Sistema de Gestión de Seguridad de la

Información

Compartamos
Financiera®
 DEFINICIONES Y CONCEPTOS BÁSICOS

1. Los principales pilares de Seguridad de la Información son:

Confidencialidad

Disponibilidad Integridad

2. ¿Qué se entiende por Confidencialidad?

Es uno de los pilares de Seguridad de la Información que refiere a garantizar que la

información que Compartamos Financiera le brinda solo sea accedida por las personas
autorizadas.

3. ¿Qué se entiende por Integridad?

Es uno de los pilares de Seguridad de la Información que refiere a: garantizar que la

información que Compartamos Financiera brinda sea consistente, coherente y exacta.

4. ¿Qué se entiende por Disponibilidad?

Es uno de los pilares de Seguridad de la Información que refiere a: garantizar que la

información que Compartamos Financiera brinda pueda ser accedida en el momento que
es requerida, por las personas autorizadas.

5. ¿Qué es un Sistema de Gestión de Seguridad de la Información?

Es un conjunto de estrategias que implementa la Financiera para reducir el nivel de riesgo

que pueda afectar a los pilares de seguridad de la Información de los principales activos.

6. ¿Quiénes forman parte del Sistema de Gestión de Seguridad de la Información?

En el Sistema de Gestión de Seguridad de la Información lo conforman todos los

colaboradores de Compartamos Financiera.

7. Que es la Política de Seguridad y Confidencialidad de la Información.

Es una normativa que brinda un resumen solido de todas las normativas aplicadas a todo
el Sistema de Gestión de Seguridad de Compartamos Financiera.

2
 NORMA DE GESTIÓN DE ACTIVOS DE INFORMACIÓN

8. Definición de activo de información:

Es todo aquello que posee valor para la organización, por lo que es necesario protegerla,
para que un activo se considere como activo de información el mismo debe de contener
Información no confundir con un activo físico.

9. Se denomina propietario de un activo de información a:

Es la entidad o persona quien tiene la responsabilidad gerencial aprobada de controlar la

producción, desarrollo, mantenimiento uso y seguridad del activo.

10. Se denomina depositario de un activo de información a:

Es la persona designada por el Propietario para gestionar el día a día a un determinado

activo de la Información determinado.

11. Los tipos de activos de información son los siguientes:

1. Información

2. Físicos

3. Software

4. Personas

5. Servicios

12. Cuando se denomina activo critico de información:

Se denomina activo critico cuando afecta la confidencialidad, integridad y disponibilidad

del activo originando la paralización de una operación y/o proceso determinado, causando
grandes pérdidas en la compañía.

2
 NORMA DE SEGURIDAD DE PERSONAL

13. ¿El uso del fotocheck es obligatorio?

Si, es de uso obligatorio para todo el personal de la Financiera, que en encuentre en horario
de trabajo.

14. ¿Cuáles deben de ser las características de un escritorio limpio?

• No exponer files con información confidencial de la Financiera.

• No mantener bebidas destapadas cerca del computador asignado.
• Cajones y/o Gavetas Cerrados y con llave (en caso tuviese cerradura).
• La información que sea desechada a la basura debe de ser irreconocible.
• No debe de haber objetos tirados en el ambiente de trabajo.

15. El personal de Financiera, debe de capacitarse en lo

que refiere a Seguridad de la Información?

Si, dicha capacitación se da bajo una manera virtual

(examen de certificación) y de manera presencial, dichas
capacitaciones se deben de dar por lo menos una vez al
año.

4
 NORMA DE SEGURIDAD FÍSICA Y AMBIENTAL

16. Un área protegida o segura se considera a aquellas áreas que procesen información
sensible de la financiera:

• Sala de máquinas de Agencias

• Centro de Datos Principal
• Oficinas de Alta Gerencia
• Ambientes donde se resguardan activos de información sensibles.
• Recinto de Bóvedas o Cajas Fuerte

17. ¿Cuál es el tratamiento que deben tener las Áreas Protegidas?

Un estricto control de los accesos: identificar, acompañar y supervisar las actividades de

los visitantes, colaboradores, contratistas, terceros, así como llevar un registro de control
de ingresos.

18. De acuerdo a la Norma de Seguridad Física y Ambiental ¿Qué no puedo hacer en las
áreas seguras?

Como mecanismo de prevención, todos los usuarios y visitantes se encuentran prohibidos

de comer, fumar o beber en áreas seguras.

5
 NORMA DE CONTROL DE ACCESOS

19. Se me hace difícil recordar mis contraseñas ¿Qué debería hacer?

Cámbialas por otras que sean de fácil de

recordar. Sin embargo, no debemos olvidar
los lineamientos de seguridad, como el
nivel de complejidad (al menos una
mayúscula, número y carácter especial).

20. De acuerdo a la Norma de Control de

Accesos ¿Qué debo hacer antes de alejarme
de mi equipo?

Bloquear mi equipo de trabajo (Windows + L).

21. El ingresar con las ………………… de mi compañero, es catalogado como un incumplimiento

al ………………………………, por tal motivo es considera una ……………….. que amerita
una…………………...

a) Credenciales, manual de gestión de continuidad del negocio, falta, sanción.

b) Credenciales, manual de organización y función, falta, sanción.
c) Credenciales, reglamento interno de trabajo, falta, sanción.
d) Credenciales, manual de gestión de riesgo operativo, mala práctica, amonestación.
 NORMA DE GESTIÓN DE INCIDENCIAS

22. ¿Qué es un incidente de seguridad de

la información?

Aquella amenaza o incumplimiento

de los Lineamientos del Sistema de
Seguridad de Información, que atentan
contra la confidencialidad, integridad
y disponibilidad de los activos de
información de la Compañía.

23. ¿Existen sanciones cuando se

cometen acciones que provoquen
incidentes de seguridad de información?

Sí, cuando fueron efectuadas con dolo

serán consideradas como falta grave.

24. Tengo sospechas sobre una

violación a los lineamientos de seguridad
de la información ¿Qué debo hacer?

Deberás informarlas inmediatamente al Oficial de Seguridad de la Información adjuntando

el fundamento de las mismas en el Software Cero. Deberás de informar a la Mesa de
Ayuda para el correcto registro del incidente en caso este paralice la operativa del negocio.

7
 LEY DE PROTECCIÓN DE DATOS PERSONALES LEY N° 29733

25. Introducción

El objetivo de la Ley es velar por el derecho fundamental a la protección de datos personales,

a través de su adecuado tratamiento, esta ley es aplicable y de cumplimiento obligatorio
para todas las empresas y se aplica a todas las áreas de la empresa que mantengan un
banco de Datos Personales.

26. ¿ Que son los datos personales?

Es toda información sobre una persona natural que la identifica o la hace identificable a
través de medios que pueden ser razonablemente utilizados.

27.¿Qué son los Datos Sensibles?

Los datos personales sensibles están constituidos por los datos biométricos que por si
mismos pueden identificar al titular:

• Datos raciales y étnicos.

• Ingresos económicos.
• Opciones Políticas, religiosas, filosóficas o morales.
• Afiliación sindical.
• Información relacionada a la salud o a la vida Sexual.

28. ¿Qué es un Banco de Datos Personales?

Es el conjunto organizado de datos personales, automatizado o

no, independiente del medio en el cual sea contenido (Impreso,
digital, óptico, etc.) que se mantenga en la institución.
La ley de protección de datos aplica a datos personales contenidos
o destinados a ser contenidos en bancos de datos personales privados o públicos.