4147.010.30.

03

Administración de Riesgos de Operación

Políticas
Políticas Generales de Seguridad de la Información
Fecha de Vigencia: 07/04/2017
Fecha de Publicación: 06/04/2017

1. Antecedentes
La política de Seguridad de la Información del BCP, se encuentra alineada con la Norma Internacional
ISO 27001:2013

Esta política establece las directivas y requerimientos necesarios para implementar un razonable nivel de
protección de la información, plataformas, sistemas de información y aplicativos informáticos dentro del
Banco, restringiendo el acceso, modificación y/o divulgación no autorizada de los activos de información,
que podrían afectar las operaciones y oportunidades de negocios de la organización.

2. Objetivo
a) Establecer el marco general de seguridad de la información que permita contar con niveles
requeridos de disponibilidad, confidencialidad, integridad y privacidad, en base a las necesidades
del negocio y a los riesgos presentes en sus procesos.
b) Asegurar el cumplimiento de las leyes, regulaciones y normativas vigentes.

3. Alcance
Indicar el carácter universal de esta política para cada uno de las partes interesadas, empleados del
Banco, trabajadores externos y proveedores de servicios que acceden a la información y recursos del
Banco.

4. Terminología y definiciones
4.1. Generales
a) Activo de Información: Todo documento físico (DF), documento digital (DD) y aplicativos
informáticos (APP) que tengan un valor para la empresa y/o soporten o sean parte de la actividad,
proceso o giro de negocio de la organización. Y además deberá contar con un “Custodio” y un
“Owner o Dueño”.
b) Administrado: Actividad relacionada con la ejecución de controles para la gestión de la aplicación
como: mantenimiento al aplicativo, instalación de parches, gestión de accesos, entre otros.
c) Alojado: Ubicación física del activo de información el cuál puede ser bajo una infraestructura de la
División de Sistemas o bajo una infraestructura propia de la Unidad.
d) Aplicativo informático fuera de la custodia de la División de Sistemas (APPnoIT): Todo activo
de información orientado al procesamiento y administración de datos e información. Se catalogará
como fuera de la custodia de la División de Sistemas en el caso que dicho aplicativo se encuentre
administrado por la Unidad y no cumpla con el Modelo de Gobierno de Gestión de Usuarios TI, y no
se ha evaluado e identificado si cumple con los lineamientos de seguridad de información y
estándares tecnológicos definidos por el BCP.
Se incluye a esta definición los archivos digitales con lógica de programación en su contenido, como
por ejemplo: macros en Excel, bases de datos en Access, lógicas en Sharepoint, entre otros.

