Analisis de Riesgos - Psi PDF

BANCO JAN JOSÉ
CONSULTORIA EN LA ADMINISTRACION DE SEGURIDAD DE LA INFORMACION

(PLAN DE SEGURIDAD DE LA INFORMACION)
POLITICAS Y PROCEDIMIENTOS PARA LA ADMINISTRACION DE SEGURIDAD DE

LA INFORMACION
ACOS – Auditoria y Consultoría Orientado a Sistemas

CONTENIDO
Resumen Ejecutivo
1. Introducción
2. Objetivo y alcance del trabajo
3. Metodología
4. Procedimientos utilizados
5. Consideraciones para una adecuada estructura organizacional
5.1 De la Unidad de Riesgos

5.2 Roles y responsabilidades de los demás componentes de la organización en la
administración de la seguridad de la información
6. Análisis de Riesgos
6.1 Introducción
6.2 Importancia de la Información y su seguridad en el Banco San José
6.3 Elementos del modelo de Análisis de Riesgos
6.4 Desarrollo del Análisis de Riesgos
6.4.1 Activos y amenazas
6.4.2 Posibles consecuencias y medidas existentes
6.4.3 Calculo de niveles de vulnerabilidad y de riesgo
6.4.4 Conclusiones
7. Políticas para la Administración de Seguridad de la Información
7.1 Políticas sobre Seguridad Lógica

7.2 Políticas sobre Seguridad Física
7.3 Políticas sobre Seguridad de Personal
7.4 Políticas sobre Desarrollo y Mantenimiento de Sistemas
8. Procedimientos
8.1 Procedimientos para el uso del correo electrónico

Página 3 Segundo entregable
Lima, xx de Junio del xxxx
Señor
xxxxxxxxxxxxxxxxxxxxxxxxxx
Jefe de la Unidad de Riesgos
Banco San José
Presente.-
Estimado Señor xxxx:
En relación a los servicios de consultoría en la administración de seguridad de la información

(Plan de Seguridad de la Información), encargado mediante el proceso de Adjudicación Directa
Selectiva No 0004-2003 Banco San José, según lo planteado en nuestra propuesta técnica,
especificaciones técnicas del Banco San José, y en base a las coordinaciones efectuadas con los
responsables de su institución, nos es grato adjuntar el informe relacionado con el mencionado
servicio “Consultoría en la Administración de Seguridad de la Información (Plan de Seguridad de
la Información)” respectivamente, informe que presentamos a continuación.
POLITICAS Y PROCEDIMIENTOS PARA LA ADMINISTRACION DE SEGURIDAD

DE LA INFORMACION (PLAN DE SEGURIDAD DE LA INFORMACION)
Resumen Ejecutivo
Del Análisis de Riesgos
De acuerdo a los requerimientos del Banco San José se realiza la clasificación de seguridad de
activos asociados a la tecnología mediante el análisis de riesgo que ha sido desarrollado con el
propósito de determinar cuáles de los activos de la institución que cuentan con mayor
vulnerabilidad ante factores externos o internos que puedan afectarlos, identificando las causas
potenciales que faciliten o impidan alcanzar los objetivos, calculando la probabilidad de su
ocurrencia, evaluando sus probables efectos, y considerando el grado en que el riesgo puede ser
controlado.
Para generar esta información se desempeñaron las siguientes actividades:
1. Listado de los activos de la institución

2. Asignación de prioridades a los activos
3. Definición de amenazas
4. Descripción de consecuencias
5. Asignación de probabilidades de ocurrencia de las amenazas
6. Cálculo de niveles de vulnerabilidad
7. Conclusiones
Del Plan de Seguridad de Información

De acuerdo al artículo 5 de la Circular G-105-2002 de la Superintendencia de Banca y Seguros,

en adelante SBS, el Banco San José debe contar con un Plan de Seguridad de la Información, en
adelante PSI. Sin embargo, a partir de la información proporcionada por personal del Banco San
José se ha podido establecer que no existe un PSI ni políticas de seguridad de la información.
Si bien existen controles definidos por el Área de Sistemas con respecto a la seguridad lógica y
física de los recursos de Tecnología de información (TI) e información en general, éstos han sido
establecidos en gran medida por el conocimiento de mejores prácticas de los responsables de
cada una de las plataformas, sin directivas ni guías formales.
Cabe señalar que en el presente proyecto se ha realizado tomando como base el entorno del
Banco San José, indicando las políticas y procedimientos con las que debería contar la
institución, como son:
POLITICAS
1. Políticas sobre Seguridad Lógica

1.1 Política general
1.2 Políticas específicas
3 Políticas sobre Seguridad Física

4 Políticas sobre Seguridad de Personal

4.2.1 Del personal en general
4.2.2 Del personal interno
4.2.3 Del personal externo
5 Políticas sobre Desarrollo y Mantenimiento

PROCEDIMIENTOS
1 Procedimientos para el uso del correo electrónico

Informe Detallado
En el presente proyecto definido como Administración de la Seguridad de la Información (Plan

de Seguridad de la Información) se presenta con la siguiente estructura:
- Introducción
- Objetivo y alcance del trabajo.
- Metodología
- Procedimientos utilizados
- Consideraciones para una adecuada estructura organizacional
- Análisis de Riesgos
- Políticas para la Administración de la Seguridad de Información
- Procedimientos
- Estándares para el desarrollo de sistemas
Este informe es para uso exclusivo del Directorio y la Gerencia Mancomunada del Banco San
José, y no debe ser usado con ningún otro propósito.
Aprovechamos la oportunidad para agradecer al personal del Banco San José por el apoyo y las
facilidades brindadas durante la realización de nuestro trabajo, y quedamos a su disposición para
ofrecerle cualquier información adicional respecto al contenido del informe adjunto.
De usted muy atentamente,
Ing. Jorge Martín Figueroa Revilla

BANCO SAN JOSÉ
CONSULTORIA EN LA ADMINISTRACION DE SEGURIDAD DE LA INFORMACION

(PLAN DE SEGURIDAD DE LA INFORMACION)
POLITICAS Y PROCEDIMIENTOS PARA LA ADMINISTRACION DE SEGURIDAD

1. INTRODUCCION
El propósito de establecer este Plan de Seguridad Informática para el Banco San José es proteger
la información y los activos de la organización, tratando de conseguir confidencialidad,
integridad y disponibilidad de los datos; y las responsabilidades que debe asumir cada uno de los
empleados mientras permanezcan en la organización.
Estas políticas emergen como el instrumento para concienciar a sus miembros acerca de la
importancia y sensibilidad de la información y servicios críticos, de tal forma que permitan a la
institución cumplir con su misión.
El proponer estas políticas de seguridad requiere un alto compromiso de la institución, agudeza

técnica para establecer fallas y deficiencias, y constancia para renovar y actualizar dicha política
en función de un ambiente dinámico.
2. OBJETIVO Y ALCANCE DEL TRABAJO
El objetivo de nuestro trabajo estuvo dirigido a desarrollar las Políticas y Procedimientos para la
Administración de la Seguridad de la Información (Plan de Seguridad de Información) del Banco
San José, que les permitirá contar con un documento en donde se definan los lineamientos para
promover la planeación, el diseño e implantación de un modelo de seguridad con la finalidad de
establecer una cultura de la seguridad en la institución.
El alcance de esta fase de nuestro trabajo comprende:
• Definición de políticas de seguridad

• Evaluación de riesgos de seguridad a los que está expuesta la información
• Selección de controles y objetivos de control para reducir, eliminar o evitar los riesgos
identificados, indicando las razones de su inclusión o exclusión.
En este Plan de Seguridad Informática se desarrollan normas y procedimientos que pautan las
actividades relacionadas con la seguridad informática y la tecnología de información. Este
deberá ser aprobado por los directivos del Banco San José para su implantación.
Estas políticas de seguridad informática y las medidas de seguridad en ellas especificadas deben
ser revisadas periódicamente, analizando la necesidad de cambios o adaptaciones para cubrir los
riesgos existentes y auditando su cumplimiento.

3. METODOLOGIA
Durante la ejecución del proyecto se utilizó metodologías específicas para la realización del Plan
de Seguridad de Información, las cuales aseguran que se contemple la totalidad de los aspectos
relevantes para cada componente de revisión.
La relación de metodología utilizada y el alcance de las mismas se resumen a continuación:
Nombre Alcance
ESA/MAGERIT Metodología para el desarrollo de un modelo de seguridad, que
involucra el diseño de políticas y normas de seguridad.
Metodología utilizada para definir el proyecto del Plan de
Seguridad de la Información.
La aplicación de estas metodologías permitió desarrollar un trabajo “a la medida” de las

características y necesidades del Banco San José, concentrando esfuerzos en los temas más
significativos.
Metodología ESA
Visión y Estrategia de Seguridad
Programa de entrenamiento/concientización
Iniciativas de Negocio
y Procesos Amenaza
Estrategía y uso Evaluación de

de Tecnología vulnerabilidades
y riesgos
Compromiso de la Gerencia
Políticas y
Estándares
Clasificación y
alineamiento
Arquitectura de seguridad
& Estándares Técnicos de Seguridad
Procesos de Procesos Proc. Rescuperación

ejecución de monitoreo / Respuesta
Estructura de adm. de seguridad de Información
Se ha desarrollado la metodología Enterprise Security Architecture (ESA) como el modelo sobre

el cual una organización puede construir su Plan de Seguridad de la Información.
El Information Security Framework (ISF) define los aspectos de la seguridad a ser

implementados para asegurar la información. ISF es el enfoque usado para llevar a cabo la
implementación del ESA.

Metodología MAGERIT
La Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información de las

Administraciones Públicas, MAGERIT, es un método formal para investigar los riesgos que
soportan los Sistemas de Información, y para recomendar las medidas apropiadas que deberían
adoptarse para controlar estos riesgos.
La metodología MAGERIT comprende 4 Etapas:
1. Planificación del Proyecto de Riesgos. Como consideraciones iniciales para arrancar el

proyecto de Análisis y Gestión de Riesgos (AGR), se estudia la oportunidad de realizarlo,
se definen los objetivos que ha de cumplir y el ámbito que abarcará, planificando los
medios materiales y humanos para su realización e inicializando el propio lanzamiento del
proyecto.
2. Análisis de riesgos. Se identifican y valoran las diversas entidades, obteniendo una

evaluación del riesgo, así como una estimación del umbral de riesgo deseable.
3. Gestión de riesgos. Se identifican las funciones y servicios de salvaguarda reductoras del

riesgo, seleccionando los que son aceptables en función de las salvaguardas existentes y las
restricciones, tras simular diversas combinaciones.
4. Selección de salvaguardas. Se prepara el plan de implantación de los mecanismos de

salvaguarda elegidos y los procedimientos de seguimiento para la implantación. Se
recopilan los documentos del Análisis y Gestión de Riesgos (AGR), para obtener los
documentos finales del proyecto y realizar las presentaciones de resultados a diversos
niveles.

