DCP-MN-002 Manual Del Sistema de Gestion de Si PDF

MANUAL
SISTEMA DE GESTION DE SEGURIDAD DE LA

INFORMACION
DINERS CLUB PER
Rol de las reas
Dueo de proceso
reas
Revisor
Aprobador
RIESGOS
Leonel Henriquez
Gerente de Riesgos
Leonel Henriquez
Gerente de Riesgos
ELABORADO POR:
Jhon Alvarado Godoy

OFICIAL DE SEGURIDAD DE LA
INFORMACION
REVISADO Y PUBLICADO POR:
ngela Lora
OFICINA DE GESTIN DE PROYECTOS PMO
COPYRIGHT DINERS CLUB PERU TODOS LOS DERECHOS RESERVADOS

Ninguna parte de esta publicacin puede ser reproducida, ni almacenada en un sistema o transmitida de ninguna forma o bajo ningn mecanismo sin
aprobacin escrita de DINERS CLUB PERU
DCP-MN-002
DINERS CLUB PERU
VIGENCIA: 22/10/2014
ASUNTO : SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION
1.
2.
3.
4.
5.
6.
7.
INDICE
OBJETIVOS 3
ALCANCE... 3
BASE LEGAL. 4
GENERALIDADES 4
POLITICAS18
ANEXOS Y REGISTROS19
BITACORA DE CAMBIOS..19
VERSIN 01
PAG. 2 de 19
La versin vigente de este documento es la que se encuentra en Infodiners.

Cualquier copia impresa se considera copia NO CONTROLADA y se debe verificar su vigencia
DCP-MN-002
DINERS CLUB PERU

1. OBJETIVO
La implementacin de un Sistema de Gestin de Seguridad de la Informacin (SGSI) es una
decisin estratgica para Diners Club Per, est influenciada por los objetivos estratgicos,
los requerimientos de seguridad internos y externos, los procesos, el tamao y complejidad
de nuestra institucin.
Los objetivos principales del SGSI son los siguientes:
a. Garantizar la confidencialidad, integridad y disponibilidad de la informacin generada por
Diners Club Per.
b. Lograr la confiabilidad en la informacin generada por Diners Club Per, comprendiendo
reportes e informes tanto internos como externos; entre ellos los usados por la Direccin y
la Gerencia, aquellos enviados a terceros, informacin entregada a los reguladores, as
como accionistas y otros grupos de inters.
c. Utilizar y disponer en todo momento de una adecuada segregacin de funciones para el
acceso a cualquier dato o informacin de la empresa.
d. Proteger en todo momento y circunstancia los datos e informacin contra los riesgos de
destruccin, prdida, divulgacin, malversacin, no disponibilidad y repudio, conforme con
las polticas, normas y procedimientos emanadas por la Direccin, las leyes vigentes y
reglamentaciones emitidas por los organismos reguladores.
e. Implementar polticas y procedimientos basados en las evaluaciones de riesgos para
proteger los activos de informacin.
f. Desarrollar planes y tomar acciones para brindar seguridad de informacin apropiada para
las redes, equipos, sistemas e informacin.
g. Prevenir riesgos y gestionar incidentes de seguridad de informacin.
h. Fomentar la cultura de seguridad de informacin en Diners Club Per, a travs de
programas de concientizacin, capacitacin y formacin sobre la seguridad de la
informacin.
2. ALCANCE
El SGSI abarca toda la informacin utilizada por Diners Club Per para el desarrollo de sus
actividades y es aplicable a los procesos principales de la institucin incluyendo las
dependencias de los mismos con las otras empresas del Grupo, proveedores y entidades
externas. La implementacin del SGSI se extender en concordancia con las necesidades de
la organizacin.
VERSIN 01
PAG. 3 de 19

DCP-MN-002
DINERS CLUB PERU

3. BASE LEGAL
Circular SBS G-140-2009 SBS- Gestin de la Seguridad de la Informacin

Norma Internacional ISO 27001:2005
Normas Internas Relacionadas

DCP-MN-003 Manual de Gestin de Riesgos de Seguridad de la Informacin
DCP-MN-004 Manual de Polticas del Sistema de Gestin de Seguridad de la Informacin
Normas Internas Anuladas
DCP-GG-M-002 Sistema de Gestin de Seguridad de la Informacin
4. GENERALIDADES
El Oficial de Seguridad de la Informacin debe mantener actualizado el presente, para ello
contar con el apoyo del rea de Gestin de Procesos gestionando las aprobaciones
reglamentadas as como la difusin del mismo.
4.1. GLOSARIO DE TERMINOS
4.1.1. Activo: Cualquier cosa que tenga valor para la organizacin.
4.1.2. Amenaza: Cualquier accin o evento que puede ocasionar consecuencias
adversas.
4.1.3. Confidencialidad: La informacin debe ser accesible slo a aquellos que se
encuentren debidamente autorizados.
4.1.4. Disponibilidad: La informacin debe ser disponible en forma organizada para los
usuarios autorizados cuando sea requerida.
4.1.5. Evento: Un suceso o serie de sucesos que pueden ser internos o externos a la
empresa, originados por la misma causa, que ocurren durante el mismo periodo
de tiempo.
4.1.6. Evento de seguridad de informacin: Una ocurrencia identificada del estado de
un sistema, servicio o red indicando una posible violacin de la poltica de
seguridad de la informacin o falla en las salvaguardas, o una situacin
previamente desconocida que puede ser relevante para la seguridad.
4.1.7. Factor de autenticacin: Informacin utilizada para verificar la identidad de una
persona. Pueden clasificarse de la siguiente manera:
Algo que el usuario conoce (por ejemplo: una clave de identificacin).
Algo que el usuario posee (por ejemplo: una tarjeta).
Algo que el usuario es (por ejemplo: caractersticas biomtricas).
4.1.8. Grupo de inters: Personas u organizaciones que se ven impactadas por las
operaciones de una empresa. Ejemplos: clientes, socios del negocio, empleados,
proveedores, accionistas, entidades gubernamentales, entre otros.
VERSIN 01
PAG. 4 de 19

DCP-MN-002
DINERS CLUB PERU
4.1.9. Incidente de seguridad de informacin: Evento asociado a una posible falla en

la poltica de seguridad, una falla en los controles, o una situacin previamente
desconocida relevante para la seguridad, que tiene una probabilidad significativa
de comprometer las operaciones del negocio y amenazan la seguridad de la
informacin.
4.1.10. Indicadores Claves de Control (Key Control Indicators - KCIs): Son aquellos
datos relacionados a las medidas adoptadas para el control de los riesgos y cuyo
seguimiento permite anticipar debilidades en las medidas de control de riesgos
adoptadas.
4.1.11. Indicadores Claves de Rendimiento (Key Performance Indicators- KPIs):
Son aquellos datos relacionados a la gestin y administracin del Sistema de
Gestin de Seguridad de la Informacin, cuyo seguimiento permite identificar
oportunidades de mejoras o debilidades en el modelo del SGSI.
4.1.12. Indicadores Claves de Riesgo (Key Risk Indicators - KRIs): Son aquellos
datos relacionados a los riesgos de seguridad de informacin identificados y
cuyo seguimiento permite anticipar debilidades en los activos crticos de los
procesos.
4.1.13. Indicadores Claves de Seguridad de Informacin: Son los KCIs, KPIs y los
KRIs asociados a la seguridad de informacin.
4.1.14. Informacin: Cualquier forma de registro electrnico, ptico, magntico o en
otros medios similares, susceptible de ser procesada, distribuida y almacenada.
4.1.15. Integridad:
La informacin debe ser completa, exacta y vlida.
4.1.16. Salvaguarda: Las polticas, los procedimientos, las prcticas y las estructuras
organizativas concebidas para mantener los riesgos de seguridad de la
informacin por debajo del nivel de riesgo asumido. Contramedida.
4.1.17. Seguridad de informacin: Caracterstica de la informacin que se logra
mediante la adecuada combinacin de polticas, estructura organizacional y
herramientas informticas especializadas, a efectos que dicha informacin
cumpla los criterios de confidencialidad, integridad y disponibilidad.
4.1.18. Sistema de gestin de seguridad de la informacin - SGSI: Parte del Sistema
Gerencial General, basado en un enfoque de riesgo comercial; para establecer,
implementar, operar, monitorear, revisar, mantener y mejorar la seguridad de la
informacin. El sistema gerencial incluye la estructura organizacional, polticas,
actividades de planeacin, responsabilidades, prcticas, procedimientos,
procesos y recursos.
4.1.19. Subcontratacin: Modalidad de gestin mediante la cual una empresa contrata
a un tercero para que ste desarrolle un proceso que podra ser realizado por la
empresa contratante.
VERSIN 01
PAG. 5 de 19

DCP-MN-002
DINERS CLUB PERU

4.1.20. Subcontratacin significativa: Aquella subcontratacin que, en caso de falla o
suspensin del servicio, puede poner en riesgo importante a la empresa, al
afectar sus ingresos, solvencia, o continuidad operativa.
4.1.21. Vulnerabilidad: Deficiencias que pueden ser explotadas por amenazas.
4.2. ROLES Y RESPONSABILIDADES

La gestin de seguridad de la informacin en Diners Club Per requiere de la
participacin de los diferentes niveles de la organizacin, cada una con
responsabilidades bien definidas y actividades previamente establecidas.
A continuacin se enuncian las principales funciones y responsabilidades de los entes
participantes en el desarrollo de la gestin de seguridad de la informacin en Diners Club
Per:
4.2.1. Del Directorio
Brindar su apoyo y compromiso con el Sistema de Gestin de Seguridad de
Informacin de Diners Club Per.
4.2.2. De la Gerencia General
Apoyar activamente en el cumplimiento y mejora continua del Sistema de
Gestin de Seguridad de la Informacin de Diners Club Per.
Asegurar que exista un marco de trabajo adecuado para identificar, medir,
monitorear y reportar los riesgos de seguridad de la informacin en Diners Club
Per.
Establecer un sistema adecuado de delegacin y segregacin de funciones en
la Gestin de los Activos de Informacin de Diners Club Per.
Propone al Directorio la aprobacin del presupuesto general de Diners Club
Per, el mismo que incluye el presupuesto para la gestin de la seguridad de la
informacin.
4.2.3. De la Gerencia de Riesgos
La Gerencia de Riesgos es responsable de la direccin de la Gestin de la
Seguridad de la Informacin en Diners Club Per, as como de revisar y
presentar ante el Comit de Riesgos los resultados de la gestin de seguridad
de la informacin.
4.2.4. Del Comit de Riesgos
El Comit de Riesgos tendr las siguientes responsabilidades:
Revisar las Polticas de Seguridad de la Informacin verificando su efectividad
y correcta implementacin.
Revisar y proponer mejoras al Manual de Gestin de Seguridad de la
Informacin.
Revisar y proponer mejoras a la metodologa de la Gestin de Riesgos de
Seguridad de Informacin.
VERSIN 01
PAG. 6 de 19
DCP-MN-002
DINERS CLUB PERU