-1-
 Toda creación o modificación de APPnoIT sin conocimiento de la unidad de Gestión de Usuarios TI
es considerada un incumplimiento al Modelo de Gobierno y logra su formalización cuando es
evaluada e inventariada a fin de que se le considere como aplicación especializada APPEsp/User IT
e) Aplicativo informático especializado (APPEsp): También conocida como aplicación User IT. Es el
conjunto de programas desarrollados, instalados, administrados y/o actualizados por la unidad
usuaria fuera de la custodia de la División de Sistemas, para los cuales el Área de Arquitectura y
Estándares de TI ha otorgado la autorización bajo el Modelo de Gobierno de Gestión de Usuarios TI,
lo cual involucra que es una aplicación inventariada y se evaluará su cumplimiento para aplicar los
estándares tecnológicos y lineamientos de seguridad establecidos por el BCP. Para mayor detalle,
revisar la Norma “Modelo de Gobierno para aplicaciones fuera de la custodia de Sistemas -
Cumplimiento y tratamiento de los procesos, lineamientos y estándares tecnológicos (4110.011.03)”
f) Aplicativo informático dentro de la custodia de la División de Sistemas (APPIT): Conjunto de
programas desarrollados, instalados, administrados y/o actualizados por la División de Sistemas para
brindar atención a los clientes con productos o servicios automatizados, así como ofrecer el soporte
necesario a toda la estructura administrativa, operativa y contable.
g) Confidencialidad: Propiedad de la información, por la que se garantiza que está accesible
únicamente a individuos autorizados a acceder a dicha información.
h) Control: Todo mecanismo para manejar el riesgo; incluyendo políticas, procedimientos,
lineamientos, entre otros.
i) Custodio del Activo de Información: Mantiene y asegura alguna o todas las propiedades de la
información (confidencialidad, integridad, disponibilidad y privacidad) de un DF, DD y APPEsp/User
IT y los escenarios de custodia establecidos para su protección, según los requerimientos
establecidos por el Owner del activo.
j) Disponibilidad: Propiedad de la información, por la que se garantiza que la información estará
accesible y será utilizable a demanda.
k) Documento digital (DD): Todo activo de información que contenga datos en formato electrónico, y
que requiere de un dispositivo informático para su acceso y consulta. Se excluye de esta definición a
todo archivo digital que contenga lógica de programación en su contenido, como por ejemplo macros
en Excel.
l) Documento físico (DF): Todo activo de información que contenga datos registrados en un formato
tangible tales como comprobantes de caja, documentos de control operativo, documentos activos,
documentos pasivos, documentos para archivo físico, entre otros.
m) Escenario: Nivel de protección exigible por el Banco en función de las características de
administración (gestión) y alojamiento (custodia) del activo de información.
n) Escenario 1: Nivel de protección para todo Activo de Información administrado y alojado por la
División de Sistemas.
o) Escenario 2: Nivel de protección para todo Activo de Información administrado por la Unidad y
alojado por la División de Sistemas. En el caso que las actividades de administración de un aplicativo
informático sean compartidas entre la Unidad y la División de Sistemas, y este aplicativo esté alojado
en Sistema, se considerará el APPEsp/User IT en el Escenario 2.
p) Escenario 3: Nivel de protección para todo Activo de Información administrado y alojado por la
Unidad (auto administrado).
q) Gestor de Riesgos de Operación (Gestor RO): Personal de apoyo, perteneciente a la unidad
usuaria, que facilite la generación del inventario de activos de información y coordinación de la
gestión y tratamiento de riesgos con su Unidad. Todo Gestor RO deberá velar por la correcta
identificación y clasificación de los activos de información dentro de su Unidad, así como también, de
mantener actualizado el inventario donde dichos activos se encuentran registrados.

-2-
r) Gestor de aplicaciones de usuarios TI: Líder del equipo de especialistas de aplicación de la
unidad. Será el responsable de velar que las nuevas iniciativas tecnológicas o cambios en el
portafolio de las aplicaciones de su unidad, sean gestionados bajo el modelo de gobierno de Gestión
de Usuarios de TI de acuerdo a lo indicado en la norma “Modelo de Gobierno para aplicaciones fuera
de la custodia de Sistemas - Cumplimiento y tratamiento de los procesos, lineamientos y estándares
tecnológicos (4110.011.03)”. Es la persona responsable de asegurar el cumplimiento de las
propiedades de la información de un APPEsp/User IT (confidencialidad, integridad, disponibilidad y
privacidad).
s) Asesor de Gestión de Usuarios TI (Asesor User IT): Rol responsable de orientar las soluciones o
iniciativas tecnológicas de las unidades usuarias, brindándoles asesoría en la correcta aplicación de
los lineamientos de seguridad de información y estándares tecnológicos para aplicaciones
APPEsp/User IT de acuerdo a lo indicado en la norma “Modelo de Gobierno para aplicaciones fuera
de la custodia de Sistemas - Cumplimiento y tratamiento de los procesos, lineamientos y estándares
tecnológicos (4110.011.03)”.
t) Información: Cualquier forma de registro electrónico, óptico, magnético o en otros medios,
susceptible de ser procesada, distribuida y almacenada.
La información adopta muchas formas, tanto en los sistemas como fuera de ellos. Puede ser:
 Almacenada, en los sistemas o en medios portables;
 Transmitida, a través de redes o entre sistemas;
 Impresa o escrita, en papel o hablada en conversaciones.
u) Integridad: Propiedad de la información, por la que se asegura su exactitud, precisión y completitud.
v) Lineamiento: Toda descripción que aclara qué se debe hacer para lograr los objetivos establecidos
en la política o marcos de gobierno del Banco.
w) Owner o Dueño: Líder usuario o Gerente de la unidad responsable de la información de un activo.
Los Owners o Dueños de activos son formalmente los responsables identificar los requerimientos
necesarios para mantener la seguridad de los activos según su clasificación (preservación de
confidencialidad, integridad, disponibilidad y privacidad) mientras estos sean desarrollados,
producidos, mantenidos o usados.
x) Privacidad: propiedad de la información, por la que se garantiza que la información propia e
individual del cliente es conocida sólo por individuos autorizados.
y) Procesamiento de Datos: se entiende por procesamiento de datos (independientemente del medio
que los contenga), a la validación, transmisión (o distribución) y transformación de datos, ya sea que
se efectúe por el Banco o por contratación de servicios con otras empresas, de forma local o fuera
del país. Toda operación enmarcada bajo esta definición deberá contar con niveles de seguridad que
aseguren la confidencialidad, integridad, disponibilidad y privacidad de los datos, enmarcadas bajo
las directrices, lineamientos y regulaciones locales y la autorización del ente regulador en caso
aplique.
(*)
z) Proveedores Críticos : son todos aquellos proveedores adjudicados como resultado del proceso
de formalización de contratos, cuyos servicios han sido clasificados como estratégicos y de alto
riesgo para la organización.
(*)
aa) Proveedores críticos con acceso a información de uso restringido : son todos aquellos
terceros que tienen acceso a información de uso restringido del banco, los cuales están sujetos a
cumplir con los lineamientos de seguridad de la información exigidos por el banco. Se entiende
también que cualquier proveedor crítico con acceso a información de uso restringido, es una
subcontratación significativa.
(*)
bb) Subcontratación : Se entiende por subcontratación a la modalidad de gestión mediante la cual
una empresa contrata a un tercero para que éste desarrolle un proceso que podría ser realizada por
la empresa contratante.

