Documentos de Académico
Documentos de Profesional
Documentos de Cultura
INFORMÁTICA
Cultura de Seguridad de la información
Objetivos
General
Fomentar la adopción de una Cultura de Seguridad de la Información, la cual contribuya a generar
espacios de trabajo y colaboración con niveles de riesgo aceptables para Banco del Bienestar.
Aprendizaje
• Aplicar los conceptos y principios básicos de Seguridad de la Información en diversas situaciones propias de
una Institución Financiera.
• Identificar distintos escenarios de riesgo informático que podrían presentarse dentro y fuera del entorno
laboral.
• Identificar roles y responsabilidades de las colaboradoras y los colaboradores de Banco del Bienestar como
parte de la Cultura de Seguridad de la Información.
• Relacionar la Política General de Seguridad de la Información de Banco del Bienestar con su labor dentro y
fuera de su centro laboral.
Introducción
La información es un activo vital para el éxito y la continuidad de la operación de Banco del Bienestar. El
aseguramiento de dicha información y de los sistemas que la procesan es, por tanto, un objetivo de primer nivel.
En la actualidad, el desarrollo tecnológico crece a un ritmo exponencial, lo que nos obliga a modificar/mejorar los
procesos de negocio que tengan un impacto directo en el cumplimiento de los objetivos Institucionales, debido a
que, cada vez más, los procesos de negocio cuentan con una alta dependencia de las Tecnologías de la Información
y Comunicación (TIC´s), sin embargo, al mismo tiempo, estas tecnologías exponen a la información a nuevos
riesgos de seguridad.
Por ejemplo, los servicios financieros y/o programas sociales que ofrece el Banco del Bienestar, así como los
procesos de negocio que se emplean dentro de la Institución, operan con información sensible, como los datos
personales de los clientes, información sobre sus cuentas, información contable del banco, etc., estos ejemplos
representan parte de la información que se maneja dentro de Banco del Bienestar, y forman parte de los activos de
información que deben protegerse ante los posibles riesgos a los que pueden estar expuestos.
Seguridad de la Información
Combinación de controles y medidas aplicables a personas, procesos y tecnología con la
finalidad de proteger la información, procurando así, el bienestar de sus colaboradores y,
por supuesto, de la Institución.
Existen entes reguladores propios del sector financiero los cuales establecen normas y
manuales de buenas prácticas en distintas áreas, entre ellas la calidad y la seguridad de la
información.
En Banco del Bienestar nos apegamos a las normas y manuales de buenas prácticas
aplicables a la Seguridad de la Información, entre ellas:
Seguridad de la Información
Conceptos propios de la seguridad de la información que todas y todos debemos conocer
Activos de información.
Cualquier componente (humano, tecnológico, software, entre otros) que sustenta uno o más procesos de
negocio, es decir, todo aquello que aporta valor a la organización.
Aplicaciones informáticas
Bases de datos
Documentos impresos
Equipo de cómputo
Dispositivos celulares
¡La información, en sí misma, es un activo que debe ser protegido!
La seguridad de la información debe ser adecuadamente gestionada por todas y todos quienes colaboramos
en Banco del Bienestar, la forma de lograr una gestión coordinada se denomina Sistema de Gestión de
Seguridad de la Información.
Permite la identificación de los activos de información esenciales, buscando garantizar que los riesgos de la
seguridad de la información sean conocidos, asumidos, gestionados y minimizados.
• Gestionar los activos de información de manera organizada facilitando la mejora continua y el ajuste de
objetivos organizacionales.
• Reduce el riesgo de pérdida, robo o corrupción de información.
• Permite el cumplimiento de los reglamentos y legislaciones aplicables a la Institución.
• Confianza y satisfacción por parte de los clientes y partes interesadas.
Un elemento fundamental para este esfuerzo colectivo es la llamada “Política General de Seguridad de la
Información”, documento en el cual se plasman por escrito las responsabilidades, relativas al uso de los activos
de información, que contraemos al formar parte de Banco del Bienestar.
Como integrantes del equipo de trabajo de Banco del Bienestar, es necesario conocer, leer, comprender y
aceptar la Política General de Seguridad de la Información.
Seguridad de la Información
Tipos y Fuentes de Amenazas y Riesgos
Vulnerabilidad: Debilidad, deficiencia u omisión que puede ser aprovechada por una amenaza.
• Ventana / Puerta abierta
• Ausencia de contraseña
• Violación de políticas o procedimientos
Amenaza: Persona física / moral, situación / evento que puede sacar provecho de una vulnerabilidad.
• Asaltante.