4. PROCEDIMIENTOS UTILIZADOS
Durante el desarrollo del trabajo se utilizaron los siguientes procedimientos de trabajo:
• Charlas de orientación para la realización del Análisis de Riesgos, en la cual intervinieron:
- José Seminario Jefe de Sistemas

- María Salas Asistente de Sistemas
• Revisión y análisis de la información y documentación proporcionada por el personal del

Banco San José.

5. CONSIDERACIONES PARA UNA ADECUADA ESTRUCTURA ORGANIZACIONAL
5.1 DE LA UNIDAD DE RIESGOS
Se sugiere añadir a la Unidad de Riesgos un Área de Seguridad de la Información, la cual

contaría con la misión y funciones que se detallan a continuación:
AREA DE SEGURIDAD DE LA INFORMACION
MISION
Asegurar que los activos de información sean administrados conforme a las políticas y estándares
definidos por el Banco San José, los mismos que deberán considerar los criterios de
confidencialidad, integridad y disponibilidad en la seguridad de la información
FUNCIONES
- Establecer y documentar las responsabilidades de la organización en cuanto a seguridad de

información.
- Mantener la política y estándares de seguridad de información aprobados para el Banco
San José.
- Definir metodologías y procesos relacionados a la seguridad de la información.
- Difundir aspectos básicos de seguridad de información al personal. Esto incluye un
programa de concientización para comunicar aspectos básicos de seguridad de información
y de las políticas aprobadas.
- Desarrollar controles para las tecnologías que utiliza la organización. Esto incluye el
monitoreo de las vulnerabilidades identificadas.
- Monitorear el cumplimiento de la política de seguridad aprobadas por la institución.
- Controlar e investigar incidentes de seguridad o violaciones de seguridad.
- Evaluar aspectos de seguridad de la infraestructura tecnológica (equipos, sistemas,
aplicaciones) del Banco San José.
- Administrar un programa de clasificación de activos de información, incluyendo la
identificación de los propietarios de las aplicaciones y datos.
- Coordinación de todas las funciones relacionadas a seguridad, como seguridad física,
seguridad de personal y seguridad de información almacenada en medios no electrónicos.
- Identificar objetivos de seguridad y estándares claves del Banco San José (prevención de
virus, uso de herramientas de monitoreo, etc.)

5.2 ROLES Y RESPONSABILIDADES DE LOS DEMAS COMPONENTES DE LA

ORGANIZACION EN LA ADMINISTRACION DE LA SEGURIDAD DE LA
INFORMACION
GERENTES DE LINEA
Para la administración de la seguridad de la información, los gerentes de línea deberán

actuar como “Propietarios de la Información” con las siguientes funciones:
1. Asignar los niveles iniciales de clasificación de información.

2. Revisión periódica de la clasificación de la información, con el propósito de verificar
que cumpla con los requerimientos del negocio.
3. Asegurar que los controles de seguridad aplicados sean consistentes con la
clasificación realizada.
4. Revisar periódicamente los niveles de acceso de los sistemas a su cargo.
5. Determinar los criterios y niveles de acceso a la información.
6. Determinar los requerimientos de copias de respaldo para la información que les
pertenece.
7. Tomar las acciones adecuadas en caso de violaciones de seguridad.
PERSONAL EN GENERAL
En lo referente a administración de la seguridad de la información los jefes de las áreas y

personal en general, deberán actuar como “Usuarios de la Información” con las siguientes
funciones:
1. Mantener la confidencialidad de las contraseñas de aplicaciones y sistemas.

2. Reportar supuestas violaciones de la seguridad de información.
3. Adecuarse a las políticas de seguridad del Banco San José.
4. Utilizar la información del Banco San José únicamente para los propósitos autorizados.
AREA DE SISTEMAS
En la administración de la seguridad de la información el Área de Sistemas deberá tener el

rol de “Custodio de Información”, con las siguientes funciones:
1. Administrar los accesos a nivel de red.

2. Implementar los controles definidos para los sistemas de información.
3. Desarrollar los procedimientos de autorización y autenticación.
4. Monitorear el cumplimiento de la política y procedimientos de seguridad.
5. Investigar brechas e incidentes de seguridad.
6. Entrenar al personal con respecto a la seguridad de información.
7. Asistir y administrar los procedimientos de respaldo, recuperación y plan de
continuidad de sistemas.

AREA DE AUDITORIA INTERNA
El personal de Auditoria Interna es responsable de monitorear el cumplimiento de los

estándares y guías definidas en la política de seguridad. Una estrecha relación del área de
Auditoria Interna con la sección de Seguridad de la Información, es crítica para la
protección de los activos de información.
Las áreas de negocios deben ser conscientes de los riesgos, de tal forma que sea posible
tomar decisiones para disminuirlos, en este sentido, auditoria interna debe colaborar con el
Área de Seguridad de la Información, en la identificación de amenazas y vulnerabilidades a
lo largo del Banco San José.

6 ANALISIS DE RIESGOS
6.1 Introducción
El análisis de los riesgos desarrollado durante este estudio permitirá identificar las
amenazas que acechan a los distintos componentes pertenecientes o relacionados con el
Sistema de información (conocidos como ‘activos’); para determinar la vulnerabilidad del
sistema ante esas amenazas y para estimar el impacto o grado de perjuicio que una
seguridad insuficiente puede tener para el Banco San José, obteniendo cierto conocimiento
del riesgo que se corre.
Asimismo la gestión de los riesgos, basada en los resultados obtenidos en el análisis

anterior, permitirá seleccionar e implantar las medidas o ‘salvaguardas’ de seguridad
adecuadas para conocer, prevenir, impedir, reducir o controlar los riesgos identificados y
así reducir al mínimo su potencialidad o sus posibles perjuicios.
El método utilizado para presente estudio de análisis de los riesgos, es una adaptación de
Metodología de Análisis y Gestión de Riesgos de los sistemas de Información de las
Administraciones Públicas MAGERIT desarrollado por el Ministerio de Administración
Pública de España.
La Fase de Determinación de OBJETIVOS, ESTRATEGIA y POLÍTICA de Seguridad de

los Sistemas de Información se nutre de y nutre a su vez la Fase de Análisis y Gestión de
Riesgos. En el ciclo inicial de la Gestión Global de Seguridad, un Análisis y Gestión de
Riesgos de carácter global ayuda a determinar los objetivos, estrategia y política, que
influirán durante los ciclos sucesivos en el Análisis y Gestión de Riesgos más detallado
(que a su vez puede modificarlos para ciclos sucesivos).
La Gestión global de Seguridad es una acción permanente, cíclica y recurrente, es decir, se

ha de reemprender continuamente debido a los cambios del sistema y de su entorno.
6.2 Importancia de la información y su seguridad en el Banco San José
Es innegable la importancia considerable y creciente del tratamiento de la información para

el funcionamiento e incluso para la supervivencia del Banco San José. Como la
información es inmaterial, necesita soportes que adoptan muchas formas:
• Puede almacenarse en sistemas informáticos,
• Puede transmitirse a través de redes;
• Puede registrarse en papel, disquetes u otros soportes magnéticos transportables;
• Puede transmitirse o registrarse en conversaciones habladas.
La necesidad de seguridad afectaría desde esta perspectiva a todas las formas de

información y sus soportes o bien a cualquier método usado para transmitir conocimiento,
datos e ideas. Esta consultoría se limita a considerar la seguridad de los Sistemas de
Información, entendidos como sus mecanismos de soporte y tratamiento automatizables y
no naturales, incluyendo de entrada por ejemplo bases de datos, cintas o disquetes, pero no

incluyendo por ejemplo las películas o las conversaciones. El papel o la telefonía de voz
marcan una frontera de sistemas que se incluirían o no según su función en cada caso.
La información y los sistemas que la soportan constituyen recursos valiosos e importantes

para el Banco San José. Su seguridad suele ser imprescindible para mantener valores
esenciales, como servicio, seguridad procedimental, imagen, competitividad, rentabilidad,
permanencia del funcionamiento y cumplimiento de la legalidad. Dicha seguridad consiste
al final en un depósito de confianza suficiente en la capacidad de dicha información y
sistemas para sostener el funcionamiento adecuado de las funciones y los valores del Banco
San José.
Cualquier amenaza que se materialice contra al flujo normal de la información en el Banco

San José pone de relieve la dependencia y la vulnerabilidad de toda la organización (en un
grado que es consecuente con la gravedad de la amenaza, como es lógico).
El crecimiento de las redes y la consecuente conectividad entre sistemas representa nuevas

oportunidades, no sólo positivas, sino también negativas al facilitar por ejemplo los accesos
no autorizados y al reducir las facilidades de control centralizado y especializado de los
sistemas de información.
Los sistemas de información de cualquier Organización están sometidos a amenazas más o

menos destructivas (como ampliamente difunden los medios de comunicación incluso los
no especializados).
Amenazas que van desde fallos técnicos y accidentes no intencionados -pero no menos
peligrosos-; hasta acciones intencionadas, más o menos lucrativas, de curiosidad, espionaje,
sabotaje, vandalismo, chantaje o fraude. Todas las opiniones aseguran que las amenazas a
la seguridad de los sistemas de información y a la información misma serán cada vez más
ambiciosas y sofisticadas.
El objeto o propósito de la seguridad de los sistemas de información consiste sobre todo en

mantener la continuidad de los procesos organizacionales que soportan dichos sistemas.
Asimismo intenta minimizar tanto el coste global de la ejecución de dichos procesos como
las pérdidas de los recursos asignados a su funcionamiento.
El sujeto global de la seguridad se determina como un Dominio del conjunto de la

Organización, que suele considerarse compuesto por Activos (como sujetos elementales de
la seguridad), estructurados metódicamente de forma jerarquizada.
La seguridad siempre es barata a largo plazo (y lo es también cada vez más a corto plazo).
El ahorro y la eficacia que proporciona son relativos, pues dependen de su coste propio y
su implantación inteligente; pero siempre son muy superiores si los requerimientos y
especificaciones de seguridad se incorporan en el propio desarrollo de los sistemas y los
servicios de información. Cuanto más temprano se actúe para dar seguridad a los sistemas
de información, más sencilla y económica resultará ésta a la Organización.
6.3 Elementos del modelo de Análisis de riesgos
El Análisis y Gestión de Riesgos es el ‘corazón’ de toda actuación organizada de materia

de seguridad. Influye incluso en las Fases y actividades de tipo estratégico (implicación de
la Dirección, objetivos, políticas) y condiciona la profundidad de las Fases y actividades de

tipo logístico (planificación, organización, implantación de salvaguardas, sensibilización,

acción diaria y mantenimiento).
El modelo de Análisis de Riesgos retiene 6 entidades clásicas (cada una dotadas de ciertos
atributos y relacionadas con las otras).Estas entidades son los Activos; Amenazas;
Vulnerabilidades; Impactos; Riesgos; y Salvaguardas.
Activos
Los Activos del Dominio, “recursos del sistema de información o relacionados con éste,
necesarios para que la organización funcione correctamente y alcance los objetivos
propuestos por su dirección” se pueden así estructurar en 5 categorías:
1. El entorno del Sistema de Información necesario para su funcionamiento: instalación

física, infraestructura de comunicaciones y otras, suministros, personal operacional o
desarrollador de aplicaciones.
2. El sistema de información (hardware, redes propias, software básico, aplicaciones)
3. La propia información
4. Las funcionalidades de la organización que justifican y dan finalidad a la existencia
de los Sistemas de Información, incluido el personal usuario o los objetivos
propuestos por la dirección.
5. Otros Activos (por ejemplo la credibilidad de una persona jurídica o física, su
intimidad, la imagen...).
El fallo de un Activo de una categoría o ‘nivel’ pueden generar ‘cadenas’ de fallos en otros
niveles. Así, fallos en Activos del Entorno (1) provocarían otros fallos en el Sistema de
Información (2); éstos inciden en fallos de la Información (3), que soporta las
funcionalidades de la organización (4) y ésas condicionan los otros activos (5).
Amenazas
Se definen como “los eventos que pueden desencadenar un incidente en la organización,

produciendo daños materiales o pérdidas inmateriales en sus activos”. Las Amenazas se
pueden materializar y transformarse en agresiones.
Vulnerabilidad
Definida como la “ocurrencia real de materialización de una Amenaza sobre un Activo”, la

Vulnerabilidad es una propiedad de la relación entre un Activo y una Amenaza. Ejerce
entre ambos una función de ‘mediación’ en el cambio del ‘estado de seguridad’ del Activo;
siendo también el mecanismo de paso desde la Amenaza a la Agresión materializada.
Impacto
Se define como “daño producido a la organización por un posible incidente” y es el

resultado de la Agresión sobre el Activo, o visto de manera más dinámica, “la diferencia en
las estimaciones de los estados (de seguridad) obtenidas antes y después del evento”. La
metodología clasifica los Impactos sobre los Activos a partir de sus consecuencias
cuantitativas o cualitativas, y por reducción de subestados de seguridad.

Riesgo
Se ha definido como la “Posibilidad de que se produzca un impacto dado en la

organización”. Su importancia como resultado de todo el Análisis organizado sobre los
Elementos anteriores (activos, amenazas, vulnerabilidades e impactos) queda velada por su
apariencia como Indicador resultante de la combinación de la Vulnerabilidad y el Impacto
que procede de la Amenaza actuante sobre el Activo.
Este riesgo calculado permite tomar decisiones racionales para cumplir el objetivo de
seguridad de la organización. Para dar soporte a dichas decisiones, el riesgo calculado se
compara con el umbral de riesgo, un nivel determinado con ayuda de la política de
seguridad de la Organización. Un riesgo calculado superior al umbral implica una decisión
de reducción de riesgo. Un riesgo calculado inferior al umbral queda como un riesgo
residual que se considera asumible.
‘Función o Servicio’ de salvaguarda, ‘mecanismo’ de salvaguarda
Para reducir el riesgo se necesita la mejora de Salvaguardas existentes o la incorporación

de otras nuevas. MAGERIT distingue entre la Organización abstracta llamada Función o
Servicio de Salvaguarda y la Organización concreta llamada Mecanismo de Salvaguarda.
Se define la función o servicio de salvaguarda como “reducción del riesgo”; y el
mecanismo de salvaguarda como “dispositivo, físico o lógico, capaz de reducir el riesgo”.
Una Función o Servicio de Salvaguarda es así una acción para reducir un Riesgo de tipo
actuación u omisión (es una acción fruto de una decisión, no de tipo evento). Esa actuación
se concreta en un mecanismo de salvaguarda que opera de dos formas:
• la salvaguarda preventiva ejerce como acción sobre la Vulnerabilidad,

‘neutralizando’ otra acción, la materialización de la Amenaza, antes de que actúe ésta
(lo que es válido en general para Amenazas de origen humano, sea por Error o
Intencional).
• la salvaguarda curativa actúa sobre el Impacto, modificando el estado de seguridad
del Activo agredido y reduciendo el resultado de la Agresión; o sea después de ésta
(lo que es válido en general para Amenazas de tipo Accidente).

6.4 Desarrollo del Análisis de Riesgos
El presente análisis de los riesgos fue desarrollado con el propósito de determinar cuáles de
los activos de la institución tienen mayor vulnerabilidad ante factores externos o internos
que puedan afectarlos, identificando las causas potenciales que faciliten o impidan alcanzar
los objetivos, calculando la probabilidad de su ocurrencia, evaluando sus probables efectos,
y considerando el grado en que el riesgo puede ser controlado.
Para generar esta información se desempeñaron las siguientes actividades:
1. Identificación de los activos del Banco San José: se evaluaron los distintos activos
físicos y de software de la organización, generando un inventario de aquellos que son
considerados como vitales para su desenvolvimiento seguro.
2. Asignación de importancia a los activos: los activos fueron clasificados según el

impacto que sufriría la organización si faltase o fallara tal activo.
3. Identificación de amenazas: acto seguido se listaron los factores de riesgo

relevantes a los pueden verse sometidos cada uno de los activos arriba nombrados.
4. Descripción de consecuencias y salvaguardas: se generó una descripción de las

consecuencias que podría sufrir el Banco San José si los activos son afectados por
sus respectivas amenazas, detallando la manera en que se protege al activo contra ese
ataque en particular, y puntualizando en qué grado son efectivas estas medidas.
5. Asignación de probabilidades de ocurrencia de las amenazas: teniendo en cuenta

los datos arriba mencionados fue posible estimar la probabilidad de ocurrencia que
cada una de las amenazas representaba con respecto a los activos listados,
considerando para esta estimación las medidas tomadas por la institución para
mitigar su acción.
6. Cálculo de niveles de vulnerabilidad y riesgo: una vez identificados los riesgos, se

procedió a su análisis. Con toda la información recolectada, se determinó el nivel de
vulnerabilidad que se asocia con cada activo listado.
7. Conclusiones: a partir de las actividades anteriormente descriptas se pudo evaluar la

situación actual del Banco San José en relación a los incidentes que pueden afectarla,
calculando las vulnerabilidades cubiertas y descubiertos, y un análisis sobre la escala
de importancia de los activos.
8. Consecuencias: luego de identificar, estimar y cuantificar los riesgos, la unidad de

riesgos del Banco San José deben determinar los objetivos específicos de control y,
con relación a ellos, establecer los procedimientos de control más convenientes, para
enfrentarlos de la manera más eficaz y económica posible. En general, aquellos
riesgos cuya concreción esté estimada como de baja frecuencia, no justifican
preocupaciones mayores. Por el contrario, los que se estiman de alta frecuencia
deben merecer preferente atención. Entre estos extremos se encuentran casos que
deben ser analizados cuidadosamente, aplicando elevadas dosis de buen juicio y
sentido común.

6.4.1 Activos y Amenazas
Presentamos los distintos Activos reconocidos en la Banco San José, asignando

un valor a la importancia que tienen en la organización, ponderada en una escala
del 1 al 10. Esta importancia es un valor subjetivo que refleja el nivel de Impacto
que puede tener el Banco San José si un incidente afecta a los activos, sin
considerar las medidas de seguridad que existan sobre los mismos.
CATEGORIA ID DEFINICION DEL ACTIVO IMPACTO
01 Departamento de sistemas - Gestión de la Dirección de Sistemas. 7
02 Personal con experiencia en los procesos 7
03 Sistemas de Gestión de Terceros 4

Entorno
04 Sistema de Aire Acondicionado 5
05 Pozos a tierra y Sistema Eléctrico Estabilizado 8
06 Sistema de Telecomunicaciones / MAN 4
07 Servidores centrales. 10
08 Sistema Transaccional y Administrativo 10
09 Herramientas de Escritorio y Desarrollo (Programas fuente, sistemas operativos) 7

Sistemas de
Información Dispositivos de conectividad y soporte en comunicaciones (Cableado, antenas, switch,
10 10
hubs, módems.)
11 Sistema Operativo de Red 10
12 PC's de Escritorio 3
13 Data generada por los Sistemas de Información 10
Información 14 Data generada por los Usuarios. 8
Documentación de programas, hardware, sistemas, procedimientos administrativos

15 7
locales, manuales, etc.
A continuación se listan las amenazas que pueden afectar a dichos activos, indicando la
probabilidad de que estas contingencias ocurran, en una escala del 1 al 3. Esta probabilidad fue
evaluada teniendo en cuenta las medidas de seguridad existentes en la organización.

TIPO ID AMENAZA SUB TIPO POSIBILIDAD
025 Incendios A1 1
056 Inundación A1 1
017 Falla de backups A2 2
018 Falla en el medio de almacenamiento A2 2
019 Fallas físicas de los equipos (averías) A2 1
024 Fractura de cables A2 1
Accidentes
030 Límite de vida útil de los equipos A2 1
009 Desastres Naturales (rayos, lluvias, inundaciones) A3 1
028 Interrupción del servicio de energía. A4 2
029 Interrupción del servicio de Telecomunicaciones. A4 2
027 Interferencias A5 2
041 Riesgo por el personal de limpieza o personal externo A5 1
003 Administración inadecuada E1 1
014 Entrenamiento inadecuado de usuarios E1 2
015 Errores de configuración y operación del sistema. E1 2
021 Falta de cuidado en el manejo de información E1 2
032 Mal uso de derechos de administración E1 2
033 Mala administración de passwords E1 3
034 Mala evaluación de datos de auditoria. E1 2
039 Procesamiento de información inadecuado E1 2
046 Servicio de mantenimiento inadecuado E1 1
048 Soporte técnico de equipos inadecuado E1 1
051 Uso descontrolado de recursos E1 2
004 Ancho de banda insuficiente E2 1
Errores 005 Aplicaciones sin licencia E2 1
006 Cambios Políticos que afecten las Políticas Internas E2 1
008 Conocimiento insuficiente E2 2
022 Falta de estandarización de sistemas operativos E2 2
031 Longitud de los cables de red excedida E2 1
045 Saturación de información por espacio E2 2
054 Vulnerabilidad de la Plataforma tecnológica de tablas libres E2 1
016 Errores en las funciones de encriptación E3 1
007 Conexiones todavía activas E4 2
012 Documentación deficiente E4 2
020 Falta de backup E4 1
023 Falta de registros de auditoria. E4 3
035 Mantenimiento inadecuado E4 2
TIPO ID AMENAZA SUB TIPO POSIBILIDAD
Intencionales 010 Deshonestidad y sabotaje P1 1

Presénciales
037 Pérdida (extravío) P1 2
038 Pérdida de Laptops P1 1
042 Robo de claves P1 1
043 Robo de equipos P1 1
044 Robo de información P1 2
053 Vandalismo P1 1
055 Fraude P1 1

052 Uso sin autorización P2 2

050 Spoofing y sniffing LAN P3 1
011 Destrucción negligente de los datos P4 2
040 Retiro/ausencia intempestiva de personal P5 1
013 Entrada sin autorizaciones ambientes seguros T1 2
047 Sniffing en MAN T1 2
001 Accesos no autorizados datos con corrupción T2 1
Intencionales
026 Infección de virus T2 2
Remotos
002 Accesos no autorizados a datos con modificación T3 1
036 Modificación no autorizada T3 1
049 Spoofing en MAN T4 2

6.4.2 Posibles Consecuencias y Medidas Existentes
En el presente cuadro se listan los activos de la organización, las amenazas que

los afectan directamente y las consecuencias que puede acarrear la
materialización de estas amenazas. Se describen también las salvaguardas o
información referida a las medidas que ha tomado el Banco San José para
mitigar estas consecuencias. Por último se han evaluado estas medidas,
indicando si son deficientes, mejorables o eficientes.
NOMBRE DE ACTIVO VITAL SE

CONSECUENCIAS COMO? ES EFECTIVA?
PROTEGE?
AMENAZA
01 Departamento de sistemas - Gestión de la Dirección de Sistemas

Paralización de los
sistemas(Falta de sistemas) / Póliza de Seguro por
010 Deshonestidad y sabotaje s m
Robo, modificación de deshonestidad
información
Inestabilidad del sistema,
Errores de configuración y
015 reducción de perfomance y n d
operación del sistema.
aumento de vulnerabilidades.
Aumento de vulnerabilidades
e inestabilidad del sistema /
012 Documentación deficiente n d
Incremento de riesgos en
caída de servicios
Falta de estandarización de Aumento de vulnerabilidades
022 n d
sistemas operativos y costos de mantenimiento.
Imposibilidad del seguimiento
023 Falta de registros de auditoria. de uso de la información y n d
generación de reportes
Configuraciones y claves
Mala administración de Pérdida de equipos y/o principales impresos y
033 s d
passwords información guardados en archivador del
área
Mala evaluación de datos de No se advierten las faltas
034 n d
auditoria. relacionadas a seguridad.
Retiro / ausencia intempestiva e inestabilidad del sistema /
040 n d
de personal Incremento de riesgos en
caída de servicios
02 Personal con experiencia en los procesos
010 Deshonestidad y sabotaje
sistemas(Falta de sistemas) / Póliza de Seguro por
s m
Robo, modificación de deshonestidad
información
012 Documentación deficiente
e inestabilidad del sistema /
n d
Incremento de riesgos en
caída de servicios
Retiro / ausencia intempestiva e inestabilidad del sistema /
040 n d
de personal Incremento de riesgos en
caída de servicios

NOMBRE DE ACTIVO VITAL SE

CONSECUENCIAS COMO? ES EFECTIVA?
PROTEGE?
AMENAZA
08 Sistema Transaccional y Administrativo

Lentitud en el procesamiento
de la información / Fallas
generales en el sistema y/o en Administración por personal
003 Administración inadecuada la red / Pérdida de tiempo en s capacitado / Revisión m
horas hombre / Inconsistencia periódica de la configuración
de datos, mala configuración,
fraude
Cambios Políticos que afecten Deterioro en el funcionamiento
006 n d
las Políticas Internas del sistema
Lentitud en el procesamiento Antivirus instalado en cada
de la información / Fallas estación / Escaneo semanal
026 Infección de virus generales en el sistema y/o en s de virus / Eliminación de m
la red / Pérdida de tiempo en unidades de diskettes y
horas hombre lectores a través del Novell
Energía estabilizada
Paralización de los conectada a un UPS con
Interrupción del servicio de sistemas(Falta de sistemas) / capacidad mayor con bancos
028 s m
energía. Pérdida de equipos y/o de batería adicionales /
información Ejecución del Plan Anual del
Mantenimiento
Pérdida de tiempo en horas
Administración por personal
Procesamiento de información hombre / Inconsistencia de
039 s capacitado / Personal m
inadecuado datos, mala configuración,
estable con experiencia
fraude
Incremento de riesgos en caída
Retiro/ausencia intempestiva
040 de servicios Deterioro en el n d
de personal
funcionamiento del sistema
Vulnerabilidad de la Administración por personal
Robo, modificación de
054 Plataforma tecnológica de s capacitado / Personal m
información
tablas libres estable con experiencia
Perdida económica / deterioro
055 Fraude de la imagen de la institución y n d
su seguridad.
12 PC's de Escritorio
Redundancia de
Desastres Naturales (rayos, componentes /
009 Destrucción de los equipos s m
lluvias, inundaciones) Mantenimiento Periódico de
las instalaciones del local
Pérdida de tiempo por Redundancia de
Fallas físicas de los equipos necesidades de reemplazo / componentes / Ejecución del
019 s m
(averías) Deterioro en el funcionamiento Plan Anual del
del sistema Mantenimiento
Instalación de Detectores de
humo / Ejecución del Plan
Anual del Mantenimiento /
025 Incendios Destrucción de los equipos s m
Mantenimiento periódico de
las instalaciones del local /
Uso de extintores
Antivirus instalado en cada
estación / Escaneo semanal
de virus / Eliminación de
Pérdida de información. Falla unidades de diskettes y
026 Infección de virus s m
en el sistema lectores a través del Novell /
Administración de usuarios
con políticas y restricciones
en Novell F47
Ejecución del Plan Anual del
Mantenimiento / Energía
Interrupción del servicio de estabilizada conectada a un
028 sistemas/Pérdida de equipos / s m
energía. UPS con capacidad mayor
Pérdida de información
con bancos de batería
adicionales

Bóveda instalada en el área /

Seguridad Física y control de
043 Robo de equipos s m
acceso lógico / Replicación
de información
Fallas generales en el sistema
y/o en la red / Deterioro en el Administración por personal
Servicio de mantenimiento
046 funcionamiento del sistema / s capacitado / contratación de m
inadecuado
Aumento de vulnerabilidades proveedor certificado
e inestabilidad del sistema
Fallas generales en el sistema
y/o en la red / Deterioro en el Administración por personal
Soporte técnico de equipos
048 funcionamiento del sistema / s capacitado / contratación de m
inadecuado
Aumento de vulnerabilidades proveedor certificado
e inestabilidad del sistema
Entorpecimiento del
051 Uso descontrolado de recursos Funcionamiento de los n d
Procesos.
Seguridad Física y control de
053 Vandalismo Destrucción de los equipos s m
acceso lógico

6.4.3 Cálculo de Niveles de Vulnerabilidad y de Riesgo
En este cuadro se calculan los niveles de vulnerabilidad y de riesgo en los que

incurre cada activo vital identificado. Para esto se tiene en cuenta el nivel de
importancia asignado a cada uno y la probabilidad de ocurrencia de estos riesgos.
Para realizar dicho cálculo se desarrollaron las siguientes operaciones:
• PROBABILIDAD DE OCURRENCIA: representan la probabilidad de que se

materialicen las amenazas identificadas, en una escala del 1 al 3. Esta
probabilidad fue evaluada teniendo en cuenta las medidas de seguridad
existentes en el Banco San José.
• NIVEL DE VULNERABILIDAD: se calcula el porcentaje de probabilidad de que
se materialicen las amenazas, con respecto a la cantidad de amenazas
identificadas para dicho activo. Esto es debido a que cada activo está
afectado por un número diferente de amenazas posibles, de manera que este
cálculo sirve para obtener un porcentaje de probabilidades equilibrado por
igual para cualquier activo, independientemente de la cantidad de amenazas
que lo afectan.
• NIVEL DE RIESGO: en este momento interviene el nivel de importancia que
refleja el nivel de Impacto que puede tener el Banco San José si un incidente
afecta a los activos, multiplicando al nivel de vulnerabilidad. De esta forma
se obtiene el nivel de riesgo de cada activo con respecto a una amenaza. La
suma de estos valores es el nivel de riesgo total que corresponde a cada
activo.
PROBABILID
NOMBRE DE AD DE VULNERABI
IMPACTO AMENAZA RIESGO
ACTIVO OCURRENCI LIDAD
A
010 Deshonestidad y sabotaje 1 12.50 87.50
015 Errores de configuración y operación del sistema. 2 25.00 175.00
012 Documentación deficiente 2 25.00 175.00
Departamento 022 Falta de estandarización de sistemas operativos 2 25.00 175.00
de sistemas - 023 Falta de registros de auditoria. 3 37.50 262.50
01 Gestión de la 7
033 Mala administración de passwords 3 37.50 262.50
Dirección de
Sistemas 034 Mala evaluación de datos de auditoria. 2 25.00 175.00
040 Retiro / ausencia intempestiva de personal 1 12.50 87.50
CANTIDAD DE AMENAZAS =8 200.00 1,400.00

010 Deshonestidad y sabotaje 1 33.33 233.33
012 Documentación deficiente 2 66.67 466.67
Personal con
02 experiencia en 7 040 Retiro/ausencia intempestiva de personal 1 33.33 233.33
los procesos
CANTIDAD DE AMENAZAS =3 133.33 933.33

PROBABILID
AD DE VULNERABI
NOMBRE DE ACTIVO IMPACTO AMENAZA RIESGO
OCURRENCI LIDAD
A
003 Administración inadecuada 1 12.50 125.00
006 Cambios Políticos que afecten las Políticas Internas 1 12.50 125.00
026 Infección de virus 2 25.00 250.00
028 Interrupción del servicio de energía. 2 25.00 250.00
Sistema 039 2 25.00 250.00
Procesamiento de información inadecuado
08 Transaccional y 10
040 Retiro / ausencia intempestiva de personal 1 12.50 125.00
Administrativo
054 Vulnerabilidad de la Plataforma tecnológica de tablas libres 1 12.50 125.00
055 Fraude 1 12.50 125.00
CANTIDAD DE AMENAZAS =8 137.50 1,375.00

009 Desastres Naturales (rayos, lluvias, inundaciones) 1 10.00 30.00
019 Fallas físicas de los equipos (averías) 1 10.00 30.00
025 Incendios 1 10.00 30.00
026 Infección de virus 2 20.00 60.00
028 Interrupción del servicio de energía. 2 20.00 60.00
043 Robo de equipos 1 10.00 30.00
12 PC's de Escritorio 3
046 Servicio de mantenimiento inadecuado 1 10.00 30.00
048 Soporte técnico de equipos inadecuado 1 10.00 30.00
051 Uso descontrolado de recursos 2 20.00 60.00
053 Vandalismo 1 10.00 30.00
CANTIDAD DE AMENAZAS =10 130.00 390.00

6.4.4 Conclusiones
En este cuadro se calculan los niveles de vulnerabilidad y de riesgo en los que

incurre cada activo vital identificado. Para esto se tiene en cuenta el nivel de
importancia asignado a cada uno y la probabilidad de ocurrencia de estos riesgos.
Para realizar dicho cálculo se desarrollaron las siguientes operaciones:
Niveles de Riesgo (R) y Vulnerabilidad (V)

