SERVICIO DE ADM STRACION TRIBUTARIA __DE CHICLAYO _ ip Directiva N° 01-006-000000087 onos0s240. RAN" 01-065 DIRECTIVA DE SEGURIDAD DE LA INFORMACIONFecha 09/09/2013 10 Revisado y aprobado por: César Regalado Rodriguez Historial de versiones Version Rol: Jefe del SATCH Descripeién Autor Oficina de InformaticaTabla de Contenido OBJETIVO. FINALIDAD. BASE LEGAL ALCANCE VIGENCIA....... DISPOSICIONES GENERALES DEFINICION CUMPLIMIENTO OBLIGATORIO ORGANIZACION DE LA SEGURIDAD 9.1 Estructura Organizacional nee 9.2 Acceso por parte de terceros. 9.3 Outsourcing «nn. 10 EVALUACION DE RIESGO. 10.1 Inventario de activos. 10.2 Clasificacién del acceso de la informacién. 10.3. Definiciones... Carvonsens 6 i 7 7 8 8 8 8 8 9 ) 104 Aplicacién de controles para la informacién clasificada..... B 10.4.1 Informacién de la Institucién almacenada en formato digital ais 10.4.2 Informacién de la Institucién almacenada en formato no digital... M4 10.5 Anélisis de riesgo 10.6 Cumplimiento. a 10.7 Aceptacién de rieS¥0 .ssrnsnnnnnnnnn . 11 SEGURIDAD DEL PERSONAL 15 LLL Seguridad en la definicién de puestos de trabajo y TECUS0S nem 11.2 Capacitacién de usuarios . 113 Procedimientos de respuesta ante incidentes de seguridad... 18, 11.3.1 Registro de falas... 18 11.32. Intercambios de informacisn y correo electronica... 19 11.3.3. Seguridad para media en transito... 20 12__ SEGURIDAD FISICA DE LAS INSTALACIONES DE PROCESAMIENTO DE DATOS ~ 12.1 Proteccidn de las instalaciones de los eentros de datos... 12.2 Control de acceso a las instalaciones de computo 12.3. Acuerdo con regulaciones y Ieyes...- 13. ADMINISTRACION DE COMUNICACIONES Y OPERACIONE! Procedimientos y Responsabilidades Operacionales .... Procedimientos operativos documentados ‘Administracién de operaciones realizadas por terceros... Control de cambios operacionales. Administracién de incidentes de seguridad... Separaciin de funciones de operaciones y desarrollo, 13.2. Proteccién contra virus.. 13.3. _ Copias de respaldo..... 14 CONTROL DE ACCESO 14.1 Identificacién de Usuarios. 14.2 __ Seguridad de contraseias.... 14.2.1 Estructura .. “ 14.2.2 Vigencia DATOS.14.2.3 Reutilizacién de contrasefias. 14.2.4 Intentos fallidos de ingreso. 14.2.5 Seguridad de contrasefas. 14.3 Control de transacciones, 14d Control de produccién y prueba 14.5. Controles de acceso de programas... 146 Administracién de acceso de usuarios... 14.7. Responsabilidades del usuario. 14.8 Seguridad de computadoras 14.9 Control de acceso a rede: 14.9.1 Conexiones con redes externas 14.9.2. Estdndares generales.... . 14.9.3 Directiva del uso de servicio de redes .. 14.9.4 Segmentacién de redes..... 14.9.5. Anillisis de riesgo de red 14.9.6 Acceso remoto (dial-in) . 14.9.7 Eneripeién de los datos... : 14.10. Control de acceso al sistema operative 14.10.1 Estindares generale -n.. 1410.2 Limitaciones de horario... 14.10.3.Administracion de contrasefas .. 1410.4 Inactividad del sistema. 4.10.5 Estindares de autenticacién en los sistemas 14.11 Control de acceso de aplicacién 14.111 Restricciones de acceso a informacién ... / 14.11.2 Aislamiento de sistemas criticos... 14.12. Monitoreo del acceso y uso de los sistemas... 1412.1 Sineronizacién del reloj.. 14.122 Responsabilidades generales. 14.12.3 Registro de eventos del sistema... 14.13 Computacién mévil y teletrabajo 14.131 Responsabilidades generales. 1413.2 Acceso remoto.. 18 DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS 15.1 Requerimientos de seguridad de sistemas 15.1.1 Control de cambios f 1512 Anilisis y especificacion de. los tequerimientos de seguridad, ° 15.2. Seguridad en sistemas de aplicacién aa 15.2.1 Desarrollo y prueba de aplicaciones .. 46 CUMPLIMIENTO NORMATIVO 16.1 Registros.. 162 Revision de la direetiva de seguridad y cumplimiento téenico 16.3 Propiedad de los programas. 