Banco INDUSTRIAL MANUAL POLiTICAS Y NORMAS DE SEGURIDAD EN LA TECNOLOGIA DE INFORMACION Y COMUNICACIONES PARA EL BANCO INDUSTRIAL DE VENEZUELA AGOSTO/ 2012, ‘Area Pianificacion y Evaluacion de Gestion /Dopartamento Organizacion y SistemasN°: APEG/2012/026 BaNco INDUSTRIAL PUNTO DE CUENTA AL De VENezuELn PRESIDENTE 08 / 09/2012 oe PAGINA 1_DE 1 TFS SOT - Division de Investigaciones y Seguridad de Datos / Area de Planificacién y Evaluacién de Gestion ASOT Manual de Politicas y Normas de Seguridad en la Tecnologia de la Informacion y Comunicaciones para el Banco Industriel de Venezuela PROPUESTA En virtud de la modemizacién de a plataforma tecnolbgica del BIV, la publicacion de la “Normativa de Tecnologia de la Informacion, Servicios Financieros Desmaterializados, Banca Electrénica, Virtual y en Linea para los Entes Sometidos al Control, Regulacion y Supervision * , las “Normas que Regulan el Uso de los Servicios de la Banca Electrénica” por parte de la Superintendencia de las Instituciones del Sector Bancario, y la Ley de Mensajes de Datos y Firmas Electronicas, Publicade en la Gaceta Oficial N° 37.148 28 de febrero de 2001, surgié la necesidad de actualizar el Manual de Politicas y Normas de Seguridad de Informacién para el Banco Industrial de Venezuela, aprobada mediante la Resolucion de Junta Directiva N° JD-2004-387, Acta 28, del 16/06/2004, La Division de Investigaciones y Seguridad de Datos y el Area de Planificacion y Evaluacién de Gestién procedieron a efectuar la revision de! manual mencionado anteriormente, a los fines de su actualizecién para lo cual: + Se modificé el nombre del manual vigente por Manual de Politicas y Normas de Seguridad en la Tecnologia de la Informacion y Comunicaciones para el Banco Industrial de Venezuela + Se adecuaron las politicas del BIV, sobre Seguridad de la Tecnologia en la Informacion, Banca Electronica, Servicios Financieros Desmaterializados, a la Normativa emitidas por la SUDEBAN. En relacion a lo antes expuesto se somete a la consideracién del Presidente del Banco Industrial de Venezuela lo siguiente: ‘-Aprobar e! Manual de Politicas y Normas de Seguridad en la Tecnologia de la Informacion y Comunicaciones pare el Banco Industrial de Venezuela. 2-Dejar sin efecto el Manual de Politicas y Normas de Seguridad de Informacion para el Banco Industrial de Venezuela, ‘aprobado mediante la Resolucién de Junta Directiva N° JD-2004-387, Acta 28, del 16/06/2004, Si 5 + PRESENTADO. Faas RESULTADO soso | “sisigo | prenoo [vero —Jastnscnnes : a e | sscr z T © 7 PRESDENCIA = Rage ESTE TOE DETER FEE G, ee AP ae CT / 2012 %, — < 631012 2 Wer 2012 TORT aaa PRESIDENCIABaNco INDUSTRIAL PUNTO DE CUENTA AL. DE VENEZUELA PRESIDENTE 08 / 09/2012 - i PAGINA 1_ DE 1 “PENDENCE S) SOUTER Division de Investigaciones y Seguridad de Datos / Area de Planificacién y Evaluacion de Gestion FRAG Manual de Politicas y Normas de Seguridad en la Tecnologia de la Informacién y Comunicaciones para el Banco Industrial de Venezuela PROPUESTA En virtud de la modemizacién de la plataforma tecnolégica del BIV, la publicacion de la “Normativa de Tecnologia de la Informacion, Servicios Financieros Desmaterializados, Banca Electr6nica, Virtual y en Linea para los Entes Sometidos al Control, Regulacion y Supervision “ , las "Normas que Regulan el Uso de los Servicios de la Banca Electrénica" por parte de la Superintendencia de las Instituciones del Sector Bancario, y la Ley de Mensajes de Datos y Firmas Electrénicas, ublicada en la Gaceta Oficial N° 37.148 28 de febrero de 2001, surgié la necesidad de actualizar el Manual de Politicas y Normas de Seguridad de Informacion para el Banco Industrial de Venezuela, aprobada mediante la Resolucién de Junta Directiva N* JD-2004-387, Acta 28, del 16/06/2004. La Division de Investigaciones y Seguridad de Datos y el Area de Planificacién y Evaluacion de Gestién procedieron a efectuar la revision del manual mencionado anteriormente, a los fines de su actualizacion pare lo cual + Se modificé e! nombre del manual vigente por Manual de Politicas y Normas de Seguridad en la Tecnologia de la Informacion y Comunicaciones para el Banco Industrial de Venezuela. + Se adecuaron las politicas del BIV, sobre Seguridad de la Tecnologia en la Informacién, Banca Electronica, Servicios Financieros Desmaterializedos, a la Normativa emitidas por la SUDEBAN. En relacién a lo antes expuesto se somete a la consideracién del Presidente de! Banco Industrial de Venezuela Io siguiente: 1-Aprobar el Manual de Politicas y Normas de Seguridad en la Tecnologia de la Informacion y Comunicaciones para el Banco Industrial de Venezuela, 2.Dejar sin efecto e| Manual de Politicas y Normas de Seguridad de Informacion para el Banco Industrial de Venezuela, aprobado mediante la Resolucién de Junta Directiva N° JD-2004-387, Acta 28, del 16/06/2004. PRESENTADO POR LAS AREAS: i Li¢.RAAGNAR RERMUDEZ MACHADO << Veceresione (0) vigdn dETavestgacenah y Seguridad de Dstos RESULTADO. DIFERIDO | visto [WSTRUCCIONES T PRESIDENCIA 04 Qcr ,2oi2 DEPENDENCIA SOLICITANTEPOLITICAS Y NORMAS DE SEGURIDAD EN LA TECNOLOGIA DE INFORMACION Y COMUNICACIONES PARA EL BANCO INDUSTRIAL DE VENEZUELA inDICE PAGINA PRESENTACION 2 APROBACION 4 CONTROL DE ELABORACION Y/O ACTUALIZACION 5 NORMAS PARA LA ACTUALIZACION DE LOS MANUALES 6 1. INTRODUCCION 7 Wl. DIAGRAMA CONCEPTUAL 8 Ml, MARCO LEGAL 9 IV. POLITICAS 9 1, RESPONSABILIDAD DEL PERSONAL 9 2, DELAIDENTIFICACION DE USUARIOS 10 3. DE LA CONFIDENCIALIDAD DE LA INFORMACION 10 4. DE LA CLASIFICACION DE LA INFORMACION 4 5. DE LAS OPERACIONES DE ALTO RIESGO "1 6. DEL CONTROL DE LOS CAMBIOS 12 7. DELAS BITACORAS (LOGS) 12 8. DE LOS PLANES DE CONTINGENCIA Y EL RESPALDO DE LA INFORMACION 13 9. DELA SEGURIDAD FISICA 13 10. DEL USO DE INTERNET Y CORREO ELECTRONICO 14 11. DEL USO DE MENSAJERIA INSTANTANEA, 16 12, DE LAS COMUNICACIONES 16 13. DEL USO ACEPTABLE DEL SOFTWARE 17 14. DE LOS CONTRATOS CON TERCEROS 7 15. 16. 17 Vv. NORMAS 1 2. 3. 4, VI. ANEXOS ‘i DEL DESARROLLO DE SOFTWARE DE LOS SERVICIOS BANCA ELECTRONICA DE LAS FIRMAS Y CERTIFICADOS ELECTRONICOS DE LA IDENTIFICACION DE USUARIOS DE LOS PERMISOS A LOS RECURSOS DE LA PROTECCION DE RECURSOS ESTANDARES DE DENOMINACION DE USUARIOS GLOSARIO DE TERMINOS “Area Pianificacion y Evaivacion de Gestion /Dopartamento Oganizacion y Sistemasror om 2 | PB INDUSTRIAL] potiticas v NORMAS DE SEGURIDAD EN LA ee! iE TECNOLOGIA DE INFORMACION Y COMUNICACIONES | “nccoro | PARA EL BANCO INDUSTRIAL DE VENEZUELA 2012 PRESENTACION El Banco Industrial de Venezuela, C.A. (B.I.V.), a fin de de cumplir a cabalidad con los objetivos y metas propuestas, asi como con las exigencias actuales de transformacién y modernizacion de la Organizacién, ha elaborado a través del Departamento de Organizacion y Sistemas, adscrito al Area de Planificacion y Evaluacién de Gestién, el “Manual de Politicas y Normas de Seguridad de la Tecnologie de la Informacion y Comunicaciones para el Banco Industrial de Venezuela’, con la finalidad proveer un documento formal que pueda ser utiizado como mecanismo de control interno para salvaguardar los recursos tecnolégicos informacién contenidos en los Sistemas del BIV, estableciéndolo en este acto como disposicién y politica de control interno conforme al ‘Titulo II” “Del Sistema Nacional de Control Fiscal", “Capitulo II° ‘Del Control Intemo", Articulos 35, 36, 37 y 39, de la LEY ORGANICA DE LA CONTRALORIA GENERAL DE LA REPUBLICA Y DEL SISTEMA NACIONAL DE CONTROL FISCAL (publicada en Gaceta Oficial extraordinaria N° 6013 de fecha 23-12-2010) y su Reglamento. Este documento ser utilizado como Mecanismo de control interno para salvaguardar los recursos del BIV, como ente sujeto a la aplicacién de la mencionada Ley, conforme a lo dispuesto en el Numeral 10 de su Articulo 9. El contenido de este documento debera ser acatado en todas sus partes y su incumplimiento acarrearé sanciones que seran aplicadas segin lo establecido en la referida Ley Organica, especialmente en los articulos 82, 85, 91, 94 y 105, los cuales se mencionan a continuacién a los solos fines ilustrativos: ARTICULO 82 “Los funcionarios, empleados y obreros que presten