• Amigo / conocido.
• Ciberdelicuente.
+ =
Seguridad de la Información
Métodos utilizados por probables atacantes
Malware.
Se refiere a cualquier tipo de software, o programa de computadora,
malicioso diseñado para realizar acciones dañinas en un sistema
informático de forma intencionada y sin el consentimiento del usuario.
¿Cómo sucede?
• Al descargar archivos de sitios Web ilegítimos.
• Instalando programas de proveedores desconocidos.
• Abriendo un archivo adjunto en un correo electrónico malicioso.
• Al descargar e instalar aplicaciones de sitios no oficiales o de dudosa reputación.
¿Cómo sucede?
• Correo electrónico que contiene archivos adjuntos inesperados
o extraños.
• Correo electrónico que contiene enlaces a páginas ilegítimas.
• A través de sitios Web que ofrecen premios o recompensas.
• Mensaje que solicita información de datos bancarios para
solicitar reclamaciones.
Smishing.
Es una actividad criminal que se realiza a través de mensajes de texto (SMS) dirigido a usuarios de telefonía móvil, para
engañar a las personas y obtener información confidencial.
¿Cómo sucede?
• Mensajes que ofrecen premios, recompensas u ofertas solicitando información confidencial.
• Mensajes solicitando que se actualice información de cuentas bancarias.
• Mensaje solicitando acceder a un sitio Web del que no se esté seguro.
• Mensajes provenientes de números no identificados.
Seguridad de la Información
Métodos utilizados por probables atacantes (continuación)
Vishing.
Es una práctica fraudulenta que se realiza a través de llamadas telefónicas para engañar a las personas y obtener información
confidencial.
¿Cómo sucede?
• Recepción de llamadas argumentando que una de tus cuentas tiene cargos irregulares o solicitan actualizar información.
• Utilizan tácticas alarmistas o solicitudes urgentes para preocupar al usuario evitando analizar la situación.
• Recepción de llamadas por parte del banco en las que solicitan rectificar una operación de devolución a tu favor.
Robo de identidad.
Es cuando una persona adquiere, transfiere, posee o utiliza información de una persona física o jurídica de forma NO autorizada para
efectuar fraude u otro delito.
¿Cómo sucede?
• Diseño y uso de software para recolectar información personal, el cual es instalado silenciosamente en computadoras o
dispositivos móviles.
• Uso de correos electrónicos o sitos Web falsos para engañar a las personas y revelen información personal.
• Comprometer computadoras o dispositivos móviles para obtener datos personales.
• Una vez que los ladrones obtienen estos datos, utilizan la información adquirida ilícitamente
• para realizar numerosas actividades fraudulentas.
Seguridad de la Información
Métodos utilizados por probables atacantes (continuación)
Ingeniería Social.
Acto de manipular a una persona a través de técnicas psicológicas y habilidades sociales para obtener
información confidencial, infectar sistemas o acceder a sitios Web infectados.
• Propietario: Es la persona responsable de los distintos activos de la información, y es el encargado de aplicar los
controles, políticas y directrices de seguridad de la información.
• Custodio: Es el responsable de monitorear el cumplimiento de la política de seguridad y de los procesos definidos
para mantener la seguridad de la información.
• Usuario: Todo el personal que tiene relación con los activos de información del Banco del Bienestar y, por lo tanto,
una responsabilidad para salvaguardar su confidencialidad, integridad y disponibilidad.
• Todas y todos debemos leer, conocer, comprender y aceptar la Política de Cumplimiento de Seguridad de la
Información
• Participar en los cursos que son impartidos en materia de Seguridad de la Información y atender las infografías y los
boletines de Seguridad de la Información que se reciban.
• Reportar cualquier anomalía que consideres una amenaza que pueda afectar a la confidencialidad,
• integridad y disponibilidad de la información.
Seguridad de la Información
Mejores prácticas en el uso de herramientas tecnológicas
• Cumplir con las políticas establecidas para el uso de dispositivos móviles en las
áreas de trabajo.
• Respetar las políticas de seguridad para las conexiones de los dispositivos a las
redes Wi-Fi.
• Descargar aplicaciones y archivos de fuentes confiables.
• Evitar anotar datos personales y bancarios sin la debida protección.
• Cumplir con las políticas y procedimientos establecidos por Banco del Bienestar.
• Apego a las mejores prácticas en el uso de herramientas tecnológicas.
• Estar atento con los posibles incidentes de Seguridad de la Información para reportarlos al área correspondiente.
Seguridad de la Información
Reporte de posibles Incidentes de Seguridad de la Información