-3-
 (*)
cc) Subcontratación significativa : es toda aquella subcontratación que en caso de falla o
suspensión del servicio, puede poner en riesgo importante a la empresa, al afectar sus ingresos,
solvencia o, continuidad operativa.

(*) Para mayor detalle ver norma Formalización de contratos con Proveedores de Bienes y Servicios
(4147.010.05.10).

dd) Seguridad de la Información: Preservación de confidencialidad, integridad, disponibilidad y

privacidad de los activos de información.
ee) Sistema de información o Sistema de Procesamiento de Información o Aplicativo: Conjunto de
programas y/o equipos de cómputo desarrollados, instalados, administrados y/o actualizados para
brindar atención a los clientes con productos o servicios automatizados, así como ofrecer el soporte
necesario a toda la estructura administrativa, operativa y contable.
ff) Unidades: Toda Área o División del Banco que participe o apoye a las operaciones de los procesos
del negocio.
gg) Unidad de Negocio: estructura organizativa que agrupa los procesos de la empresa mediante los
cuales se crea, comercializa, y atiende productos y/o servicios de un mercado objetivo
hh) Unidad de Soporte: estructura organizativa que agrupa los procesos de unidades operativas, de
staff o apoyo que no pueden ser vinculados a una particular unidad de negocio o que cuyas
operaciones soportan a todas
ii) Ubicación Física: Ubicación física del activo de información el cuál puede ser bajo una
infraestructura de la Unidad de Sistemas o de una Unidad bajo la cual se encuentra emplazado y/o
custodiado algún activo de información.

4.2. Específicos de Seguridad-Informática

a) Antivirus: Aplicaciones con la capacidad de detectar, limpiar o eliminar el funcionamiento de un virus
informático que se encuentra residente en forma activa o silenciosa en la computadora.

b) Autenticación: Mecanismo por el cual un sistema de información cuenta con evidencia válida para
asegurar que la identificación de un usuario es correcta.

c) Autorizador: Usuario con la responsabilidad delegada por el owner, de confirmar o denegar las
autorizaciones de accesos a los recursos de información.

d) Certificado Digital: Es la certificación electrónica que vincula unos datos de verificación de firma a un
signatario y confirma su identidad.

e) Cifrado: Proceso mediante el cual una cadena legible de datos es alterada, en forma lógica, con el
objetivo de evitar que alguien no autorizado pueda interpretarla. Esta cadena codificada carece de
significado a menos que tenga los medios que le permitan su interpretación.

f) Firewall: Equipo de protección que se coloca entre redes para impedir el acceso de usuarios no
autorizados a la red.

g) Fixes o parches: Soluciones que provee el fabricante para corregir las vulnerabilidades que afectan a
sus productos.

h) Log: Registro de datos lógicos de las acciones o sucesos ocurridos en los sistemas aplicativos u
operativos, con el fin de mantener información histórica para fines de control, supervisión y auditoría.

i) Password o clave de acceso o contraseña: Conjunto de caracteres que una persona debe registrar
para ser "reconocida" como usuario autorizado y acceder a los recursos de un equipo o sistema
utilizado para el procesamiento de datos.