servicios en los entes sefialados en el articulo 9, numerales 1 al 11, de esta Ley, asi como los particulares a que se refiere el articulo 52 de esta Ley, responden penal, civil y administrativamente de los actos, hechos u omisiones contrarios a norma expresa en que incurran con ocasién del desempefio de sus funciones.” ARTICULO 85 “Los érganos de control fiscal procederan a formular reparo cuando, en el curso de las auditorias, fiscalizaciones, inspecciones, exémenes de cuentas 0 Investigaciones que realicen en ejercicio de sus funciones de control, detecten indicios de que se ha causado dafio al patrimonio de un ente u organismo de los sefialados en los numerales 1 al 11 del articulo 9 de esta Ley, como consecuencia de actos, hechos u omisiones contrarios a una norma legal o sublegal, al plan de organizaci6n, las politicas, 1ormativa interna, los manuales de sistemas y procedimientos que comprenden el control interno, asi como por una conducta omisiva 0 negligente en el manejo de los recursos. Cuando se detecten indicios de que se ha causado dafio al patrimonio de un ente u organismo de los Sefialados en los numerales 1 al 11 del articulo 9 de esta Ley, pero no sea procedente la ‘ormulacién de un Feparo, los érganos de control fiscal remitiran al Ministerio Pablico los indicios de responsebilidad civil Las dlligencias efectuadas por los érganos de control fiscal, incluida la prueba testimonial, J probatoria mientras no sean desvirtuadas en el debate judicial.” ARTICULO 91 “Sin perjuicio de la responsabilidad civil o penal, y de lo que dispongan otras Leyes, con: 2 es RG generadores de responsabilidad administrativa los actos, hechos u omisiones que/se continuacién:” (... omisis...) 29, Cualquier otro acto, hecho u omision contrario a una norrfexl al plan de organizacién, las politicas, normativa interna, los manuales de sistemas y ptocedi 3s comprenden el control interno.” \3 ‘Area Planiticacion y Evaluaci6n de Gestion / Departamento Organizacion y Sistemas= aia Phan ects L |___PARAEL BANCO INDUSTRIAL DE VENEZUELA 2012 3 | RIAL] POLITICAS Y NORMAS DE SEGURIDAD EN LA | . *** | TECNOLOGIA DE INFORMACION Y COMUNICACIONES ‘AGOSTO | ARTICULO 94 "Sern sancionados, de acuerdo con la gravedad de la falta y a la entidad de los perjuicios causados, con multa de cien (100) a un mil (1.000) unidades tributarias, que impondran los érganos de control previstos en esta Ley, de conformidad con su competencia: 1G 2. quienes incurran reiteradamente en errores u omisiones en la tramitacion de los zsuntos que deban someter a la consideracién de los érganos de control fiscal 3. quienes sin motivo justificado, no comparecieren cuando hayan sido citados por los Srganos de control fiscal nes entraben 0 ipidan el ejercicio de las funciones de los érganos de control fiscal, 4. quienes estando obligados a enviar a los érganos de control fiscal informes, libros y documentos no lo hicieren oportunamente. 5. quienes estando obligados a ello, no envien o exhiban dentro del plazo fijado, los informes, libros y documentos que los érganos de control fiscal les requieran. 6. quienes designen a los titulares de los érganos del control fiscal en los entes y orgenismos sefialados en los numerales 1 al 11 del articulo 9 de esta Ley al margen de la normativa que regula la materia.” ARTICULO 105 “La declaratoria de responsabilidad administrativa, de conformidad con los articulos 91 y 92 de esta Ley, sera sancionada con la multa prevista en el articulo 94, de acuerdo con la gravedad de la falta y el monto de los perjuicios que se hubieren causado (... omissis ...)" El Area de Planificacion y Evaluacién de Gestién, a través del Departamento de Organizacién y Sistemas, queda a disposicién de os diferentes usuarios para atender las consultas u observacicnes que tengan a bien presentar relacionadas con su contenido. ‘Area Pianificacion y Evaluacion de Gestion / Departamento Organizacion y Sistemas; Waza | Fi Ba ne INDUSTRIAL POLITICAS Y NORMAS DE SEGURIDADENLA ao ~ = 5 555% TECNOLOGIA DE INFORMACION Y COMUNICACIONES |“ .S3r0 ___|__PARAEL BANCO INDUSTRIAL DE VENEZUELA | 2012, | APROBACION Usuario(s): Division de Investigaciones y Seguridad de Datos / Todas las Dependencias del Banco Fecha de Elaboracién: Agosto 2012 En el presente documento se establecen las Politicas y Normas de Seguridad en la Tecnologia de Informacién y Comunicaciones, que son de obligatorio cumplimiento a partir de la fecha de vigencia, la cual estara supeditada a la fecha del Punto de Cuenta al Presidente del Banco Industrial de Venezuela, que aprueba este Manual. La Dependencia responsable de la custodia fisica del original de este documento, sera la Secretaria de la Junta Directiva, manteniéndose en el archivo del Departamento de Organizacién y Sistemas, una copia certificada, Asimismo, fue debidamente revisado y aceptado por los usuarios en todo su contenido de acuerdo con las politicas emanadas por la Institucién para la presentacién de Manuales, y aprobado por los siguientes niveles de decision. 7 \ / wa) Al BANCO his ROE, Vicepresidente (2) __ ~__ ARENDS TESINONERIA on Division de Investigaciones y, Seguridad ide Datos Area Tecnologia. =" Gerrveurierisy methine seammnerinroRc Sfoye 4 ee YE RODRIGU Vicepresidente/ Area Planificacién y Evaluaci Elaborado y Revisado por: Dep: SAL LOPEZ Jefé de Proyectos Gestion / Departamento Organizacian y SistemasPOLITICAS Y NORMAS DE SEGURIDAD EN LA TECNOLOGIA DE INFORMACION Y COMUNICACIONES: PARA EL BANCO INDUSTRIAL DE VENEZUELA exci 5 AcTULEABO AL ‘AGOSTO 2012 CONTROL DE ELABORACION Y/O ACTUALIZACION NUEVO DATOS DE LA ACTUALIZACION Y/O MODIFICACION actuauzacion [ill DESCRIPCION GENERAL Se desarrolla una nueva version, con la finalidad de adecuar su contenido a las Normativas de Tecnologia de le Informacion, Servicios Financieros Desmaterializados, Banca Electronica, Virtual y en Linea para los Entes |_Sometidos al Control, Regulacién y Supervision de la Superintendencia de las Instituciones de! Sector Bancario. caPiTULO PAGINA Deja sin efecto el Manual aprobado en la Resolucién de Junta Directiva N° JD-2004-387, Acta 28, del 16/06/2004. Division de Investigaciones RECORD DE ACTUALIZACIONES (FEC! ACTUALIZAGIONES APLICADAS |] Si |__| RAAGNAR penuun " Vicepresid® (E) ‘Seguridad de Datos “SASINOTIND SID DESCRIPCION DE LA ACTUALIZACION YIO MODIFICACION oa; ‘Area Planificacion y Evaluacion de Gestion / Departamento Organlzacion y SistemasBanco INDUSTRIAL POLITICAS Y NORMAS DE SEGURIDAD EN LA ‘ fE.CEEEESSS | TECNOLOGIA DE INFORMACION Y COMUNICACIONES | ““™29*" | PARA EL BANCO INDUSTRIAL DE VENEZUELA 2012 | NORMAS PARA LA ACTUALIZACION DE LOS MANUALES 1. Es responsabilidad de los Vicepresidentes, Gerentes y demas niveles de Supervisién, cumplir las disposiciones establecidas en el presente documento, hacerlas de! conocimiento del personal a su cargo, exigir su aplicacién y asegurarse de su estricto cumplimiento. 2. Es responsabilidad de los Vicepresidentes, Gerentes o Supervisores en quienes se delegue las tareas establecidas, requerir la oportuna lectura de las instrucciones contenidas en el presente documento asi como exigir a los empleados a su cargo el registro de sus datos personales, fecha y firma, en el formulario “Hoja Control de Lectura’, como evidencia de estar en conocimiento de las disposiciones indicadas en el presente documento. 3. El formulario 081 “Hoja Control de Lectura” debe estar archivado al final del respectivo Manual, esto con la finalidad de que la Unidad de Auditoria Interna y cualquier otra Dependencia de Control interno de Sus actuaciones de rutina pueda verificar el cumplimiento de la normativa antes sefialada. 4. Es responsabilidad de los Vicepresidentes, Gerentes y demas Supervisores de las diversas Areas que conforman la Organizacién, mantener debidamente actualizados los Manuales, Instrucciones de Trabajo y Normativas existentes en las dependencias adscritas al Area respeciiva, solicitando su revisién y/o actualizacién al Departamento de Organizacién y Sistemas, adscrito al Area de Planificacién y Evaluacién de Gestion. 