Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Captulo VI
6.1
Definicin
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
6.2
CUMPLIMIENTO OBLIGATORIO
ORGANIZACIN DE LA SEGURIDAD
Usuario
Custodio de informacin
Propietario de informacin
Auditor interno
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Datos que tienen un alto riesgo de ser blanco de fraude u otra actividad
ilcita:
- Datos contables utilizados en sistemas
- Sistemas que controlan desembolsos de fondos
6.4.3 Definiciones
Restringida: Informacin con mayor grado de sensibilidad; el acceso a
esta informacin debe de ser autorizado caso por caso.
Confidencial: Informacin sensible que solo debe ser divulgada a
aquellas personas que la necesiten para el cumplimiento de sus
funciones.
Uso Interno: Datos generados para facilitar las operaciones diarias;
deben de ser manejados de una manera discreta, pero no requiere de
medidas elaboradas de seguridad.
General: Informacin que es generada especficamente para su
divulgacin a la poblacin general de usuarios.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
General
con
informacin
correspondiente
otra
clasificacin.
Todo usuario, antes de transmitir informacin clasificada como
Restringida o Confidencial, debe asegurarse que el destinatario de la
informacin est autorizado a recibir dicha informacin.
Todo usuario que requiere acceso a informacin clasificada como
Restringida o Confidencial, debe ser autorizado por el propietario de
la misma. Las autorizaciones de acceso a este tipo de informacin
deben ser documentadas.
La clasificacin asignada a un tipo de informacin, solo puede ser
cambiada por el propietario de la informacin, luego de justificar
formalmente el cambio en dicha clasificacin.
Informacin en formato digital, clasificada como Restringida, debe ser
encriptada con un mtodo aprobado por los encargados de la
administracin de seguridad de la informacin, cuando es almacenada
en cualquier medio (disco duro, disquetes, cintas, CDs, etc.).
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
medios
de
almacenamiento,
incluyendo
discos
duros
de
6.4.4.2
documento
que
presente
informacin
clasificada
como
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Concientizacin peridica
Estudios muestran que la retencin y el conocimiento aplicable se
incrementa considerablemente cuando el tema es sujeto a revisin. Los
usuarios deben de ser informados anualmente sobre la importancia de la
seguridad de la informacin. Un resumen escrito de la informacin bsica
debe de ser entregada nuevamente a cada empleado y una copia firmada
debe de ser guardada en sus archivos.
La capacitacin en seguridad debe de incluir, pero no estar limitado, a los
siguientes aspectos:
-
Programas de cumplimiento
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Registro de fallas
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
6.6
Entrega en persona
FSICA
DE
LAS
INSTALACIONES
DE
PROCESAMIENTO DE DATOS
Se deben implementar medidas de seguridad fsica para asegurar la
integridad de las instalaciones y centros de cmputo. Las medidas de
proteccin deben ser consistentes con el nivel de clasificacin de los
activos y el valor de la informacin procesada y almacenada en las
instalaciones.
6.6.1 Proteccin de las instalaciones de los centros de datos
Un centro de procesamiento de datos o de cmputo es definido como
cualquier edificio o ambiente dentro de un edificio que contenga equipos
de almacenamiento, proceso o transmisin de informacin. Estos incluyen
pero no se limitan a los siguientes:
-
Consolas de administracin
Equipos de telecomunicaciones
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Asignacin
de
responsables
para
la
supervisin
de
dichas
actividades
-
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
6.7.1.5
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
establecidos
por
los
Propietarios
de
informacin,
Las cintas con copias de respaldo deben ser enviadas a un local remoto
peridicamente, basndose en un cronograma determinado por la
gerencia del Banco.
Los mensajes electrnicos, as como cualquier informacin considerada
importante, deben ser guardados en copias de respaldo y retenidos por
dispositivos automticos.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Todos los sistemas deben proveer pistas de auditoria del ingreso a los
sistemas y violaciones de los mismos. A partir de estos datos, los
custodios de los sistemas deben elaborar reportes peridicos los cuales
deben ser revisados por el rea de seguridad informtica. Estos reportes
tambin deben incluir la identidad del usuario, y la fecha y hora del
evento. Si es apropiado, las violaciones deben ser reportadas al gerente
del individuo. Violaciones repetitivas o significantes o atentados de
accesos deben ser reportados al gerente a cargo de la persona y al rea
de seguridad de la informacin.
Estructura
Todas las contraseas deben tener una longitud mnima de ocho (8)
caracteres y no deben contener espacios en blanco.
Las contraseas deben ser difciles de adivinar. Palabras de diccionario,
identificadores de usuario y secuencias comunes de caracteres, como
por ejemplo 12345678 o QWERTY, no deben ser empleadas. As
mismo, detalles personales como los nombres de familiares, nmero de
documento de identidad, nmero de telfono o fechas de cumpleaos no
deben ser usadas salvo acompaados con otros caracteres adicionales
que no tengan relacin directa. Las contraseas deben incluir al menos
un carcter no alfanumrico. Las contraseas deben contener al menos
un carcter alfabtico en mayscula y uno en minscula.
6.8.2.2
Vigencia
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
6.8.2.3
Reutilizacin de contraseas
Seguridad de contraseas
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
para
prevenir
que
stas
sean
observadas
recuperadas.
-
Los programas deben poder generar una pista de auditoria de todos los
accesos y violaciones.
Las violaciones de los controles de acceso deben ser registradas y
revisadas por el propietario o por el personal del rea de sistemas
custodio de los datos. Las violaciones de seguridad deben ser reportadas
al gerente del empleado y al rea responsable de la administracin de la
seguridad de la informacin.
Se debe tener cuidado particular en todos los ambientes para asegurar
que ninguna persona tenga control absoluto. Los operadores de sistemas,
por ejemplo, no deben tener acceso ilimitado a los identificadores de
superusuario. Dichos identificadores de usuario, son solo necesarios
durante una emergencia y deben ser cuidadosamente controlados por la
gerencia usuaria, quien debe realizar un monitoreo peridico de su
utilizacin.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
los
disquetes,
cintas,
CDs
otros
dispositivos
de
6.8.9.2
Estndares generales
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
6.8.9.3
Todas las conexiones de red internas y externas deben cumplir con las
polticas del Banco sobre servicios de red y control de acceso. Es
responsabilidad del rea de sistemas de informacin y seguridad de
informacin determinar lo siguiente:
- Elementos de la red que pueden ser accedidos
- El procedimiento de autorizacin para la obtencin de acceso
- Controles para la proteccin de la red.
Todos los servicios habilitados en los sistemas deben contar con una
justificacin coherente con las necesidades del negocio. Los riesgos
asociados a los servicios de red deben determinarse y ser resueltos
antes de la implementacin del servicio. Algunos servicios estrictamente
prohibidos incluyen TFTP e IRC/Chat.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
6.8.9.4
Segmentacin de redes
Acceso remoto(dial-in)
Los usuarios que ingresen a los sistemas del Banco mediante acceso
remoto (dial-in) deben ser identificados antes de obtener acceso a los
sistemas. Por lo tanto, dicho acceso debe ser controlado por un equipo
que permita la autenticacin de los usuarios al conectarse a la red de
datos.
Tcnicas y productos apropiadas para el control de los accesos remotos
(dial-in) incluyen:
-
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
6.8.9.7
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
de
seguridad.
Esto
incluye
errores
en
autenticacin,
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
La utilizacin de programas para el control remoto de equipos como PCAnywhere est prohibida a menos que se cuente con el consentimiento
formal del administrador de seguridad. La utilizacin inapropiada de este
tipo de programas puede facilitar el acceso de un intruso a los sistemas
de informacin del Banco.
6.8.13.2 Acceso remoto
Medidas de seguridad adicionales deben ser implementadas para
proteger la informacin almacenada en dispositivos mviles. Entre las
medidas a tomarse se deben incluir:
- Encripcin de los datos
- Contraseas de encendido
- Concientizacin de usuarios
- Proteccin de la data transmitida hacia y desde dispositivos mviles.
Ej. VPN, SSL o PGP.
- Medidas de autenticacin adicionales para obtener acceso a la red de
datos. Ej. SecureID tokens.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Todos los accesos dial-in/dial-out deben contar con autorizacin del rea
de seguridad informtica y deben contar con la autorizacin respectiva
que justifique su necesidad para el desenvolvimiento del negocio.
6.9 DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS
El diseo de la infraestructura del Banco, las aplicaciones de negocio y las
aplicaciones del usuario final deben soportar los requerimientos generales de
seguridad documentados en la poltica de seguridad del Banco. Estos
requerimientos deben ser incorporados en cada paso del ciclo de desarrollo de
los sistemas, incluyendo todas las fases de diseo, desarrollo, mantenimiento y
produccin.
Los requerimientos de seguridad y control deben estar:
- determinados durante cualquier diseo de sistemas,
- desarrollados dentro de la arquitectura del sistema
- implementados en la instalacin final del sistema.
Adicionalmente, todo los procesos de desarrollo y soporte a estos sistemas
deben seguir los requerimientos de seguridad incluidos en esta poltica de
seguridad.
6.9.1 Requerimientos de seguridad de sistemas
6.9.1.1
Control de cambios
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
procedimientos
de
prueba
deben
estar
adecuadamente
6.10
CUMPLIMIENTO NORMATIVO
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Los programas no pueden ser copiados salvo dentro del lmite acordado
con el proveedor (por ejemplo, copias de respaldo para proteccin). Los
empleados o contratistas que realicen copias adicionales para evitar el
costo de adquisicin de otro paquete sern hechos responsables de sus
acciones.
6.11
las
herramientas,
incluyendo
programas,
aplicaciones,
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
6.12
Esta poltica se aplica a todos los empleados del Banco involucrados con
comercio electrnico y a los socios de comercio electrnico del Banco. Los
socios de comercio electrnico del Banco incluyen las unidades de negocio
de la organizacin, los clientes, socios comerciales y otros terceros.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
manejen
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
6.12.1.2 Divulgacin
El Banco debe proveer suficiente informacin sobre la propia transaccin
en lnea, para permitir que los clientes tomen una decisin informada
sobre si ejecutar las transacciones en lnea.
Informacin divulgada debe incluir, pero no estar limitada a:
- Trminos de transaccin;
- Disponibilidad de producto e informacin de envo; y
- Precios y costos.
El Banco debe tambin brindar al cliente las opciones de:
- Revisin y aprobacin de la transaccin; y
- Recepcin de una confirmacin.
6.12.2 Transferencia electrnica de fondos
Transacciones de valor, sobre redes de telecomunicacin, que resulten de
movimientos de fondos, deben estar protegidas con medidas que sean
proporcionales a la prdida potencial debido a error o fraude. En sistemas
donde el valor promedio de transaccin excede los $50,000 o
en los
INFORMACIN
ALMACENADA
EN
MEDIOS
DIGITALES
FSICOS
Toda informacin almacenada en cualquier dispositivo o medio del Banco,
incluyendo disquetes, reportes, cdigos fuentes de programas de
computadora, correo electrnico y datos confidenciales de los clientes, es
propiedad del Banco.
Las prcticas de seguridad de datos deben ser consistentes para ser
efectivas. Los datos sensibles deben ser protegidos, sin importar la forma
en que sean almacenados.
6.13.1 Etiquetado de la informacin
Toda informacin impresa o almacenada en medios fsicos transportables
(cintas de backup, cds, etc.) que sean confidenciales o restringidas,
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
deben estar claramente etiquetadas como tal, con letras grandes que
sean legibles sin la necesidad de un lector especial.
Todo documento o contenedor de informacin debe ser etiquetado como
Restringida, Confidencial, de Uso interno o de Acceso General,
dependiendo de la clasificacin asignada.
Todo documento en formato digital o impreso, debe presentar una
etiqueta en la parte superior e inferior de cada pgina, con la clasificacin
correspondiente.
Todo documento clasificado como Confidencial o Restringido debe
contar con una cartula en la cual se muestre la clasificacin de la
informacin que contiene.
6.13.2 Copiado de la informacin
Reportes confidenciales y restringidos no deben ser copiados sin la
autorizacin del propietario de la informacin.
Reportes confidenciales pueden ser copiados slo para los individuos
autorizados a conocer su contenido. Los gerentes son los responsables
de determinar dicha necesidad, para cada persona a la cual le sea
distribuido dicho reporte.
Los reportes restringidos deben ser controlados por un solo custodio,
quin es responsable de registrar los individuos autorizados que soliciten
el documento.
El copiado de cualquier dato restringido o confidencial almacenado en un
medio magntico debe ser aprobado por el propietario y clasificado al
igual que el original.
6.13.3 Distribucin de la informacin
La informacin confidencial y restringida debe ser controlada cuando es
trasmitida por correo electrnico interno, externo o por courier. Si el
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
usuario,
antes
de
transmitir
informacin
clasificada
como
transmisin
de
informacin
clasificada
como
Restringida
Los
medios
de
almacenamiento,
incluyendo
discos
duros
de
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM