Asignatura Datos del alumno Fecha

Análisis de Apellidos: López Rodríguez

Riesgos 11/11/2020
Informáticos Nombre: Carlos Enrique

TAREA 1: La seguridad, los sistemas y la metodología de gestión de riesgos en los

programas informáticos

El examen de ingreso a la empresa Banco Mexicano del Desarrollo consiste en

presentar una propuesta que eficiente el involucramiento de todo el personal de la
institución hacia la protección de la información del banco.

Por lo tanto, a efecto de ser uno de los primeros diez candidatos para ganar el puesto,
debes presentar una estrategia que cubra por lo menos los siguientes puntos:

1. Plazo de implementación: máximo 6 meses.

2. Políticas necesarias.
3. Procesos a realizar.
4. Definición de personas a involucrar.
5. Métrica de evaluación.

El alumno deberá entregar un reporte documental con objetivos, fases, alcances y

justificación de la metodología seleccionada.

I. Introducción
Siendo la información uno de los activos más importantes en las instituciones,
requiere de especial atención y protección, para ello es necesario el análisis
permanente de los riesgos y la actualización e implementación de las políticas de
seguridad, que garanticen la integridad, confidencialidad y disponibilidad de la
información, sin descuidad la trazabilidad de los datos.
El presente trabajo encargado permitió analizar los posibles riesgos que enfrenta el
sector financiero, estableciendo políticas de seguridad específicamente para el Banco
Mexicano del Desarrollo, materia de ejemplo en el presente documento.
II. Objetivos

 Salvaguardar la información perteneciente al Banco Mexicano del Desarrollo y

la tecnología que permite la generación o procesamiento y almacenamiento de
este, frente a amenazas de pérdida de integridad, confidencialidad o
disponibilidad de la información, asegurando en todo momento la continuidad
del negocio ante cualquier accidente o imprevisto.
 Gestionar la seguridad de la información, manteniendo los riesgos en niveles
aceptables según su clasificación.

III. Fases

TEMA 1 – Actividades © Universidad Internacional de La Rioja, S. A.

(UNIR)
 Asignatura Datos del alumno Fecha
Análisis de Apellidos: López Rodríguez
Riesgos 11/11/2020
Informáticos Nombre: Carlos Enrique

Las fases que se desarrollaron para la determinación de las políticas necesarias para
la protección de la información del Banco son las siguientes:

- Fase I: Identificación del activo

- Fase II: Analizar los riesgos
- Fase III: Evaluar los riesgos
- Fase IV: Gestionar los riesgos
- Fase V: Definir las políticas de seguridad (1)

IV. Alcance
La política definida en el presente documento tiene como alcance a todo el ámbito
del Banco Mexicano del Desarrollo y sus recursos.
La aplicación de esta política es de cumplimiento por todo el personal que labora en
el Banco Mexicano del Desarrollo, indistintamente de su cargo, nivel jerárquico y su
condicional laboral.
V. Plazo de implementación: máximo 6 meses.
VI. Políticas necesarias

1. Secreto bancario

En aplicación del Artículo 140º del capítulo II (Secreto Bancario) de la LEY Nº

26702 - Ley General del Sistema Financiero y del Sistema de Seguros y Orgánica
de la Superintendencia de Banca y Seguros, en la cual menciona: Está prohibido a
las empresas del sistema financiero, así como a sus directores y trabajadores,
suministrar cualquier información sobre las operaciones pasivas con sus clientes, a
menos que medie autorización escrita de éstos o se trate de los supuestos
consignados en los Artículos 142, 143 y 143-A. (2)
Por lo tanto, queda prohibido que los usuarios tengan acceso a consultar los saldos
y movimientos financieros de las cuentas de los clientes, sin la autorización
expresa de los titulares de las cuentas (clientes).

TEMA 1 – Actividades © Universidad Internacional de La Rioja, S. A.

(UNIR)
 Asignatura Datos del alumno Fecha
Análisis de Apellidos: López Rodríguez
Riesgos 11/11/2020
Informáticos Nombre: Carlos Enrique

2. Cambio de contraseñas.

Cada usuario es responsable de la correcta administración de las credenciales de

acceso (usuario y contraseña) al sistema informático.
Las contraseñas de las cuentas tendrán una duración de 30 días con el fin de
garantizar la seguridad de inicio de sesión del usuario e impedir ataques de
cualquier intruso, y se regularán por un procedimiento específico, establecido por
la Jefatura de Tecnología de Información.
No deberá permitir reutilizar la misma contraseña en un periodo mínimo de un
año.