164 Copiado de software adquirido y alquilado CONSIDERACIONES DE AUDITORIA DE SISTEMAS. 17.1 Proteccién de las herramientas de auditoria 17.2__ Controles de auditoria de sistemas... 18 DIRECTIVA DE COMERCIO ELECTRONICO 18.1 Términos e informacién de comercio electrénico sn ff19 19.1 19.2 19.3 194 19.5 INFORMACION ALMACENADA EN MEDIOS DIGITALES Y Fisicos Etiquetado de la informacion... Copiado de la informacién. Distribucién de ta informacién Almacenamiento de la informacién Eliminacion de la informacién.....“sare DSI-1000 saren Directiva de Seguridad de la Informacion. DIRECTIVA N° 001-007-0000000XX DIRECTIVA DE SEGURIDAD DE LA INFORMACION INTRODUCCION Como consecuencia de la necesidad de garantizar el uso adecuado de Ia informacion que la institucion administra, en el 2011 la Oficina de Informatica toma como iniciativa elaborar un documento que brinde el marco necesario de uso de la informacién para todas las actividades operativas y administrativas que se llevan a cabo en el Servicio de Administracién Tributaria de Chiclayo-SATCH Este documento, “Directiva de Seguridad de la Informacién’ - DSI de la OFICINA DE INFORMATICA establecera todas las medidas necesarias que debera cumplir el personal adserito a las diferentes oficinas, departamentos y unidades del Servicio de Administracion Tributaria de Chiclayo. OBJETIVO Establecer el marco general de seguridad de la informacién que permita lograr los niveles de seguridad que el Servicio de Administracién Tributaria de Chiclayo, en adelante el SATCH, requiere en base a las necesidades del negocio y a los riesgos presentes en sus procesos, La DSI y los documentos asociados tienen los siguientes objetivos: © Cumplir con los niveles de autorizacién y responsabilidad sobre la informacion (utiizaci6n, divulgaci6n, administracion y custodia), establecidos para el normal desarrollo de las actividades del negocio. pe © Minimizar la posibilidad de ocurrencia de hechos contingentes que pudieran interrumpir la operacién del negocio y reducir el impacto de los dafios a las instalaciones, medios de almacenamiento, equipos de procesamiento y de comunicacién. Proteger la informacién, sus medios de procesamiento, conservacién y transmisién, del uso no autorizado 0 revelaciones accidentales, errores, fraudes, sabotaje, violacion de la privacidad y otras acciones que pudieran perjudicaria o poneria en riesgo. Establecer, difundir y controlar las normas relacionadas a la proteccion de la informacion y sistemas del SATCH. « Establecer normas de seguridad sobre los servicios que se realizan con la colaboracion de terceros acordes con las directivas de seguridad del SATCH * Cumplir las normas legales y reglamentarias, estipuladas por la ley y los organismos Verio” Elaborada por OFIN | Pagina @ de 46 J[__sater i —_DSI-T000 al - Directiva de Seguridad de la Informacion reguladores correspondientes, referidas a seguridad de la informacién y medios que la contienen, Sensibilizar y capacitar a los trabajadores y funcionarios del SATCH, acerca de su responsabilidad para mantener la seguridad de la informacién y su adecuado uso, estableciendo una cultura organizacional que incorpore el tema de seguridad de la informacion como un aspecto relevante en los procesos de negocio de la institucién. 2. FINALIDAD Se elaboraran las directivas de seguridad con el propésito de proteger y salvaguardar la informacion de la instiucién, las cuales servirgn de guia para la implementacién de medidas de seguridad que contribuiran a mantener la integridad, confidencialidad y disponibilidad de los datos dentro de los sistemas de aplicacién, redes, instalaciones de computo y procedimientos manuales. 