En el cuadro se listan los niveles de Riesgo y Vulnerabilidad para cada activo,
considerando la importancia de 1 a 10, y sin tener en cuenta la importancia (es
decir con un valor de 1). A la derecha los valores que observamos representan el
número de los activos, ordenados en forma descendiente de acuerdo al riesgo y
vulnerabilidad que corren dicho activos.
ACTIVOS EN
NIVEL DE
NIVEL DE RIESGO (R) ORDEN
ACTIVOS VULNERABILIDAD (V)
DESCENDENTE
VALOR R% VALOR V% (R) (V)
01 Departamento de sistemas - Gestión de la Dirección de Sistemas 1,400.00 9.03 200.00 9.52 13 01
02 Personal con experiencia en los procesos 933.33 6.02 133.33 6.35 14 14
03 Sistemas de Gestión de Terceros 400.00 2.58 100.00 4.76 07 15
04 Sistema de Aire Acondicionado 571.43 3.69 114.29 5.44 01 13
05 Pozos a tierra y Sistema Eléctrico Estabilizado 933.33 6.02 116.67 5.56 08 09
06 Sistema de Telecomunicaciones / MAN 560.00 3.61 140.00 6.67 15 07
07 Servidores centrales. 1,466.67 9.46 146.67 6.98 10 06
08 Sistema Transaccional y Administrativo 1,375.00 8.87 137.50 6.55 09 08
Herramientas de Escritorio y Desarrollo (Programas fuente, sistemas

09 1,050.00 6.78 150.00 7.14 02 02
operativos)
Dispositivos de conectividad y soporte en comunicaciones (Cableado,
10 1,142.86 7.37 114.29 5.44 05 12
antenas, switch, hubs, módems.)
11 Sistema Operativo de Red 916.67 5.91 91.67 4.37 11 05
12 PC's de Escritorio 390.00 2.52 130.00 6.19 04 04
13 Data generada por los Sistemas de Información 1,625.00 10.49 162.50 7.74 06 10
14 Data generada por los Usuarios. 1,533.33 9.89 191.67 9.13 03 03
Documentación de programas, hardware, sistemas, procedimientos

15 1,200.00 7.74 171.43 8.16 12 11
administrativos locales, manuales, etc.
15,497.62 100% 2,100.00 100%

Activos por orden de Riesgo (R)
ACTIVOS RIESGO R%
13 Data generada por los Sistemas de Información 1,625.00 10.49
14 Data generada por los Usuarios. 1,533.33 9.89
07 Servidores centrales. 1,466.67 9.46
01 Departamento de sistemas - Gestión de la Dirección de Sistemas 1,400.00 9.03
08 Sistema Transaccional y Administrativo 1,375.00 8.87
15 Documentación de programas, hardware, sistemas, procedimientos administrativos locales, manuales, etc. 1,200.00 7.74
10 Dispositivos de conectividad y soporte en comunicaciones (Cableado, antenas, switch, hubs, módems.) 1,142.86 7.37
09 Herramientas de Escritorio y Desarrollo (Programas fuente, sistemas operativos) 1,050.00 6.78
02 Personal con experiencia en los procesos 933.33 6.02
05 Pozos a tierra y Sistema Eléctrico Estabilizado 933.33 6.02
11 Sistema Operativo de Red 916.67 5.91
04 Sistema de Aire Acondicionado 571.43 3.69
06 Sistema de Telecomunicaciones / MAN 560.00 3.61
03 Sistemas de Gestión de Terceros 400.00 2.58
12 PC's de Escritorio 390.00 2.52
15,497.62 100%
Activos por orden de Vulnerabilidad (V)
ACTIVOS VULNERABILIDAD V%
01 Departamento de sistemas - Gestión de la Dirección de Sistemas 200.00 9.52
14 Data generada por los Usuarios. 191.67 9.13
15 Documentación de programas, hardware, sistemas, procedimientos administrativos locales, manuales, etc. 171.43 8.16
13 Data generada por los Sistemas de Información 162.50 7.74
09 Herramientas de Escritorio y Desarrollo (Programas fuente, sistemas operativos) 150.00 7.14
07 Servidores centrales. 146.67 6.98
06 Sistema de Telecomunicaciones / MAN 140.00 6.67
08 Sistema Transaccional y Administrativo 137.50 6.55
02 Personal con experiencia en los procesos 133.33 6.35
12 PC's de Escritorio 130.00 6.19
05 Pozos a tierra y Sistema Eléctrico Estabilizado 116.67 5.56
04 Sistema de Aire Acondicionado 114.29 5.44
10 Dispositivos de conectividad y soporte en comunicaciones (Cableado, antenas, switch, hubs, módems.) 114.29 5.44
03 Sistemas de Gestión de Terceros 100.00 4.76
11 Sistema Operativo de Red 91.67 4.37

2,100.00 100%

Análisis de Importancias
Aquí vemos un análisis donde se tiene en cuenta el nivel de riesgo y la importancia con
una ponderación de 1 a 10. Se calculó el porcentaje de los riesgos y el porcentaje del
impacto respectivamente. Al calcular la diferencia entre estos porcentajes (Dif. de %) se
obtiene el porcentaje que muestra cuán sobrevaluados o menospreciados están los activos
de acuerdo a sus riesgos. A continuación se calcula una cifra (Dif. de importancia) que
representan los porcentajes anteriormente mencionados, de la siguiente manera:
• Para aplicar la diferencia de porcentajes a la importancia actual, se multiplican.
Importancia. x Dif. de %
• Este resultado no está en escala de 1 a 10, por lo que con una regla de tres simple, se
centran los valores:
100 % ------------------------------------ 10 puntos de importancia

Importancia x Dif. de % ------------- ? (= Diferencia de importancia)
A este resultado se le suma (o resta de acuerdo al signo) a la importancia actual,

obteniendo la importancia que debería tener cada activo (importancia ideal), de acuerdo
al nivel de riesgos encontrado.
Importancia ideal = Importancia actual + Diferencia de importancia

IMPORTANCIA
NIVEL DE RIESGO DIF. DE IMPORT
ACTUAL DIF. DE
ACTIVOS %
IMPORT ANCIA
IMPORT ANCIA IDEAL
RIESGO R% I%
ANCIA
01 1,400.00 9.03 7 6.36 2.67 1.87 8.87

Departamento de sistemas - Gestión de la Dirección de Sistemas
02 933.33 6.02 7 6.36 -0.34 -0.24 6.76
Personal con experiencia en los procesos
03 Sistemas de Gestión de Terceros 400.00 2.58 4 3.64 -1.06 -0.42 3.58
04 Sistema de Aire Acondicionado 571.43 3.69 5 4.55 -0.86 -0.43 4.57
05 Pozos a tierra y Sistema Eléctrico Estabilizado 933.33 6.02 8 7.27 -1.25 -1.00 7.00
06 Sistema de Telecomunicaciones / MAN 560.00 3.61 4 3.64 -0.02 -0.01 3.99
07 Servidores centrales. 1,466.67 9.46 10 9.09 0.37 0.37 10.37
08 Sistema Transaccional y Administrativo 1,375.00 8.87 10 9.09 -0.22 -0.22 9.78

09 1,050.00 6.78 7 6.36 0.41 0.29 7.29
operativos)
10 1,142.86 7.37 10 9.09 -1.72 -1.72 8.28
11 Sistema Operativo de Red 916.67 5.91 10 9.09 -3.18 -3.18 6.82
12 PC's de Escritorio 390.00 2.52 3 2.73 -0.21 -0.06 2.94
13 Data generada por los Sistemas de Información 1,625.00 10.49 10 9.09 1.39 1.39 11.39
14 1,533.33 9.89 8 7.27 2.62 2.10 10.10

Data generada por los Usuarios.
15 Documentación de programas, hardware, sistemas, procedimientos 1,200.00 7.74 7 6.36 1.38 0.97 7.97
15,497.62 100% 110 100% 0.00 -0.29 109.71

Listado de activos por orden de Importancia Ideal

IMPORTANCIA
ACTIVOS IDEAL
13 Data generada por los Sistemas de Información 11.39
07 Servidores centrales. 10.37
14 Data generada por los Usuarios. 10.10
08 Sistema Transaccional y Administrativo 9.78
01 Departamento de sistemas - Gestión de la Dirección de Sistemas 8.87
10 Dispositivos de conectividad y soporte en comunicaciones (Cableado, antenas, switch, hubs, módems.) 8.28
Documentación de programas, hardware, sistemas, procedimientos administrativos locales, manuales,
15 7.97
etc.
09 Herramientas de Escritorio y Desarrollo (Programas fuente, sistemas operativos) 7.29
05 Pozos a tierra y Sistema Eléctrico Estabilizado 7.00
11 Sistema Operativo de Red 6.82
02 Personal con experiencia en los procesos 6.76
04 Sistema de Aire Acondicionado 4.57
06 Sistema de Telecomunicaciones / MAN 3.99
03 Sistemas de Gestión de Terceros 3.58
12 PC's de Escritorio 2.94
109.71

Valores Máximos, Mínimos y Reales
Se muestran los valores máximos y mínimos de vulnerabilidad que pueden obtener los
activos cuando las probabilidades son llevadas a puntos extremos. Este cálculo es
necesario para compararlos con los valores relevados que figuran en la tercera columna.
Estos cálculos se realizan sin tener en cuenta la influencia de la importancia, es decir se
representan exclusivamente las debilidades de cada activo, con las medidas de seguridad
que actualmente existen en la institución.
ACTIVOS MAXIMO MINIMO REAL

(333) % (111) % (123) %
01 Departamento de sistemas - Gestión de la Dirección de Sistemas 300 6.7 100 6.7 200.00 9.5
02 Personal con experiencia en los 300 6.7 100 6.7 133.33 6.3
03 Sistemas de Gestión de Terceros 300 6.7 100 6.7 100.00 4.8
04 Sistema de Aire Acondicionado 300 6.7 100 6.7 114.29 5.4
05 Pozos a tierra y Sistema Eléctrico Estabilizado 300 6.7 100 6.7 116.67 5.6
06 Sistema de Telecomunicaciones / MAN 300 6.7 100 6.7 140.00 6.7
07 Servidores centrales. 300 6.7 100 6.7 146.67 7.0
08 Sistema Transaccional y Administrativo 300 6.7 100 6.7 137.50 6.5

09 300 6.7 100 6.7 150.00 7.1
operativos)
10 300 6.7 100 6.7 114.29 5.4
11 Sistema Operativo de Red 300 6.7 100 6.7 91.67 4.4
12 PC's de Escritorio 300 6.7 100 6.7 130.00 6.2
13 Data generada por los Sistemas de Información 300 6.7 100 6.7 162.50 7.7
14 Data generada por los Usuarios. 300 6.7 100 6.7 191.67 9.1
Documentación de programas, hardware, sistemas, procedimientos

15 300 6.7 100 6.7 171.43 8.2
4,500.00 100 1,500.00 100 2,100.00 100

Porcentajes de Vulnerabilidades Descubiertas
Como consecuencia del cuadro anterior, se puede calcular que el porcentaje de

vulnerabilidades descubiertas en el Banco San José es del 46.57% (2100 puntos),
considerando el nivel máximo de riesgos como el 100% (4,500 puntos), y sabiendo que el
porcentaje mínimo es de 33.3% (1,500 puntos). Por esto podemos concluir que el Banco
San José debería reducir en 13.33% el porcentaje de vulnerabilidades descubiertas, para
así conseguir el nivel mínimo de riesgos posible.
Porcentaje de vulnerabilidades descubiertas: 46.67%

Porcentaje de vulnerabilidad mínimo: 33.33%
Desviación: 13.33%
El análisis de riesgos realizado para el Banco San José constituye un análisis inicial de
los riesgos asociados a las Tecnologías de la Información. Es importante que una vez
emitidas las Políticas de Seguridad y consolidada la estructura organizacional
responsable de la seguridad de la información, se afinen los considerados de acuerdo con
los objetivos de seguridad del Banco San José. Este análisis en particular involucra un
cierto grado de incertidumbre, puesto que la calificación de escenarios se basa en
criterios cualitativos expresados por el personal de sistemas del Banco y no en datos
estadísticos particulares de escenarios (relación activo amenaza) similares ocurridos en el
Banco San José. Sin embargo, los resultados permiten establecer un estado inicial de
referencia sobre el cual comparar los riesgos en los escenarios identificados y que
potencialmente pueden desarrollarse.
Los resultados del análisis indican que los activos que presentan mayor riesgo, son la
data generada por los sistemas de información (13), la data generada por los usuarios
(14) y los Servidores Centrales(07) originados por el alto impacto que representaría para
el Banco San José una baja del sub. estado de confidencialidad, integridad y
disponibilidad de dichos activos. Asimismo el otro factor que eleva el nivel riesgo de
debe a la presencia de amenazas con posibilidades de ocurrencia media y alta como son
la falta de registros de auditoria, la mala administración de passwords e infección de
virus, que forja una extensión en la vulnerabilidad del escenario.
El análisis de los riesgos presento como activos con mayor índice vulnerabilidad al Área
de Sistemas – Gestión de la Dirección de Sistemas (01), la data generada por los usuarios
(14) y Documentación de programas, hardware, sistemas, procedimientos administrativos
locales, manuales, etc. (15) Esto se debe la presencia concurrente de amenazas con nivel
medio (2) y alto (3) de posibilidad de ocurrencia.
Otro aspecto importante es el 38% de amenazas con posibilidad de materializar una

agresión sobre los activos, son del tipo Error, lo cual es comprensible en una
organización coma el Banco San José que aun no ha manifestado su posición respecto a
la seguridad de la información mediante de una política. Las amenazas del tipo error son
probadamente mitigadas con programas de capacitación y sensibilización en seguridad de
la información.

7 POLITICAS Y PROCEDIMIENTOS PARA LA ADMINISTRACION DE SEGURIDAD

ASPECTOS GENERALES
Es política del Banco San José, proveer una continua operación de sus negocios:
Protegiendo sus activos, personal entrenado, planta, equipos, e información contra

pérdida o uso indebido.
Manteniendo procedimientos de emergencia a ser utilizados en el caso de pérdida de la

capacidad de procesamiento de información.
Tomando las acciones legales apropiadas en el caso de pérdida o uso indebido de un

activo de la institución.
Dentro de la función de procesamiento de datos de la institución, el término equipo incluye:
Máquinas de procesamiento de datos (Procesador Central, periféricos asociados, terminal

y procesadores remotos).
• Programas provistos por Terceros (Programas de Control del sistema (SCP), utilitarios y
paquetes de aplicación)
Aplicaciones desarrolladas internamente.
Bases de Datos y archivos.
El objetivo de seguridad de datos es proteger datos (información, programas) contra una no

autorizada:
Destrucción.
Modificación.
Divulgación.
Todo el personal debe reconocer que la información es un activo valioso y tratarla en forma
acorde con ello.
ASPECTOS TECNICOS
7.1 POLITICAS SOBRE SEGURIDAD LÓGICA
7.1.1 Política general:
• La información es el activo más importante de la entidad, por lo tanto se velará

permanentemente por la aplicación de barreras y procedimientos que resguarden
el acceso, confidencialidad e integridad de la información.
7.1.2 Políticas específicas:
• Todo usuario con acceso a los diferentes sistemas y a la red, deberá estar clara y
permanentemente identificado:

a) Deberá estar asociado a un perfil de usuario predefinido.

b) Sólo tendrá acceso a los derechos que su perfil le permita.
c) El acceso estará restringido solo a estaciones físicas autorizadas.
• La autenticación de usuarios es un proceso permanente.
• La utilización de passwords es el punto básico de control y seguimiento de

usuarios.
7.4 POLITICAS SOBRE SEGURIDAD FÍSICA
• Se mantendrá una adecuada u oportuna protección física y mantenimientos

permanentes a los equipos e instalaciones que conformen los activos de la
institución.
• Se aplicarán restricciones de acceso físico a las áreas críticas a toda

persona no autorizada.
• Aplicar procedimientos y utilizar equipos que faciliten el control y registro
adecuado del personal, interno y externo, que, en cumplimiento a sus
encargos, requiera acceso a dichas áreas.
• Las estaciones de trabajo serán utilizadas únicamente para propósitos de la
institución inhabilitándose todo dispositivo o periférico que no contribuya
a este fin.
• Se utilizarán dispositivos de soporte que permitan un uso más eficiente y
productivo de los equipos y que contribuyan a su mejor funcionamiento.
La utilización de estos dispositivos estará claramente determinada en
procedimientos específicos.
• La ubicación del CPD debe contemplar protección adecuada contra ruidos,
e interferencias electromagnéticas y visuales.
• Toda instalación deberá contar con los respaldos documentarios necesarios
en planos de infraestructura, cableados eléctricos, de datos e instalaciones.
• Se prohíbe todo aquello que no está explícitamente permitido en este
documento.
7.7 POLITICAS SOBRE SEGURIDAD DE PERSONAL
• Proponer una Normativa que indique las funciones y obligaciones en materia

de seguridad del personal interno y externo de la institución, así como los

responsables de Seguridad de: los sistemas de información, usuarios y

auditores de seguridad.
7.7.2.1 Del personal en general
• La seguridad de la información será tarea y responsabilidad de

cada uno los trabajadores, por lo que cada usuario estará en la
obligación de administrar correctamente la cuenta de usuario o
llave de ingreso a la Red corporativa de las empresas del grupo
Banco San José, no compartirá ni revelará a ninguna otra persona
su cuenta y contraseña de ingreso.
• Los usuarios serán responsables de conocer y cumplir la política,

procedimientos y normas establecidas para la seguridad de la
información. Las consultas sobre el manejo apropiado de un tipo
específico de información deberán ser dirigidas al Custodio o al
Propietario de la información involucrada.
• Los usuarios solo utilizarán los recursos de la institución para fines

que benefician únicamente a la compañía.
• Los usuarios deberán leer frecuentemente los avisos o advertencias

que el Área de Sistemas publicará en las pantallas del inicio de
sesión.
• Los usuarios que tienen la disquetera habilitada, no deberán

ingresar ningún disquete de procedencia externa a la institución
que no haya sido certificado por el proveedor.
• Los usuarios deberán bloquear su estación de trabajo cuando esta

se encuentre desatendida aunque solo sea por breves momentos.
• Cualquier usuario que detecte una falla de seguridad en el acceso,

deberá reportarlo a los administradores del sistema.
7.7.2.2 Del Personal Interno
Funciones del personal interno
• Están relacionadas a los deberes de función pertinentes.

Determinarán las acciones de seguridad correspondientes al
personal y a las áreas o negocios involucrados, gerencias, áreas
que por sus funciones norman o regulan y dan los lineamientos
técnicos para el normal desarrollo de las actividades, teniendo en
cuenta la aplicación, ejecución y control de las mismas, dentro del
marco de seguridad pertinente.

• La seguridad de los ambientes, activos e información será tarea y

responsabilidad de cada uno los trabajadores. El personal de las
diferentes áreas y unidades de negocio que tengan presencia
laboral en los ambientes o estén relacionados por deber de función
(se consideran también consultores), incluyendo el personal que
circunstancialmente se encuentre en tránsito por las inmediaciones
de los mismos.
• Participarán en las charlas de capacitación de seguridad para

prevenir los riesgos tanto personales y patrimoniales de los
negocios.
Obligaciones del personal interno
• Todo el personal de la institución deberá cumplir con los

procedimientos y restricciones establecidas en las normativas de
seguridad y protección, así como las pertinentes a la seguridad de
la información.
• Cuidará y mantendrá en óptimas condiciones las instalaciones,

muebles o equipos facilitados para el cumplimiento de sus
funciones y para su seguridad.
• Observará en todo momento el secreto profesional y absoluta

discreción en lo concerniente a las actividades de la institución en
general y en particular a las actividades propias de nuestras
funciones, así como a lo relativo al secreto de las
telecomunicaciones
• Prestará auxilio en cualquier tiempo y lugar que se necesite por

siniestro o riesgo inminente, en que peligra la integridad física del
personal y los bienes e instalaciones de la institución.
• Comunicará a la institución dentro de las 48 horas de producido el

cambio domiciliado, teléfono, estado civil, nacimiento y/o
fallecimiento de familiares directos.
• Ordenará y conservará lo útiles, equipos, herramientas y vestuarios

asignados respondiendo por ellos y restituyéndolos en caso de
pérdida o robo.
• Usará y conservará durante el desempeño de sus funciones, los

implementos de protección, seguridad e higiene asignados.
• Portará en lugar visible el carné de trabajo, al ingreso y durante el

tiempo de permanencia dentro del local de la institución.

• El incumplimiento de las obligaciones estará sujeto a medidas

disciplinarias de acuerdo a lo establecido en el negocio.
• Cuidará el material y equipos contra incendio instalados.
• Tomará conocimiento del empleo de extintores.
• Será responsabilidad de todo el personal que ejerce cargo de

confianza, hacer cumplir la presente norma.
• El trabajador será responsable de los equipos de cómputo que les

son asignados por el negocio para el cumplimiento de sus
funciones, así como la información contenida en ellos. El software
de los equipos deberá ser instalado por personal autorizado.
Asimismo dará cumplimiento a las disposiciones y normativas
emitidas por el Área de Sistemas.
7.7.2.3 Del personal externo
Funciones y obligaciones del personal externo de la institución
• El personal externo a la institución (honorarios profesionales,

proveedores, consultores-asesores, visitas) deberá sujetarse a las
normativas y directivas establecidas por la institución en el
período que desarrollen sus actividades, al igual que el personal
interno. El no cumplimiento estará sujeto a sanciones según
contrato, sean penalidades o acciones legales en caso la institución
estime pertinente.
• La información que se pueda derivar de esta actividad deberá

utilizarse de forma clasificada y en ningún caso deberá ser
proporcionada a otras personas o instituciones fuera del ámbito de
la institución.
• Cuando el negocio lo estime pertinente deberán firmar un

compromiso de confidencialidad dentro del marco legal vigente.
• Acatarán las disposiciones emitidas por el Área de Sistemas, en lo

pertinente al resguardo y seguridad de la información
(encriptación, resguardo de material magnético e impreso en
ambientes adecuados y restricción de salida de material que
contenga información crítica del negocio) y de activos.
• Proporcionarán al negocio a través del Área de Sistemas, la

información que éste solicite en salvaguarda de los intereses de la
institución.

• Al término de su contrato, deberán entregar todo el material,

información y equipos que hubiesen sido proporcionados por el
negocio para el cumplimiento de sus actividades.
• Se prohíbe todo aquello que no está explícitamente permitido en

este documento.
7.8 POLITICAS DE DESARROLLO Y MANTENIMIENTO DE SISTEMAS
• El desarrollo y/o adquisición de sistemas y aplicaciones es el resultado de una

planificación de sistemas establecida y aprobada formalmente y se basa en la
aplicación de una metodología de desarrollo formal, que facilite los controles,
la administración de recursos, el mantenimiento de los sistemas y la
documentación necesaria.
• Definir una plataforma de software y sistema operativo base que obedecerá a

criterios de confiabilidad, escalabilidad, compatibilidad e interoperatividad con
otros sistemas operativos, ofreciendo disponibilidad de asesoría y soporte
técnico, facilidades técnico operativas y equilibrio en la relación
costo/beneficio.
• Contar con metodologías y estándares formales para el correcto

funcionamiento de los sistemas.
• Definir los requerimientos antes de la fase de diseño, tomando en cuenta la

intervención de usuarios del proyecto y responsables de las unidades afectadas.
• Definir un procedimiento formal para registrar cambios en los requisitos del

sistema por parte de los usuarios.
• Aprobación de los usuarios en las especificaciones de los sistemas.
• Definir un diccionario de datos o repositorio comprobando que se gestiona de

forma automatizada.
• Incluir los requisitos de seguridad, rendimiento, copias de seguridad y
recuperación en la especificación del nuevo sistema.
• Desarrollar un plan de pruebas de aceptación del sistema.
• Aplicar procedimientos y rutinas de verificación regulares a fin de validar la

seguridad de la data.

• Revisar periódicamente la data a fin de detectar inexactitud, cambios no

autorizados e integridad de la información.
• Definir controles que permitan revisar toda la información obtenida por un

sistema de información. Asegurando que sea completa, correcta y solo
disponible para personal autorizado.
• Mantener registros de todas las bases de datos, de manera que estos puedan
revisarse en caso de ser necesario.
• Definir estándares de configuración para perfiles de usuario requeridos en los

sistemas.
• El sistema debe ser aceptado formalmente por los usuarios antes de ser puesto
a producción.
• El sistema se pondrá en producción formalmente y pasara estar en

mantenimiento solo cuando haya sido aceptado y este preparado todo el
entorno en el que se ejecutara.
• Si existiera un sistema antiguo, el sistema nuevo se pondrá en producción de

forma coordinada con la retirada del antiguo, migrando los datos si es
necesario.
• Definir técnicas de encriptación estándar.
• Toda migración de datos producto de cambios de sistemas, debe obedecer a un

Plan de Migración, debidamente formulado, sustentado y aprobado.
• Toda modificación de sistemas debe estar respaldada por un procedimiento

integral de gestión de cambios, que incluya los pasos para un adecuado testing
y documentación.
• No se pondrá en producción ningún sistema o modificación que no haya sido

suficientemente probado y que cuente con aprobación del área usuaria.
• La implantación de un sistema no termina con su puesta en producción.
• Se prohíbe todo aquello que no está explícitamente permitido en este

documento.

8. PROCEDIMIENTOS
8.1 PROCEDIMIENTOS SOBRE EL USO DEL CORREO ELECTRÓNICO
1. OBJETO
Normar el uso del Correo Electrónico como herramienta de comunicación, para el

trámite de la correspondencia interna y externa del Banco San José.
2. FINALIDAD
Asegurar una comunicación interna y externa eficiente, oportuna y segura, que

reduzca los costos administrativos involucrados en los métodos tradicionales.
3. ALCANCE
Las normas que se establecen en la presente Directiva, alcanzan a todos los

usuarios de Correo Electrónico, personal nombrado y contratado que trabaja en el
Banco San José; así como también, a toda persona que utilice el Correo
Electrónico, en el marco de un contrato de intercambio de servicios, de un
mandato, de un período de práctica, de una colaboración u otro servicio,
debidamente autorizados.
4. VIGENCIA
La presente Directiva entrará en vigencia a partir de la fecha de su aprobación.
5. BASE LEGAL
• Ley N° 27309, Ley que incorpora los delitos informáticos al Código Penal.
• Ley N° 27269, Ley de Firmas y Certificados Digitales.
• Ley N° 27310, Ley que modifica el artículo 11° de la Ley 27269.
• Circular N° G - 105 - 2002, que establece disposiciones referidas a la
identificación y administración de riesgos asociados a la tecnología de
información.
• Código Penal.
6. DEFINICIÓN DE TÉRMINOS
CORREO ELECTRÓNICO:
Sistema que permite la comunicación no-interactiva de mensajes constituidos por

texto, datos, imágenes o voz, entre un emisor y uno o varios destinatarios por
líneas de comunicación estándares que utiliza un servidor como medio facilitador e
integrador
USUARIO:

Trabajador del Banco San José, nombrado, contratado, practicante, o cualquier

persona que por el marco de un contrato de intercambio de servicios use el correo
electrónico, cualquiera sea la jerarquía de su cargo.
7. NORMAS GENERALES
7.1 El Correo Electrónico se constituye en el principal instrumento de

comunicación y transporte para el envío de correspondencia oficial de Banco
San José y reemplazará paulatinamente al sistema de envío físico de
documentos; significando un considerable ahorro de tiempo y costos al
eliminar el fotocopiado y distribución física a nivel nacional de gran cantidad
de documentos.
7.2 Toda la correspondencia oficial del Banco San José; interna y externa; así
como los documentos normativos (Directivas, Circulares y Memorándums
Múltiples), serán enviados a través del Correo Electrónico.
7.3 La documentación, oficial o normativa, enviada a través del Correo
Electrónico, tiene la misma validez que un documento físico, inclusive para
las acciones de control.
7.4 Se podrá enviar correspondencia física en aquellos casos en que la naturaleza
del documento lo amerite y/o se adjunten documentos no digitalizados.
8. NORMAS ESPECÍFICAS
8.1 Los Gerentes o los Jefes de Área, designarán al personal usuario de Correo
Electrónico y solicitarán su inscripción al Área de Sistemas.
8.2 En caso de cese de cualquier trabajador usuario de correo, el Área de
Personal deberá solicitar inmediatamente al Área de Sistemas, la baja del
usuario cesado. En caso de traslado, el Gerente o el Jefe del Área deberá
solicitar al Área de Sistemas la transferencia de la cuenta de correo a la
nueva ubicación señalando el cargo que ocupará.
8.3 El uso del correo electrónico debe limitarse estrictamente para labores
propias de la función del usuario.
8.4 La cuenta de correo electrónico deberá instalarse solamente en la PC
asignada al usuario para su uso.
8.5 En caso de ausencia temporal de un usuario de correo por motivos de
vacaciones, comisión de servicio etc.; el Gerente o Jefe del Área, delegará en
otro trabajador la recepción de la correspondencia del titular ausente y
comunicará, vía correo, el nombre y la cuenta de correo del trabajador
reemplazante, indicando los días en que este será responsable de recepcionar
la correspondencia del trabajador ausente.
8.6 Los usuarios de Correo Electrónico, deberán verificar obligatoriamente la
correspondencia recibida al inicio de la jornada laboral, al final del día y en
las oportunidades que sea posible, a fin de realizar la acción pertinente
(tomar conocimiento de instrucciones, difundirlas al personal a su cargo,
tramitar o dar respuesta oportuna, acusar recibo de mensaje, etc.).
8.7 La correspondencia oficial que es recibida por un usuario Gerente, Jefe de
Área o de Agencia, que requiera ser atendida o dar respuesta, deberá ser
retransmitida a los funcionarios o trabajadores responsables de la ejecución
y/o tramitación de la misma.

8.8 Toda documentación oficial enviada y recibida a través del Correo

Electrónico deberá llevar numeración correlativa por tipo de documento. Una
copia electrónica se archivará en carpetas del mismo correo o del disco duro
y se deberá archivar una copia impresa firmada por el funcionario o los
funcionarios remitentes; a efectos de mantener un adecuado orden, control y
autenticación de la documentación remitida.
8.9 Los Gerentes o Jefes de Área, podrán enviar correspondencia indistintamente
desde su correo personal o desde el asignado a su secretaria o delegar en
funcionarios de su dependencia la transmisión de la correspondencia de la
Gerencia; siguiendo, en todos los casos, el procedimiento de numeración,
registro y archivo establecido en el numeral precedente.
8.10 La documentación oficial enviada a entidades u organismos externos, tales
como Superintendencia de Banca y Seguros, Banco Central de Reserva,
Contraloría General u otras entidades, deberá ser transmitida únicamente a
través de la Gerencia Mancomunada o personal autorizado por cada Gerencia
o Jefatura del Área. Los correos enviados por el personal autorizado a
entidades u organismos externos, deberán ser de conocimiento de la
Gerencia Mancomunada y deberán contar con el acuse de recibo
correspondiente (reporte electrónico de lectura de correo).
8.11 La autorización para envió de correo electrónico externo debe ser efectuada
exclusivamente por las Gerencias o Jefes de Área y solo para los casos en
que la naturaleza de las funciones así lo determinen.
8.12 Para el envío de archivos de proyectos de documentos que, por la naturaleza
de los mismos, deban efectuarse revisiones y correcciones constantes, se
recomienda la utilización de la herramienta de Mensajería Interna y así evitar
mantener borradores de documentos en el servidor del correo electrónico.
8.13 Los mensajes recibidos de fuente confiable sobre presencia de virus o
similares, deberán ser retransmitidos en forma inmediata a la cuenta de
correo de la Área de Sistemas. Esta unidad evaluará la conveniencia de
difundir dicho mensaje al resto de usuarios.
9. RESPONSABILIDADES
El Área de Sistemas, como ente administrador del Correo Electrónico, será

responsable de:
• Establecer las políticas y procedimientos, a través del tiempo, necesarios para

garantizar un óptimo uso del Correo Electrónico.
• Garantizar la performance y seguridad del servicio de correo.
• Instalar el software de Correo Electrónico, en todas las áreas de la Oficina
Principal y en las Oficinas interconectadas a nivel nacional.
• Generar las Cuentas de Usuarios y asignar los password respectivos, de acuerdo a
los requerimientos de cada Gerencia.
• Dar soporte técnico oportuno a los usuarios.
• Actualizar permanentemente los programas o barreras antivirus, a fin de proteger
el servidor de Correo Electrónico y la red de PC's.
• Establecer grupos de direcciones de usuarios (Gerentes, Jefes de Área Jefes de
Departamento, etc.), a fin de facilitar el envío masivo de correspondencia.
• Generar los procedimientos de respaldo de la información involucrada
(Backups). El Área de Personal, en coordinación con la Área de Sistemas,

brindará cursos de capacitación a los funcionarios y trabajadores, usuarios de

Correo Electrónico, sobre el manejo y funcionalidad del software.
Los usuarios del Correo Electrónico serán responsables de:
• La información y contenido enviado a través de su cuenta de Correo Electrónico.

• Mantener absoluta reserva sobre su clave de acceso (password), la cual deberá ser
cambiada periódicamente como medida de seguridad. o si advierte que es
conocida por un tercero.
• Mantener organizadas las bandejas de mensajes recibidos y enviados; así como
las carpetas que hayan creado en forma particular, efectuando una depuración
periódica de la correspondencia obsoleta.
• Evitar guardar, en la medida de lo posible, copias de mensajes enviados con un
documento adjunto; puesto que el documento adjuntado se encuentra archivado
en una carpeta de la PC o en algún medio magnético de uso del remitente.
• Remitir a la cuenta de correo del Área de Sistemas cualquier correo de aspecto
sospechoso o de remitente desconocido, para su evaluación.
• Comunicar oportunamente al Área de Sistemas, sobre cualquier anomalía en el
software del Correo Electrónico.
• Observar las siguientes prohibiciones:
o Utilizar el código de acceso o contraseña de otro usuario, con el fin de

acceder a la cuenta electrónica de otro.
o Permitir o tolerar el acceso o utilización del Correo Electrónico por
persona no autorizada.
o Abrir o bajar a disco duro archivos que llegan adjuntos a mensajes de
Correo Electrónico, cuyos remitentes sean desconocidos o ajenos a la
Institución; a fin de prevenir el ingreso de virus informáticos a la red del
Banco San José.
o Generar o retransmitir cadenas de mensajes o pensamientos de contenido
político, religioso, étnico, etc., en texto o diapositivas; cartas virtuales o
participar en sistemas piramidales, juegos de dinero o juegos
informáticos; así como también, el envío de vídeos, tarjetas o postales de
saludos, chistes y toda aquella información que no tenga relación con
asuntos afines a la función.
o Disimular o falsificar la información del encabezado de un mensaje
electrónico enviado por el usuario o la información relativa a la
identificación del usuario, que deben aparecer normalmente en ese
mensaje.
o Enviar, publicar o dar acceso a terceros no autorizados sobre información
o documentos pertenecientes o concernientes al BANCO SAN JOSE.
o Efectuar envíos publicitarios masivos no solicitados (“spam”, “Junk
mail”, “bulk mail”, etc.).
o Usar el correo para asuntos personales, que atenten contra la seguridad
como: el registro de la cuenta de correo en listas de Interés, Foros de
Discusión, Listas de Noticias etc. que no tengan que ver con las
funciones del cargo y que provoquen el ingreso de ingentes cantidades
de correos banales al interior del Banco San José.
o Comprometer o eludir las medidas de seguridad que estén dirigidas a
proteger el servicio de Correo Electrónico.

10. DISPOSICIONES FINALES
10.1 Los Gerentes y los jefes de Área, serán responsables de poner en conocimiento del
personal a su cargo, que cuenten con cuenta de correo asignada, las normas
impartidas en la presente Directiva.
10.2 La Gerencia de Administración y Finanzas, conjuntamente con el Área de Sistemas

y el Área de Organización y Métodos, podrán complementar la presente Directiva,
mediante Circulares, en la medida que las necesidades y el avance tecnológico así
lo requieran. De ser necesaria su modificación, esta se deberá efectuar mediante
otra Directiva.
10.3 El incumplimiento de cualesquiera de las normas y responsabilidades de los

usuarios respecto a esta Directiva, se comunicara al Área de Sistemas para su
conocimiento y podrá ser causal de amonestación verbal o escrita; su reiterado
incumplimiento, dará lugar a la cancelación de la cuenta.
10.4 Derecho de Propiedad
El servicio de Correo Electrónico (cuentas de correo y contenido) es propiedad

exclusiva del Banco San José así como toda información, mensaje, ficheros y
datos que se encuentran en el mismo, bajo la forma que sea (electrónica, numérica,
sonora, vídeo u otra), haya o no sido creados, recibidos o archivados con la ayuda
de dicho sistema. En consecuencia, el usuario no se beneficia de ningún derecho
(real o presunto) de propiedad, de confidencialidad o de respeto de su vida privada
en el marco de la utilización de dicho sistema.
Recomendaciones de uso y seguridad en el correo electrónico
1. Los mensajes enviados a todos los usuarios deben ser autorizados por el Gerente
de Área. Esto tiene por finalidad confirmar la necesidad de este tipo de envió
masivo.
2. En el caso que se quiera dar a conocer algún tipo de información usando el

correo, se aconseja hacerlo solo a las personas involucradas o posibles
interesadas y no a todos los usuarios. Para esto el usuario deberá crear sus
propias listas de distribución.
3. Nunca deje el correo abierto si va a salir. Podría ser usado por un extraño para
enviar desde el, un mensaje que pueda comprometerlo. Para evitar esto debe
hacer lo siguiente:
a) Si va a salir (así sea por pocos minutos) debe bloquear la PC. Esto se logra
en el Sistema Operativo Windows 2000, pulsando al mismo tiempo las
teclas ALT CTRL SUPR. Esta acción provocara el bloqueo de la PC
siendo necesario ingresar nuevamente la clave de usuario que, obviamente,

debe ser privada. En el caso de Windows 98 se aplicara un mecanismo de

seguridad mediante el protector de pantalla.
b) Otra alternativa es la de colocar un tiempo mínimo de inactividad al propio

correo. Esto quiere decir que al no haber actividad en el correo pasado 1
minuto, por ejemplo, el correo pida nuevamente la clave de usuario.
4. Si recibe un mensaje de remitente conocido pero el contenido no guarda “lógica”

con otros recibidos del mismo remitente ó tiene texto en ingles ó también invita a
abrir algún mensaje adjunto ó visitar alguna pagina Web se recomienda borrar
inmediatamente el mensaje por que es probable que se trate de algún virus u otro
tipo de código malicioso. Entiéndase por código malicioso cualquier código
(porción de programa) que se ejecuta en la PC sin consentimiento del usuario
para provocar, entre otras cosas, su mal funcionamiento o pérdida de
información. Estos códigos están ocultos y se activan, por ejemplo, al momento
de ejecutar o querer visualizar un archivo adjunto a este tipo de mensajes.
5. Muchas veces circulan por Internet y llegan a través de correo avisos alertando
sobre determinados virus, estos mensajes además, adjuntan la solución que casi
siempre es la de borrar determinados archivos. Lo único que buscan con esto es
provocar que sea el mismo usuario el que se cause daño borrando archivos
necesarios en la PC.
Si recibe por mail o por otro medio la “noticia” sobre determinado virus y
además la “manera” de contrarrestarlos le pedimos que reenvié el e-mail a la
cuenta del Área de Sistemas. Así se certificada la veracidad de la amenaza y
enviaremos el procedimiento (de ser necesario) para eliminar los riesgos.
6. Se recomienda borrar semanalmente los mensajes de correo irrelevantes y

obsoletos manteniendo solo la información mas reciente para evitar problemas de
envió y recepción de correo por haber sobrepasado el tamaño máximo de la Base
de datos.
7. La secuencia recomendada para dar mantenimiento a la BD de correo es la

siguiente:
a) Borre todos los mensajes obsoletos o que no tengan relación con las
funciones laborales.
b) Recuerde hacer lo primero tanto en la Bandeja de Entrada como en los

Enviados. Una forma más rápida es ir a Todos los Documentos y borrar
por antigüedad.

Analisis de Riesgos - Psi PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Analisis de Riesgos - Psi PDF

Cargado por

Copyright:

Formatos disponibles

BANCO JAN JOSÉ

CONSULTORIA EN LA ADMINISTRACION DE SEGURIDAD DE LA INFORMACION

POLITICAS Y PROCEDIMIENTOS PARA LA ADMINISTRACION DE SEGURIDAD DE

ACOS – Auditoria y Consultoría Orientado a Sistemas

2. Objetivo y alcance del trabajo

5. Consideraciones para una adecuada estructura organizacional

5.1 De la Unidad de Riesgos

7. Políticas para la Administración de Seguridad de la Información

7.1 Políticas sobre Seguridad Lógica

8.1 Procedimientos para el uso del correo electrónico

ACOS – Auditoria y Consultoría Orientado a Sistemas

Lima, xx de Junio del xxxx

Estimado Señor xxxx:

En relación a los servicios de consultoría en la administración de seguridad de la información

POLITICAS Y PROCEDIMIENTOS PARA LA ADMINISTRACION DE SEGURIDAD

Del Análisis de Riesgos

Para generar esta información se desempeñaron las siguientes actividades:

1. Listado de los activos de la institución

Del Plan de Seguridad de Información

ACOS – Auditoria y Consultoría Orientado a Sistemas

De acuerdo al artículo 5 de la Circular G-105-2002 de la Superintendencia de Banca y Seguros,

1. Políticas sobre Seguridad Lógica

3 Políticas sobre Seguridad Física

4 Políticas sobre Seguridad de Personal

5 Políticas sobre Desarrollo y Mantenimiento

1 Procedimientos para el uso del correo electrónico

ACOS – Auditoria y Consultoría Orientado a Sistemas

En el presente proyecto definido como Administración de la Seguridad de la Información (Plan

- Objetivo y alcance del trabajo.

- Consideraciones para una adecuada estructura organizacional

- Políticas para la Administración de la Seguridad de Información

- Estándares para el desarrollo de sistemas

De usted muy atentamente,

Ing. Jorge Martín Figueroa Revilla

ACOS – Auditoria y Consultoría Orientado a Sistemas

BANCO SAN JOSÉ

CONSULTORIA EN LA ADMINISTRACION DE SEGURIDAD DE LA INFORMACION

POLITICAS Y PROCEDIMIENTOS PARA LA ADMINISTRACION DE SEGURIDAD

El proponer estas políticas de seguridad requiere un alto compromiso de la institución, agudeza

2. OBJETIVO Y ALCANCE DEL TRABAJO

El alcance de esta fase de nuestro trabajo comprende:

• Definición de políticas de seguridad

ACOS – Auditoria y Consultoría Orientado a Sistemas

La relación de metodología utilizada y el alcance de las mismas se resumen a continuación:

La aplicación de estas metodologías permitió desarrollar un trabajo “a la medida” de las

Visión y Estrategia de Seguridad

Estrategía y uso Evaluación de

Procesos de Procesos Proc. Rescuperación

Estructura de adm. de seguridad de Información

Se ha desarrollado la metodología Enterprise Security Architecture (ESA) como el modelo sobre

El Information Security Framework (ISF) define los aspectos de la seguridad a ser

ACOS – Auditoria y Consultoría Orientado a Sistemas

La Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información de las

La metodología MAGERIT comprende 4 Etapas:

1. Planificación del Proyecto de Riesgos. Como consideraciones iniciales para arrancar el

2. Análisis de riesgos. Se identifican y valoran las diversas entidades, obteniendo una

3. Gestión de riesgos. Se identifican las funciones y servicios de salvaguarda reductoras del

4. Selección de salvaguardas. Se prepara el plan de implantación de los mecanismos de

ACOS – Auditoria y Consultoría Orientado a Sistemas

Durante el desarrollo del trabajo se utilizaron los siguientes procedimientos de trabajo:

• Charlas de orientación para la realización del Análisis de Riesgos, en la cual intervinieron:

- José Seminario Jefe de Sistemas

• Revisión y análisis de la información y documentación proporcionada por el personal del