sistemas es
inventario de los
perfiles de acceso
llevado a cabo en muchos
accesos que poseen los
a las aplicaciones.
casos, mediante perfiles de
usuarios sobre las
usuarios controlando as los
aplicaciones.
privilegios de acceso a los
sistemas.
Se debe contar con un
los perfiles y accesos de
los usuarios por parte
del propietario de la
informacin.
Exceso de
La necesidad de utilizar
contraseas
contraseas distintas para
posible la estructura de
manejadas por los
cada sistema o aplicacin del
las contraseas
usuarios.
Banco, puede afectar la
empleadas y sus fechas
seguridad en la medida que el
de renovacin.
usuario no sea capaz de
Uniformizar dentro de lo
Implementar un sistema

Amenaza /
Vulnerabilidad
Estndar o medida de
seguridad a aplicar
retener en la memoria, la
de Servicio de directorio,
relacin de nombres de
el cual permita al usuario
usuario y contraseas
identificarse en l, y
utilizadas en todos los
mediante un proceso
sistemas. La necesidad de
automtico, ste lo
anotar las contraseas por
identifique en los
parte de los usuarios, expone
sistemas en los cuales
las mismas a acceso por parte
posee acceso.
de personal no autorizado.
Existencia de
El ambiente de produccin
usuarios del rea
debe contar con controles de
de perfiles de acceso
de desarrollo y
acceso adecuados con
que poseen los usuarios
personal temporal
respecto los usuarios de
de desarrollo en el
con acceso al
desarrollo, esto incluye las
entorno de produccin.
entorno de
aplicaciones y bases de datos
produccin.
de las mismas.
Inventario y depuracin
Adecuada segregacin
de funciones del
personal del rea de
sistemas.
Procedimiento de pase a
produccin.
Aplicaciones cuyo
El rea de seguridad
acceso no es
informtica debe participar en
responsabilidades del
controlado por el
el proceso de asignacin de
rea de seguridad
rea de seguridad
accesos a las aplicaciones del
informtica.
informtica.
Banco y verificar que la
Formalizacin de roles y
Traslado de la
solicitud de accesos sea
responsabilidad del
coherente con el cargo del
control de accesos a

Amenaza /
Vulnerabilidad
Estndar o medida de
seguridad a aplicar
usuario.
aplicaciones al rea de
El gerente que aprueba la
seguridad informtica.
solicitud es el responsable de
los accesos que solicita para
los usuarios de su rea.
Falta de
El personal del Banco es el
conciencia en
vnculo entre la poltica de
capacitacin del Banco
seguridad por
seguridad y su implementacin
en temas relacionados a
parte del personal
final para aplicar la poltica de
la seguridad de
del Banco.
seguridad, se pueden
informacin.
establecer controles y un
Programa de
Capacitacin mediante
monitoreo constante, pero la
charlas, videos,
persona es siempre el punto
presentaciones, afiches,
ms dbil de la cadena de
etc., los cuales
seguridad, este riesgo se
recuerden
puede incrementar si el
permanentemente al
usuario no recibe una
usuario la importancia
adecuada capacitacin y
de la seguridad de
orientacin en seguridad de
informacin.
informacin.
Falta de personal
Para una adecuada
con conocimientos
administracin de la seguridad
personal tcnico en
tcnicos de
informtica se requiere
temas de seguridad de
seguridad
personal capacitado que
informacin o inclusin
informtica.
pueda cumplir las labores de
nuevo de personal con
elaboracin de polticas y
conocimientos de
administracin de seguridad
seguridad de
Capacitacin del

Amenaza /
Estndar o medida de
Vulnerabilidad
seguridad a aplicar
en el rea de seguridad
informacin para las
informtica, as como
reas de seguridad
implementacin de controles y
informtica y sistemas.
configuracin de sistemas en
el rea de sistemas.
Falta de controles
El acceso hacia Internet por
adecuados para la
medios como correo
del servidor Proxy y la
informacin que
electrnico, ftp (file transfer
herramienta Surf
envan los
protocol) o incluso web en
Control.
usuarios hacia
algunos casos, puede facilitar
Internet.
la fuga de informacin
reportes de la
confidencial del Banco.
efectividad de los
El Banco ha invertido en la
controles aplicados.
implementacin de una
Configuracin adecuada
Generacin peridica de
Implementacin de una
herramienta para el filtrado de
adecuada arquitectura
las pginas web que son
de red.
accedidas por los usuarios, se
debe asegurar que dicho
la configuracin de
control sea adecuadamente
Firewalls.
aplicado.
Implementacin y
administracin de
Vulnerabilidades:
herramientas para la
No existen controles
inspeccin del contenido
adecuados sobre el
de los correos
personal autorizado a
electrnicos enviados.
enviar correo electrnico al

exterior.

Amenaza /
Estndar o medida de
Vulnerabilidad
seguridad a aplicar
No existen herramientas de
inspeccin de contenido
para correo electrnico.
Se pudo observar que

usuarios que no se han
identificado en el dominio
del Banco, pueden acceder
al servicio de navegacin a
travs del servidor Proxy.
No existen
Existe informacin
controles
almacenada en las
procedimiento formal
adecuados para la
computadoras personales de
que contemple la
informacin
los usuarios que requiere
generacin de copia de
almacenada en las
ciertos niveles de seguridad.
respaldo de informacin
computadoras
Los usuarios deben contar con
importante de los
personales.
procedimientos para realizar
usuarios.
copias de respaldo de su
Establecimiento de un
Concluir el proceso de
informacin importante.
migracin del sistema
Vulnerabilidades:
operativo de las
El sistema operativo
computadoras
Windows 95/98 no permite
personales a Windows
otorgar niveles apropiados
2000 Professional o
de seguridad a la
Windows XP.
informacin existente en
Concientizacin de
ellas.
usuarios en temas
No existe un procedimiento
relacionados a la
para verificacin peridica
seguridad de la

Amenaza /
Estndar o medida de
Vulnerabilidad
seguridad a aplicar
de las carpetas
informacin.
compartidas por los

usuarios.
El procedimiento para
realizar copias de respaldo
de la informacin
importante no es conocido
por todos los usuarios.
Arquitectura de red Posibilidad de acceso no
Diseo de arquitectura
inapropiada para
autorizado a sistemas por
controlar accesos
parte de personal externo al
desde redes
Banco.
de elementos de control
externas.
Vulnerabilidades:
de conexiones
(firewalls).
Existencia de redes
externas se conectan con
de seguridad de red.
Implementacin y
la red del Banco sin la
administracin de
proteccin de un firewall.
herramientas de
Los servidores de acceso
seguridad.
pblico no se encuentran
aislados de la red interna.
Fuga de
Es posible obtener la
informacin
informacin existente en las
encripcin de la data
estratgica
computadoras porttiles de los
confidencial existente en
mediante
gerentes del banco mediante
los discos duros de las
sustraccin de
el robo de las mismas.
computadoras porttiles.
Programas para
computadores

Amenaza /
Estndar o medida de
Vulnerabilidad
seguridad a aplicar
porttiles.
Acceso no
El riesgo de contar con
Evaluacin del alcance
autorizado a travs
segmentos de red
de enlaces
inalmbricos sin medidas
inalmbricos.
de seguridad especficas
segmento de red
para este tipo de enlaces,
inalmbrico mediante un
radica en que cualquier
Firewall.
persona podra conectar un
de la red inalmbrica.
Separacin del
Verificacin peridica de
equipo externo al Banco
la actividad realizada
incluso desde un edificio
desde la red
cercano.
inalmbrica.
Utilizacin de encripcin
.
Controles de
Posibilidad de acceso no
Implementacin de una
acceso hacia
autorizado desde la red
adecuada arquitectura
Internet desde la
interna de datos hacia
de red.
red interna.
equipos de terceros en
Internet.
Posibilidad de fuga de
Configuracin adecuada
de servidor Proxy.
informacin.
la configuracin de
Posibilidad de realizacin
Firewalls.
de actividad ilegal en
Implementacin y
equipos de terceros a
administracin de
travs de Internet.
herramientas para la
seguridad del contenido
de los correos
electrnicos enviados.