Revisar y proponer mejoras a los riesgos asociados a los activos de
informacin dentro del alcance del SGSI.
Establecer los criterios para aceptar los riesgos e identificar niveles de riesgo
aceptables.
Definir el plan de accin y monitoreo a fin de evitar, mitigar, trasladar o aceptar
los riesgos asociados a la seguridad de informacin.
Coordinar con el Oficial de Seguridad de la Informacin las iniciativas e
inquietudes de las diversas reas de Diners Club Per en materia de seguridad
de la informacin.
Monitorear el cumplimiento de la mejora continua del Sistema de Gestin de
Seguridad de la Informacin.
Revisar la gestin de seguridad de la informacin.
4.2.5. Del Oficial de Seguridad de la Informacin
El Oficial de Seguridad de Informacin tendr las siguientes responsabilidades:
Coordinar y proponer al Comit de Riesgos la revisin y actualizacin del
Sistema de Gestin de Seguridad de la Informacin.
Liderar los grupos de respuesta ante la ocurrencia de incidentes seguridad de
la informacin.
Estructurar y mantener el Sistema de Gestin de la Seguridad de la
Informacin de Diners Club Per, para lo cual deber apoyarse en la oficina de
Riesgos.
Gestionar las actividades que definen las funciones de seguridad de la
informacin, en concordancia con lo establecido en las DCP-MN-004 Manual
de Polticas del Sistema de Gestin de Seguridad de la Informacin de Diners
Club Per.
Liderar el desarrollo y mantenimiento de polticas, estndares y procedimientos
para promover la seguridad de la informacin y participar en las actividades
que permitan la continuidad del negocio.
Liderar la realizacin de actividades orientadas al anlisis de riesgos
tecnolgicos peridicos sobre los activos de informacin, a fin de mantener un
conocimiento actualizado de las amenazas y vulnerabilidades sobre estos.
Realizar el monitoreo del cumplimiento de las polticas, estndares y
procedimientos del Sistema de Gestin de Seguridad de la Informacin.
Coordinar con RRHH y conducir el programa de concientizacin en temas de
seguridad de la informacin dirigido a todos los colaboradores de Diners Club
Per.
Asesorar a las distintas gerencias y colaboradores en temas relacionados a
seguridad de la informacin.
Proponer responsabilidades al interior de Diners Club Per en cuanto a
Proponer en conjunto con las reas, estrategias de mitigacin de los riesgos de
seguridad de la informacin.
Investigar y reportar incidentes o incumplimientos al Comit de Riesgos
relacionados a seguridad de la informacin.
4.2.6. De la Gerencia de Tecnologa y Operaciones
El rea de Tecnologa tendr las siguientes responsabilidades:
VERSIN 01
PAG. 7 de 19

DCP-MN-002
DINERS CLUB PERU

Gestionar la seguridad de la infraestructura de cmputo y los procedimientos
de desarrollo y cambios a los programas.
Aplicar los accesos autorizados por el Oficial de Seguridad de Informacin en
todos los sistemas de Diners Club Per.
Coordinar con el Oficial de Seguridad de Informacin la definicin de
estndares y tecnologas ms adecuadas para implantar los controles de
seguridad.
Informar al Oficial de Seguridad de Informacin sobre amenazas y/o
vulnerabilidades a los que estn expuestos los activos de informacin que
gestionan.
Informar al Oficial de Seguridad de Informacin los incidentes de seguridad de
informacin.
Convocar al Oficial de Seguridad de Informacin en los procesos de
adquisicin, desarrollo y mantenimiento de sistemas informticos, asimismo
informar sobre la contratacin de servicios de Tecnologas de Informacin y los
acuerdos de niveles de servicios.
Convocar al Oficial de Seguridad de Informacin en los proyectos de
Tecnologas de Informacin, para que identifique y evale los riesgos
asociados.
Proporcionar al Oficial de Seguridad de informacin los reportes de auditora de
los sistemas que sean solicitados por este.
Definir los requerimientos de seguridad de la informacin en conjunto con el
Oficial de Seguridad de la Informacin, tan pronto como se inicie la adquisicin,
desarrollo y modificacin de aplicativos. Estos requerimientos deben ser
documentados, implementados por el equipo del proyecto, entregados como
parte de los requerimientos a ser probados en la etapa previa al pase a
Produccin.
Asegurar que los proyectos se realicen usando mtodos, tcnicas y
procedimientos para mantener la seguridad de la informacin de los mismos,
garantizando de ese modo la confidencialidad, integridad y disponibilidad de los
sistemas de informacin. Esto incluye la ejecucin de proyectos relacionados
con la mejora de la seguridad de la informacin.
Realizar los procesos de copias de respaldo de la informacin, as como la
creacin de procesos de recuperacin.
Asegurar un adecuado mantenimiento de los equipos de procesamiento,
almacenamiento y transmisin de informacin, as como la conservacin de los
dispositivos magnticos y pticos utilizados para las copias de respaldo.
Asegurar que las actividades bajo su Gestin, que requieran contratos con
terceros cuenten con clusulas que aseguren el cumplimiento de la
normatividad para la gestin de riesgos de tecnologa de informacin.
Emitir opinin respecto a los temas referidos a tecnologas de informacin,
dentro de los procesos de seleccin de proveedores administrados por las
otras reas de Diners Club Per.
4.2.7. De la Gerencia Financiero Administrativa
La Sub Gerencia de Recursos Humanos tendr las siguientes responsabilidades:
Verificar referencias anteriores de los candidatos para el empleo, en
concordancia con las leyes y regulaciones.
VERSIN 01
PAG. 8 de 19

