Noviembre 2019

Seguridad de la Información y Privacidad,

CURSO: Continuidad del Negocio y Ciberseguridad
PROFESOR:

ÁREA: Seguridad de la Información y Continuidad del

Negocio
 Seguridad de la Información y
Protección de Datos Personales
1
¿Qué protegemos?

2
Responsabilidades
3
Reporte de Incidentes
1 ¿Qué Protegemos?

Activo de la Información
Es la misma a información y su medio de soporte (por ejemplo, expedientes, bases
de datos, USB) así como los activos asociados con el procesamiento de información
(hardware, software, personas, entorno).

Información Información Información Software Tangible

Física Digital Audible

Ejemplos de Activos
de Información
Personas Servicios Entorno Físico Intangible
2 Conceptos

Se busca preservar las tres propiedades de la Seguridad de la Información y de

la PRIVACIDAD en los activos de información:
CONFIDENCIALIDAD INTEGRIDAD

Acceso a la Garantía de la
información por exactitud y el
parte únicamente contenido
de quienes estén completo de la
autorizados. información.

DISPONIBILIDAD PRIVACIDAD
Asegurar el acceso a Es un derecho
la información por fundamental de toda
parte de los usuarios persona a tener el
autorizados en el control de los datos
momento que ellos lo que puedan hacerla
requieran. identificable
3 Responsabilidades

Las responsabilidades de Seguridad de la Información y Protección de Datos

Personales se encuentran definidas en:

Seguridad de la Información
• Política de Seguridad de la Información (Intranet Institucional)
• Manual de Seguridad de la Información (Intranet Institucional)

Protección de Datos Personales

• Directivas de Tratamiento de Datos Personales (Intranet Institucional)
• Directiva Solicitud de Tratamiento de Datos Personales (Intranet Institucional)
4 Tipo de Datos Personales

• El nombre, los apellidos, la fecha de nacimiento, la dirección del

Datos domicilio, la dirección de correo electrónico, el número de teléfono,
el número de RUC, el número de la placa del vehículo, la huella
Personales digital, el ADN, una imagen, el número del seguro social, etc. son
datos que identifican a una persona, ya sea directa o indirectamente.
5 Cumplimiento PDP

Protección de Datos Personales

PRINCIPALES REQUISITOS DE LA LEY 29733

– Ley Protección de Datos Personales
Régimen de sanciones
Bancos de
Leve Muy
Grave Datos
Grave
Hasta Hasta
Hasta
5 UITs 50 UITs
100 UITs
8 Solicitudes ARCO

Flujo de atención de solicitudes ARCO

• Solicitud ACCESO:
8 días Registra, clasifica
y envía a Asesoría
• Solicitud Legal y a las áreas
involucradas
RECTIFICACIÓN, OSI Reciben la
CANCELACIÓN Y solicitud y la
atienden en
OPOSICIÓN: CLIENTES un plazo AREAS INVOLUCRADAS
máximo de 3
5 días El formato de
solicitud será Verifica
días

descargado de la información
Los clientes
página web de la y la envía a
presentan su
CMAC Cusco OSI Las solicitudes de información, consulta,
solicitud o reclamo
oposición o revocatoria al
en formato físico o
consentimiento, acceso, actualización,
Solo realizado al correo
inclusión, rectificación y supresión son
por el titular datospersonales@c derivadas al jefe de Asesoría
mac-cusco.com.pe ENCARGADO DE ATENCIÓN AL ASESORIAL LEGAL
USUARIO, ADMINISTRADOR DE
AGENCIA
O JEFE DE OFICINA ESPECIAL
Encargados de recepción de
solicitudes en Agencias
9 Cuáles son los incidentes que debes reportar

Incidente Seguridad de la Información y Privacidad

Violación o amenaza inminente a las Políticas de Reportar al correo:
Seguridad de la Información y Privacidad osi@cmac-
¿Qué reportar? cusco.com.pe
• Accesos no autorizados.
• El robo de información y/o activos de información.
• El borrado de información (intencional o por error), alteración de la información.
• El abuso y/o mal uso de servicios u activos de información de la organización.
• La introducción de código malicioso en la entidad (virus, troyanos, gusanos, malware en
general).
• Llegada de correos maliciosos como SPAM, Ransomware, PHISHING, Ingeniería Social,
Fallos Humanos, Robo Información.
• Errores en los sistemas de la CMACC.
• Situaciones externas que comprometan la seguridad de sistemas, como ataques
informáticos.
Continuidad del Negocio
1
Definiciones