Amenaza /
Vulnerabilidad
Estndar o medida de
seguridad a aplicar
la actividad, mediante el
anlisis de los registros
(logs) de los sistemas.
5.3 Matriz de Iniciativas del Negocio / Procesos

En esta matriz se muestra las iniciativas y operaciones del negocio que poseen
alta implicancia en seguridad y los estndares o medidas de seguridad a ser
aplicados para minimizar los riesgos generados por ellas.
Iniciativa del
Estndar o medida de
Negocio
seguridad a aplicar
Iniciativas del Negocio

Implantacin de
Datawarehouse.
Informacin sensible
Estndar de mejores
almacenada en un
prcticas de
repositorio centralizado,
seguridad para
requiere de controles de
Windows NT
acceso adecuados.
Estndar de mejores
prcticas de
sistema debe ser alta para
seguridad para
no afectar las operaciones
Windows
que soporta.
Plan de implantacin
de Datawarehouse.
Procedimientos para
otorgamiento de
perfiles.

Iniciativa del
Negocio
Estndar o medida de
seguridad a aplicar
Implementacin de
una arquitectura de
red segura.
Proyecto de
Consulta de informacin
Especificacin de
tercerizacin del
existente en los sistemas
responsabilidades y
Call Center
por parte de terceros.
obligaciones
Registro de informacin en
referentes a la
los sistemas por parte de
seguridad de la
terceros.
informacin del
Banco, en los
contratos con
terceros.
Especificacin de
servicio.
Adecuados controles
de acceso a la
informacin
registrada en el
sistema
Proyecto de
El acceso de personal no
Estndares de
comunicacin con
autorizado a los medios de
seguridad para la
Conasev utilizando
almacenamiento de llaves
manipulacin y
firmas digitales
de encripcin (media,
revocacin de llaves
(Requerimiento de
smartcards, impresa)
de encripcin.
Conasev)
debilita todo el sistema de

encripcin de la
Implementacin de
controles de acceso a

Iniciativa del
Negocio
Estndar o medida de
seguridad a aplicar
informacin.
dispositivos y llaves
Para los procesos de firma
de encripcin.
y encripcin de la
informacin se requiere el
ingreso de contraseas,
estas contraseas deben
ser mantenidas en forma
confidencial.
Digitalizacin
La disposicin de estos
Aplicacin de
(scanning) de
elementos en medios
estndares de
poderes y firmas.
digitales requiere de
seguridad de la
adecuados niveles de
plataforma que
proteccin para evitar su
contiene dicha
acceso no autorizado y
informacin.
utilizacin con fines
ilegales.
Encripcin de la data
digitalizada.
Restriccin de
accesos a los
poderes y firmas
tanto a nivel de
aplicacin, como a
nivel de sistema
operativo.
Tercerizacin de
La administracin de
Clusulas de
operaciones de
equipos crticos de la red
confidencialidad y
sistemas y Help
del Banco por parte de
establecimiento claro
Desk.
terceros representa un
de responsabilidades

Iniciativa del
Negocio
Estndar o medida de
seguridad a aplicar
riesgo en especial por la
de los proveedores
posibilidad de fuga de
en los contratos,
informacin confidencial.
especificacin de
penalidades en caso
de incumplimiento.
Monitoreo peridico
de las operaciones
realizadas por
personal externo,
incluyendo la revisin
peridica de sus
actividades en los
registros (logs) de
aplicaciones y
sistema operativo.
Evitar otorgamiento
de privilegios
administrativos a
personal externo,
para evitar
manipulacin de
registros.
Proyecto de
El sistema SWIFT se
Estndar de mejores
interconexin del
encuentra en un segmento
prcticas de
Sistema Swift a la
aislado de la red de datos
seguridad para
red de datos del
del Banco por razones de
servidores Windows
Banco.
seguridad de informacin.
NT

Iniciativa del
Negocio
Al unir el sistema Swift a la
Estndar o medida de
seguridad a aplicar
Controles de acceso
red de datos del Banco,
a la aplicacin
dicho sistema se va a
SWIFT.
encontrar expuesto a
Estndares de
intentos de acceso no
encripcin de datos
autorizados por parte de
entre el sistema Swift
equipos que comprenden
y los terminales que
la red de datos.
se comunican con l.
Operaciones del Negocio

Almacenamiento
Las cintas de backup
Acuerdos de
de copias de
guardan informacin
confidencialidad y
respaldo realizado
confidencial del negocio del
tiempo de respuesta
por Hermes.
banco, adicionalmente
en los contratos con
deben encontrarse
el proveedor.
disponibles para ser
Pruebas del tiempo
utilizadas en una
de respuesta del
emergencia y la
proveedor para
informacin que guardan
transportar las cintas
debe mantenerse ntegra.
de backup en caso de
emergencia.
Verificacin peridica
del estado de las
cintas.
Procesamiento de
El almacenamiento de
Acuerdos de
transacciones de
informacin por parte de
confidencialidad y
tarjetas de crdito
terceros podra representar
tiempo de respuesta

Iniciativa del
Negocio
Estndar o medida de
seguridad a aplicar
y dbito realizado
una fuente de divulgacin
en contratos con el
por Unibanca.
no autorizada de
proveedor.
informacin del Banco y
Estndares de
sus clientes.
encripcin de
El acceso a los sistemas
informacin
por parte de terceros debe
transmitida.
ser controlado para evitar

la realizacin de actividad
no autorizada.
Almacenamiento
Acuerdos de
de Documentos
confidencialidad y
realizado por
tiempo de respuesta
terceros File
en contratos con
Service
no autorizada de
proveedores.
sus clientes.
del grado de deterioro
de la documentacin.
informacin debe realizarse

de manera adecuada para
mantener la disponibilidad
de los documentos y evitar
su deterioro.
Impresin y
Acuerdos de
ensobrado de
confidencialidad en
estados de cuenta
contratos con
realizado por
proveedores.
Napatek
no autorizada de
Estndares de

Iniciativa del
Negocio
Estndar o medida de
seguridad a aplicar
encripcin de datos
sus clientes.
transmitidos por
El envo de informacin
correo electrnico.
sensible al proveedor debe
Verificacin de
ser realizado por un canal
integridad de la data
de transmisin seguro, o
transmitida.
en su defecto debe contar

con medidas de encripcin,
que impidan su utilizacin
en caso de ser
interceptada.
Envo de
Se debe asegurar que la
Estndares de
informacin
informacin sensible
encripcin de datos
sensible a clientes
transmitida a los clientes
transmitidos.
y entidades
cuente con medidas de
recaudadoras va
seguridad adecuadas las
correo electrnico
cuales permitan garantizar

el cumplimiento de normas
como el secreto bancario.
Almacenamiento
El Banco almacena
Clasificacin y
fsico de
documentos importantes
etiquetado de la
informacin
de clientes, muchos de
informacin.
realizada al interior
ellos con informacin
del Banco.
confidencial, asimismo
controles fsicos de
existe informacin en otros
acceso a la
medios como discos duros,
informacin de
cintas, etc., que albergan
acuerdo a su
Implementacin de

Iniciativa del
Negocio
Estndar o medida de
seguridad a aplicar
informacin importante. Se
debe asegurar que dicha
clasificacin.
Establecimiento de
informacin cuente con
condiciones
medidas de seguridad
apropiadas de
adecuadas que aseguren
almacenamiento para
la integridad, disponibilidad
evitar su deterioro.
y confidencialidad de la
informacin.
Mantenimiento de un
registro de entrada y
salida de activos de
los archivos.
Acceso de
Todo acceso de personal
Clusulas de
personal de
externo a la red de datos
confidencialidad y
Rehder a la red de
del Banco representa un
datos del Banco.
riesgo potencial de acceso
no autorizado a los
de los proveedores
sistemas.
en los contratos,
especificacin de
penalidades en caso
de incumplimiento.
Monitoreo de
actividad realizada
por personal externo.
Restricciones de
acceso a Internet
configurados en el
firewall.
Centro de
Los sistemas ubicados en
Especificacin de

Iniciativa del
Negocio
Estndar o medida de
seguridad a aplicar
Contingencia
Telefnica Data deben
ubicado en el TIC
encontrarse siempre
servicio y
de Telefnica
disponibles para ser
penalidades en caso
Data.
utilizados en casos de
de incumplimiento en
emergencia.
contratos con
Se debe asegurar la
proveedores.
integridad de la informacin
Pruebas del centro de
existente en los sistemas
contingencia.
de respaldo y el grado de
actualizacin de la misma
de la disponibilidad
con respecto al sistema en
de los sistemas y
produccin.
grado de
actualizacin de la
informacin.
Atencin en Front
Office.
Las aplicaciones y los
Acuerdos de niveles
sistemas de
de servicio en
comunicaciones deben
contratos con
encontrarse disponibles en
proveedores de
todo momento para no
comunicaciones.
afectar la atencin a los
clientes.
de disponibilidad de
Los periodos de
los sistemas.
indisponibilidad deben ser

medidos.
Implementacin de
mtricas de
rendimiento y
disponibilidad de los
sistemas.

Iniciativa del
Negocio
Soporte de IBM al
Servidor AS/400.
El servidor AS/400 es el
Estndar o medida de
seguridad a aplicar
Clusulas de
que soporta la mayor
confidencialidad y
cantidad de procesos del
negocio del Banco, por lo
tanto se debe asegurar que
de los proveedores
el proveedor debe ser
en los contratos,
capaz de restaurar los
especificacin de
servicios del servidor en el
penalidades en caso
menor tiempo posible.
de incumplimiento.
Asimismo dado que el
Asignacin de un
proveedor accede
usuario distinto al
peridicamente al equipo,
utilizado por personal
existe el riesgo de acceso
del Banco con los
no autorizado a
privilegios mnimos
informacin existente en el
necesarios.
mismo.
Inspeccin del log de

actividades del
proveedor luego de
realizar
mantenimiento al
equipo.

Captulo VI
POLTICAS DE SEGURIDAD DE LA INFORMACIN
En este capitulo se elaboraran las polticas de seguridad con el propsito de

proteger la informacin de la empresa, estas servirn de gua para la
implementacin de medidas de seguridad que contribuirn a mantener la
integridad, confidencialidad y disponibilidad de los datos dentro de los sistemas
de aplicacin, redes, instalaciones de cmputo y procedimientos manuales.
El documento de polticas de seguridad ha sido elaborado tomando como base
la siguiente documentacin:
Estndar de seguridad de la informacin ISO 17799
Requerimientos de la Circular N G-105-2002 de la Superintendencia

de Banca y Seguros (SBS) sobre Riesgos de Tecnologa de Informacin.
Normas internas del Banco referidas a seguridad de informacin.
6.1
Definicin
Una Poltica de seguridad de informacin es un conjunto de reglas aplicadas a

todas las actividades relacionadas al manejo de la informacin de una entidad,
teniendo el propsito de proteger la informacin, los recursos y la reputacin de
la misma.
Propsito
El propsito de las polticas de seguridad de la informacin es proteger la
informacin y los activos de datos del Banco. Las polticas son guas para
asegurar la proteccin y la integridad de los datos dentro de los sistemas de
aplicacin, redes, instalaciones de cmputo y procedimientos manuales.

6.2
CUMPLIMIENTO OBLIGATORIO
El cumplimiento de las polticas y estndares de seguridad de la informacin es

obligatorio y debe ser considerado como una condicin en los contratos del
personal.
El Banco puede obviar algunas de las polticas de seguridad definidas en este
documento, nicamente cuando se ha demostrado claramente que el
cumplimiento de dichas polticas tendra un impacto significativo e inaceptable
para el negocio. Toda excepcin a las polticas debe ser documentada y
aprobada por el rea de seguridad informtica y el rea de auditoria interna,
detallando el motivo que justifica el no-cumplimiento de la poltica.
6.3
ORGANIZACIN DE LA SEGURIDAD
En esta poltica se definen los roles y responsabilidades a lo largo de la

organizacin con respecto a la proteccin de recursos de informacin. Esta
poltica se aplica a todos los empleados y otros asociados con el Banco, cada
uno de los cuales cumple un rol en la administracin de la seguridad de la
informacin. Todos los empleados son responsables de mantener un ambiente
seguro, en tanto que el rea de seguridad informtica debe monitorear el
cumplimiento de la poltica de seguridad definida y realizar las actualizaciones
que sean necesarias, producto de los cambios en el entorno informtico y las
necesidades del negocio.
6.3.1 Estructura Organizacional
En la administracin de la seguridad de la informacin participan todos los
empleados siguiendo uno o ms de los siguientes roles:
-
rea de Seguridad Informtica
Usuario
Custodio de informacin
Propietario de informacin
Auditor interno

Los roles y funciones de administracin de la seguridad de la informacin de

cada uno de estas personas estn detalladas en el Capitulo IV.
6.3.2 Acceso por parte de terceros
El Banco debe establecer para terceros al menos las mismas
restricciones de acceso a la informacin que a un usuario interno.
Adems, el acceso a la informacin debe limitarse a lo mnimo
indispensable para cumplir con el trabajo asignado. Las excepciones
deben ser analizadas y aprobadas por el rea de seguridad informtica.
Esto incluye tanto acceso fsico como lgico a los recursos de informacin
del Banco.
Todo acceso por parte de personal externo debe ser autorizado por un
responsable interno, quien asume la responsabilidad por las acciones que
pueda realizar el mismo. El personal externo debe firmar un acuerdo de
no-divulgacin antes de obtener acceso a informacin del Banco.
Proveedores que requieran acceso a los sistemas de informacin del
Banco deben tener acceso nicamente cuando sea necesario.
Todas las conexiones que se originan desde redes o equipos externos al
Banco, deben limitarse nicamente a los servidores y aplicaciones
necesarios. Si es posible, estos servidores destino de las conexiones
deben estar fsicamente o lgicamente separados de la red interna del
Banco.
Los contratos relacionados a servicios de tecnologas de informacin
deben ser aprobados por el rea legal del Banco, y en el caso de que
afecten la seguridad o las redes de la organizacin deben ser aprobados
adicionalmente por el rea de seguridad informtica. Bajo determinadas
condiciones, como en la ejecucin de servicios crticos para el negocio, el
Banco debe considerar efectuar una revisin independiente de la
estructura de control interno del proveedor.