-4-
j) Virus: Programas maliciosos que se activan con o sin control del usuario y que provocan un resultado
inesperado en los diferentes sistemas o aplicativos.

k) Vulnerabilidad: Fallo o “bug” de seguridad que afecta al software base que se encuentra instalado.

5. Características
a) Para garantizar un adecuado Marco de Seguridad de la Información y su capacidad para lograr
resultados se debe tener en cuenta:

Aspectos y/o amenazas externas:

 La protección contra ataques cibernéticos

 La revisión y evaluación de servicios estratégicos o de alto riesgo subcontratados que involucren
custodia, procesamiento y/o almacenamiento de información de uso restringido.
 Prevención y contingencia ante desastres naturales.

Aspectos y/o amenazas internas:

 La protección de la información contra accesos no autorizados.

 La protección contra la modificación no autorizada de información durante su procesamiento,
almacenamiento o transmisión.
 La protección contra la negación de servicio a usuarios autorizados o prestación de servicios a
usuarios no autorizados, incluyendo las medidas necesarias para la detección, documentación y
registro de tales amenazas.
 La protección de la privacidad de la información personal de los clientes.

b) La Gerencia de Seguridad Informática y la Gerencia de Seguridad difundirán las responsabilidades

que todo el personal del Banco y proveedores de servicio, deben conocer y seguir para el mejor uso
de la información, para lo cual se tendrá en cuenta el Reglamento Interno de Trabajo, Código de
Ética y Lineamientos de Conducta Credicorp, asimismo deberán aplicar las disposiciones respecto al
Secreto Bancario, la Política Corporativa de Protección de Datos Personales (4204.119.01.02) y
otros vinculados a la Seguridad de la Información.

c) Todo personal del Banco y trabajadores externos que tengan acceso a la información y recursos del
Banco, son responsables de cumplir con las normas y políticas de seguridad de la información.

d) Toda información es propiedad de cada empresa Credicorp, independientemente del medio en la

que ésta se almacene, y por lo tanto debe ser protegida de modificación, eliminación y conocimiento
por personas ajenas a la organización o a las funciones asignadas. Incluso la información que se
transmite por voz, cuyo medio de transmisión es el aire, debe ser protegida manteniendo su
integridad, confidencialidad y privacidad.

6. Políticas de Seguridad de la Información

6.1 Políticas Generales de Administración
Se consideran las siguientes:

 Todo medio de información, aplicativo o recurso de computador debe tener un líder usuario o
usuario propietario (OWNER) quien será el responsable de cumplir los lineamientos dispuestos
en la Política y Marco de Seguridad de la Información relacionadas a ese activo de información
en particular.

-5-
  Los líderes usuarios o usuarios propietarios tienen la responsabilidad de determinar cómo serán
administrados los activos de información bajo su responsabilidad, con el apoyo del Gestor RO y
con el asesoramiento y la atención de consultas por parte de la Gerencia de Seguridad
Informática, la Gerencia de Seguridad y la asesoría de la unidad de Gestión de Usuarios TI para
el caso de sus aplicaciones especializadas (APPEsp/User IT).
 La administración de seguridad debe ser auditada y revisada para asegurar que los procesos a
su cargo se realicen de manera eficiente y efectiva.

6.2 Políticas Generales de Identificación de Usuarios

a) Para el acceso a todo sistema de información cada empleado debe tener una identificación y
password únicos que deberán ser validados con mecanismos de autenticidad. Los líderes usuarios o
usuarios propietarios tienen la responsabilidad de cumplir los requerimientos de identificación y
autenticidad aplicables del sistema de información. Estos requerimientos se encuentran en el Marco
de Gobierno de Seguridad de la Información.

b) Los empleados con personal a cargo son responsables de asegurar que la identificación y password
asignados a los empleados que les reportan, se encuentren activos y cumplan con los requerimientos
de su Área, Gerencia, Subgerencia, Unidad u Agencia. Asimismo informar y alertar a la Gerencia de
Seguridad Informática de cualquier infidencia y/o mal uso.

c) Para aquellos sistemas donde el acceso se ofrece directamente a clientes o personas que no son
empleados del Banco, obligatoriamente se debe considerar la existencia de un código de
identificación único por usuario y se les deberá proveer de guías explícitas sobre su uso y
responsabilidades.

d) Toda información de seguridad, como password o claves de acceso, debe estar encriptada durante su
transmisión y almacenamiento en cualquier medio electrónico.