3 BASE LEGAL ‘+ Estandar de seguridad de la informacion NTP-ISO/IEC 17799 + Requerimientos de la Circular N° G-105-2002 de la Superintendencia de Banca y ‘Seguros (SBS) sobre Riesgos de Tecnologia de Informacion + Normas internas de la institucién referidas a seguridad de informacion 4 ALCANCE Este documento y los documentos asociados establecen la Directiva de Seguridad de la Informacion - DSI para el personal del SATCH, la cual debera ser ce conocimiento y *\cumplimiento obligatorio por los mismos, cualquiera que sea su modalidad de contrato laboral, asi como del personal de las empresas o personas naturales contratadas por ‘servicios tercerizados que brinden al SATCH, en tanto realicen tareas para éste. Este documento cubre los siguientes temas: + Seguridad del personal + Seguridad fisica de las instalaciones de procesamiento de datos * Administracion de Comunicaciones y Operaciones. + Control de Acceso de Datos. ‘+ Desarrollo y mantenimiento de sistemas. ‘© Cumplimiento Normativo. = Consideraciones de Auditoria de Sistemas © Directiva de Comercio Electrénico. + _Informacién almacenada en medios digitales. [wert - Elaborada por OFIN Pagina 7 de 46[Sater 7 DSI-7000 ele Directiva de Seguridad de la Informacion 5 VIGENCIA La presente directiva rige desde el dia siguiente de su aprobacién y su aplicacion es para todas aquella actividades que se realicen a partir de la fecha. 6 DISPOSICIONES GENERALES «La Directiva de Seguridad de Informacién se constituira como un conjunto de reglas que deberdn tenerse en cuenta al momento de efectuar todas aquellas operaciones ‘que tengan como recurso la informacién administrada por el SATCH + La implementacién de esta directiva tendré como finalidad la salvaguarda de los recursos criticos de la institucién, por tanto sus consideraciones deberan regir todas las actividades en las que se vean involucrados personal permanente o temporal del SATCH, asi como personas externas a la misma 7 DEFINICION Una Directiva de seguridad de informacién es un conjunto de reglas aplicadas a todas las actividades relacionadas al manejo de la informacién de una entidad, teniendo el propésito de proteger la informacién, los recursos y la reputacién de la misma. Propésito El propésito de las directivas de seguridad de la informacién es proteger la informacién y los activos de datos de la institucién. Las directivas son guias para asegurar la proteccién y la integridad de los datos dentro de los sistemas de aplicacién, redes, instalaciones de cmputo y procedimientos manuales. 8 CUMPLIMIENTO OBLIGATORIO El cumplimiento de las directivas y estandares de seguridad de la informacién del presente documento son obligatorias para todo el personal de la institucién incluido los funcionarios, El SATCH puede obviar algunas de las directivas de seguridad definidas en este documento, unicamente cuando se ha demostrado claramente que el cumplimiento de dichas directivas tendria un impacto significativo e inaceptable para el negocio. Toda excepcién a las directivas debe ser documentada por el Comité Operative de Seguridad de Informacién y aprobada por el Comité Ejecutivo de Seguridad, detallando el motivo que justifica el no cumplimiento de la directiva. 9 ORGANIZACION DE LA SEGURIDAD _En este documento se definen los roles y responsabilidades a lo largo de la Verto Elaborada por OFIN Pagina 8 de 46~SATCR a ‘DSI-1000 Directiva de Seguridad de Ia Informacion organizacién con respecto a la proteccién de recursos de informacién, cada uno de os cuales cumple un rol en la administracién de la seguridad de la informacion. Todos los trabajadores son responsables de mantener un ambiente seguro, en tanto que el Oficial de Seguridad debe monitorear el cumplimiento de la directiva de seguridad definida y realizar las actualizaciones que sean necesarias, producto de los cambios en el entorno informatico y las necesidades del negocio. 