En los contratos de procesamiento de datos externos se debe especificar

los requerimientos de seguridad y acciones a tomar en caso de violacin
de los contratos. Todos los contratos deben incluir una clusula donde se
establezca el derecho del Banco de nombrar a un representante
autorizado para evaluar la estructura de control interna del proveedor.
6.3.3 Outsourcing
Todos los contratos de Outsourcing deben incluir lo siguiente:
-
Acuerdos sobre polticas y controles de seguridad.
Determinacin de niveles de disponibilidad aceptable.
El derecho del Banco de auditar los controles de seguridad de

informacin del proveedor.
Determinacin de los requerimientos legales del Banco.
Metodologa del proveedor para mantener y probar cclicamente la

seguridad del sistema.
Que el servicio de procesamiento y la informacin del Banco objeto

de la subcontratacin estn aislados, en todo momento y bajo
cualquier circunstancia.
El proveedor es responsable de inmediatamente informar al responsable

del contrato de cualquier brecha de seguridad que pueda comprometer
informacin del Banco. Cualquier empleado del Banco debe informar de
violaciones a la seguridad de la informacin por parte de proveedores al
rea de seguridad informtica.
6.4 EVALUACION DE RIESGO
El costo de las medidas y controles de seguridad no debe exceder la
prdida que se espera evitar. Para la evaluacin del riesgo se deben de
seguir los siguientes pasos:
-
Clasificacin del acceso de la informacin

Ejecucin del anlisis del riesgo identificando reas vulnerables, prdida

potencial y seleccin de controles y objetivos de control para mitigar los
riesgos, de acuerdo a los siguientes estndares.
6.4.1 Inventario de activos
Los inventarios de activos ayudan a garantizar la vigencia de una
proteccin eficaz de los recursos, y tambin pueden ser necesarios para
otros propsitos de la empresa, como los relacionados con sanidad y
seguridad, seguros o finanzas (administracin de recursos). El proceso de
compilacin de un inventario de activos es un aspecto importante de la
administracin de riesgos. Una organizacin debe contar con la capacidad
de identificar sus activos y el valor relativo e importancia de los mismos.
Sobre la base de esta informacin, la organizacin puede entonces,
asignar niveles de proteccin proporcionales al valor e importancia de los
activos. Se debe elaborar y mantener un inventario de los activos
importantes asociados a cada sistema de informacin. Cada activo debe
ser claramente identificado y su propietario y clasificacin en cuanto a
seguridad deben ser acordados y documentados, junto con la ubicacin
vigente del mismo (importante cuando se emprende una recuperacin
posterior a una prdida o dao). Ejemplos de activos asociados a
sistemas de informacin son los siguientes:
-
Recursos de informacin: bases de datos y archivos, documentacin

de sistemas, manuales de usuario, material de capacitacin,
procedimientos operativos o de soporte, planes de continuidad,
disposiciones relativas a sistemas de emergencia para la reposicin de
informacin perdida (fallback), informacin archivada;
Recursos de software: software de aplicaciones, software de sistemas,

herramientas de desarrollo y utilitarios;
Activos fsicos: equipamiento informtico (procesadores, monitores,

computadoras porttiles, mdems), equipos de comunicaciones

(routers, PBXs, mquinas de fax, contestadores automticos), medios

magnticos (cintas y discos), otros equipos tcnicos (suministro de
electricidad, unidades de aire acondicionado), mobiliario, lugares de
emplazamiento;
-
Servicios: servicios informticos y de comunicaciones, utilitarios

generales, por Ej. calefaccin, iluminacin, energa elctrica, aire
acondicionado.
6.4.2 Clasificacin del acceso de la informacin

Toda la informacin debe de ser clasificada como Restringida,
Confidencial, Uso Interno o General de acuerdo a lo definido en el capitulo
4.2.1. La clasificacin de informacin debe de ser documentada por el
Propietario, aprobada por la gerencia responsable y distribuida a los
Custodios durante el proceso de desarrollo de sistemas o antes de la
distribucin de los documentos o datos.
La clasificacin asignada a un tipo de informacin, solo puede ser
cambiada por el propietario de la informacin, luego de justificar
formalmente el cambio en dicha clasificacin.
La informacin que existe en ms de un medio (por ejemplo, documento
fuente, registro electrnico, reporte o red) debe de tener la misma
clasificacin sin importar el formato.
Frecuentemente, la informacin deja de ser sensible o crtica despus de
un cierto perodo de tiempo, verbigracia, cuando la informacin se ha
hecho pblica. Este aspecto debe ser tomado en cuenta por el propietario
de la informacin, para realizar una reclasificacin de la misma, puesto
que la clasificacin por exceso (over- classification) puede traducirse en
gastos adicionales innecesarios para la organizacin.
La informacin debe de ser examinada para determinar el impacto en el
Banco si fuera divulgada o alterada por medios no autorizados. A
continuacin detallamos algunos ejemplos de informacin sensible:

Datos de inters para la competencia:

- Estrategias de marketing
- Listas de clientes
- Fechas de renovacin de crditos
- Tarifaciones
- Datos usados en decisiones de inversin
Datos que proveen acceso a informacin o servicios:

- Llaves de encripcin o autenticacin
- Contraseas
Datos protegidos por legislacin de privacidad vigente

- Registros del personal
- Montos de los pasivos de clientes
- Datos histricos con 10 aos de antigedad
Datos que tienen un alto riesgo de ser blanco de fraude u otra actividad
ilcita:
- Datos contables utilizados en sistemas
- Sistemas que controlan desembolsos de fondos
6.4.3 Definiciones
Restringida: Informacin con mayor grado de sensibilidad; el acceso a
esta informacin debe de ser autorizado caso por caso.
Confidencial: Informacin sensible que solo debe ser divulgada a
aquellas personas que la necesiten para el cumplimiento de sus
funciones.
Uso Interno: Datos generados para facilitar las operaciones diarias;
deben de ser manejados de una manera discreta, pero no requiere de
medidas elaboradas de seguridad.
General: Informacin que es generada especficamente para su
divulgacin a la poblacin general de usuarios.