6.3 Políticas Generales de Acceso a Recursos

a) Es responsabilidad del owner o dueño del activo de información asegurar que sus activos
restringidos reciban un nivel de protección apropiado.
b) Todo acceso a los activos de información deberá estar protegido con mecanismos de control de
acceso.
c) Para los accesos fuera de estándar:
 El único que puede autorizar accesos no estándar sobre un recurso es el “owner” del mismo.
 En general los accesos son para el personal de línea. No hay accesos a Producción para
personal de Ingeniería y Desarrollo de TI ó Soluciones de Negocio.
 Cualquier pedido debe ser aprobado por el “owner” de la aplicación / información involucrada
y/o sus representantes formalmente designados.
 Toda atención excepcional será con copia a Auditoría de Procesos de Tecnología.

d) La empresa debe implementar procedimientos definidos en caso de cese del personal, que incluye
aspectos como la revocación de los derechos de acceso y la devolución de activos de la información
(Formato de Devolución de activos). Política Desvinculación del personal (5014.926.02)
e) La Gerencia de Seguridad debe monitorear el cumplimiento, atender las consultas y concientizar a
los usuarios de manera continua sobre lo dispuesto por el Marco de Gobierno de Seguridad de la
Información con el fin de prevenir:
 El acceso físico no autorizado, daño e interferencia de los documentos físicos restringidos del
Banco.

-6-
  La pérdida y robo o compromiso de documentos físicos.
f) En caso de pérdida, asalto o robo de documentos con información de clientes o colaboradores BCP,
se deberá denunciar el hecho, indicando la relación de clientes/colaboradores afectados.
g) En caso de que un proveedor sea víctima de robo, asalto o pierda información de clientes o
colaboradores BCP, el hecho debe ser denunciado por el mismo proveedor indicando la relación de
clientes/colaboradores afectados. Asimismo, deberá comunicar el hecho de forma inmediata a la
Unidad Usuaria BCP. Esto último, debe quedar especificado en una cláusula en el contrato con
dicho proveedor.

6.4 Políticas Generales de Clasificación de Recursos

a) El objetivo es definir un método de clasificación de los Activos de Información de la empresa, para su

protección frente a pérdida, divulgación no autorizada o cualquier otra forma de uso indebido, ya sea
de modo accidental o intencionado.
b) Es responsabilidad del owner o dueño del activo de información asegurar la gestión e inventariado
de sus documentos físicos, documentos digitales, aplicativos informáticos dentro y fuera de la
custodia de la División de Sistemas (APPIT y APPESP/User IT respectivamente).
c) Todo medio de información, aplicativo o recurso de computador, debe tener un Owner (líder usuario,
usuario propietario o gerente de la unidad de negocios que administra un servicio o producto
bancario).
d) Los líderes usuarios o usuarios propietarios determinarán los requerimientos de confidencialidad,
integridad, disponibildad y privacidad requerida para los recursos bajo su propiedad, en función a la
importancia de la información y de los riesgos a los cuales está expuesto.
e) La información adopta muchas formas, tanto en los sistemas como fuera de ellos. Puede ser:
 Almacenada, en los sistemas o en medios portables;
 Transmitida, a través de redes o entre sistemas;
 Impresa o escrita, en papel o hablada en conversaciones.

f) Las consideraciones de seguridad que se deben tener presente para clasificar la información son las
siguientes:
 Disponibilidad
 Confidencialidad
 Integridad
 Privacidad

g) De acuerdo a estas consideraciones, la información se clasifica en:

 Público: La información de uso público es clasificada como tal, si en el escenario de que dicha
información no estuviera disponible, el resultado no generaría ningún efecto, además, la
divulgación o no de esta información no causa ningún tipo de pérdida económica, impacto legal,
ni de imagen para la organización.