DCP-MN-002
DINERS CLUB PERU

Entregar las Polticas de Seguridad de la informacin al nuevo empleado y
hacerles firmar un cargo de entrega y compromiso de tal forma de asegurar
que los empleados acepten los trminos y condiciones referentes a la
Incluir dentro de la induccin a todos los niveles de Diners Club Per charlas
sobre la importancia de la informacin manejada en sus puestos de trabajo.
Hacer firmar el Acuerdo de Confidencialidad de la Informacin (Incluido en el
contrato de trabajo vigente) a los nuevos empleados.
Participar en cualquier accin que implique las acciones de un empleado por el
supuesto abuso de los recursos informticos por su parte.
Aplicar las medidas disciplinarias por los riesgos asociados al incumplimiento
de las Polticas de Seguridad de la informacin de acuerdo al grado de
responsabilidad.
En coordinacin con el Oficial de Seguridad de Informacin, brindar a los
colaboradores de Diners Club Per capacitacin y educacin en Seguridad de
la Informacin.
Apoyar a las reas respectivas en el proceso de devolucin de activos de
informacin que le fueron asignados al colaborador.
Informar al Oficial de Seguridad de Informacin el ingreso de los nuevos
colaboradores, adems, de los ceses de los colaboradores para su respectiva
deshabilitacin en los sistemas de acuerdo a los procedimientos vigentes.
Sobre el Servicio de Seguridad Fsica, el rea de Administracin tendr las
siguientes responsabilidades:
Compartir informacin relativa a incidencias y otras situaciones de potencial
riesgo de seguridad de la informacin.
Investigar los incidentes o sucesos relacionados a la seguridad de Diners Club
Per.
Monitorear todas las instalaciones de Diners Club Per y realizar acciones
correctivas con el fin de brindar a los clientes, colaboradores, proveedores de
servicios y/ terceros un lugar seguro para realizar sus operaciones/trabajo.
Impedir accesos no autorizados, daos e interferencia a las sedes e
informacin de Diners Club Per.
De manera conjunta con el rea de Tecnologa de Informacin brindar la
proteccin fsica adecuada al Centro de Cmputo contra accesos no
autorizados, daos e intrusiones.
Definir los puntos de carga y descarga as como otros puntos en los que el
personal no autorizado pueda acceder a las oficinas administrativas o
agencias, estos puntos deben estar alejados de los sistemas de tratamiento de
la informacin.
Controlar la entrada y salida de equipos de procesamiento informtico de las
oficinas de Diners Club Per y verificar las autorizaciones respectivas.
4.2.8. Del rea Legal
El rea Legal tendr las siguientes responsabilidades:
Informar al Oficial de Seguridad de la Informacin las nuevas leyes o
modificaciones en los temas de proteccin de datos personales, firmas
digitales, delitos contra el mal uso de la informacin, delitos informticos y toda
aquella regulacin a la que est afecto Diners Club Per.
VERSIN 01
PAG. 9 de 19

DCP-MN-002
DINERS CLUB PERU

Incorporar en los contratos de servicios tercerizados clusulas que obliguen al
proveedor a que sus servicios no afecten la confidencialidad, integridad y
disponibilidad de la informacin de Diners Club Per, y en los servicios ya
contratados adendas que hagan referencia a las obligaciones ya mencionadas,
los cuales debern ser enviados a los responsables de la contratacin.
En caso de incumplimiento del deber de confidencialidad de la informacin,
iniciar las acciones correspondientes, de acuerdo con su gravedad, sin perjuicio
de la responsabilidad civil y/o penal que ello ocasione
4.2.9. De las Gerencias
Las Gerencias de Diners Club Per no mencionadas de manera explcita en el
presente manual as como las mencionadas tendrn las siguientes
responsabilidades:
Participar activamente en la aplicacin de la metodologa de Gestin de
Riesgos de Seguridad de Informacin en sus respectivas reas verificando que
el personal de su cargo haya recibido capacitaciones sobre este tema.
Promover dentro de sus reas, el reporte al Oficial de Seguridad de la
Informacin de los riesgos incidentes de seguridad de informacin que se
presenten.
Canalizar al Oficial de Seguridad de Informacin, cualquier consulta asesora
conducente a mejorar la Gestin de Seguridad de Informacin.
Asegurarse que los colaboradores a la terminacin del empleo devuelvan los
activos de informacin que le fueron asignados.
4.2.10. Del rea de Auditora Interna
Adicionalmente a las funciones que les corresponden como Colaboradores,
tienen las siguientes responsabilidades:
Compartir informacin acerca de la identificacin de vulnerabilidades y
amenazas relativas a la seguridad de la informacin.
Compartir informacin relativa a incidencias y otras situaciones de potencial
riesgo de seguridad de la informacin.
4.2.11. Propietarios de Informacin (Sub Gerencias y Jefes de rea)
Adicionalmente a las funciones que les corresponden como colaboradores, tienen
las siguientes responsabilidades:
Apoyar al Oficial de Seguridad de la Informacin en la difusin de las polticas y
estndares de seguridad de la informacin de Diners Club Per a los
colaboradores bajo su cargo, para asegurarse que las conozcan y comprendan
que el incumplimiento de las mismas podran resultar en una accin
disciplinaria.
Ser responsables de la informacin que se genera y se utiliza en las
actividades de su rea de negocio.
Identificar los riesgos asociados a la seguridad de la informacin inherente a su
gestin, segn los lineamientos y polticas de Seguridad de la Informacin, as
como solicitar el apoyo de las reas pertinentes para evaluar dichos riesgos y
establecer medidas de mitigacin.
VERSIN 01
PAG. 10 de 19