3. Control de acceso físico al cubículo

Todo personal que labora en el Banco Mexicano del Desarrollo tiene asignado un
espacio físico, cerrado por paredes de vidrio de un metro y medio de altura, este
espacio se denomina cubículo. La seguridad de acceso físico al cubículo recae en
la responsabilidad del personal a quien le fue designado dicho espacio, debiendo
salvaguardar los bienes o recursos de la institución.

4. Acceso a la red de datos en horario laboral

Solo está permitido conectarse a la red de datos en el horario de trabajo, salvo

excepciones autorizadas por la administración del Banco Mexicano del Desarrollo

VII. Procesos a realizar.

1. Secreto bancario
TEMA 1 – Actividades © Universidad Internacional de La Rioja, S. A.
(UNIR)
 Asignatura Datos del alumno Fecha
Análisis de Apellidos: López Rodríguez
Riesgos 11/11/2020
Informáticos Nombre: Carlos Enrique

- La consulta del saldo o movimientos financieros de las cuentas de los

clientes, solo será posible cuando el cliente ingresa al POS su tarjeta bancaria
relacionada con la cuenta y su respectiva clave (El cliente debe ingresar su
clave, bajo ningún motivo, el personal del banco solicitará la clave al cliente).
Manteniendo la tarjeta en el POS, el cliente deberá colocar su dedo índice
derecho (o la que se haya registrado previamente al momento de la apertura
de la cuenta bancaria) en el lector de huella digital para validar los datos del
titular de la cuenta. Si los datos coinciden con lo registrado en el sistema, el
personal del banco procederá a imprimir el saldo y movimiento financiero de
la cuenta objeto de consulta. En caso los datos no coincidieran, se debe
repetir la operación hasta por un máximo de tres intentos, superior a esto, el
sistema emite una alerta a la Oficina de Informática para proceder a verificar
si corresponde a una falla técnica, asimismo emite un mensaje de alerta al
Oficial de Riesgos de la agencia del banco, quien debe apersonarse para la
verificación del caso.
- En caso exista una solicitud de levantamiento de secreto bancario por medida
judicial, el personal de la Oficina de Atención al cliente ingresará al sistema
previamente registrando su usuario y contraseña, realiza la consulta en el
módulo de Consultas Financieras, identificado la cuenta del cliente, procede a
imprimir y guardarlo en un sobre, sellando para luego emitir a la Oficina
Judicial que solicita el reporte. El sistema mantiene el registro de trazabilidad
de las operaciones.
2. Cambio de contraseñas.
- Para la configuración de la vigencia de la contraseña se debe utilizar el
Directorio Activo de Microsoft para el servidor de red que se encuentra con
licencia Windows Server.
- La vigencia máxima de cada contraseña es de 30 días.
- Los usuarios recibirán del administrador de cuentas, notificaciones cada 25
días por correo electrónico para cambiar sus propias contraseñas.
- El propio usuario podrá cambiar su contraseña sin el apoyo técnico, haciendo
clic en la opción “Cambiar Contraseña” que se encuentra en la propia interfaz
de acceso al sistema.
- En caso el usuario no cambió su contraseña y debido a la fecha de
vencimiento ya no le es posible cambiar la contraseña y tener acceso al
sistema, deberá comunicarse con área técnica de la oficina de informática. El
personal encargado de la administración del equipo servidor procederá a crear
una nueva clave de acceso; después de la creación de la nueva clave de
acceso, el sistema obligará al usuario a cambiar su contraseña, manteniendo
de esta manera la confidencialidad de la clave de acceso.
- La longitud mínima de la contraseña es de 8 caracteres y debe contener
números, símbolos, letras mayúsculas y minúsculas
- El directorio activo guardará el historial de contraseñas y no será posible
reutilizar las contraseñas por un periodo mínimo de un año.
3. Control de acceso físico al cubículo
- En las instalaciones del Banco deberán instalar cámaras de video vigilancia
(CCTV) con tecnología IP, esta tecnología permite definir el “Mapa de
Calor” por cada cámara. En el NVR deberá configurarse la zonas de
TEMA 1 – Actividades © Universidad Internacional de La Rioja, S. A.
(UNIR)
 Asignatura Datos del alumno Fecha
Análisis de Apellidos: López Rodríguez
Riesgos 11/11/2020
Informáticos Nombre: Carlos Enrique

protección por cada cámara instalada, definiendo las áreas restringidas,

además de identificar al personal que se encuentra en cada cubículo, de tal
forma que, en caso el personal no estuviera dentro de su cubículo y otra
persona ingresa en ella, el sistema del NVR enviará inmediatamente un
mensaje de alerta al correo y celular del Oficial de Riesgos de la agencia
bancaria, y este, a través de su equipo celular podrá ver en tiempo real lo que
podría estar sucediendo para que tome las medidas correctivas del caso, de
mismo modo, el personal asignado al cubículo recibirá un mensaje de alerta
directamente a su celular para que retorne inmediatamente y/o puede ver en
tiempo real lo que está sucediendo en su espacio asignado.
4. Acceso a la red de datos en horario laboral
- En el Directorio Activo de Microsoft debe configurarse los horarios de inicio
de sesión, asimismo, las restricciones de acceso. Por defecto todos los
usuarios del dominio de red tienen acceso al sistema cualquier día a cualquier
hora, por lo tanto, se debe establecer los accesos de acuerdo al horario de
trabajo y en caso de excepciones, previa autorización, la Oficina de
Informática podrá dar permiso al usuario solicitante en el horario coordinado.
VIII. Definición de personas a involucrar.
Las personas involucradas en la implementación y administración de las políticas
de seguridad en el Banco Mexicano del Desarrollo son:
- Jefe de la Oficinas de Informática
- Oficial de Riesgos
- Auditor Interno
- Jefe de Operaciones
- Usuarios del sistema
IX. Métrica de evaluación.
Las métricas de evaluación son:
Proceso Nivel de Descripción
Criticidad
Secreto Bancario Extremo Requiere de atención permanente
Cambio de Contraseñas Bajo

Administrados por procedimientos

rutinarios

Moderado

Control de acceso Especificar la responsabilidad de los

físico al cubículo usuarios

TEMA 1 – Actividades © Universidad Internacional de La Rioja, S. A.

(UNIR)
 Asignatura Datos del alumno Fecha
Análisis de Apellidos: López Rodríguez
Riesgos 11/11/2020
Informáticos Nombre: Carlos Enrique

Bajo Administrados por procedimientos

rutinarios
Acceso a la red de
datos solo en horario
laboral

(1)
Leyenda

Criterio Descripción

Extremo Requiere de atención permanente

Alto Requiere de la atención de las

gerencias

Moderado Especificar la responsabilidad de los

usuarios

Bajo Administrados por procedimientos

rutinarios

X. Conclusiones
TEMA 1 – Actividades © Universidad Internacional de La Rioja, S. A.
(UNIR)
 Asignatura Datos del alumno Fecha
Análisis de Apellidos: López Rodríguez
Riesgos 11/11/2020
Informáticos Nombre: Carlos Enrique

La implementación de las políticas de seguridad establecidas en el presente

documento, permitirá mitigar los riesgos identificados, asegurando la continuidad
del negocio, asimismo, el Oficial de Riesgos, deberá prestar especial atención a los
riesgos según su nivel de criticidad.
La participación e involucramiento de todo el personal que labora en el Banco
Mexicano del Desarrollo, es de mucha importancia, debido a que las personas
somos parte del eslabón de la cadena de seguridad de información, y posiblemente
el eslabón más débil sino se está concientizado sobre la importancia de la seguridad
de información.

XI. Bibliografía
1. Beltrán N, Carmen P, Cruz G, De Bogotá U, Lozano JT. ESTUDIO DE RIESGO
OPERATIVO BAJO LA METODOLOGÍA AS/NZS 4360 CASO:
COMERCIALIZADORA DE MEDIOS [Internet]. [BOGOTA]:
UNIVERSIDAD DE BOGOTÁ JORGE TADEO LOZANO; 2013 [cited 2020
Nov 11]. Available from:
https://expeditiorepositorio.utadeo.edu.co/bitstream/handle/20.500.12010/1516/T
048.pdf?sequence=1&isAllowed=y
2. Presidente La Republica E DE. LEY No 26702: Ley General del Sistema
Financiero y del Sistema de Seguros y Orgánica de la Superintendencia de Banca
y Seguros [Internet]. Lima: CONGRESO DE LA REPUBLICA; Dec p. 4027–
2011. Available from:
http://www2.congreso.gob.pe/sicr/cendocbib/con4_uibd.nsf/8CEF5E01E937E76
105257A0700610870/$FILE/26702.pdf

TEMA 1 – Actividades © Universidad Internacional de La Rioja, S. A.

(UNIR)