 Uso Interno: La información de uso interno es clasificada como tal, si en el escenario de que
dicha información se filtrara fuera de la organización, el resultado podría generar pérdidas
económicas no significativas. Es decir, la divulgación de dicha información no causará daños
graves a la organización, ni en términos económicos, legales ni de imagen institucional. El
acceso es provisto únicamente a personal del Banco o trabajadores externos autorizados, de tal
modo, que ellos puedan consultarla libremente. En caso, se necesite modificar o eliminar esta
información, se procederá en base a las necesidades y responsabilidades del puesto.

-7-
  Restringido: La información de uso restringido es clasificada como tal, si en el escenario de que
dicha información se filtrara fuera de la organización, el resultado podría generar importantes
pérdidas económicas, impacto legal y de imagen institucional. La divulgación de dicha
información requiere la aprobación del Owner o Dueño. Asimismo, en caso la información
requiera ser divulgada a trabajadores externos se requerirá un acuerdo de confidencialidad
firmado.

6.5 Políticas Generales de Evaluación y Tratamiento de Riesgo

a) Es responsabilidad de la Gerencia de Administración de Riesgos de Operación y la Gerencia de
Seguridad Informática asegurar que todo personal del Banco y trabajadores externos conozcan los
criterios para poder identificar los riesgos a los cuales se encuentran expuestos los documentos
digitales, y aplicativos informáticos dentro y fuera de la custodia de la División de Sistemas (APPIT y
APPESP/User IT respectivamente).

b) Es responsabilidad de la Gerencia de Administración de Riesgos de Operación y la Gerencia de

Seguridad asegurar que todo personal del Banco y trabajadores externos conozcan los criterios
para poder identificar los riesgos a los cuales se encuentran expuestos los documentos físicos.

c) Es responsabilidad de la Gerencia de Seguridad Informática y la Gerencia de Seguridad asegurar

que todo personal del Banco y trabajadores externos conozcan la normativa vigente respecto del
Marco de Gobierno de Seguridad de la Información, así como cada una de sus responsabilidades
para el tratamiento de los riesgos.

6.6 Políticas Generales de Propiedad y Uso de Recursos

6.6.1 De las aplicaciones

a) Se entiende por Dato Sensible a cualquier Activo de Información cuya modificación o alteración
inadecuada o no autorizada podría afectar gravemente a la integridad de los Sistemas de
Información, sin ser prevenidas por los métodos habituales de control ni detectadas en un corto
espacio de tiempo.

b) Un programa sensible sólo podrá ser usado para los fines para los que fue creado. Toda
modificación, cambio o alteración de un Programa Sensible deberá ser previamente autorizada por el
Owner o Dueño correspondiente.

c) Los Activos de Información Sensibles no podrán ser, en ningún caso, consultados públicamente y no
puede haber usuarios que tengan acceso permanente a ellos, incluyendo las copias de respaldo.

d) Los accesos temporales deberán estar plenamente justificados y aprobados caso a caso, los que
tendrán que ser eliminados inmediatamente después de terminar la necesidad de uso.

e) Todas y cada una de las actividades de uso y acceso realizadas por los usuarios tendrán que ser
registradas y revisadas.

f) Los proveedores que gestionen aplicaciones informáticas fuera de la custodia de la División de

Sistemas (APPESP/User IT) deberán cumplir con las políticas y normas de seguridad informática, así
como todo nuevo lineamiento exigible por la Gerencia de Seguridad Informática.
g) La conexión de sistemas y redes a otros sistemas o redes podrán suponer un grave riesgo para toda
la red, los sistemas conectados a ella y los Activos de Información contenidos en los sistemas, por
ello, es responsabilidad del Área o Unidad responsable cumplir los lineamientos y estándares
dispuesto por la organización respecto a conexiones seguras.

-8-
h) Deberán controlarse todas las transferencias de Activos recibidas, verificando que ninguno de ellos
es, o forma parte de, un virus conocido con especial atención en los programas ejecutables.