5. Para solicitar la revision y/o actualizacién de Manuales, Instrucciones de Trabajo y Normativas, el Vicepresidente del Area respectiva, deberd enviar un Memoranda dirigido al Area de Planificacin y Evaluacién de Gestion, explicando si se trata de documentar nuevos procesos o de actualizacion de los ya existentes En este caso debera indicar el motivo de la modificacion, capitulos a ser modificados (numero 0 titulo), alcance y detalle de las reformas propuestas, y de ser necesario, anexar copia de las paginas con las modificaciones requeridas. 6. Es responsabilidad del Area de Planificacin y Evaluacién de Gestién a través del Departamento de Organizacién y Sistemas, evaluar los requerimientos y efectos de las modificaciones sugeridas y proceder a realizar la documentacién y/o actualizaci6n de los respectivos Manuales. 7. Si las Dependencias involucradas no solicitan actualizacién 0 modificacién a las normas y procedimientos del presente Manual, el Departamento de Organizacién y Sistemas deberd realizar un seguimiento al cumplirse dos (2) afios de su aprobacién, con la finalidad de hacer revision a los procesos, si éstos se mantienen en el tiempo; se debe modificar Unicamente la fecha de actualizacién. 8. El Area de Planificacion y Evaluacién de Gestién, al momento de obtener la aprobacién de los Manuales por parte de las autoridades competentes de la Institucion, procederé a través del Departamento de Organizacién y Sistemas, a gestionar su publicacién en la pagina “Intranet del BIV", esto con la finalidad de proporcionar a todas las Areas del BIV la facilidad de realizar consultas y obtener copias impresas de estos documentos al momento que asi lo requieran 9. Para realizar consultas u obtener copias impresas de los Manuales, el usuario desde del BIV", debe posicionar el cursor sobre la pestafia “Proyectos”, escoger la o Linea”, realizar la correspondiente busqueda, bien sea “Por Nombre” 0 “Por seleccionar el documento solicitado del listado de Manuales que arroja el sistema. / “Area Pianificacion y Evaluacton de Gestion / Departamento Organizacion y SistemasBanco INDUSTRIAL sWAL Pag POLITICAS Y NORMAS DE SEGURIDAD EN LA eraeeas TECNOLOGIA DE INFORMACION Y COMUNICACIONES |““nsccro PARA EL BANCO INDUSTRIAL DE VENEZUELA 2012 1 INTRODUCCION Objetivo Alcance Definir las politicas y normas que contribuyan a la proteccién, garantia, confiabilidad, integridad y disponibilidad de la Informacién y Comunicaciones, a través de la aplicacién de medidas preventivas y reactivas. Este manual contiene politicas y normas establecidas para proteger los sistemas de informacion, datos y equipos de tecnologia de la informacion, que se encuentran instalados en el BIV. Las mismas deben ser acatadas por todas aquellas personas (empleados y personal contratado del BIV , pasantes y aprendices debidamente aprobados por el Area de Recursos Humanos, proveedores de servicios especializados debidamente contratados tales como: tecnolégicos, auditoria, seguridad, etc.), a quienes en el ejercicio de sus labores se les haya autorizado el acceso para que interacttien, ya sea para la consulta de informacion, modificacién o registro de datos, instalacién, desarrollo o mantenimiento de aplicaciones y manipulacién de los equipos o para cualquiera otra actividad propia de la materia.was Pica 8 POLITICAS Y NORMAS DE SEGURIDADENLA ooo TECNOLOGIA DE INFORMACION Y COMUNICACIONES |“.¢5er0 | PARA EL BANCO INDUSTRIAL DE VENEZUELA a2 | I. DIAGRAMA CONCEPTUAL ENTRADA PROCESO ‘SALIDA ‘SUDEBAN DIVISION SEGURIDAD DE DATOS | DIVISION SEGURIDAD DE DATOS ‘AREA DE PLANIFICACION TODAS LAS DEPENDENCIAS [¥ Normativa de DEL BI ‘Tecnologia de la Informacién, Servicios Financieros Desmaterializados, Banca Electrénica Virtual yen Linea, Simi ean Bs wa para los Ents tualiza Manual de acuerdo @ are | Sometidos af Control, las Normativas emitdas porta | Regutacion y SUDEBAN SETURECADO RS Supervision de la SUDEBAN Y Normas que Regulan 1 Uso de los Servicios | deta Banca Electrénica. RX e “a Piaicaein y Evaluacian de Costin / Departamento OryanizactanLos | POLITICAS Y NORMAS DE SEGURIDAD EN LA ones | TECNOLOGIA DE INFORMACION Y COMUNICACIONES |*"\S200% | | PARA EL BANCO INDUSTRIAL DE VENEZUELA 22 | Fe awa Trion | II. MARCO LEGAL Las politicas y normas de seguridad de la tecnologia de la informacion que se plantean a continuacién se encuentran regidas especialmente bajo el siguiente marco legal: * Ley de la Contraloria General de la Republica. * Ley Especial Contra los Delitos Informaticos. * Ley sobre Derecho de Autor. * Normativas de Tecnologia de la Informaci6n, Servicios Financieros Desmaterializados, Banca Electronica, Virtual y en Linea para los Entes Sometidos al Control, Regulacién y Supervision de la Superintendencia de las Instituciones del Sector Bancario, Titulo V “Seguridad de la Informacion", Capitulos | al lV, Articulos 38 al 63, emitida por la SUDEBAN en marzo 2007. * Ley de Mensajes de Datos y Firmas Electronicas, Gaceta Oficial N° 37.148 28 de febrero de 2001 + Resolucién 641.10 Superintendencia de las Instituciones del Sector Bancario "NORMAS QUE REGULAN EL USO DE LOS SERVICIOS DE LA BANCA ELECTRONICA" 23 de diciembre de 2010. IV. POLITICAS Para contribuir a que el BIV pueda cumplir con su misién, alcanzar sus objetivos de negocios y de garantizar la confidencialidad, integridad y disponibilidad de toda la informacion y recursos informéticos propiedad del BIV, 0 bajo su administracion o custodia, se establecen las Politicas de Seguridad en la Tecnologia de la Informacién y Comunicaciones, que se detalladan a continuacién: 1. RESPONSABILIDAD DEL PERSONAL a. La seguridad de la informacién es responsabilidad de todos, por lo que todos los empleados y personal contratado del BIV debern colaborar con ella. Cada usuario individual es responsable de sus acciones, y esta responsabilidad existe en adicién a los mecanismos de seguridad implantados. No tiene sentido construir mecanismos de seguridad de barreras de proteccion costosas si los usuarios autorizados a manejar la informacién la divulgan. ». Alles fines de establecer responsabilidades, los usuarios y administradores de los Sistemas No podran compartir sus cédigos y contrasefias ni permitir que otros las utilicen. En tal sentido los usuarios y administradores no deberan revelar en ningin caso su contrasefia. ©. Toda informacién considerada confidencial que sea desarrollada 0 generada por los empleados del BIV, personal contratado 0 por cualquier persona previamente autorizada a efectuar un trabajo en la Institucién, no deberd ser divulgada, entregada, transferida, ni utilizada para beneficio personal o de terceros. d. Todos los empleados, personal contratado y toda persona que requiere acceso a los sistemas de informacion, debe conocer y comprometerse formalmente a cumplir las politicas de seguridad de informacion establecidas en la Institucion, y quedan sujetcs legales y disciplinarias contempladas en caso de su incumplimiento. e. Los trabajadores del BIV_velardn por que los reportes impresos que con! confidencial no sean utilizados como material de reciclaje, ya que podrla informacion a manos de terceras personas, constituyendo un riesgo a los. interes f. Los usuarios no podran hacer uso de la informacién para fines distintos a los dea de su cargo. 3vwaals Phan 10 | BANCO INDUSTRIAL POLITICAS Y NORMAS DE SEGURIDAD EN LA [amen | * "ss sss = | TECNOLOGIA DE INFORMACION Y COMUNICACIONES ‘AGOSTO. PARA EL BANCO INDUSTRIAL DE VENEZUELA 2012 g. El Area de Recursos Humanos y Consultoria Juridica establecerén y aplicaran las medidas legales y disciplinarias a todo trabajador 0 personal contratado por la BIV, sin distincién de cargo o nivel, en caso de detectarse y comprobarse la revelacién, manipulecién o destruccién no autorizada de informacion. h. El Area de Recursos Humanos deberd informar oportunamente la Division de Investigaciones y Seguridad de Datos del personal en ausencia temporal, vacaciones, reposos, despidos, renuncias u otras causas, con la finalidad de suspender sus accesos a los sistemas de informacion y plataforma tecnolégica del BIV. i. La Division de Investigaciones y Seguridad de Datos establecera los controles necesarios con relacién a los accesos que proporciona el BIV a su personal, a fin de que sean suspendidos en el momento en que el personal sea cesado y/o relevado de su cargo por cualquier causa (ausencia temporal, vacaciones, reposos u otras causas). j. Todos los equipos de cémputo del BIV y la informacién contenida en ellos se consideraran activos de su propiedad por lo que quedan sujetos a revisiones de seguridad o auditoria en ‘el momento que se considere conveniente. 