6.4.4 Aplicacin de controles para la informacin clasificada

Las medidas de seguridad a ser aplicadas a los activos de informacin
clasificados, incluyen pero no se limitan a las siguientes:
6.4.4.1
Informacin de la Compaa almacenada en formato digital
Todo contenedor de informacin en medio digital (CDs, cintas de

backup, diskettes, etc.) debe presentar una etiqueta con la clasificacin
correspondiente.
La informacin en formato digital clasificada como de acceso General,

puede ser almacenada en cualquier sistema de la Compaa. Sin
embargo se deben tomar las medidas necesarias para no mezclar
informacin
General
con
informacin
correspondiente
otra
clasificacin.
Todo usuario, antes de transmitir informacin clasificada como
Restringida o Confidencial, debe asegurarse que el destinatario de la
informacin est autorizado a recibir dicha informacin.
Todo usuario que requiere acceso a informacin clasificada como
Restringida o Confidencial, debe ser autorizado por el propietario de
la misma. Las autorizaciones de acceso a este tipo de informacin
deben ser documentadas.
La clasificacin asignada a un tipo de informacin, solo puede ser
cambiada por el propietario de la informacin, luego de justificar
formalmente el cambio en dicha clasificacin.
Informacin en formato digital, clasificada como Restringida, debe ser
encriptada con un mtodo aprobado por los encargados de la
administracin de seguridad de la informacin, cuando es almacenada
en cualquier medio (disco duro, disquetes, cintas, CDs, etc.).

Es recomendable el uso de tcnicas de encripcin para la informacin

clasificada como Restringida o Confidencial, transmitida a travs de la
red de datos del Banco.
Toda transmisin de Informacin clasificada como Restringida,
Confidencial o de Uso Interno realizada hacia o a travs de redes
externas a la Compaa debe realizarse utilizando un medio de
transmisin seguro o utilizando tcnicas de encripcin aprobadas.
Todo documento en formato digital, debe presentar la clasificacin
correspondiente en la parte superior (cabecera) e inferior (pi de pgina)
de cada pgina del documento.
Los
medios
de
almacenamiento,
incluyendo
discos
duros
de
computadoras, que albergan informacin clasificada como Restringida,

deben ser ubicados en ambientes cerrados diseados para el
almacenamiento de dicho tipo de informacin. En lugar de proteccin
fsica, la informacin clasificada como Restringida, podra ser protegida
con tcnicas de encripcin aprobadas por la Compaa.
6.4.4.2
Informacin de la Compaa almacenada en formato no

digital
Todo documento o contenedor de informacin debe ser etiquetado como

Restringida, Confidencial, de Uso interno o de Acceso General,
dependiendo de la clasificacin asignada.
Todo
documento
que
presente
informacin
clasificada
como
Confidencial o Restringida, debe ser etiquetado en la parte superior e

inferior de cada pgina con la clasificacin correspondiente.
Todo documento clasificado como Confidencial o Restringido debe
contar con una cartula en la cual se muestre la clasificacin de la
informacin que contiene.

Los activos de informacin correspondiente a distintos niveles de

clasificacin, deben ser almacenados en distintos contenedores, de no ser
posible dicha distincin, se asignar el nivel ms critico de la informacin
identificada a todo el contenedor de informacin.
El ambiente donde se almacena la informacin clasificada como
Restringida, debe contar con adecuados controles de acceso y
asegurado cuando se encuentre sin vigilancia. El acceso debe ser
permitido solo al personal formalmente autorizado. Personal de limpieza
debe ingresar al ambiente acompaado por personal autorizado.
Solo el personal formalmente autorizado debe tener acceso a informacin
clasificada como Restringida o Confidencial
Los usuarios que utilizan documentos con informacin Confidencial o
Restringida deben asegurarse de:
- Almacenarlos en lugares adecuados
- Evitar que usuarios no autorizados accedan a dichos documentos
- Destruir los documentos si luego de su utilizacin dejan de ser
necesarios
6.4.5 Anlisis de riesgo

Los Propietarios de la informacin y custodios son conjuntamente
responsables del desarrollo de anlisis de riesgos anual de los sistemas a
su cargo. Como parte del anlisis se debe identificar las aplicaciones de
alta criticidad como crticas para la recuperacin ante desastres. Es
importante identificar:
- reas vulnerables
- Prdida potencial
- Seleccin de controles y objetivos de control para mitigar los riesgos,
indicando las razones para su inclusin o exclusin (Seguridad de

datos, Plan de respaldo/recuperacin, Procedimientos estndar de

operacin)
Adicionalmente, un anlisis de riesgo debe de ser conducido luego de
cualquier cambio significativo en los sistemas, en concordancia con el
clima cambiante de las operaciones en el negocio del Banco.
El anlisis de riesgo debe tener un propsito claramente definido y
delimitado, existiendo dos posibilidades: cumplimiento con los controles
y/o medidas de proteccin o la aceptacin del riesgo.
6.4.6 Cumplimiento
El cumplimiento satisfactorio del proceso de evaluacin del riesgo se
caracteriza por:
- Identificacin y clasificacin correcta de los activos a ser protegidos.

- Aplicacin consistente y continua de los controles y/o medidas para
mitigar el riesgo (seguridad efectiva de datos, recuperacin ante
desastres adecuado)
- Deteccin temprana de los riesgos, reporte adecuado de prdidas, as
como una respuesta oportuna y efectiva ante las perdidas ya
materializadas.
6.4.7 Aceptacin de riesgo
La gerencia responsable puede obviar algn control o requerimiento de
proteccin y aceptar el riesgo identificado solo cuando ha sido
claramente demostrado que las opciones disponibles para lograr el
cumplimiento han sido identificadas y evaluadas, y que stas tendran un
impacto significativo y no aceptable para el negocio.
La aceptacin de riesgo por falta de cumplimiento de los controles y/o
medidas de proteccin debe ser documentada, revisada por las partes

involucradas, comunicada por escrito y aceptada por las reas

responsables de la administracin de la seguridad.
6.5 SEGURIDAD DEL PERSONAL
Los estndares relacionados al personal deben ser aplicados para asegurarse
que los empleados sean seleccionados adecuadamente antes de ser
contratados, puedan ser fcilmente identificados mientras formen parte del
Banco y que el acceso sea revocado oportunamente cuando un empleado es
despedido o transferido. Deben desarrollarse estndares adicionales para
asegurar que el personal sea consciente de todas sus responsabilidades y
acciones apropiadas en el reporte de incidentes.
Esta poltica se aplica a todos los empleados, personal contratado y
proveedores.
Los empleados son los activos ms valiosos del Banco. Sin embargo, un
gran nmero de problemas de seguridad de cmputo pueden ser causados
por descuido o desinformacin. Se deben de implementar procedimientos
para manejar estos riesgos y ayudar al personal del Banco a crear un
ambiente de trabajo seguro.
Medidas de precaucin deben de ser tomadas cuando se contrata,
transfiere y despide a los empleados. Deben de establecerse controles
para comunicar los cambios del personal y los requerimientos de recursos
de cmputo a los responsables de la administracin de la seguridad de la
informacin. Es crucial que estos cambios sean atendidos a tiempo.
6.5.1 Seguridad en la definicin de puestos de trabajo y recursos
El departamento de Recursos Humanos debe de notificar al rea de
seguridad informtica, la renuncia o despido de los empleados as como
el inicio y fin de los periodos de vacaciones de los mismos. Cuando se
notifique un despido o transferencia, el Custodio de informacin debe de
asegurarse que el identificador de usuario sea revocado. Cuando se

notifique una transferencia o despido, el rea de seguridad debe de

asegurarse que las fichas o placas sean devueltas al Banco. Cualquier
tem entregado al empleado o proveedor como computadoras porttiles,
llaves, tarjetas de identificacin, software, datos, documentacin,
manuales, etc. deben de ser entregados a su gerente o al rea de
Recursos Humanos.
La seguridad es responsabilidad de todos los empleados y personas
involucradas con el Banco. Por ende, todos los empleados, contratistas,
proveedores y personas con acceso a las instalaciones e informacin del
Banco deben de acatar los estndares documentados en la poltica de
seguridad del Banco e incluir la seguridad como una de sus
responsabilidades principales.
Todos los dispositivos personales de informacin, como por ejemplo
computadoras de propiedad de los empleados o asistentes digitales
personales (PDA Personal Digital Assistant), que interacten con los
sistemas del Banco, deben ser aprobados y autorizados por la gerencia
del Banco.
6.5.2 Capacitacin de usuarios
Es responsabilidad del rea de seguridad informtica promover
constantemente la importancia de la seguridad a todos los usuarios de los
sistemas de informacin. El programa de concientizacin en seguridad
debe de contener continuas capacitaciones y charlas, adicionalmente se
puede emplear diversos mtodos como afiches, llaveros, mensajes de
log-in, etc., los cuales recuerden permanentemente al usuario el papel
importante que cumplen en el mantenimiento de la seguridad de la
informacin.