6.6.2 De los Usuarios

a) Asegurar que cada Activo de Información de usuario se encuentre protegido, conforme a lo

establecido por el Owner o Dueño, y que sólo tienen acceso los usuarios autorizados por él.

b) Todo usuario es responsable de proteger el terminal que le ha sido asignado y colaborar en la

protección de cualquier otro terminal de la empresa para evitar el robo o daño (total o parcial) usando
la información que contiene y/o utilizando el sistema al que está conectado.

c) Durante la jornada laboral, en ausencias que excedan un tiempo razonable, es necesario bloquear el
terminal, para ello se utiliza productos de bloqueo (protectores de pantalla) y arranque mediante
contraseña.

d) Cualquier infección de virus deberá ser notificada a HelpDesk para el aislamiento de los sistemas
afectados, el análisis del virus y si fuera necesario, su posterior inclusión en el anti-virus.

e) Se prohíbe propagar conscientemente programas o datos infectados por virus dentro de o desde el
Banco.

f) La responsabilidad de la utilización de anti-virus y la protección de las estaciones de trabajo

(terminales) es del usuario final, pero la Gerencia de Seguridad Informática será responsable de
definir las políticas de actualización y escaneo en las estaciones. Asimismo, el Área de
Infraestructura y Operaciones de TI (AIO) será responsable de implementar y monitorear el
cumplimiento de dichas políticas.

g) Todo recurso asignado al usuario está destinado únicamente para fines del negocio, cualquier otro
uso contraviene las políticas del Banco.

h) Todo empleado del Banco debe asegurar una gestión apropiada del envío y traslado de su
información. El traslado externo de documentos (fuera del BCP), debe efectuarse mediante
procedimientos formales implementados por el Banco (Norma Envío de Documentos Restringidos y
valorados a clientes generados por las distintas áreas y Sucursales de Lima Metropolitana y Callao
4035.011.07)

i) Todo el personal del Banco y trabajadores externos debe asegurar la gestión de destrucción de sus
documentos físicos clasificados como restringidos.

6.7 Políticas Generales de Alertas, Auditorías y Cumplimiento

a) La administración de seguridad debe ser auditada y revisada para asegurar que los procesos a su
cargo se realicen de manera correcta.

b) Las aplicaciones deben incluir la definición de logs de auditoría y alertas para eventos críticos que
permitan realizar un análisis forense (investigación por algún incidente).

c) Para aplicaciones críticas se debe coordinar con la Gerencia de Prevención para realizar la interfase
con la aplicación Monitor.

-9-
d) La responsabilidad del cumplimiento de las Normas es de todos los empleados, pero especialmente
del personal directivo que tiene bajo su responsabilidad como empleado la coordinación y
supervisión de todos los empleados a los que dirige.

e) La División de Gestión y Desarrollo Humano será responsable de aplicar las sanciones a los
empleados del Banco ante cualquier incumplimiento de las obligaciones que como empleados les
corresponde, relacionado a la mala gestión de seguridad de la información, tanto para documentos
físicos, digitales, y aplicativos dentro y fuera de la custodia de la División de Sistemas (APPIT y
APPESP/User IT respectivamente).

f) La Gerencia de Seguridad Informática, la Gerencia de Seguridad y la Unidad de Gestión de Usuarios

TI, serán las encargadas de difundir y velar por el cumplimiento de las normas regulatorias vigentes
con respecto a los documentos físicos, digitales, y aplicativos dentro y fuera de la custodia de la
División de Sistemas (APPIT y APPESP/User IT respectivamente) según corresponda. Asimismo,
son los administradores de la herramienta web utilizada para actualizar el Inventario de Activos de
Información de las unidades.

g) La División de Auditoría deberá tomar las consideraciones necesarias en sus revisiones con respecto
al Marco de Gobierno de Seguridad de la Información.

6.8 Políticas Generales de Capacitación

a) Se incorporará el Programa de Capacitación de Seguridad de la Información en el Plan de
Capacitación del Banco, que se desarrollará mediante la programación anual de cursos; de acuerdo a
procedimientos aceptados y empleados por la Gerencia Gestión del Aprendizaje.

b) El Programa de Capacitación de Seguridad de la Información comprenderá un conjunto de acciones

que permitirán:

 Generar en los empleados del Banco desde el más alto nivel de dirección hasta los empleados
temporales, una conciencia de seguridad y lograr su efectiva colaboración en el uso adecuado de
los Sistemas y la protección de los activos de información de la institución.

 Mantener actualizados a los empleados con relación a las políticas, normas, procedimientos y
estándares de Seguridad de la Información de la organización y las razones para ser utilizadas.

c) Se deberá desarrollar permanentemente acciones de actualización al personal del Banco en

Seguridad de la Información, cuyos objetivos son:

 Identificar las responsabilidades de cada empleado para el aseguramiento de los activos de

información.