2 Cómo actuar para la

activación de un Plan

3 Responsabilidades

4 Reporte de Incidentes
 1 Definiciones

CONTINUIDAD DEL
NEGOCIO
Continuidad Capacidad estratégica y táctica de una
Negocio Organización para planificar y
Circunstancia de hacer algo
Ofrecer servicios financieros
sin interrupción. responder ante interrupciones que
(concesión de prestamos
y/o gestión de ahorros). paralicen el negocio.

PLANES DE CONTINUIDAD
Procedimientos a desarrollar para su uso en
caso de producirse un incidente o Plan de Crisis
Plan de
Recuperación ante
Plan de
Contingencia
Plan de Continuidad
Operativa(Proc.
Plan de Gestion de
Incidentes
interrupción, y seguir desempeñando sus Desastres (Emergencia) Manuales)

actividades críticas a un nivel aceptable.

GESTIÓN DE CONTINUIDAD DEL NEGOCIO

Proceso de gestión que identifica amenazas potenciales a las que se puede enfrentar la Organización y los impactos a las
operaciones que dichas amenazas puedan causar.
2 KIT de Continuidad en AGENCIAS

BANNER DE VOUCHER PLANTILLA DE CONSOLIDACIÓN DE

CONTINGENCIA MANUAL OPERACIONES MANUALES

STICKER DE EQUIPO DE CONTINGENCIA

3 Planes de Contingencia AGENCIAS
Plan de atención
manual
Se aplica ante indisponibilidad del
sistema por causa externas y sin
apoyo de otra agencia, para
operaciones de ingreso de dinero
(depósitos y pagos de créditos).
Plan Atención Apoyo
Remoto
Se aplica ante indisponibilidad del
sistema y con apoyo de otra agencia,
para las operaciones (depósitos,
pagos de créditos, retiro y
cancelación de Plazos Fijos vencidos).
Plan Centro Alterno de
Labores
Se aplica ante indisponibilidad del
lugar de trabajo habitual, el personal
critico se desplaza a su centro alterno
para laborar validando contar con los
recursos necesarios.
4 Cuáles son los incidentes de Continuidad del Negocio que
debes reportar

Situación que pudiera generar interrupción del negocio:

Rotura de tuberías Cortes de  Corto circuitos Averías de equipos Robo de cámaras Caídas de
y/o filtraciones en energías  Incendios en en data center sistemas
las agencias eléctricas agencias o en (UPS, servidores) Lentitud del
propiedades Daños de ATMs sistema
aledañas a la
agencia

Cuando el colaborador toma conocimiento de un incidente debe reportarlo inmediatamente a Seguridad de la

Información y Continuidad del Negocio mediante:

RPM: 950890131
RPM: 949892225
osi@cmac-cusco.com.pe
Ciberseguridad y Prevención
de Fraude Tecnológico

1
Definiciones

2
Reporte de Incidentes
1 Definiciones

¿QUÉ ES?
FRAUDE INFORMÁTICO
Uso de recursos informáticos con el objetivo de distorsionar
datos para inducir a otra persona a que haga o deje de hacer
algo que ocasiona una pérdida (distorsionar, alterar o borrar
información).
¿QUÉ ES?
CIBERSEGURIDAD
La ciberseguridad es la práctica de defender
las computadoras y los servidores, los
dispositivos móviles, los sistemas
informáticos, las redes y los datos de ataques
maliciosos.
3 Reporte de Incidentes

Un evento de fraude puede ser reportado al Jefe de SI, Gerente de

Riesgos, Jefe de Asesoría Legal mediante forma verbal, correo,
documento escrito.
• Por medio del buzón de denuncias del Intranet (Anónimo)
• Por medio del buzón de denuncias de la página web (Anónimo)
 Evaluación

Ingresar a la plataforma e-learning, buscar el curso de Seguridad de la Información.

* La evaluación estará publicada desde el 04/11/2019 al 15/11/2019

La evaluación deberá der rendida de forma obligatoria por todos los colaboradores
(Planilla, Intermediación y Prácticas)