Orientacin para los empleados y/o servicios de terceros nuevos

Cuando se contrate a un empleado nuevo y/o el servicio de algn tercero,
se debe de entregar la poltica de seguridad as como las normas y
procedimientos para el uso de las aplicaciones y los sistemas de
informacin del Banco. Asimismo se debe entregar un resumen escrito de
las medidas bsicas de seguridad de la informacin.
El personal de terceros debe recibir una copia del acuerdo de no
divulgacin firmado por el Banco y por el proveedor de servicios de
terceros as como orientacin con respecto a su responsabilidad en la
confidencialidad de la informacin del Banco.
Entre otros aspectos se debe considerar:
-
El personal debe de ser comunicado de las implicancias de seguridad

en relacin a las responsabilidades de su trabajo
Una copia firmada de la poltica de seguridad de informacin debe de

ser guardada en el archivo del empleado
Concientizacin peridica
Estudios muestran que la retencin y el conocimiento aplicable se
incrementa considerablemente cuando el tema es sujeto a revisin. Los
usuarios deben de ser informados anualmente sobre la importancia de la
seguridad de la informacin. Un resumen escrito de la informacin bsica
debe de ser entregada nuevamente a cada empleado y una copia firmada
debe de ser guardada en sus archivos.
La capacitacin en seguridad debe de incluir, pero no estar limitado, a los
siguientes aspectos:
-
Requerimientos de identificador de usuario y contrasea
Seguridad de PC, incluyendo proteccin de virus
Responsabilidades de la organizacin de seguridad de informacin
Concientizacin de las tcnicas utilizadas por hackers
Programas de cumplimiento

Guas de acceso a Internet
Guas de uso del correo electrnico
Procesos de monitoreo de seguridad de la informacin utilizados
Persona de contacto para informacin adicional
6.5.3 Procedimientos de respuesta ante incidentes de seguridad

El personal encargado de la administracin de seguridad debe ser
plenamente identificado por todos los empleados del Banco.
Si un empleado del Banco detecta o sospecha la ocurrencia de un
incidente de seguridad, tiene la obligacin de notificarlo al personal de
seguridad informtica. Si se sospecha la presencia de un virus en un
sistema, el usuario debe desconectar el equipo de la red de datos,
notificar al rea de seguridad informtica quien trabajar en coordinacin
con el rea de soporte tcnico, para la eliminacin del virus antes de
restablecer la conexin a la red de datos. Es responsabilidad del usuario
(con la apropiada asistencia tcnica) asegurarse que el virus haya sido
eliminado por completo del sistema antes de conectar nuevamente el
equipo a la red de datos.
Si un empleado detecta una vulnerabilidad en la seguridad de la
informacin debe notificarlo al personal encargado de la administracin de
la seguridad, asimismo, est prohibido para el empleado realizar pruebas
de dicha vulnerabilidad o aprovechar sta para propsito alguno.
El rea de seguridad informtica debe documentar todos los reportes de
incidentes de seguridad.
Cualquier error o falla en los sistemas debe ser notificado a soporte
tcnico, quin determinar si el error es indicativo de una vulnerabilidad
en la seguridad.
Las acciones disciplinarias tomadas contra socios de negocio o
proveedores por la ocurrencia de una violacin de seguridad, deben ser

consistentes con la magnitud de la falta, ellas deben ser coordinadas con

el rea de Recursos Humanos.
6.5.3.1
Registro de fallas
El personal encargado de operar los sistemas de informacin debe

registrar todos lo errores y fallas que ocurren en el procesamiento de
informacin o en los sistemas de comunicaciones. Estos registros deben
incluir lo siguiente:
-
Nombre de la persona que reporta la falla
Hora y fecha de ocurrencia de la falla
Descripcin del error o problema
Responsable de solucionar el problema
Descripcin de la respuesta inicial ante el problema
Descripcin de la solucin al problema
Hora y fecha en la que se solucion el problema
Los registros de fallas deben ser revisados semanalmente. Los registros

de errores no solucionados deben permanecer abiertos hasta que se
encuentre una solucin al problema. Adems, estos registros deben ser
almacenados para una posterior verificacin independiente.
6.5.3.2
Intercambios de informacin y correo electrnico
Los mensajes de correo electrnico deben ser considerados de igual

manera que un memorndum formal, son considerados como parte de
los registros del Banco y estn sujetos a monitoreo y auditoria. Los
sistemas de correo electrnico no deben ser utilizados para lo siguiente:
-
Enviar cadenas de mensajes
Enviar mensajes relacionados a seguridad, exceptuando al personal

encargado de la administracin de la seguridad de la informacin
Enviar propaganda de candidatos polticos

Actividades ilegales, no ticas o impropias
Actividades no relacionadas con el negocio del Banco
Diseminar direcciones de correo electrnico a listas pblicas
No deben utilizarse reglas de reenvo automtico a direcciones que no

pertenecen a la organizacin. No existe control sobre los mensajes de
correo electrnico una vez que estos se encuentran fuera de la red del
Banco.
Deben establecerse controles sobre el intercambio de informacin del
Banco con terceros para asegurar la confidencialidad e integridad de la
informacin, y que se respete la propiedad intelectual de la misma. Debe
tomarse en consideracin:
-
Acuerdos para el intercambio de software
Seguridad de media en trnsito
Controles sobre la transmisin mediante redes
Debe establecerse un proceso formal para aprobar la publicacin de

informacin del Banco. El desarrollo de pginas Web programables o
inteligentes (utilizando tecnologas como CGI o ASP) debe considerarse
como desarrollo de software y debe estar sujeto a los mismos controles.
La informacin contenida en sistemas pblicos no debe contener
informacin restringida, confidencial o de uso interno. De igual manera,
los equipos que brindan servicios Web, correo electrnico, comercio
electrnico u otros servicios pblicos no deben almacenar informacin
restringida, confidencial o de uso interno. Antes que un empleado del
Banco libere informacin que no sea de uso general debe verificarse la
identidad del individuo u organizacin recipiente utilizando firmas
digitales, referencias de terceros, conversaciones telefnicas u otros
mecanismos similares.
Debe establecerse controles sobre equipos de oficina como telfonos,
faxes e impresoras que procesan informacin sensible del Banco.