DCP-MN-002
DINERS CLUB PERU

Apoyar y facilitar las revisiones peridicas para la verificacin del cumplimiento
de las polticas, procedimientos y estndares de seguridad de la informacin.
Determinar los criterios y niveles de acceso a la informacin de la cual son
responsables y notificar el cambio de funcin/ubicacin de cualquier
colaborador sea por reasignacin o retiro, con la finalidad de modificar o
cancelar sus accesos.
Revisar peridicamente los niveles de acceso a los sistemas a su cargo.
Velar por el secreto bancario y el manejo confidencial de la informacin en su
rea.
Incluir los requerimientos de seguridad de la informacin y la toma de
conciencia sobre seguridad en las comunicaciones a los colaboradores y en la
capacitacin sobre nuevas aplicaciones.
Ejecutar las acciones disciplinarias en coordinacin con el Oficial de Seguridad
de la Informacin, el rea de Recursos Humanos y el rea Legal, en cualquier
caso de incumplimiento de las Polticas de Seguridad de la Informacin de
Diners Club Per.
Identificar la informacin restringida o confidencial de los recursos bajo su
responsabilidad en coordinacin con el Oficial de Seguridad de la Informacin.
Comunicar los requerimientos de seguridad de la informacin al Oficial de
Seguridad de la Informacin, para que sean tomados en cuenta en la
adquisicin, desarrollo y modificacin de aplicativos.
4.2.12. Colaboradores de Diners Club Per
Identificar y reportar incidentes de seguridad de la informacin.
Reportar vulnerabilidades o debilidades en los sistemas o aplicaciones que
maneja Diners Club Per, y vulnerabilidades que puedan ser explotadas
afectando los activos de informacin de Diners Club Per.
Conocer, comprender y cumplir las polticas, procedimientos y estndares de
seguridad de la informacin de Diners Club Per.
Identificar y evaluar los riesgos inherentes a sus funciones de negocio
individuales y a los procesos bajo su control en forma adecuada y oportuna.
Asegurar que las medidas de mitigacin implantadas en su rea de negocio o
soporte, funcionen en forma adecuada.
Notificar incidentes y riesgos de seguridad de la informacin al jefe del rea
responsable y/o al Oficial de Seguridad de la Informacin.
Utilizar la informacin, sistemas y todos los recursos de Diners Club Per
nicamente para los propsitos autorizados e inherentes a la funcin asignada.
Mantener la confidencialidad de su identificacin y password de seguridad. No
compartir identificaciones de seguridad con ninguna otra persona,
adicionalmente no se debe guardar, escribir en su computador personal o en
ningn otro medio fsico susceptible de ser ledo por otra persona.
Mantener la confidencialidad e integridad de la informacin (escrita, digital y/
verbal) que circula al interior de Diners Club Per.
Almacenar su informacin restringida o confidencial en los servidores de
archivos centralizados y no en otros medios de almacenamiento que pudieran
ser accedidos por terceras personas.
Reportar incumplimientos de seguridad de la informacin.
VERSIN 01
PAG. 11 de 19

DCP-MN-002
DINERS CLUB PERU

4.2.13. Proveedores de Servicios y Terceros en General.
Diners Club Per someter a los proveedores de servicios y terceros en general,
por lo menos a las mismas polticas y procedimientos que norman a los
Colaboradores.
Los proveedores de servicios y terceros en general slo tendrn acceso a la
informacin que requieren para cumplir con los servicios establecidos en el
contrato, y debern formalizar por escrito que garantizarn la confidencialidad
de la informacin a la que tengan acceso.
Los proveedores de servicios y terceros deben cumplir las clusulas incluidas
dentro de los contratos, que estn referidas a salvaguardar la confidencialidad,
integridad y disponibilidad de la informacin de Diners Club Per.
Los proveedores de servicios y terceros en general debern brindar todas las
facilidades necesarias para que Diners Club Per revise el cumplimiento de las
condiciones incluidas en la propuesta tcnica y/o contratos de los servicios
brindados; as como tambin aspectos de seguridad de la informacin de los
servicios.
VERSIN 01
PAG. 12 de 19

DCP-MN-002
DINERS CLUB PERU

4.3. DISPOSICIONES GENERALES
4.3.1. PROPSITO DEL SISTEMA DE GESTIN DE SEGURIDAD DE INFORMACIN
(SGSI)
El SGSI est diseado para asegurar la seleccin adecuada de controles de
seguridad que protejan los activos de informacin de Diners Club Per y den
confianza a los grupos de inters.
4.3.2. FASES DEL SGSI
P (Plan):
D (Do):
C (Check):
A (Act):
A travs del cual se establece el SGSI

A travs del cual se implementa y opera el SGSI
A travs del cual se monitorea y revisa el SGSI
A travs del cual se mantiene y mejora el SGSI
En la primera fase Establecimiento del SGSI, se dan las pautas para determinar el alcance del
modelo del SGSI, identificar los activos de informacin y tasarlos, luego hacer el anlisis y la
evaluacin del riesgo y determinar que activos de informacin estn sujetos a riesgo. Seguidamente,
en esta fase se deben determinar las opciones para el tratamiento del riesgo.
En la segunda fase Implementacin del SGSI, se debe elaborar el plan de tratamiento del riesgo,
detallando las acciones que deben emprenderse para implantar las opciones de tratamiento del
riesgo escogidas.
En la tercera fase Monitoreo y Revisin, se deben establecer procedimientos y rutinas
establecidos para, con ayuda de mtrica, revisar el desempeo del SGSI.
En la cuarta fase Mejora continua, se toman las acciones pertinentes para reaccionar a incidentes
y tomar tambin las acciones preventivas de lugar. La idea consiste en llevar al SGSI a la excelencia
en el tiempo.
VERSIN 01
PAG. 13 de 19

