DIRECCIÓN DE SEGURIDAD

INFORMÁTICA
Cultura de Seguridad de la información
Objetivos

General
Fomentar la adopción de una Cultura de Seguridad de la Información, la cual contribuya a generar
espacios de trabajo y colaboración con niveles de riesgo aceptables para Banco del Bienestar.

Aprendizaje
• Aplicar los conceptos y principios básicos de Seguridad de la Información en diversas situaciones propias de
una Institución Financiera.
• Identificar distintos escenarios de riesgo informático que podrían presentarse dentro y fuera del entorno
laboral.
• Identificar roles y responsabilidades de las colaboradoras y los colaboradores de Banco del Bienestar como
parte de la Cultura de Seguridad de la Información.
• Relacionar la Política General de Seguridad de la Información de Banco del Bienestar con su labor dentro y
fuera de su centro laboral.
Introducción
La información es un activo vital para el éxito y la continuidad de la operación de Banco del Bienestar. El
aseguramiento de dicha información y de los sistemas que la procesan es, por tanto, un objetivo de primer nivel.

En la actualidad, el desarrollo tecnológico crece a un ritmo exponencial, lo que nos obliga a modificar/mejorar los
procesos de negocio que tengan un impacto directo en el cumplimiento de los objetivos Institucionales, debido a
que, cada vez más, los procesos de negocio cuentan con una alta dependencia de las Tecnologías de la Información
y Comunicación (TIC´s), sin embargo, al mismo tiempo, estas tecnologías exponen a la información a nuevos
riesgos de seguridad.

Por ejemplo, los servicios financieros y/o programas sociales que ofrece el Banco del Bienestar, así como los
procesos de negocio que se emplean dentro de la Institución, operan con información sensible, como los datos
personales de los clientes, información sobre sus cuentas, información contable del banco, etc., estos ejemplos
representan parte de la información que se maneja dentro de Banco del Bienestar, y forman parte de los activos de
información que deben protegerse ante los posibles riesgos a los que pueden estar expuestos.
 Seguridad de la Información
Combinación de controles y medidas aplicables a personas, procesos y tecnología con la
finalidad de proteger la información, procurando así, el bienestar de sus colaboradores y,
por supuesto, de la Institución.

Conceptos Generales de la Seguridad de la Información

Existen entes reguladores propios del sector financiero los cuales establecen normas y
manuales de buenas prácticas en distintas áreas, entre ellas la calidad y la seguridad de la
información.

En Banco del Bienestar nos apegamos a las normas y manuales de buenas prácticas
aplicables a la Seguridad de la Información, entre ellas:
 Seguridad de la Información
Conceptos propios de la seguridad de la información que todas y todos debemos conocer

Activos de información.

Cualquier componente (humano, tecnológico, software, entre otros) que sustenta uno o más procesos de
negocio, es decir, todo aquello que aporta valor a la organización.

 Aplicaciones informáticas
 Bases de datos
 Documentos impresos
 Equipo de cómputo
 Dispositivos celulares
 ¡La información, en sí misma, es un activo que debe ser protegido!

La información debe ser protegida en cualquier

estado en que se encuentre.
Seguridad de la Información
Tipos de información que debe ser protegida. Como colaboradoras y colaboradores de Banco del bienestar,
debe existir en nosotros un fuerte compromiso para resguardar y
1. Números de cuenta. tratar los datos personales conforme a los principios de:
2. Usuario y contraseña. • Licitud. • Finalidad.
3. Información relativa a los Clientes. • Lealtad. • Proporcionalidad.
4. Información relativa a los procesos propios • información. • Calidad.
de operación de Banco del Bienestar. • Consentimiento. • Responsabilidad.
5. Información personal de tus compañeros de
Banco de Bienestar y tuya.

Seguridad en datos personales.

Los datos personales incluyen toda la información

mediante la cual es posible identificarnos.
1. Perfil profesional
2. Nombre y apellidos
3. Domicilio
4. Número de teléfono
5. Correo electrónico personal
6. Número de seguridad social
 Seguridad de la Información
Principios de Seguridad de la Información

• La triada de la Seguridad de la Información

 Integridad: Que la información no sea modificada sin autorización.

 Disponibilidad: Que el personal autorizado tenga acceso a ella en
el momento en que la requiera.
 Confidencialidad: Que la información no sea revelada o conocida
por personas no autorizadas.

La seguridad de la información debe ser adecuadamente gestionada por todas y todos quienes colaboramos
en Banco del Bienestar, la forma de lograr una gestión coordinada se denomina Sistema de Gestión de
Seguridad de la Información.

• Sistema de Gestión de Seguridad de la Información (SGSI)

Es el conjunto de políticas, procedimientos y directrices que buscan garantizar
la confidencialidad, integridad y disponibilidad de la información frente a
amenazas y vulnerabilidades, considerando siempre, la participación de todas y
todos quienes colaboramos en el Banco del Bienestar.
Seguridad de la Información
¿Por qué es tan importante la gestión de la seguridad de la información?