9.1. Estructura Organizacional En la administracién de la seguridad de la informacion participan todos los trabajadores siguiendo uno 0 mas de los siguientes roles: ~ Comité Ejecutivo de Seguridad = Comité Operativo de Seguridad de Informacion. ~ Oficial de Seguridad = Usuario ~ Custodio de informacion ~ Propietario de informacion Los roles y funciones de administracién de la seguridad de la informacion de cada uno de estas personas estan detalladas en el Documento de Roles y Estructura 9.2. Acceso por parte de terceros Se establece para personas naturales o empresas que realicen servicios tercerizados las mismas restricciones de informacion que @ un usuario interno. Ademas, el acceso ‘a la informacion debe limitarse a lo minimo indispensable para cumplir con el trabajo asignado. Las excepciones deben ser analizadas COS! y aprobadas por el CES. Esto incluye tanto acceso fisico como légico a los recursos de informacion del SATCH. Todo acceso por parte de personal externo debe ser autorizado por un responsable de la institucién, quien supervisa 0 coordina la supervision con una persona encargada del SATCH de acuerdo a la labor a realizar, las cuales dependiendo de la magnitud, puede asumir responsabilidad por las acciones que pueda realizar el mismo. El personal externo debe firmar un acuerdo de no-divulgacién antes de obtener acceso fa informacién del SATCH. Proveedores que requieran acceso a los sistemas de informaci6n del SATCH deben tener acceso Unicamente cuando sea necesario y con los perfiles o roles necesarios. Todas las conexiones que se originan desde redes 0 equipos externos al Satch, deben limitarse nicamente a los servidores y aplicaciones necesarios. Si es posible, [Verto Elaborada por OFIN Pagina 9 de 46SATCH DSI-1000 Directiva de Seguridad de la Informacién estos servidores destino de las conexiones deben estar fisicamente 0 légicamente separados de la red interna del Satch Los contratos relacionados a servicios de tecnologias de informacién deben ser aprobados por el area legal del Satch, y en el caso de que afecten la seguridad 0 las redes de la organizacién deben ser aprobados adicionalmente por un Representante del COSI. Bajo determinadas condiciones, como en la ejecucién de servicios criticos para el negocio, el Satch debe considerar efectuar una revisién independiente de la estructura de control interno del proveedor. En los contratos de procesamiento de datos externos se debe especificar los requerimientos de seguridad y acciones a tomar en caso de violacién de los contratos. Todos los contratos deben incluir una clausula donde se establezca el derecho del SATCH de nombrar a un representante autorizado para evaluar la estructura de control interno del proveedor. 9.3 Outsourcing Todbs los contratos de Outsourcing deben incluir lo siguiente ~ Acuerdos sobre directivas y controles de seguridad = Determinacién de niveles de disponibilidad aceptable. - El derecho del SATCH de auditar los controles de seguridad de informacién del proveedor. ~ Determinacién de los requerimientos legales del SATCH - Metodologia del proveedor para mantener y probar ciclicamente la seguridad del sistema. é = Que el servicio de procesamiento y la informacion del SATCH objeto de la Subcontratacion estén aislados, en todo momento y bajo cualquier circunstancia EI proveedor es responsable de inmediatamente informar al responsable de! contrato de cualquier brecha de seguridad que pueda comprometer informacion del SATCH, 7 pudiendo cualquier trabajador del Satch informar respecto a las violaciones de la seguridad de la informacién por parte de proveedores al Oficial de Seguridad, 10 EVALUACION DE RIESGO EI costo de las medidas y controles de seguridad no debe exceder la pérdida que Se espera evitar. Para la evaluacién del riesgo se deben de seguir los siguientes pasos: ~ Clasificacién del acceso de la informacién - Ejecucién del andlisis del riesgo identificando areas vulnerables, pérdida Ver 1.0 | Elaborada por OFIN Pagina 10 de 46 Joe - SgeeD SEI secant - Directiva de Seguridad de la Informacion otencial y seleccién de controles y objetivos de control para mitigar los riesgos, de acuerdo a los siguientes estandares. 10.1 Inventario de activos Los inventarios de actives ayudan a garantizar la vigencia de una proteccién eficaz de los Fecursos, y también pueden ser necesarios para otros propésites de la instituci6n, como los relacionados con sanidad y seguridad, seguros 0 finanzas (administracion de Tecursos). El proceso de compilacion de un inventario de actives es un aspecto importante de la administracion de riesgos. Una organizacién debe contar con la capacidad de identificar sus activos y el valor relativo e importancia de los mismos. Sobre la base de esta informacién, la organizacion puede entonces, asignar niveles de Proteccién proporcionales al valor importancia de los activos. Se debe elaborar y mantener un inventario de los activos importantes asociados a cada sistema de informacion, Cada activo debe ser claramente identificado y su propietario y clasificacién en cuanto a seguridad deben ser acordados y documentados, junto con la ubicacién vVigente del mismo (importante cuando se emprende una recuperecién posterior a una Pérdida 0 datio). Ejempios de activos asociados a sistemas de informacion son los siguientes = Recursos de informacion: bases de datos y archivos, documentacién de sistemas, manuales de usuario, material de capacitacién, procedimientos operativos 0 de soporte, planes de continuidad, disposiciones relativas a sistemas de emergencia para la reposici6n de informacién perdida (‘fallback’), informacion archivada - Recursos de software: software de aplicaciones, software de sistemas herramientas de desarrollo y utlitarios. - Actives fisicos: equipamiento informatico (procesadores, _ monitores, computadoras portatiles, médems), equipos de comunicaciones (routers, PBXs, maquinas de fax, contestadores automaticos), medios magnéticos (cintas_y discos), otros equipos técnicos (suministro de electricidad, unidades de aire acondicionado), mobiliario, lugares de emplazamiento. - Servicios: servicios informaticos._y de comunicaciones, _utltarios generales, por Ej. calefaccién, iluminacién, energia_eléctrica, aire acondicionado. 10.2 Clasificacién del acceso de la informacion Toda a informacion debe de ser clasificada como Restringida, Confidencial, Uso Verto Elaborada por OFN Pagina 11 de 46Sx DSI-1000 Ls Dietva de Segura Gea Informacion | Interno © General, La clasificacién de informacion debe de ser documentada por el Propietario, aprobada por la gerencia responsable y distribuida a los Custodios durante el proceso de desarrollo de sistemas o antes de la distribucién de los documentos 0 datos. La clasificacién asignada a un tipo de informacién, solo puede ser cambiada por el propietario de la informacién, Iuego de justificar formalmente el cambio en dicha clasificacién, La informacién que existe en mas de un medio (por ejemplo, documento fuente, registro electronico, reporte 0 red) debe de tener la misma clasificacién sin importar el formato, Frecuentemente, la informacién deja de ser sensible 0 critica después de un cierto periodo de tiempo, verbigracia, cuando Ia informacion se ha hecho publica. Este aspecto debe ser tomado en cuenta por el propietario de la informacién, para realizar una reclasificacion de la misma, puesto que la clasificacién por exceso (‘over- classification") puede traducirse en gastos adicionales innecesarios para la organizacion La informacién debe de ser examinada para determinar el impacto en el SATCH si fuera divulgada 0 alterada por medios no autorizados. A continuacién detallamos algunos ejemplos de informacién sensible: + Datos que proveen acceso a informacién o servicios: p ~ Llaves de encriptacién o autenticacion - Contrasefias + Datos protegidos por legislacion de privacidad vigente ~ Registros del personal - Montos de las deudas de los contribuyentes: 4 Definiciones de la Clasificacién del acceso a la informacion Restringida: Informacion con mayor grado de sensibilidad; el acceso a esta informacién debe de ser autorizado caso por caso. Confidencial: Informacién sensible que solo debe ser divulgada a aquellas personas que la necesiten para el cumplimiento de sus funciones. Uso Interno: Datos generados para facilitar las operaciones diarias; deben de ser manejados de una manera discreta, pero no requiere de medidas elaboradas de seguridad General: Informacién que es generada especificamente para su divulgacién a la [Verto Elaborada por OFIN Pagina 12 de 4610.4 Aplicat {stor 7 ———_psi-7000 Directiva de Seguridad de la Informacion _ poblacién general de usuarios. .cién de controles para la informacién clasificada Las medidas de seguridad a ser aplicadas a los activos de informacion clasificados, incluyen pero no se limitan a las siguientes. 40.4.1 Informacion de la Institucién almacenada en formato digital Todo contenedor de informacion en medio digital (CD's, DVD, cintas de backup, etc.) debe presentar una etiqueta con la clasificacion correspondiente La informacién en formato digital clasificada como de acceso “General”, puede ser almacenada en cualquier sistema de la institucidn. Sin embargo se deben tomar las medidas necesarias para no mezclar informacion “General” con informacién correspondiente a otra clasificacion Todo usuario, antes de transmitir informacion clasificada como “Restringida” 0 “Confidencial”, debe asegurarse que el destinatario de la informacion esté autorizado a recibir dicha informacion. Todo usuario que require acceso a informacién clasificada como *Restringida’ o “Confidencial’, debe ser autorizado por el propietario de la misma. Las autorizaciones de acceso a este tipo de informacion deben ser documentadas, La clasificacién asignada @ un tipo de informacién, solo puede ser cambiada por el propietario de la informacion, ego de _justificar formalmente el cambio en dicha clasificacion Informacion en formato digital, clasificada como “Restringida’, debe ser ‘encriptada con un método aprobado por los encargados de la administracion de seguridad de la informacién, cuando es almacenada en cualquier medio (disco duro, cintas, CDs, ete.) Es recomendable el uso de técnicas de encriptacién para la informacion transmitida a través de la red de clasificada como “Restringida’ 0 “Confidencial datos del Satch. Toda transmision de Informacion clasificada como “Restringida’, “Confidencial’ 0 de ‘Uso Interno” realizada hacia o a través de redes externas a la Institucion debe realizarse utiizando un medio de transmision seguro utilizando técnicas de encriptacion aprobadas. Todo documento en formato digital, debe presentar la clasificacion correspondiente en la parte superior (cabecera) ¢ inferior (pié de pagina) de [Verto [ Elaborada por OFIN Pagina 13 de 46“SATCR DSI-7000 Directiva de Seguridad de la Informacion cada pagina del documento. Los medios de almacenamiento, incluyendo discos duros de computadoras, que albergan informacion clasificada como “Restringida’, deben ser ubicados en ambientes cerrados disefiados para el almacenamiento de dicho tipo de informacién. En lugar de proteccién fisica, la informacién clasificada como “Restringida’, podria ser protegida con técnicas de encriptacién aprobadas por la institucién, 10.4.2 Informacién de la Institucion almacenada en formato no digital Todo documento o contenedor de informacién debe ser etiquetado como "Restringids onfidencial’, de “Uso intemo” 0 de Acceso ‘General’, dependiendo de la clasificacién asignada Todo documento que presente —_—informacién clasificada_ como “Confidencial’ o “Restringida’, debe ser etiquetado en la parte superior ¢ inferior de cada pagina con la clasificacién correspondiente. Todo documento clasificado como “Confidencial’ o “Restringido” debe contar con una caratula en la cual se muestre la clasificacién de ta informacién que contiene. Los activos de informacién correspondiente a distintos niveles de Clasificacion, deben ser almacenados en distintos contenedores, de no ser Posible dicha distincién, se asignara el nivel mas critico de la informacién identificada a todo el contenedor de informacion. El ambiente donde se almacena la informacién clasificada como “Restringida’, debe contar con adecuados controles de acceso y asegurado cuando se encuentre sin vigilancia. El acceso debe ser permitido solo al personal formalmente autorizado, Personal de limpieza debe ingresar al ambiente acompafiado por personal autorizado. Solo el personal formalmente autorizado debe tener acceso a informacién clasificada como “Restringida’ o “Confidencial” Los usuarios que utilizan documentos con informacion *Confidencial’ 0 “Restringida’ deben asegurarse de ~ Almacenarlos en lugares adecuados ~ Evitar que usuarios no autorizados accedan a dichos documentos ~ Destruir los documentos si luego de su utilizacién dejan de ser necesarios [vero | Elaborada por OFIN ina 14 de 46[ SAToR seas ee Directiva de Seguridad dela Informacion 10.5 Andlisis de riesgo Los Propietarios de la informacion y custodios son conjuntamerte responsables del desarrollo de andlisis de riesgos anual de los sistemas @ su cargo. Como parte del ‘andlisis se debe identiicar las aplicaciones de alta criticidad como criticas para [8 recuperacion ante desastres. Es importante identificar - Areas vulnerables = Pérdida potencial — Seleccién de controles y objetivos de control para rritigar los riesgos, indicando las razones para su inclusion 0 exclusion (Seguridad de datos, Plan de respaldoirecuperacion, Procedimientos estandar de operacién) ‘Adicionalmente, un andlisis de riesgo debe de ser conducido Iuego de cualquier cambio significative en los sistemas, en concordancia con el cima cambiante de las operaciones en el negocio del Satch El andlisis de riesgo debe tener un propésito claramente definido y delimitado existiendo dos posibildades: cumplimiento con los controles y/o medidas de proteccién o la aceptacion del riesgo. 10.6 Cumplimiento El cumplimiento satisfactorio del proceso de evaluacion del riesgo se caracteriza por: — Identificacién y ctasificacion correcta de los activos a ser protegidos. es — Aplieacion consistente y continua de los controles ylo medidas para mitigar el riesgo (seguridad efectiva de los datos, recuperacién ante desastres adecvado) — Deteccion temprana de los riesgos, reporte adecuado de perdidas, asi como una respuesta oportuna y efectiva ante las perdidas ya materiaizadas. .7 Aceptacién de riesgo La getencia responsable puede obviar algin contro! o requerimiento de proteccion aceptar el riesgo identifcado solo cuando ha sido claramente demostrado que las opciones disponibles para _lograr el cumplimiento han sido identficadas y ‘evaluadas, y que éstas tendrian un impacto significativo y no aceptable para el negocio. La aceptacién de riesgo por falta de cumplimiento de los controles y/o medidas de proteccion debe ser documentada, revisada por las partes involucradas comunicada por tecrito y aceptada por las reas responsables de la administracion de la seguridad 44 SEGURIDAD DEL PERSONAL Los esténdares relacionados al personal deben ser aplicados para asegurarse Que los [vero 2 [[Elaborada por OFIN [Pagina 15 de 46