DCP-MN-002
DINERS CLUB PERU

El SGSI est diseado bajo una ptica de enfoque a procesos. En el Grfico 2 se ilustran los
componentes del SGSI bajo la perspectiva de procesos.
Consideraciones
estratgicas
Insumos
OPERACIONES
INTERNAS
Retroalimentacin
Resultados
Medida
Recursos
Grfico 2: Enfoque a procesos del ISO 27001:2005

El SGSI opera con base en insumos provenientes de stakeholders, clientes, proveedores, usuarios,
accionistas, socios y otras partes interesadas. Estos insumos a travs de las operaciones internas del
SGSI, proporcionan resultados concretos del desempeo del SGSI.
Es necesario que el mecanismo de retroalimentacin para controlar el desempeo del SGSI se
establezca y se disee mtrica para, por medio de indicadores, poder medir su desempeo.
El enfoque a procesos del SGSI tambin contempla recursos que deben ser provistos para que las
operaciones internas funcionen adecuadamente.
El SGSI, en su ptica de procesos, permite que Diners Club Per influencie el desempeo del modelo
a travs de consideraciones estratgicas, tales como objetivos y polticas particulares de la
institucin.
4.3.3. ESTRUCTURA PARA LA ADMINISTRACION DEL SGSI
El Directorio y la Alta Gerencia, incluyendo el Comit de Riesgos, son las mximas
instancias de decisin y responsabilidad en la gestin de la seguridad de la
informacin, estableciendo y asegurando el apropiado ambiente interno y
ordenamiento para la gestin.
El rea de Riesgos a travs del Oficial de Seguridad de la Informacin proporciona
la metodologa para la gestin de la seguridad de la informacin y en coordinacin
con las reas relacionadas promueve la implementacin de controles de seguridad
de la informacin, asegurndose el cumplimiento de la DCP-MN-004 Manual de
Polticas del Sistema de Gestin de Seguridad de la Informacin definido por
Diners Club Per.
VERSIN 01
PAG. 14 de 19

DCP-MN-002
DINERS CLUB PERU

4.3.4. ESTRUCTURA DE RESPONSABILIDAD DEL SGSI
En el punto 4.2 se indica los roles y responsabilidades de los principales actores

involucrados en el Sistema de Gestin de Seguridad de la Informacin.
4.3.5. METODOLOGA DE GESTIN DE RIESGOS DE SEGURIDAD DE
INFORMACIN
La metodologa est basada en el enfoque de la clusula 4.2.1 (c) de la ISO
27001:2005 y se detalla en el documento DCP-MN-003 Manual de Gestin de
Riesgos de Seguridad de la Informacin.
En dicho documento se establece principalmente el procedimiento de anlisis y
evaluacin de riesgos, la poltica de aceptacin de los riesgos y el plan de
tratamiento (respuesta) al riesgo.
En base a la metodologa aplicada se debe obtener el Informe de Anlisis de
Riesgos en el que se reflejan los resultados de las etapas de anlisis y evaluacin
de los riesgos de los activos de informacin de Diners Club Per, as como
tambin los controles que se aplicarn a cada uno de ellos.
4.3.6. SELECCIN DE CONTROLES DE SEGURIDAD DE LA INFORMACIN
Sobre la base del resultado de la evaluacin de riesgos, requerimientos de
seguridad de la informacin, contexto y normativa de seguridad de la informacin
establecida, se seleccionan e implementan los controles de la seguridad de la
informacin de acuerdo a los controles de la Circular G140-SBS y la Norma
Internacional ISO 27001:2005.
4.3.7. DECLARACIN DE APLICABILIDAD (SoA)
La Declaracin de Aplicabilidad es el documento que debe contener los objetivos
de control y los controles contemplados por el Sistema de Gestin de Seguridad
de la Informacin, basado en los resultados de los procesos de evaluacin y
VERSIN 01
PAG. 15 de 19