2. DELAIDENTIFICACION DE USUARIOS a. La Divisién de Investigaciones y Seguridad de Datos es la dependencia encargada de otorgar los accesos a los aplicativos del BIV, independiente de la plataforma donde residan. b. La Divisién de Investigaciones y Seguridad de Datos es la encargada de ororgar los accesos a los computadores y de telecomunicaciones del BIV. ©. El acceso a los recursos de informacién almacenada electrénicamente en el BIV estard restringido a personal que tenga asignado un cédigo de usuario y una contresefia d. Las contrasefias utilizadas para obtener acceso a los sistemas de informacién se almacenaran encriptadas para garantizar su confidencialidad, se renovaran periédicamente y tendran un numero limitado de intentos fallidos permitidos. e. Los cédigos de usuarios y contrasefias para acceso a los sistemas de informacién son confidenciales e intransferibles, por lo cual, bajo ningdn motivo deberan ser compartidos. f. La identificacién de Usuario y la clave de acceso inicial debe ser asignada y entregada por el ente del BIV encargado de la Seguridad de la Informacién de acuerdo a las convenciones establecidas. El usuario debe cambiar inmediatamente la contrasefia recibida para asegurar su confidencialidad. g. El mantenimiento y proteccién de la clave de acceso es responsabilidad exclisiva del usuario, h. Los sistemas no deben mostrar en claro las claves de acceso al momento de ingresar los usuarios a los sistemas. i. Cualquier sospecha de utilizacién indebida de una clave de acceso deve. inmediatamente al ente que le competa. Los sistemas deben poser la capacidad de permitirle al usuario el cam! acceso cada vez que éste lo crea necesario, 3. DE LA CONFIDENCIALIDAD DE LA INFORMACION a. El Area de Recursos Humanos velara porque los empleados entiendan y de Confidencialidad y No Divulgacién de la Informacion establecida en el como parte de sus términos y condiciones de empleo. “rea Planificacion y Evaluacion de Gestion / Departamento Owaa: rican: ] 1 INDUSTRIAL) pouimigas Y NORMAS DE SEGURIDAD EN LA rao] TECNOLOGIA DE INFORMACION Y COMUNICACIONES |” asosto. PARA EL BANCO INDUSTRIAL DE VENEZUELA 2012 b. Toda contratacién de terceros que implique el manejo de informacién sensible, debe ir acompafiada de! Acuerdo de Confidencialidad y No Divulgacién de la Informacién, documento cuya preparacién y actualizacién estaré a cargo de la Consultoria Juridica dal BIV. ¢. EIBIV dispondra de una clasificacién de confidencialidad de la informacién segin su nivel de sensibilidad. 4d. Los usuarios formalmente designados en el BIV, que por razones de su trabajo tengan acceso a la informacién, no deberan revelarla. En el caso del personal que no sea mpleado del BIV, la Division de Investigaciones y Seguridad de datos requerird de la notificacion de un Acuerdo de Confidencialidad para otorgarle el acceso a los sistemas e. La informacién enviada a terceros fuera del BIV, a través de cualquier medio de almacenamiento, no debera perder su confidencialidad. Los entes encargados de la recepcion de la misma, seran responsables del destino dado a dicha informacion. Para ello se solicitara la firma de un documento en el que se especifique que la informacién es propiedad del BIV y en el que se fije un compromiso de no-revelacién de dicha informacién. f. Esta prohibido el acceso a los PCs de los usuarios por parte del personal del Area de Tecnologia, si éstos no cuentan con la aprobacién del usuario, alin cuando sea para soporte remoto. DE LA CLASIFICACION DE LA INFORMACION La importancia de establecer una adecuada categorizacién de la informacién radica en el hecho de que la misma constituye el principal activo de una organizacién y la estandarizacion de ésta contribuird a minimizar los riesgos de exposici6n y/o accesos indebidos, por lo que es necesario establecer criterios para valoraria y protegerla En el BIV , toda su informacién y aquella confiada a él por terceros, sera clasificada de acuerdo a tres (3) categorias: Confidencial, de Uso Interno y Publica. a. Confidencial: Es el maximo nivel de clasificacion que se le da a los activos de informacion relacionados con la direccién operacional y/o estratégica de la Institucion, cuya divulgacion causaria graves perjuicios a su patrimonio. b. De uso interno: Es informacién privada. Corresponde a los activos de informacion relacionados con el personal, clientes, informacion técnica, administrativa y cualquier otra informacién sensible de la Institucion, cuya divulgacién, manejo y uso no autorizado, afectaria negativamente sus intereses, ©. Publica: Activo de informacion que no requiere medidas de proteccién especial. Es informacién que puede ser conocida y utiizada por cualquier persona, sea empleado, cliente u otra DE LAS OPERACIONES DE ALTO RIESGO a. A los fines de disminuir el riesgo del BIV a incurrir en pérdidas_patrim operacién de alto riesgo se utilizara la segregacién de funciones. Es! funciones deberé estar reflejada en la definicién de los perfiles funcionales. b. En operaciones de alto riesgo, la informacién registrada en los archivos di suficientemente completa para permitir el rastreo detallado de operaciones: el patrimonio del BIV. ¢. En atencién a la norma anterior, correspondera a la Division de investiga de Datos evaluar y definir los campos que se registraran en los archivos LOPHB INDUSTRIAL POLITICAS Y NORMAS DE SEGURIDAD ENLA = —— MANUAL: ] PAGINA 12 TECNOLOGIA DE INFORMACION Y COMUNICACIONES | **,ccro PARA EL BANCO INDUSTRIAL DE VENEZUELA | __ 2012, DEL CONTROL DE LOS CAMBIOS a. Alos fines de lograr el menor impacto en los niveles de servicio y garantizar el pase exitoso al ambiente de Produccién, todos los componentes tecnolégicos, sean nuevos 0 a los que se les haya practicado algiin cambio, previo al pase al ambiente de Produccién, deberan ser antes certificados por los usuarios, Auditoria Interna y la Unidad de Administracién Integral de Riesgos en otro ambiente destinado para tal fin, b. Todo cambio de cualquier componente de Tecnologia de Informacién (programas, bases de datos, servidores, routers, etc.) deberd ser documentado con el motivo, el responsable, el impacto que pueda generar al ser incluido en Produccién, y contener un proceso de contingencia que permita revertirlo en caso de falla. c. Correspondera al Area de Tecnologia: * Canalizar todas las solicitudes de cambios segiin los procedimientos establecidos y garantizar que los resultados sean los esperados por los requerimientos técnicos. + Garantizar que todas las partes afectadas por un determinado cambio sean conscientes del efecto de! cambio y lo comprendan. * — Minimizar el impacto negativo del cambio. * Garantizar la satisfaccién del Cliente y/o Usuario con respecto a los cambios realizados. + Velar por el cumplimiento de las normas y procedimientos establecidos en la organizacién en lo que respecta a Control de Cambios. * Establecer mecanismos de comunicacién entre las areas involucradas en el cambio. d. El Comité de Control de Cambio de Tecnologia de la Informacién, formado por personal de las Areas de Tecnologia, Auditoria Interna (observador), Unidad de Administracién Integral de Riesgos y la Division de Investigaciones y Seguridad de Datos, ejercera una funcién de control y supervisi6n sobre las actividades de control de cambios. DE LAS BITACORAS (LOGS) a. Todo sistema debera proveer apropiadas trazas de auditoria, la Division de Investigaciones y Seguridad de Datos verificaré que los nuevos desarrollos de sistemas contemplen estos registros de operaciones. b. La Unidad de Administracién Integral de Riesgos y Auditoria Interna verificaran que en toda operacién de riesgo para el BIV se registre informacién que permita auditar