Informacin restringida o confidencial solo debe imprimirse en equipos

especficamente designados para esta tarea.
6.5.3.3
Seguridad para media en trnsito
La informacin a ser transferida en media digital o impresa debe ser

etiquetada con la clasificacin de informacin respectiva y detallando
claramente el remitente y recipiente del mismo. La informacin enviada
por servicios postales debe ser protegida de accesos no autorizados
mediante la utilizacin de:
6.6
Paquetes sellados o lacrados
Entrega en persona
Firmado y sellado de un cargo

SEGURIDAD
FSICA
DE
LAS
INSTALACIONES
DE
PROCESAMIENTO DE DATOS
Se deben implementar medidas de seguridad fsica para asegurar la
integridad de las instalaciones y centros de cmputo. Las medidas de
proteccin deben ser consistentes con el nivel de clasificacin de los
activos y el valor de la informacin procesada y almacenada en las
instalaciones.
6.6.1 Proteccin de las instalaciones de los centros de datos
Un centro de procesamiento de datos o de cmputo es definido como
cualquier edificio o ambiente dentro de un edificio que contenga equipos
de almacenamiento, proceso o transmisin de informacin. Estos incluyen
pero no se limitan a los siguientes:
-
Mainframe, servidores, computadoras personales y perifricos
Consolas de administracin
Libreras de cassettes o DASD
Equipos de telecomunicaciones

Centrales telefnicas, PBX
Armarios de alambrado elctrico o cables
Los controles deben de ser evaluados anualmente para compensar

cualquier cambio con relacin a los riesgos fsicos.
Los gerentes que estn planeando o revisando cualquier ambiente
automatizado, incluyendo el uso de las computadoras personales, deben
contactarse con el personal encargado de la administracin de la
seguridad de la informacin para asistencia en el diseo de los controles
fsicos de seguridad.
6.6.2 Control de acceso a las instalaciones de cmputo

El acceso a cualquier instalacin de cmputo debe estar restringido
nicamente al personal autorizado.
Todas las visitas deben ser identificadas y se debe mantener un registro
escrito de las mismas. Estas visitas deben ser en compaa de un
empleado durante la permanencia en las instalaciones de computo.
Si bien es recomendable que los proveedores de mantenimiento, a
quienes se les otorga acceso continuo a las reas sensibles, estn
siempre acompaados por un empleado autorizado de la empresa, puede
resultar poco prctico en algunos casos.
Todo el personal en las instalaciones de cmputo deben de portar un
carn, placa o ficha de identificacin. Sistemas automatizados de
seguridad para acceso fsico deben de ser instalados en centros de
cmputo principales. Centros pequeos pueden controlar el acceso fsico
mediante el uso de candados de combinacin o llaves.
Medidas apropiadas como guardias o puertas con alarmas, deben de ser
utilizadas para proteger las instalaciones durante las horas no laborables.
El retiro de cualquier equipo o medio electrnico de las instalaciones de
cmputo debe de ser aprobado por escrito por personal autorizado.

6.6.3 Acuerdo con regulaciones y leyes

Los controles de seguridad fsica deben de estar en acuerdo con las
regulaciones existentes de fuego y seguridad, as como con los
requerimientos contractuales de los seguros contratados.
6.7 ADMINISTRACIN DE COMUNICACIONES Y OPERACIONES

La administracin de las comunicaciones y operaciones del Banco, son
esenciales para mantener un adecuado nivel de servicio a los clientes. Los
requerimientos de seguridad deben ser desarrollados e implementados
para mantener el control sobre las comunicaciones y las operaciones.
Los procedimientos operacionales y las responsabilidades para mantener
accesos adecuados a los sistemas, as como el control y la disponibilidad
de los mismos, deben ser incluidas en las funciones operativas del Banco.
Todas las comunicaciones e intercambios de informacin, tanto dentro de
las instalaciones y sistemas del Banco como externas a ella, deben ser
aseguradas, de acuerdo al valor de la informacin protegida.
6.7.1 Procedimientos y Responsabilidades Operacionales
6.7.1.1
Procedimientos operativos documentados
Todos los procedimientos de operacin de los sistemas deben ser

documentados y los cambios realizados a dichos procedimientos deben
ser autorizados por la gerencia respectiva.
Todos los procedimientos de encendido y apagado de los equipos deben
ser documentados; dichos procedimientos deben incluir el detalle de
personal clave a ser contactado en caso de fallas no contempladas en el
procedimiento regular documentado.
Todas las tareas programadas en los sistemas para su realizacin
peridica, deben ser documentadas. Este documento debe incluir tiempo

de inicio, tiempo de duracin de la tarea, procedimientos en caso de

falla, entre otros.
Los procedimientos para resolucin de errores deben ser documentados,
entre ellos se debe incluir:
Errores en la ejecucin de procesos por lotes
Fallas o apagado de los sistemas
Cdigos de error en la ejecucin de procesos por lotes
Informacin de los contactos que podran colaborar con la resolucin
de errores.
6.7.1.2
Administracin de operaciones realizadas por terceros
Todos los procesos de operacin realizados por terceros deben ser

sujetos a una evaluacin de riesgos de seguridad y se debe desarrollar
procedimientos para administrar estos riesgos.
-
Asignacin
de
responsables
para
la
supervisin
de
dichas
actividades
-
Determinar si se procesar informacin crtica.
Determinar los controles de seguridad a implementar
Evaluar el cumplimiento de los estndares de seguridad del Banco.
Evaluar la implicancia de dichas tareas en los planes de contingencia

del negocio
Procedimientos de respuesta ante incidentes de seguridad
Evaluar el cumplimiento de los estndares del Banco referentes a

contratos con terceros.
6.7.1.3
Control de cambios operacionales
Todos los cambios realizados en los sistemas del Banco, a excepcin de

los cambios de emergencia, deben seguir los procedimientos de
cambios establecidos.

Solo el personal encargado de la administracin de la seguridad puede

realizar o aprobar un cambio de emergencia. Dicho cambio debe ser
documentado y aprobado en un periodo mximo de 24 horas luego de
haberse producido el cambio.
Los roles del personal involucrado en la ejecucin de los cambios en los
sistemas deben encontrarse debidamente especificados.
Los cambios deben ser aprobados por la gerencia del rea usuaria, el
personal encargado de la administracin de la seguridad de la
informacin y el encargado del rea de sistemas. Todos los
requerimientos de cambios deben ser debidamente documentados,
siguiendo los procedimientos para cambios existentes en el Banco.
Antes de la realizacin de cualquier cambio a los sistemas se debe
generar copias de respaldo de dichos sistemas.
6.7.1.4
Administracin de incidentes de seguridad
Luego de reportado el incidente de seguridad, ste debe ser investigado

por el rea de seguridad informtica. Se debe identificar la severidad del
incidente para la toma de medidas correctivas.
El personal encargado de la administracin de la seguridad debe realizar
la investigacin de los incidentes de forma rpida y confidencial.
Se debe mantener una documentacin de todos los incidentes de
seguridad ocurridos en el Banco.
Se debe mantener intacta la evidencia que prueba la ocurrencia de una
violacin de seguridad producida tanto por entes internos o externos,
para su posterior utilizacin en procesos legales en caso de ser
necesario.