 Proporcionar conocimientos en Seguridad de la Información a los empleados para la buena toma

de decisiones.

d) El Programa de Capacitación de Seguridad de la Información deberá asegurar que los empleados,

contratistas y terceros entiendan sus responsabilidades con respecto a la seguridad de la información.

6.9 Políticas-Generales de Privacidad

a) Todos los usuarios de información, proveedores y otros individuos con acceso a información de
identificación individual deben mantener la privacidad de esta información constantemente.

- 10 -
b) Es responsabilidad del Banco hacia sus clientes, empleados, proveedores y socios de negocios el
mantener la privacidad de la información personal confidencial utilizada para el desarrollo del
negocio.
c) Los contratos con los proveedores que traten documentos de Uso Restringido, deberán incluir
cláusulas de Seguridad de la Información (Confidencialidad) y Protección de Datos Personales
según corresponda, de acuerdo al formato de Contratos de Prestación de Servicios que se
encuentra publicado en el Portal Normativo del Banco.
d) El mantenimiento de la privacidad de la información confidencial requiere de los siguientes controles
y medidas de seguridad como:
 Usar la información solamente para el propósito para el cuál se recopiló.
 Mantener la información solamente por el tiempo requerido por las regulaciones vigentes o por
el tiempo que sea relevante para el propósito inicial.
 No debe ser expuesta sin contar con la debida autorización y/o consentimiento de la persona,
salvo casos en que la regulación lo exija o permita.
 Debe encontrarse disponible para que el individuo, a quién pertenecen los datos, pueda
revisarla y copiarla.
 Debe ser corregida si se encontrasen errores o si estos son identificados por el individuo a quien
le pertenecen los datos.

6.10 Relación con Proveedores

Con el fin asegurar y mantener las características de Seguridad de la Información del Banco incluso en
servicios que sean objetos de subcontración se toman en cuenta las siguientes consideraciones:

 Mitigar los riesgos asociados con el servicio subcontratado a proveedores críticos.

 Asegurar la protección de los activos de la organización que sean accesibles a los proveedores.
 Establecer y acordar todos los requisitos de seguridad de la información pertinentes con cada
proveedor que pueda tener acceso, procesar, almacenar, comunicar o suministrar componentes
de infraestructura de TI para la información de la organización
 Mantener el nivel acordado de seguridad de la información y de prestación del servicio en línea
con los acuerdos con los proveedores

Los proveedores críticos que además traten con información de uso restringido deberán ser evaluados y
cumplir con los lineamientos de seguridad exigidos por el banco.

La Norma de Formalización de Contratos con Proveedores de Bienes y Servicios contiene información

que permite cubrir estos aspectos (para mayor detalle revisar norma: 4147.010.05_Formalización de
contratos con Proveedores de Bienes y Servicios).

6.11 Gestión de Incidentes de Seguridad de la Información

a) El proceso de gestión de incidentes incorpora el reporte de eventos relacionados a la seguridad de la

información, con el objetivo de asegurar que dichos eventos puedan ser escalados de una manera
oportuna que permita realizar aplicar acciones correctivas, minimizando el impacto adverso a las
operaciones de negocio.

- 11 -
7. Partes Interesadas
Las siguientes son las partes interesadas frente al Marco de Gobierno de Seguridad de la
Información y sus requerimientos:

Parte interesada Requerimiento

Cumplimiento de la legislación y regulación en temas

EnteRegulador
relacionados a la seguridad de la información.

Contar con altos estándares de seguridad para el

desarrollo de las operaciones permitiendo que el
Alta Dirección
Banco se mantenga líder en todos los segmentos y
productos que ofrece.
Colaboradores y trabajadores Contar con las condiciones adecuadas de seguridad
externos lógica y física para el cumplimiento de sus funciones.
Contar con la implementación de seguridad de la
Accionistas información dentro del Banco para mejorar sus
ganancias.
Que el Banco gestione su información de forma
Clientes externos segura, de acuerdo a las clausulas de
confidencialidad que ellos han aceptado.

Documento aprobado por:

Gerencia de Área de Administración de Riesgo de Operación y Gestión de
Marco Salsi
Seguros
Max de Gorbitz Gerencia de Seguridad Informática
José Marangunich Gerencia de Área Seguridad Integral para los Negocios
Javier Benvenuto Gerencia de Arquitectura de Dimensionamiento y Gestión de Usuarios de TI
Hector Calero Gerencia de Área de Asesoría Legal

- 12 -