los procesos y genere informacién para los entes involucrados. ©. Todos Ios sistemas de comunicacién e informacion del BIV, antes de ser sjecutados, seran evaluados por la Divisién de Investigaciones y Seguridad de Datos para asegurar que generan pistas de auditoria o bitécoras que permitan registrar las operaciones y usuarios que accedieron a los mismos. d. Solo tendran acceso a las pistas de auditoria los usuarios cuyo perfil lo justifiq de “minimo privilegio" y de sélo lectura, ©. Deberdn asegurarse el almacenamiento de las pistas de auditoria por lo m de un (1) aio para las aplicaciones de mision critica, particularmente en aq cuales exista modificacion o alteracién de la informac productivas. f. Debera asegurarse el almacenamiento por un periodo de al menos cir registros realizados a través de la Banca electronica.waa ae 13 POLITICAS Y NORMAS DE SEGURIDAD EN LA oan TECNOLOGIA DE INFORMACION Y COMUNICAGIONES |““nccers | PARAEL BANCO INDUSTRIAL DE VENEZUELA | 2012, | g. Las unidades responsables de analizar las trazas de auditoria son la Unidad de Administracién Integral de Riesgos, Auditoria Interna, Seguridad de Informacion y el Area de ‘Seguridad y Proteccién Bancaria (Departamento de Fraude). DE LOS PLANES DE CONTINGENCIA Y EL RESPALDO DE LA INFORMACION Todos los Sistemas de Informacién del BIV deberan ser respaldados periédicamente y de acuerdo a los estandares establecidos. Para ello se establecen las siguientes politica: a. El Area de Tecnologia contaré con un Plan de Contingencia que en caso de ocurrir algun siniestro, permita la recuperacién exitosa y la continuidad de las operaciones de los sistemas de informacién considerados como criticos en la Institucién. b. La Unidad de Administracion Integral de Riesgos y Auditoria Interna verificaran que los Planes de Contingencia del BIV se encuentren debidamente documentados y probados. c. La Unidad de Administracién Integral de Riesgos y Auditoria Interna participaran en la ejecucién de las pruebas del Plan de Contingencia y certificaran la correcta ejecucion del mismo, 4. EI BIV contaré con dos centros para resguardo de la informacion respaldada en medios magnéticos los cuales estaran debidamente acondicionados con medidas de seguridad fisicas y ambientales, con la finalidad de disponer de informacién en caso de una condicién de desastre. Para ello el Area de Tecnologia generara dos juegos de respalde de la informat que distribuird en ambos lugares. e. La Unidad de Administracién Integral de Riesgos y Auditoria Interna verificaran los procesos de recuperacién que periédicamente realiza el Area de Tecnologia pare asegurar que la informacion y el software critico que se encuentra en medios magnéticos por tiempo prolongado se encuentran en buen estado. f. Los respaldos de informacion deberan planificarse y ejecutarse periédicamente, a fin de garantizar la permanencia de la_informacién por el tiempo que se considere necesario. Este tiempo deberd definirse de acuerdo a la naturaleza de la aplicacion o sistema g. La retencién de los respaldos de archivos histéricos corresponderd a diez (10) afios, a menos que se especifique lo contrario. h. Los medios de almacenamiento masivo deben estar debidamente identificados para que se pueda determinar facilmente fecha de respaldo, aplicacién, tipo de informacion, periodo que se respalda. i. Los medios de almacenamiento masivo contentivo de aplicaciones de misién critica deben ser probados periédicamente (al menos dos (2) veces al afio) a fin de garantizar la confiabilidad de los mismos. j. Toda la data sensible del BIV debera residir en equipos que estén bajo respaldo de la organizacion. k. Correspondera a cada usuario realizar el respaldo la data de su PC. DE LA SEGURIDAD FISICA 12 I Sera garantizado el resguardo de la informacion y de los equipos de computacio control de todos los accesos a las instalaciones del BIV. \ a. El acceso a cada oficina, cuarto de computadoras, o cualquier dependen: informaci6n importante para la organizacion ser restringido o controlado seguridad, vigilantes u otro tipo de equipo computarizado.aA ram] “4 Banco INDUSTRIAL POLITICAS Y NORMAS DE SEGURIDAD EN LA Parry fees S555 55%) TECNOLOGIA DE INFORMACION Y COMUNICACIONES |““.Sosr0 | PARA EL BANCO INDUSTRIAL DE VENEZUELA 2012 Todos los equips computacionales y de comunicaciones (“routers", “switches”, “hubs”, entre otros) deben estar ubicados en cuartos debidamente protegidos, para prevenir accesos no autorizados. Garantizar que se cumplan la normas establecidas con relacién al control de acceso a las zonas de acceso restringido por parte de todo el personal del BIV y visitantes en las instalaciones. El Area de Seguridad y Proteccién Bancaria vigilara que todo el personal que labora en la Institucién asi como los visitantes porten el camet de identificacién en un lugar visible ‘A fin de controlar el acceso a las zonas de acceso restringido, se contard y resguardaran las bitécoras de acceso indicando en las mismas como minimo: Nombre, No de Empleado, motivo de la visita, hora de entrada y hora de salida. Se garantizara el mantenimiento adecuado de los detectores y sistemas de alarma contra incendios asi como paneles de distribucidn eléctrica, aire acondicionado, suministros de potencia ininterrumpible, plantas eléctricas. Los Centros de Procesamiento de datos tanto principales como alternos contarén con mecanismos adecuados para la detecoién y extincién de incendios que eseguren tanto los actives como la integridad del personal que alli labora. De igual forma deben existir dispositivos de control de humedad y temperatura, quedando prohibido alnacenar en estos recintos materiales inflamables o sustancia corrosivas. Todo equipo de computacién que sea propiedad del BIV, el cual requiera ser trasladado fuera de las sus instalaciones, sera revisado por el personal de seguridad a los fines que se cumplan los esténdares establecidos para la salida de dichos activos. EI Centro de Computacién contaré con una cobertura de seguro para los principales equipos del Centro de Cémputo y de Telecomunicaciones. E| Area de Tecnologia es la responsable de la administracién de los equipos de computacién, telecomunicaciones y sistemas de Informacion. La Division de Investigaciones y Seguridad de Datos administraré y garantizaré la seguridad de los recursos tecnol6gicos (equipos de computacién y telecomunicaciones). 10. DEL USO DE INTERNET Y CORREO ELECTRONICO a. Las cuentas de correo son de caracter personal e intransferibles, por lo que no esta permitido el uso de cuentas de correo que no puedan ser asociadas a una persona ni el envio de mensajes electrénicos utllizando una cuenta de correo que no le haya sido asignada o autorizado su uso Toda informacién publicada en INTERNET del BIV, cumplira con el procedimiepies para ello, por lo tanto, todos los usuarios del BIV deberan seguir los esténd: respecto al uso y configuracién de su navegador de INTERNET y no debe! paginas con informacién confidencial, o de procedencia y veracidad dudos: a la Institucion, 3 8 Todo servidor de la WEB accesible desde INTERNET debe estar protegide for seguridad. it El contenido de los mensajes de texto enviados a través de los sistemas a intemos, debera estar relacionado con las funciones que desempefia el BN.oo ax] a CQINDUSIRIAL) _pouimicas y Norwas be securioapen te — S| PARA EL BANCO INDUSTRIAL DE VENEZUELA 2012 TECNOLOGIA DE INFORMACION Y COMUNICACIONES |“.5¢c75 | Las cuentas y privilegios de acceso a Internet se suspenderdn inmediatamente que suceda cualquiera de las siguientes condiciones: * Que el empleado deje de laborar en el BIV. * Que el tiempo solicitado para una cuenta temporal haya expirado. * Que el empleado se haya hecho acreedor por alguna accién u omisién, a la cancelacién de su cuenta de Internet. * Por cualquier otra causa que a juicio de las autoridades del BIV, afecte o ponga en riesgo la seguridad de la informacir Las computadoras de la red que sean visibles y accesibles desde INTERNET contarén con un sistema de detecci6n de intrusos previamente autorizado para su proteccién. Los servicios de INTERNET y Correo Electrénico serén