Permite la identificación de los activos de información esenciales, buscando garantizar que los riesgos de la
seguridad de la información sean conocidos, asumidos, gestionados y minimizados.

Beneficios de una buena gestión de la seguridad de la información.

• Gestionar los activos de información de manera organizada facilitando la mejora continua y el ajuste de
objetivos organizacionales.
• Reduce el riesgo de pérdida, robo o corrupción de información.
• Permite el cumplimiento de los reglamentos y legislaciones aplicables a la Institución.
• Confianza y satisfacción por parte de los clientes y partes interesadas.

Política General de Seguridad de la información.

Un elemento fundamental para este esfuerzo colectivo es la llamada “Política General de Seguridad de la
Información”, documento en el cual se plasman por escrito las responsabilidades, relativas al uso de los activos
de información, que contraemos al formar parte de Banco del Bienestar.

Como integrantes del equipo de trabajo de Banco del Bienestar, es necesario conocer, leer, comprender y
aceptar la Política General de Seguridad de la Información.
Seguridad de la Información
Tipos y Fuentes de Amenazas y Riesgos

Vulnerabilidad: Debilidad, deficiencia u omisión que puede ser aprovechada por una amenaza.
• Ventana / Puerta abierta
• Ausencia de contraseña
• Violación de políticas o procedimientos

Amenaza: Persona física / moral, situación / evento que puede sacar provecho de una vulnerabilidad.
• Asaltante.
• Amigo / conocido.
• Ciberdelicuente.

Riesgo: Probabilidad de que una amenaza saque provecho de una vulnerabilidad.

• Acceso no autorizado (Confidencialidad, Integridad, Disponibilidad).
• Asalto.
• Ingreso a sistemas o equipos de cómputo.
Seguridad de la Información

Amenaza Vulnerabilidad Riesgo

+ =
Seguridad de la Información
Métodos utilizados por probables atacantes

Malware.
Se refiere a cualquier tipo de software, o programa de computadora,
malicioso diseñado para realizar acciones dañinas en un sistema
informático de forma intencionada y sin el consentimiento del usuario.

¿Cómo sucede?
• Al descargar archivos de sitios Web ilegítimos.
• Instalando programas de proveedores desconocidos.
• Abriendo un archivo adjunto en un correo electrónico malicioso.
• Al descargar e instalar aplicaciones de sitios no oficiales o de dudosa reputación.

¿Cómo saber si me he infectado con malware?

• La computadora presenta reducción en la velocidad, en la interacción con los programas y el sistema
operativo.
• El sistema se bloquea constantemente.
• Perdida de espacio disponible en el almacenamiento del dispositivo.
• Comportamientos súbitamente distintos por parte de los dispositivos de cómputo.
Seguridad de la Información
Métodos utilizados por probables atacantes (continuación)
Phishing.
Es la técnica utilizada para engañar a las personas para que compartan información confidencial, por ejemplo,
contraseñas y números de tarjetas de crédito.

¿Cómo sucede?
• Correo electrónico que contiene archivos adjuntos inesperados
o extraños.
• Correo electrónico que contiene enlaces a páginas ilegítimas.
• A través de sitios Web que ofrecen premios o recompensas.
• Mensaje que solicita información de datos bancarios para
solicitar reclamaciones.

Smishing.
Es una actividad criminal que se realiza a través de mensajes de texto (SMS) dirigido a usuarios de telefonía móvil, para
engañar a las personas y obtener información confidencial.

¿Cómo sucede?
• Mensajes que ofrecen premios, recompensas u ofertas solicitando información confidencial.
• Mensajes solicitando que se actualice información de cuentas bancarias.
• Mensaje solicitando acceder a un sitio Web del que no se esté seguro.
• Mensajes provenientes de números no identificados.
Seguridad de la Información
Métodos utilizados por probables atacantes (continuación)

Vishing.
Es una práctica fraudulenta que se realiza a través de llamadas telefónicas para engañar a las personas y obtener información
confidencial.

¿Cómo sucede?
• Recepción de llamadas argumentando que una de tus cuentas tiene cargos irregulares o solicitan actualizar información.
• Utilizan tácticas alarmistas o solicitudes urgentes para preocupar al usuario evitando analizar la situación.
• Recepción de llamadas por parte del banco en las que solicitan rectificar una operación de devolución a tu favor.

Robo de identidad.
Es cuando una persona adquiere, transfiere, posee o utiliza información de una persona física o jurídica de forma NO autorizada para
efectuar fraude u otro delito.

¿Cómo sucede?
• Diseño y uso de software para recolectar información personal, el cual es instalado silenciosamente en computadoras o
dispositivos móviles.
• Uso de correos electrónicos o sitos Web falsos para engañar a las personas y revelen información personal.
• Comprometer computadoras o dispositivos móviles para obtener datos personales.
• Una vez que los ladrones obtienen estos datos, utilizan la información adquirida ilícitamente
• para realizar numerosas actividades fraudulentas.
Seguridad de la Información
Métodos utilizados por probables atacantes (continuación)

Ingeniería Social.