6.7.1.5
Separacin de funciones de operaciones y desarrollo
El ambiente de prueba debe de mantenerse siempre separado del

ambiente de produccin, debiendo existir controles de acceso
adecuados para cada uno de ellos.
El ambiente de produccin es aquel en el cual residen los programas
ejecutables de produccin y los datos necesarios para el funcionamiento
de los mismos. Solo el personal autorizado a efectuar los cambios en los
sistemas debe contar con privilegios de escritura en los mismos.
Los programas compiladores no deben ser instalados en los sistemas en
produccin, todo el cdigo debe ser compilado antes de ser transferido
al ambiente de produccin.
Las pruebas deben de realizarse utilizando datos de prueba. Sin
embargo, copias de datos de produccin pueden ser usadas para las
pruebas, siempre y cuando los datos sean autorizados por el propietario
y manejados de manera confidencial.
El personal de desarrollo puede tener acceso de solo lectura a los datos
de produccin. La actualizacin de los permisos de acceso a los datos
de produccin debe de ser autorizada por el propietario de informacin y
otorgada por un periodo limitado.
Se deben utilizar estndares de nombres para distinguir el conjunto de
nombres de las tareas y de los datos, del modelo y de los ambientes de
produccin.
Un procedimiento de control de cambio debe de asegurar que todos los
cambios del modelo y ambientes de produccin hayan sido revisados y
aprobados por el (los) gerente(s) apropiados.
6.7.2 Proteccin contra virus
El rea de seguridad informtica debe realizar esfuerzos para determinar
el origen de la infeccin por virus informtico, para evitar la reinfeccin de
los equipos del Banco.

La posesin de virus o cualquier programa malicioso est prohibida a

todos los usuarios. Se tomarn medidas disciplinarias en caso se
encuentren dichos programas en computadoras personales de usuarios.
Todos los archivos adjuntos recibidos a travs del correo electrnico
desde Internet deben ser revisados por un antivirus antes de ejecutarlos.
Asimismo est prohibido el uso de diskettes y discos compactos
provenientes de otra fuente que no sea la del mismo BANCO ABC, a
excepcin de los provenientes de las interfaces con organismos
reguladores, proveedores y clientes, los cuales necesariamente deben
pasar por un proceso de verificacin y control en el rea de Sistemas
(Help Desk), antes de ser ledos.
El programa antivirus debe encontrarse habilitado en todos las
computadoras del Banco y debe ser actualizado peridicamente. En caso
de detectar fallas en el funcionamiento de dichos programas stas deben
ser comunicadas al rea de soporte tcnico. El programa antivirus debe
ser configurado para realizar revisiones peridicas para la deteccin de
virus en los medios de almacenamiento de las computadoras del Banco.
Debe contarse con un procedimiento para la actualizacin peridica de los
programas antivirus y el monitoreo de los virus detectados.
Es obligacin del personal del Banco, emplear slo los programas cuyas
licencias han sido obtenidas por el Banco y forman parte de su plataforma
estndar. Asimismo, se debe evitar compartir directorios o archivos con
otros usuarios; en caso de ser absolutamente necesario, coordinar con la
Gerencia respectiva y habilitar el acceso slo a nivel de lectura,
informando al Departamento de Produccin y Soporte Tcnico.
Todo el personal del Banco debe utilizar los protectores de pantalla y/o
papel tapiz autorizados por la Institucin; el estndar es:
Papel Tapiz: BANCO ABC
Protector de Pantalla: BANCO ABC.

Plan de Seguridad Informatica para Una Entidad Financiera

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Plan de Seguridad Informatica para Una Entidad Financiera

Cargado por

Copyright:

Formatos disponibles

UNIVERSIDAD NACIONAL MAYOR DE SAN MARCOS

FACULTAD DE CIENCIAS MATEMTICAS

PLAN DE SEGURIDAD INFORMTICA PARA UNA ENTIDAD FINANCIERA

2.1 Metodologa ESA....................................................................................................3

Matriz de uso y estrategia de tecnologa ....................................................... 16

Cumplimiento obligatorio ...................................................................................49

Organizacin de la Seguridad ..........................................................................49

Evaluacion de riesgo ..........................................................................................51

Seguridad del personal......................................................................................58

Seguridad fsica de las instalaciones de procesamiento de datos .............64

Proteccin de las instalaciones de los centros de datos............. 64

Administracin de comunicaciones y operaciones........................................66

Control de acceso de datos...............................................................................71

Identificacin de usuarios ................................................................. 71

Desarrollo y mantenimiento de los sistemas..................................................89

6.10 Cumplimiento normativo ...................................................................................91

Revisin de la poltica de seguridad y cumplimiento tcnico ..... 92

6.11 Consideraciones de auditoria de sistemas .....................................................93

Proteccin de las herramientas de auditoria ................................. 93

6.12 Poltica de Comercio Electrnico .....................................................................94

CONCLUSIONES Y RECOMENDACIONES ........................................................114

Diseo de arquitectura de seguridad de red ................................................118

Circular n g-105-2002 publicada por la Superintendencia de Banca y

Detalle: Diagnostico de la Situacion Actual de la Administracin de los riesgos

Plan de Seguridad Informtica para una Entidad Financiera .

La liberalizacin y la globalizacin de los servicios financieros, junto con la

En otros tiempos la seguridad de la informacin era fcilmente administrable,

Los sistemas electrnicos entraron en las oficinas y obligaron a los sistemas de

De manera similar a otro tipo de crmenes, el cuantificar los gastos y prdidas

tiende a minimizar los incidentes por motivos muchas veces justificables.

Por otro lado el objetivo fundamental de la seguridad no es proteger los

Plan de Seguridad Informtica para una Entidad Financiera .

La seguridad es slo uno de los componentes de la administracin de riesgos

Los incidentes de seguridad ms devastadores tienden ms a ser internos que

Las computadoras no atacan a las empresas, lo hace la gente. Los empleados

El presente trabajo describe como se define un Plan de Seguridad para una

Plan de Seguridad Informtica para una Entidad Financiera .

Security is just one of the components of risk management - minimize the

Plan de Seguridad Informtica para una Entidad Financiera .

The more destructive security incidents tend mostly to be internal instead of

Computers does not attack enterprises, people do it. Employees with

Plan de Seguridad Informtica para una Entidad Financiera .

Los eventos mundiales recientes han generado un mayor sentido de urgencia

La informacin esencial fuera robada, se perdiera, estuviera en peligro,

Los sistemas de correo electrnico no funcionaran durante un da o ms.

Los clientes no pudieran enviar rdenes de compra a travs de la red

Plan de Seguridad Informtica para una Entidad Financiera .

Prepararse para mltiples escenarios parece ser la tendencia creciente. En un

Cmo desarrollar una poltica de seguridad?

Identifique y evale los activos: Qu activos deben protegerse y cmo

Identifique las amenazas: Cules son las causas de los potenciales

Estas amenazas son externas o internas:

Amenazas externas: Se originan fuera de la organizacin y son

Amenazas internas: Son las amenazas que provienen del

Plan de Seguridad Informtica para una Entidad Financiera .

ocasionar los empleados al enviar y revisar el material ofensivo a

Evalu los riesgos: ste puede ser uno de los componentes ms

Asigne las responsabilidades: Seleccione un equipo de desarrollo que

Establezca polticas de seguridad: Cree una poltica que apunte a los

Implemente una poltica en toda la organizacin: La poltica que se

Plan de Seguridad Informtica para una Entidad Financiera .

especficos. Tambin puede requerir que todos los empleados firmen la

Cumplimiento: Indique un procedimiento para garantizar el