proporcionados sélc al personal cuyas funciones desempefiadas lo Justifique segin el perfil de usuario establecido y bajo el principio de minimo privilegio. Toda informacién que proceda de Internet (Bases de datos, hojas de calculo, software cédigo, hojas formateadas de procesadores de palabras u otras) seré analizada por un sistema antivirus antes de ser utlizada dentro del BIV, El acceso a foros de discusién, video conferencias 0 listas de correo seré permitido a los usuarios autorizados, Unica y exclusivamente cuando dichos foros de disousion o listas de correo estén asociados o relacionados con las funciones que el usuario desempefia dentro del BV. El contenido de los mensajes enviados a través de los sistemas de correo eectronico del BIV, debera estar relacionado con las funciones que desempefia el usuario de la cuenta y con su funcién dentro de la Institucién. Por lo tanto: No podré enviar mensajes de correo electrénico con fines personales. No podra enviar mensajes de correo electrénico con contenido ofensivo para otros usuarios que dafe o perturbe la moral de las personas, entendiendo por contenido ofensivo aquel Felacionado con pomografia, racismo o discriminacién, violencia, terrorismo 0 cualquiera otra forma de agresién contra la moral y buenas costumbres sociales aceptadas. No esta permitido el envio de cadenas de correos o de informacin que no sean del interés del BIV y en los casos de informacién con fines humanitarios, se deberé canalizar con el Webmaster, a través del Departamento de Sistemas Distribuidos. EL BIV mantendré la auditabilidad de los Sistemas de correo electronico, con la finalidad de que al presentarse incidentes de seguridad a través del abuso o mal uso reo Electronico, éstos puedan ser asociados rapida y directamente con los usuarios| BANCO INDUSTRIAL) _potiticas Y NORMAS DE SEGURIDAD EN LA tomemoar| WaNUAL Phan: ] 16 | VEEEES 552) TecNOLoGia DE INFORMACION Y COMUNICAGIONES | "22%" PARA EL BANCO INDUSTRIAL DE VENEZUELA Sora El acceso al Correo Electrénico debera ser exclusivamente a través del "Software" aprobado para ello, el mismo, deberé cumplir con las normas de operacién del BIV, por lo que el usuario no podra acceder mediante el empleo de algtin aplicativo no autorizado. El tamario maximo de cada mensaje incluyendo los anexos al mismo, ya sea de correo interno © externo, no debera sobrepasar los parametros establecidos. En caso de ser necesario debera ser comunicado a la Unidad correspondiente a fin de que el “equerimiento sea evaluado. No se permite el uso de seudénimos, apodos o cualquier otra clase de comunicacién que implique duda sobre la identidad del usuario. 11. DEL USO DE MENSAJERIA INSTANTANEA a El uso de la Mensajeria Instantanea es exclusivamente para actividades relacionadas con el trabajo 0 la Organizacion. ‘Queda prohibido el uso de la Mensajerfa Instanténea para actividades de indole personal. El empleado estara consciente de que sus mensajes no son de indole privada, sino propiedad del BIV y por consiguiente pueden ser monitoreados y/o grabados para su supervision de contenidos autorizados. 12. DE LAS COMUNICACIONES a. Todos los sistemas de informacion y comunicacién del BIV deberdn estar protegidos con dispositivos de seguridad a objeto de prevenir ataques informaticos. Todos los dispositivos de seguridad usados para proteger la red del BIV serén ejecutados en computadoras separadas y dedicadas, no debiendo proporcionar otros servicios, 0 ser utilizadas con otros propésitos. Las terceras personas que quieran acceder a la red del BIV tendran, como condicién, asegurarse que los sistemas a ser conectados a la red cumplan con los niveles de seguridad de manera consistente con los requerimientos establecidos por el drea de Seguridad de Informacién. EIBIV como medida de control, exigira un contrato o un acuerdo de confidencialidad para el caso de terceros que requieran conectarse a su red de tecnologia de informacién. Las conexiones a la red deben estar sujetas a controles de seguridad. La conexion y acceso a la red, y a los servicios disponibles a través de ella debe ser controlado, al menos, a través de: * Autenticacién de usuarios locales y remotos. + Autenticacion de estaciones de trabajo. * Interfaces apropiadas entre los servicios de red. ‘+ Monitoreo y registro de conexiones. No esta permitido el establecimiento de conexiones remotas desde estaciones de la red de! BIV hacia otras redes, sdlo en aquellos casos que el BIV disponga 46 én: estos beneficios a Consultores Externos o Proveedores. \e No esta autorizado el inicio de miltiples sesiones simultaneas a los usuaros! sea técnicamente posible, cada Usuario solo podré establecer una sesién ¢ la aplicaciones, sistemas operaciones, bases de datos e infraestructura de comunicat ‘Area Planificacion y Eveluacion de Gestion /Dopartamento Organizacion y Sistemaswan Pio 7 POLITICAS Y NORMAS DE SEGURIDADENLA ooo) TECNOLOGIA DE INFORMACION Y COMUNICACIONES |“.coaro PARA EL BANCO INDUSTRIAL DE VENEZUELA 2012 Las conexiones remotas y con otras redes de datos desde el Banco deben ser autenticadas, justificadas y autorizadas. Las conexiones remotas temporales para proveedores de tecnologia de informacién, que se requieran para solventar fallas en los Sistemas de Informacion, deben ser autorizadas y Justificadas por el Area de Tecnologia, indicando nombre de la empresa, detos del consultor y duracién estimada del acceso. La Division de Investigaciones y Seguridad de Datos y el Area de Tecnolog’a, deben asegurar la disponibilidad del servicio para los accesos remotos desde localidades o redes de proveedores, oficinas en el exterior y servicios financieros del Banco, La Divisin de Investigaciones y Seguridad de Datos cuenta con mecanismos de autenticacién de la conexion que permitan prevenir accesos no autorizados. 13. DEL USO ACEPTABLE DEL SOFTWARE b. Adquisicién del software Para prevenir el ingreso de software no autorizado 0 cédigos maliciosos y proteger la integridad de los activos de Informacion, todo el software deberd ser obtenido e instalado a través del Area de Tecnologia, o con su aprobacién, y deberd estar registrado y licenciado a nombre del BIV. ‘Cumplimiento de Licenciamiento. Todo el personal debe aceptar y acatar la Ley de Derechos de Autor, aplicable al software, y no puede obtener, instalar, replicar o utlizar ningdin software excepto tal y como lo permitan los convenios de licenciamiento de software a los que se suscriba el BIV. Utilizacién de software de propiedad personal Para proteger la integridad de los Activos de Informacién, el personal no deberd utilizar software de su propiedad en la plataforma computacional del BIV. Proteccién de la propiedad intelectual. Para asegurar la integridad del software desarrollado en la Institucién, todo personal debe acatar la Ley de Derechos de Autor, la cual establece la proteccién de la propiedad intelectual del BIV para todo desarrollo efectuado por su personal o terceros. 14. DE LOS CONTRATOS CON TERCEROS a. 15. DEL DESARROLLO DE SOFTWARE a b, Contratos de: Adquisicién, Mantenimiento 0 Servicio con Proveedores de Tecnologia deberan contener una Clausula de Confidencialidad y No Divulgacién, por medio de la cual los terceros se comprometan a mantener la confidencialidad de la informacion. En caso de no existir contrato deberd existir al menos un Acuerdo de Confidencj La Consultoria Juridica velaré por el cumplimiento de la norma anterior. Todo Software disefiado en el BIV o para el BIV debe estar adaptado a lineamientos de la Division de Investigaciones y Seguridad de Datos. La implantacién de Software 6 Aplicaciones de terceros debera estar sujetd dun estudio Compatibilidad con la infraestructura tecnolégica que se realice en el Area da\'Tecnologia BIV. S "Area Pianificacion y Evaluacian de Gestion / Departamento Organizacion y SistamasAL Phan 8 POLITICAS Y NORMAS DE SEGURIDAD EN LA Reno TECNOLOGIA DE INFORMACION Y COMUNICACIONES | “nc5ero PARA EL BANCO INDUSTRIAL DE VENEZUELA 2012 ¢. Toda aplicacién que maneje data sensible deberd tener el LOG de Auditoria de la Aplicacién, independiente del LOG de eventos de seguridad. d. La aplicacién debe proporcionar medios 6 herramientas para consultar la informacion registrada en los archivos de LOG. e. el Area de Administraci6n no reconoceré ningtin compromiso derivado de la adquisicion de software o hardware sin la aprobacién del Area de Tecnologia. f. Se prohibe la instalacion de Software si los médulos y/o esquemas de seguridad de la aplicacién no estan aprobados por la Division de Investigaciones y Seguridad de Datos. g. Las unidades administrativas que adquieran 0 contraten servicios tecnolégicos sin las certificaciones y aprobaciones de las areas correspondientes seran responsables del incumplimiento del caso y de los dafios que pudiera sufrir el BIV. h. Las empresas proveedoras de soluciones tecnolégicas estan en la obligacién de proporcionar documentacién detallada de: + Esquema de seguridad de la aplicaci * Perfiles y Usuarios de Seguridad por defecto. + LOGs donde se registran las transacciones de seguridad realizadas. * Caracteristicas y requisitos de la plataforma donde seré implantada la solucién. + Servicios que deban estar activos en la plataforma donde se instalen. ‘+ Puertos requeridos que deben permanecer abiertos. * Carpetas ylo archivos y/o bibliotecas a definir y sus correspondientes permisos. * Procesos de Respaldo y Recuperacién. + Parametros de seguridad. * Todas aquellas necesarias para dar soporte y mantenimiento. * No debe existir cédigos de usuarios ni contrasefias en el cédigo fuente de los programas. 16. DE LOS SERVICIOS BANCA ELECTRONICA a. Para los servicios de IVR, Banca por Internet, Cajeros Automaticos y Puntos de Venta, se deben emplear los factores de autentificacién, descritos en los articulos 5, 6 ,7 ,8 ,12 ,13 y 14 de la Resolucién 641.10 “Normas que Regulan el Uso de los Servicios de Banca Electronica’, Publicada en Gaceta Oficial de la Republica Bolivariana de Venezuela N° 39.597 de fecha 19 de enero de 2011 b. Para las operaciones a través de la Banca por Internet, todo Software disefiado en, ot el BIV debe estar adaptado a los estandares y lineamientos de la Division de | Seguridad de Datos. 17. DE LAS FIRMAS Y CERTIFICADOS ELECTRONICOS @. En lo referente a Banca por Internet la Resolucién 641.10 sefiala el uso de ce en tal sentido el Banco provera a sus clientes un mecanismo automatiz autentificacién de identidad electrénicas, para solicitudes y emisién de referencias Bancarias y Estados Pasiva) y Tarjetas de Crédito. De esta manera se obtienen servicios expe contribuye con el ahorro de papel. ‘Area Pianiticacion y Evaluacion de Gestion / Departamento Organizacion y SistemasMANUAL: Paca ] 19 STRIAL POLITICAS Y NORMAS DE SEGURIDADENLA oan ***% | TECNOLOGIA DE INFORMACION Y COMUNICACIONES |,¢5Sr0, PARA EL BANCO INDUSTRIAL DE VENEZUELA 2012 v. NORMAS 1. DE LA IDENTIFICACION DE USUARIOS a. La longitud del campo para la contrasefia deberé tener un minimo de seis (6) caracteres. La misma no debe ser igual al cédigo del usuario y el Sistema debe obligar a su cambio cada treinta (30) dias. b. Correspondera al Usuario cambiar la contrasefia al recibir una nueva, atin 2n aquellos casos en que por limitaciones tecnolégicas el sistema no obligue al cambio de contrasefia una vez que ésta haya sido renovada por el administrador de seguridad. c. Después de tres (3) intentos fallidos de suministrar una contrasefia invélida el cédigo de usuario se deberé bloquear automaticamente. 4. Allos fines de establecer la caducidad del acceso de los usuarios, todos aquellos cédigos que no hayan sido utilizados por un periodo mayor a sesenta (60) dias deberan ser inhabilitados y transcurridos noventa (90) dias se eli ran. Se exceptiian de eliminacién los cédigos del personal que se encuentren en ausencias justificadas mayores a 90 dias: reposo médico, vacaciones prolongadas y cualquier otra circunstancia similar. @. Los usuarios no podran utilizar su clave de acceso en mas de un terminal 0 micro a la vez, siempre que sea tecnolégicamente posible. DE LOS PERMISOS A LOS RECURSOS a. Todos los permisos a recursos de la Red deberan otorgarse a grupos (agrupacién de usuarios autentificados) y no a cuentas de usuarios individualmente. (siempre que sea posible) b. Esta Prohibido otorgar permisos a archivos compartidos a los grupos piiblicos. Los permisos para control total de los recursos en la red Gnicamente se otorgaran al personal de Tecnologia y al personal de Seguridad de Informacién. d. Esta prohibido asignar permisos amplios a recursos tecnolégicos. DE LA PROTECCION DE RECURSOS a. Cuando se cree una carpeta en un servidor, independientemente de! dominio o ambiente en que se defina, se debe restringir el acceso a los grupos definidos para los Administradores de Red y los Administradores de Seguridad de Informacién, con la finalidad de: * Controlar el acceso al recurso desde su creacién. + Impedir que las aplicaciones o sistemas se fundamenten en recursos piblicos, dificultando y hasta imposibilitando, su posterior proteccién. b. En el proceso de instalacién y configuracion de servidores, independientemente di ambiente en que éstos se definan, se deberan respetar los siguientes lineamient * _Definir las politicas de seguridad del servidor. * _ Definir el nombre del servidor de acuerdo al estandar. é * Activar las trazas de auditoria. Wo Se + Instalar, si no especifica lo contrario, el mayor nivel de software, a fin de gare izar que se cuenta con la mayor cantidad de correcciones posibles. \S, * Bloquear o deshabilitar los recursos del servidor que no sean explicitamente soli ‘Area Pianificacion y Evaluacion de Gestion / Departamento Organizacion y Sistemasa Ta 20 BANCO INDUSTRIAL POLITICAS Y NORMAS DE SEGURIDAD ENLA | fauS0 525552) TECNOLOGIA DE INFORMACION Y COMUNICACIONES | “20% PARA EL BANCO INDUSTRIAL DE VENEZUELA me | Instalar solo el software explicitamente solicitado y de acuerdo a la utilidad que se vaya a dar al servidor. * Activar sélo los servicios explicitamente solicitados. Definir s6lo las cuentas de Usuario estrictamente necesarias, colocanco una contrasefia compleja a cada una de ellas. ©. Cuando se cree un recurso se debe crear con autorizacién restringida. 4. ESTANDARES DE DENOMINACION DE USUARIOS Los usuarios de los sistemas informaticos_y diferentes plataformas tecnologicas se denominaran de la siguiente manera, salvo excepciones justificadas: I cack ae ees | Inicial_Nombre | Inicial_Apellido _Nro. De Camet contratado Inicial_ =| Inicial_ S| No. | Nombre Apelido | Apelido | Consecutive | Empresa | Consuittor Inicial _ Inicial _ | Nro. Nombre | Proveedor | Apellics Apelide | Consecutivo | Empresa Usuarios de funcién aplicacién | Nro. Consecutivo Servicios | ~~ Ares Piancacién y Evaluacion de Gestion / Departamento Organ izacion y Sistemas| awa: Premed | Js 21 | HBL INDUSTRIAL POLITICAS Y NORMAS DE SEGURIDAD EN LA =o | assess s%s | TECNOLOGIA DE INFORMACION Y COMUNICACIONES |“;ccsro I PARA EL BANCO INDUSTRIAL DE VENEZUELA 2012 } Vi. ANEXOS 1. GLOSARIO DE TERMINOS Para facilitar la comprensi6n de los aspectos que se expresan en el presente documento se definen a continuacién los siguientes conceptos: Acceso: Un acceso es el resultado positivo de una autentificacién. Un ejemplo es el ingreso a un ‘sistema suministrando un cédigo de usuario y una contrasefa. Acceso No Autorizade: Un acceso no autorizado es el producto de la explotacin de una vulnerabilidad en un sistema 0 en alguna de sus aplicaciones, 0 la utiizacién de algun otro método para subir privilegios como fuerza bruta, malware, sniffers 0 ingenieria social, entre ctros. Activo: Recurso de valor dentro de la organizacién que puede ser tangible o intangible. Uno de los activos mas importantes de la organizacién es la informacién. ‘Amenaza: En un contexto de seguridad de la informacién incluye actos dirigidos, deliberados (humanos) y eventos no dirigidos, aleatorios o impredecibles (naturales) a los que pudiera estar expuesto un sistema. Ancho de Banda: Es la cantidad de informacién 0 de datos que se puede enviar a través de una conexién de red en un perlodo de tiempo dado. Ataque: Una accién hostil efectuada a través de diversos medios contra un recurso. Estos buscan diversos dafios: robar informacion o dejar los recursos fuera de operacién Atributos: Caracteristicas propias de un recurso informatico. Autenticacién: Es la confirmacién de que quién solicita un servicio es un usuario valido. Esto se comprueba generalmente teniendo un nombre de usuario valido y una contrasefia. Cifrado: Técnica que protege un documento o informacion a través de algoritmos criptogréticos. Clave de Acceso: La clave de acceso es la contrasefia (secuencia de caracteres) que un usuario emplea para acoeder a un servicio, sistema o programa. Generalmente la clave de acceso est asociada a un cédigo de usuario. Confidencialidad: Es la condicién que garantiza que la informacion es accesible s6lo para aquellos entes autorizados a tener acceso. La Confidencialidad es también la propieded de prevenir la divulgacién de informacion a personas o sistemas no autorizados. Control: Proceso por el cual se asegura el cumplimiento de normas establecidas. Controles de seguridad pueden ser: prevenir, detectar y recuperar. Correo Electrénico: Es un servicio que permite el intercambio de mensajes a través d comunicacién electrénicos. Los mensajes de correo electrénico posibilitan el envio, a de cualquier tipo de documento digital (imagenes, videos, audios, etc.) Cracker: Alguien que viola la seguridad de un sistema informatico de forma similar (¢¢ hacker, con la diferencia de que el cracker realiza la intrusion con fines de beneficip Bers hacer dafio a su objetivo. lis 2 Detectar: Accién que permite identficarviolaciones de seguridad 0 intents de vilacb, Detectores de Intrusos: De forma general un detector de intrusos es un mecani: mezcla de hardware y software) que monitorea la red o algun servidor y que, al detec “Ares Pianificacin y Evaluacion de Gastion / Departamento Organizacion y Sistemaswon Pace 2 DUSTRIAL| _poLiricAs Y NORMAS DE SEGURIDAD ENLA | = £55") TEGNOLOGIA DE INFORMACION Y COMUNICACIONES | “742228 I PARA EL BANCO INDUSTRIAL DE VENEZUELA 2012 | BBE comportamiento anormal que se puede asociar con un ataque de seguridad, envia una alarma e incluso, activa una o varias acciones para frenar 0 contrarrestar dicho ataque. ponibilidad: La disponibilidad es la caracteristica, cualidad 0 condicién de la informacién de encontrarse a disposicion de quienes deben acceder a ella, ya sean personas, procesos o aplicaciones. Los recursos deberan ser accesibles por elementos autorizados. Lo contrario se conoce como negacién de servicio, Dominio: Un dominio de Intemet es una red de identificacién asociada a un grupo de dispositivos 0 equipos conectados a la red Intemet. El propésito principal de los nombres de dominio en Internet y del sistema de nombres de dominio es traducir las direcciones IP_de cada nodo activo en la red, a término archivable y facil de encontrar. Esta abstraccién hace posible que cualquier servicio (de red) pueda Moverse de un lugar geogréfico a otro en la red Internet, aun cuando el cambio implique que tendra una direccién IP diferente. Estacion de trabajo: En informatica una estacién de trabajo es un microordenador de altas prestaciones destinado para trabajo técnico o cientifico, ile Transfer Protocol (FTP): Es un protocolo para la transferencia de archivos entre sistemas conectados a una red TCP (Transmision Control Protocol), basado en la arquitectura Cliente-Servidor. Firewall: Un firewall es un elemento de seguridad que funciona como cortafuegos entre redes, permitiendo 0 denegando las transmisiones de una red a la otra. Un uso tipico es situarlo entre una red local y la red Internet, como dispositive de seguridad para evitar que los intrusos suedan acceder a informacién confidencial. Un firewall es simplemente un filtro que controla todas las comunicaciones que pasan de una red a la otra y en funcién de lo que sean permite o deniega su paso. Firmas Digitales: La firma digital se basa en la criptografia y puede ser definida coo una secuencia de datos electrénicos que se obtienen mediante la aplicacién de un algoritmo de cifrado asimétrico 0 de clave pilica. Estos sistemas cifran los mensajes mediante la utiizacién de dos claves diferentes, una privada y otra piblica. La privada es conocida Unicamente por la persona a quien pertenece el par de claves. La piiblica, por su parte, puede ser conocida por cualquiera pero no sirve para hallar mateméticamente la clave privada. La utllizacién de la firma digital asegura que el emisor y el receptor del mensaje puedan realizar una transaccion fiable. Hacker: Es un experto en varias o alguna rama técnica relacionada con las ‘ecnologias de la informacién y las telecomunicaciones. Es aquella persona que le apasiona el conocimiento, descubrir 0 aprender nuevas cosas y entender el funcionamiento de éstas. Hardware: Corresponde a las partes tangibles de un sistema informatico, Informacion: La informacién es un conjunto organizado de datos que tienen sentido para la organizacién. La informacion reduce la incertidumbre y aumenta el conocimiento de algo Integridad: Es la propiedad que busca mantener los datos libres de modificaciones Significa que los recursos 0 la informacion no deben ser modificados por elementos no, Internet: Es un conjunto descentralizado de redes de comunicacién interconectad: familia de protocolos TCP/IP, garantizando que las redes funcionen como una red ldgica Unica, de alcance mundial. INTRANET: Red de computadoras privadas que utiliza tecnologia Internet para comgarth una organizacion parte de sus sistemas de informacion y sistemas operacionales. Ehtémino intrat se utiliza en oposicién a Internet, una red entre organizaciones, haciendo referenci red comprendida en el Ambito de una organizacién.wana: Pain 2 POLITICAS Y NORMAS DE SEGURIDADENLA oan ‘TECNOLOGIA DE INFORMACION Y COMUNICACIONES | ““xcCcr0 PARA EL BANCO INDUSTRIAL DE VENEZUELA 2012 NAT: Traducoién de direcciones de red. Mecanismo utilizado para transformar direcciones privadas en piiblicas. Permisos: Los permisos 0 privilegios determinan los limites del usuario sobre un recurso de TI (servidor, red, archivos, carpeta, aplicacién, etc.) Prevenir: Acciones que se toman para aumentar la seguridad de un sistema, previniendo la ocurrencia de violaciones a su seguridad. Politicas: Conjunto de reglas que se establecen para que sean cumplidas por los miembros de una organizacién. Recuperar: Acciones que se ejecutan para retornar un sistema a su estado de funcicnamiento normal. Riesgo: Se define como el dafio potencial que puede surgit por un proceso o evento ya sea presente © futuro. El riesgo es un indicador de que tan probable es que un evento perjudicial ocurra y el dafio que este causaria. Software: Todo el conjunto intangible de datos y programas de la computadora. Tecnologia de Informacion: Se conoce como tecnologia de informacién (Tl) a la utilizacion de tecnologia para el manejo y procesamiento de informacion, especificamente la captura, transformacion, almacenamiento, proteccién, y recuperacion de datos e informacién. TCP/IP: Protocolos de comunicacién de red en los cuales se basa Internet. Su nombre se debe a los dos protocolos mas importantes: Protocolo de Control de Transmisién y Protocolo de Internet. Usuarios: Son las personas que utlizan la estructura tecnolégica, zona de comunicaciones y que gestionan la informacién. En sentido general, un usuario es un conjunto de permisos y de recursos a los cuales se tiene acceso. Es decir, un usuario puede ser tanto una persona como una maquina, un programa, etc. En el caso de personas, un usuario es una persona que utiliza la estructura tecnolégica, zona de comunicaciones y que gestiona la informacion. Virus: Es un tipo de software que tiene por objeto alterar el normal funcionamiento ce la computadora sin el permiso 0 el conocimiento del usuario. VPN: Red Privada Virtual. Mecanismo utilizado para establecer conexiones privadas sobre redes puiblicas como Internet. Vulnerabilidad: Es una medida de qué tan susceptible es un recurso expuesto. La vulnerabilidad es evaluada dependiendo del bien que se esta analizando y el fenémeno que es capaz de dafiarle ‘rea Pianificacion y Evaluacion de Gestion / Departamento Organizacion y Sistemas