DCP-MN-002
DINERS CLUB PERU

tratamiento de riesgos, justificando sus inclusiones y sus exclusiones; el
documento se denomina REG-DCP-032-01 Declaracin de Aplicabilidad.
4.3.8. CONTROL DE LA DOCUMENTACIN
Para los documentos que se generen para el Sistema de Gestin de Seguridad de
la Informacin de Diners Club Per se debe establecer, documentar, implantar y
mantener un procedimiento que defina las acciones de gestin necesarias para:
Aprobar documentos antes de su implementacin.
Revisar y mantener actualizados los documentos.
Garantizar que los cambios y el estado actual de revisin de los documentos
sean informados.
Garantizar que los documentos sean fcilmente identificables.
Garantizar que los documentos permanecen disponibles, que sean
almacenados, distribuidos y finalmente destruidos acorde con los
procedimientos aplicables segn su clasificacin.
Evitar la utilizacin indebida de documentos.
4.3.9. CONCIENTIZACIN Y ENTRENAMIENTO AL COLABORADOR
Uno de los elementos bsicos para el xito de un Sistema de Gestin de
Seguridad de la Informacin es el recurso humano, por tal motivo se debe
capacitar y concientizar a todo colaborador de Diners Club Per que tenga acceso
a los sistemas o informacin de Diners Club Per.
Todas las charlas de concientizacin, talleres o entrenamiento deben ser
registrados por el Oficial de Seguridad de la Informacin. En las charlas, segn se
considere necesario, se deben tomar evaluaciones para constatar que han sido
efectivas.
4.3.10. MONITOREO DEL SGSI
El monitoreo se basa en la realizacin de revisiones peridicas de indicadores
claves, permitiendo anticipar debilidades en diferentes mbitos de la Gestin del
Sistema de Seguridad de Informacin. Los indicadores se clasifican en:
4.3.10.1. Indicadores Claves de Gestin (KPIs):
Son aquellos datos relacionados a la gestin y administracin del
Sistema de Gestin de Seguridad de la Informacin, cuyo seguimiento
permite identificar oportunidades de mejoras o debilidades en el modelo
del SGSI.
4.3.10.2. Indicadores Claves de Riesgo (KRIs).
Son aquellos datos relacionados a los riesgos de seguridad de
informacin identificados y cuyo seguimiento permite anticipar
debilidades en los activos crticos de los procesos. (Ejemplo.: Niveles de
vulnerabilidad, Accesos no autorizados, Incidentes de seguridad de
informacin, etc.).
VERSIN 01
PAG. 16 de 19

DCP-MN-002
DINERS CLUB PERU
4.3.10.3. Indicadores Claves de Control (KCIs).

Son aquellos datos relacionados a los controles adoptados para el
tratamiento de los riesgos y cuyo seguimiento permite anticipar
debilidades en las medidas de control implementadas. Los KCIs miden
la efectividad de los controles implementados.
Al definir el indicador se debe especificar el responsable del monitoreo,
la frecuencia de medicin, la forma del clculo, la forma de comunicar los
resultados, y el rea que debe recibir los resultados del monitoreo.
El Oficial de Seguridad de Informacin determina y propone los
Indicadores Claves, los mismos que sern presentados al Comit de
Riesgos para conocimiento y conformidad.
Los Indicadores Claves de Control (KCIs) sern definidos en base al
REG-DCP-032-01 Declaracin de Aplicabilidad el mismo que contiene
los controles de seguridad de informacin implementados.
Los Indicadores Claves de Riesgos (KRIs) sern definidos para los
riesgos de nivel Alto y Muy Alto de los activos crticos, en el proceso de
Administracin de Riesgos de Seguridad de Informacin.
4.3.11. EVALUACIN Y ACTUALIZACIN DEL SGSI
El Comit de Riesgos debe evaluar los resultados y propuestas de mejora del
Sistema de Gestin de Seguridad de la Informacin.
Las evaluaciones deben estar sustentadas en:
Evaluacin del cumplimiento del Sistema de Gestin de Seguridad de la
Informacin segn auditoras internas.
Lecciones aprendidas.
Nuevos requerimientos de seguridad de la informacin de Diners Club Per.
4.3.12. COMPROMISO DE LA ALTA DIRECCIN
La Alta Direccin de Diners Club Per a travs del Comit de Riesgos debe
comprometerse con el establecimiento, implementacin, operacin, monitoreo,
revisin, mantenimiento y mejora del Sistema de Gestin de Seguridad de la
Informacin de Diners Club Per. Para ello, debe tomar las siguientes iniciativas:
Establecer una Poltica General de Seguridad de la Informacin.
Asegurar que se establezcan los objetivos y planes del SGSI en funcin a los
objetivos estratgicos de la organizacin.
Comunicar a la organizacin tanto la importancia de lograr los objetivos,
cumplir con las polticas de seguridad, as como sus responsabilidades
legales y la necesidad de mejora continua.
Asignar los recursos para el funcionamiento del SGSI en todas sus fases.
Decidir los criterios de aceptacin de riesgos y sus correspondientes niveles.
Apoyar para contar con el respaldo vertical desde el directorio hasta las
gerencias usuarias.
VERSIN 01
PAG. 17 de 19

DCP-MN-002
DINERS CLUB PERU

4.3.13. REVISIN DEL SGSI
Al Comit de Riesgos se le debe asignar tambin la tarea de, al menos una vez
al ao, revisar el Sistema de Gestin de Seguridad de la Informacin, para
asegurar que contine siendo adecuado y eficaz. Para ello, debe recibir una
serie de informaciones, que le ayuden a tomar decisiones, entre las principales:
Resultados de auditoras y revisiones del Sistema de Gestin de Seguridad
de la Informacin.
Retroalimentacin de las partes interesadas.
Tcnicas, productos o procedimientos que se podran utilizar para mejorar el
desempeo y efectividad del Sistema de Gestin de Seguridad de la
Informacin.
Informacin sobre el estado de acciones preventivas y correctivas.
Vulnerabilidades o amenazas que no fueran tratadas adecuadamente en
evaluaciones de riesgos tecnolgicos anteriores.
Resultados de las mediciones de efectividad.
Estado de las acciones iniciadas a raz de revisiones gerenciales anteriores.
Cualquier cambio que pueda afectar al Sistema de Gestin de Seguridad de
la Informacin.
Recomendaciones de mejora.
4.3.14. MEJORAMIENTO DEL SGSI
Basndose en todas las informaciones del punto anterior, se debe revisar el
Sistema de Gestin de Seguridad de la Informacin y tomar decisiones y
acciones preventivas y correctivas relativas a:
Mejorar la efectividad del Sistema de Gestin de Seguridad de la Informacin.
Actualizacin de la evaluacin de riesgos y del plan de tratamiento de riesgos.
Modificacin de los procedimientos y controles que afecten a la seguridad de
la informacin, en respuesta a cambios internos o externos en los requisitos
de negocio, requerimientos de seguridad de la informacin, procesos de
negocio, marco legal, obligaciones contractuales, niveles de riesgo y criterios
de aceptacin de riesgos.
Necesidades de recursos.
Mejora de la forma de medir la efectividad de los controles.
5. POLITICAS
Vase el documento DCP-MN-004 Manual de Polticas del Sistema de Gestin de Seguridad
de la Informacin.
VERSIN 01
PAG. 18 de 19