Acto de manipular a una persona a través de técnicas psicológicas y habilidades sociales para obtener
información confidencial, infectar sistemas o acceder a sitios Web infectados.

Utilizan técnicas como el Phishing, Vishing, Smishing y de

manipulación de víctimas a través del respeto a la autoridad,
voluntad de ayudar a otro, obtener productos gratis o generando
miedo a los usuarios.
Seguridad de la Información
Seguridad de la Información
Roles y Responsabilidades para la gestión de la seguridad de la información

Oficial de Seguridad de la Información

Tiene la función de planificar y alinear las iniciativas de seguridad de la información con los objetivos fundamentales de
Banco del Bienestar, garantizando que la información esté adecuadamente protegida.

Propietarios, custodios y usuarios de los activos de información

• Propietario: Es la persona responsable de los distintos activos de la información, y es el encargado de aplicar los
controles, políticas y directrices de seguridad de la información.
• Custodio: Es el responsable de monitorear el cumplimiento de la política de seguridad y de los procesos definidos
para mantener la seguridad de la información.
• Usuario: Todo el personal que tiene relación con los activos de información del Banco del Bienestar y, por lo tanto,
una responsabilidad para salvaguardar su confidencialidad, integridad y disponibilidad.

¿Qué roles y responsabilidades, en materia de Seguridad de la Información tenemos como colaboradoras y

colaboradores del Banco del Bienestar?

• Todas y todos debemos leer, conocer, comprender y aceptar la Política de Cumplimiento de Seguridad de la
Información
• Participar en los cursos que son impartidos en materia de Seguridad de la Información y atender las infografías y los
boletines de Seguridad de la Información que se reciban.
• Reportar cualquier anomalía que consideres una amenaza que pueda afectar a la confidencialidad,
• integridad y disponibilidad de la información.
Seguridad de la Información
Mejores prácticas en el uso de herramientas tecnológicas

Seguridad en el correo institucional.

• Verificar si el dominio de la dirección de email coincide con el de la

empresa.
• Faltas de ortografía o concordancia en el texto.
• El correo solicita información personal.
• El asunto del correo es de máxima alerta.
• Generalmente se incluyen archivos adjuntos o enlaces que te sugiere
abrir para dar seguimiento al correo dado.

Navegación segura en Internet.

• Evitar el almacenamiento de contraseñas en los navegadores.

• Navegación en sitios Web accediendo a sitios con HTTPS para
transferencia de información cifrada.
• Actualización de navegador.
• No confiar en redes Wi-Fi públicas.
• Gestión de contraseñas.
• No acceder a enlaces sospechosos.
Seguridad de la Información
Mejores prácticas en el uso de herramientas tecnológicas (continuación)

Uso de medios de almacenamiento extraíbles (USB/CD).

• Respetar las políticas de seguridad del uso de medios de almacenamiento
extraíbles.
• Evitar el uso de dispositivos USB externos en los equipos de cómputo de la
Institución.
• Evitar el uso de discos compactos (CD) externos en los equipos de cómputo de la
Institución.

Uso no autorizado de software.

• Hacer uso no autorizado de software, incluyendo software externo a la Institución
y/o sin licencia válida, presenta un grave riesgo de seguridad, así como una
infracción a las normas de propiedad intelectual y de derechos de autor.

Gestión de contraseñas seguras.

• Realizar el cambio frecuente de contraseñas en función de las políticas
establecidas.
• Crear contraseñas utilizando mayúsculas, minúsculas, números y símbolos.
• Evitar reutilizar contraseñas utilizadas anteriormente.
• Evitar compartir tus contraseñas con terceros.
• Evitar utilizar la misma contraseña para diferentes programas (aplicaciones).
 Seguridad de la Información
Mejores prácticas en el uso de herramientas tecnológicas (continuación)

Uso de dispositivos móviles.

• Cumplir con las políticas establecidas para el uso de dispositivos móviles en las
áreas de trabajo.
• Respetar las políticas de seguridad para las conexiones de los dispositivos a las
redes Wi-Fi.
• Descargar aplicaciones y archivos de fuentes confiables.
• Evitar anotar datos personales y bancarios sin la debida protección.

Consejos y recomendaciones de la Dirección de Seguridad Informática.

• Cumplir con las políticas y procedimientos establecidos por Banco del Bienestar.
• Apego a las mejores prácticas en el uso de herramientas tecnológicas.
• Estar atento con los posibles incidentes de Seguridad de la Información para reportarlos al área correspondiente.
Seguridad de la Información
Reporte de posibles Incidentes de Seguridad de la Información

Para generar un reporte de posibles incidentes relacionados

a la Seguridad de la Información debe comunicarse a la
mesa de servicios de Banco del Bienestar en la extensión
3355 y en la dirección de correo electrónico
mesadeayuda@bancodelbienestar.gob.mx
 ¡GRACIAS!
“Seguridad para el bienestar”