DCP-MN-002
DINERS CLUB PERU

6. ANEXOS Y REGISTROS
REG-DCP-032-01 Declaracin de Aplicabilidad
7. BITACORA DE CAMBIOS
Fecha de
Actualizacin
Versin
Datos de la Actualizacin
Fuente de
Cambio
Oficial de Seguridad de la Informacin

El presente documento reemplaza a la Versin 02 del
documento DCP-GG-M-002 SISTEMA DE GESTION
DE SEGURIDAD DE LA INFORMACION con antigua
codificacin.
Adicionalmente, se realizaron los siguientes cambios:
1. Del punto 4.2. Roles y Responsabilidades, se
modificaron las siguientes responsabilidades:
4.2.7. De la Gerencia Financiero Administrativa
Subgerencia de Recursos Humanos:
Se elimino la responsabilidad: Comunicar en forma
clara las funciones de seguridad y responsabilidad a
los candidatos al trabajo durante el proceso de
seleccin.
22/10/2014
4.2.8. Del rea Legal:
01
Descripcin
Se actualizaron todas sus responsabilidades.

4.2.11. De los Propietarios de Informacin:
Se incluyen las siguientes responsabilidades:
Identificar la informacin restringida o confidencial
de los recursos bajo su responsabilidad en
coordinacin con el Oficial de Seguridad de la
Informacin.
Comunicar los requerimientos de seguridad de la
informacin al Oficial de Seguridad de la
Informacin, para que sean tomados en cuenta en la
adquisicin, desarrollo y modificacin de aplicativos.
As mismo, se eliminaron las responsabilidades de los
Custodios de Informacin (Administradores).
Se modific el punto
Responsabilidad del SGSI.
VERSIN 01
4.3.4
Estructura
PAG. 19 de 19

de

DCP-MN-002 Manual Del Sistema de Gestion de Si PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

DCP-MN-002 Manual Del Sistema de Gestion de Si PDF

Cargado por

Copyright:

Formatos disponibles

MANUAL

SISTEMA DE GESTION DE SEGURIDAD DE LA

Jhon Alvarado Godoy

REVISADO Y PUBLICADO POR:

COPYRIGHT DINERS CLUB PERU TODOS LOS DERECHOS RESERVADOS

DINERS CLUB PERU

ASUNTO : SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION

La versin vigente de este documento es la que se encuentra en Infodiners.

DINERS CLUB PERU

ASUNTO : SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION

La versin vigente de este documento es la que se encuentra en Infodiners.

DINERS CLUB PERU

ASUNTO : SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION

Circular SBS G-140-2009 SBS- Gestin de la Seguridad de la Informacin

Normas Internas Relacionadas

La versin vigente de este documento es la que se encuentra en Infodiners.

DINERS CLUB PERU

ASUNTO : SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION

4.1.9. Incidente de seguridad de informacin: Evento asociado a una posible falla en

La informacin debe ser completa, exacta y vlida.

La versin vigente de este documento es la que se encuentra en Infodiners.

DINERS CLUB PERU

ASUNTO : SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION

4.2. ROLES Y RESPONSABILIDADES

DINERS CLUB PERU

ASUNTO : SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION

La versin vigente de este documento es la que se encuentra en Infodiners.

DINERS CLUB PERU

ASUNTO : SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION

La versin vigente de este documento es la que se encuentra en Infodiners.

DINERS CLUB PERU

ASUNTO : SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION

La versin vigente de este documento es la que se encuentra en Infodiners.

DINERS CLUB PERU

ASUNTO : SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION

La versin vigente de este documento es la que se encuentra en Infodiners.

DINERS CLUB PERU

ASUNTO : SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION

La versin vigente de este documento es la que se encuentra en Infodiners.

DINERS CLUB PERU

ASUNTO : SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION

La versin vigente de este documento es la que se encuentra en Infodiners.

DINERS CLUB PERU

ASUNTO : SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION

A travs del cual se establece el SGSI

La versin vigente de este documento es la que se encuentra en Infodiners.

DINERS CLUB PERU

ASUNTO : SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION

Grfico 2: Enfoque a procesos del ISO 27001:2005

La versin vigente de este documento es la que se encuentra en Infodiners.

DINERS CLUB PERU

ASUNTO : SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION

En el punto 4.2 se indica los roles y responsabilidades de los principales actores

La versin vigente de este documento es la que se encuentra en Infodiners.

DINERS CLUB PERU

ASUNTO : SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION

La versin vigente de este documento es la que se encuentra en Infodiners.

DINERS CLUB PERU

ASUNTO : SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION

4.3.10.3. Indicadores Claves de Control (KCIs).

La versin vigente de este documento es la que se encuentra en Infodiners.

DINERS CLUB PERU

ASUNTO : SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION