Documentos de Académico
Documentos de Profesional
Documentos de Cultura
01
1. Declaración Institucional
La información es un activo de gran importancia para el Banco de Crédito del Perú (en adelante BCP). Es
así que los recursos necesarios para la protección de información serán asignados de manera costo-
eficiente de acuerdo a su valor. Toda información propiedad del BCP está considerada por esta política,
independiente de su ubicación (almacenada o en tránsito) o su forma (físicamente escrita en papel,
almacenada en medio electrónico o hablada). La información propietaria del Banco de Crédito BCP sólo
se usará para servir las necesidades del negocio en interés del Banco y de nuestros clientes en el curso
de operaciones normales.
2. Alcance
La política de Seguridad de la Información del BCP, se encuentra alineada con la Norma Internacional
ISO 27001:2013 y la Política General de Ciberseguridad.
Indicar el carácter universal de esta política para cada una de las partes interesadas, colaboradores
del Banco, trabajadores externos y proveedores de servicios que acceden a la información y recursos
del Banco.
Incluye toda aquella información de propiedad del BCP producida para servir a sus procesos de
negocio. Del mismo modo incluye toda aquella información producida por terceros a pedido del BCP.
La política de Seguridad de la Información del BCP tiene como alcance a los Datos, Documentos
digitales (DD), Documentos Físicos (DF), Aplicaciones TI y no TI.
Se consideran como aplicaciones TI y No TI: Aplicaciones Stand Alone, Aplicaciones Móviles,
Aplicaciones en Cloud y Aplicaciones Web.
3. Objetivos
Establecer un marco referencial sobre el cual se administren de manera segura los activos de información
propiedad del BCP, que garantice la administración de activos de información con el mínimo de exposición
al riesgo aceptado por los Propietarios de Información.
La presente Política está diseñada y concebida para cumplir los requisitos de Seguridad de Información,
así como el cumplimiento de las leyes, regulaciones y normativas vigentes.
-1-
4. Lineamientos Generales
4.1. Características de la Seguridad de la Información
a) Para garantizar un adecuado Marco de Seguridad de la Información y su capacidad para lograr
resultados se debe tener en cuenta:
Aspectos y/o amenazas externas:
c) Toda información es propiedad de cada empresa del Grupo Crédito y subsidiarias Credicorp (en
adelante como Grupo Credicorp), independientemente del medio en la que ésta se almacene, y
por lo tanto debe ser protegida de modificación, eliminación y conocimiento por personas ajenas a
la organización o a las funciones asignadas. Incluso la información que se transmite por voz, cuyo
medio de transmisión es el aire, debe ser protegida manteniendo su integridad, confidencialidad y
privacidad.
5. Marco Metodológico
La política, normas y procedimientos de seguridad de la información se desarrollan para garantizar el nivel
de seguridad definido para los recursos de información. A continuación, se describen los 11 dominios para
contar con un proceso definido y formal para evaluar, implementar, mantener y administrar la Seguridad
de Información.
-2-
5.1. Políticas de Seguridad
a) Objetivos:
- Proporcionar dirección y apoyo gerencial para brindar seguridad de la información.
- El nivel gerencial debe establecer una dirección política clara y demostrar apoyo y compromiso
con respecto a la seguridad de la información mediante la formulación y mantenimiento de una
política de seguridad de la información a través de toda la organización.
b) Como condición a las políticas de seguridad, éstas deben ser aprobadas por funcionarios de
gerencia y del mismo modo comunicarlo a todos los colaboradores de manera pertinente, accesible
y comprensible.
b) Los foros de gestión deben aprobar la política de seguridad de información, asignar funciones de
seguridad, actualizarse ante cambios, coordinar implementación, definir metodologías y procesos
específicos de seguridad, monitorear incidentes de seguridad, liderar proceso de concientización
de usuarios.
-3-
- El Programa de Capacitación de Seguridad de la Información comprenderá un conjunto de
acciones que permitirán:
o Generar en los colaboradores del Banco desde el más alto nivel de dirección hasta los
colaboradores temporales, una conciencia de seguridad y lograr su efectiva colaboración
en el uso adecuado de los Sistemas y la protección de los activos de información de la
institución.
o Mantener actualizados a los colaboradores con relación a las políticas, normas,
procedimientos y estándares de Seguridad de la Información de la organización y las
razones para ser utilizadas.
- Se deberá desarrollar permanentemente acciones de actualización al personal del Banco en
Seguridad de la Información, cuyos objetivos son:
o Identificar las responsabilidades de cada empleado para el aseguramiento de los activos
de información.
o Proporcionar conocimientos en Seguridad de la Información a los colaboradores para la
buena toma de decisiones.
- El Programa de Capacitación de Seguridad de la Información deberá asegurar que los
colaboradores y terceros entiendan sus responsabilidades con respecto a la seguridad de la
información.
- Se debe determinar los tipos de incumplimiento y la respectiva sanción legal y/o administrativa.
- La empresa debe implementar procedimientos definidos en caso de cese del personal, que incluye
aspectos como la revocación de los derechos de acceso y la devolución de activos de la
información (Formato de Devolución de activos). Política Desvinculación del personal
(5014.926.02)
-4-
Transmitida, a través de redes o entre sistemas;
Impresa o escrita, en papel o hablada en conversaciones.
h) Las consideraciones de seguridad que se deben tener presente para clasificar la información son
las siguientes, de acuerdo con la 4180.223.01 - Política de Clasificación de Datos y la 4085.223.03
Norma de Clasificación de datos y activos de información y la 4085.223.02 Inventario de Datos y
Activos de Información
a) Las Políticas Generales de Administración de Riesgos, establecen los procedimientos que rigen
la administración de riesgos en el BCP; entendiéndose por esta como el proceso de identificar,
medir, tratar, controlar y reportar los distintos tipos de riesgos que enfrenta el BCP, incluidos los
riesgos de Seguridad de Información.
b) Las Políticas Generales de Administración de Riesgos, son de aplicación integral a todo el BCP,
así como al personal externo que tengan acceso a la información y recursos del BCP.
c) La Política General de Administración de Riesgos de Operación (4202.101.01), establecen los
lineamientos generales para la administración del Riesgo de Operación.
-5-
d) Todo el personal del Banco y trabajadores externos deben conocer los criterios para poder
identificar los riesgos a los cuales se encuentran expuestos los documentos digitales, y aplicativos
informáticos dentro y fuera de la custodia de la División de Sistemas (APPIT, APP Táctica y User
IT respectivamente).
e) Todo el personal del Banco y trabajadores externos deben conocer los criterios para poder
identificar los riesgos a los cuales se encuentran expuestos los documentos físicos.
f) Todo el personal del Banco y trabajadores externos deben conocer la normativa vigente respecto
del Marco de Gobierno de Seguridad de la Información, así como cada una de sus
responsabilidades para el tratamiento de los riesgos.
De los Datos
a) Todo dato con valor para la organización debe ser Inventariado y categorizado según los dominios
de información definidos por la Unidad de Gobierno de Información.
b) Todo dato con valor para la organización debe tener un Dueño responsable de garantizar las
propiedades de Seguridad (Confidencialidad, integridad y disponibilidad).
Para garantizar la eliminación segura de la información que no permita que tanto la información
lógica como física sea recuperada, deben seguirse los requisitos descritos en la 4180.223.03 -
Política de Borrado Seguro de Información y a la Política 4088.011.01 Destrucción de
Documentos
De las Aplicaciones
a) Todas las aplicaciones enmarcadas en la presente Política deben contemplar los requisitos
descritos en la 4180.650.01 - Política de Registros de Auditoría para una adecuada generación
de registros de auditoría que contengan información necesaria para identificar incidentes de
seguridad, violación de políticas, actividades fraudulentas, problemas de operación y eventos
críticos que permitan realizar un análisis forense (investigación por algún incidente).
b) Las Unidades de negocio que contraten servicios SaaS, PaaS e IaaS, deben seguir los requisitos
descritos en las 4180.244.01 - Políticas de Seguridad SaaS, 4180.244.02 – Políticas de Seguridad
para PaaS y 4180.244.03 – Políticas de Seguridad para IaaS respectivamente.
c) Las evaluaciones de riesgos de ciberseguridad a las aplicaciones desplegadas en producción
deben realizarse a través de las programaciones anuales: PAAERO (ARO) y a demanda. De
manera continua en cada cambio que se genere en los squads.
d) Toda aplicación debe ubicar sus componentes en segmentos de red seguro de acuerdo con la
Política de Seguridad de la red.
e) Toda aplicación clasificada como Restringida debe contar con un proceso de respaldo de acuerdo
con la 4180.223.04 - Política de Respaldo y Retención de Información
De los Usuarios
-6-
d) Todos los colaboradores deben seguir los requisitos especificados en la sección 4.1 Uso Aceptable
y Propiedad de la Información y 4.2 Seguridad Informática sobre la Información Propietaria, de la
4180.223.02 - Política de Uso Aceptable de Recursos Informáticos e Información.
e) Todos los colaboradores deben tomar en cuenta las actividades restrictivas sobre los Sistemas,
Red, Email, Comunicaciones, Redes Sociales, Mensajería Instantánea y dispositivos móviles
enmarcados en la 4180.223.02 - Política de Uso Aceptable de Recursos Informáticos e
Información.
f) Todos los colaboradores que tienen o son responsables de una cuenta, deben seguir los requisitos
descritos en la 4180.225.02 - Política de Gestión de Credenciales para una correcta gestión de
contraseñas.
g) Para traslados de documentos físicos al interior del Banco, se debe implementar la “Norma para
el envío o traslado de DF (al interior del BCP)”. (4075.011.02). El traslado externo de documentos
(fuera del BCP), debe efectuarse mediante procedimientos formales implementados por el Banco
(Norma Envío de Documentos Restringidos y valorados a clientes generados por las distintas
áreas y Sucursales de Lima Metropolitana y Callao 4035.011.07
h) El personal del Banco y trabajadores externos que se encuentren dentro de una instalación del
Banco, serán responsables de cumplir con los siguientes lineamientos:
- Mientras un documento físico (DF) no esté siendo utilizado, éste debe de permanecer
guardado bajo llave en el archivador (credenza, cajonera, armarios, entre otros) o sala de
archivo según corresponda.
- Mantener el escritorio y ambiente de trabajo, libre de documentos físicos (DF) durante
ausencia del personal.
- Los archivadores (credenza, cajonera, armario, entre otros) del ambiente de trabajo o del
escritorio, los archivadores y salas de archivos deben permanecer cerrados bajo llave
durante reuniones, al término de la jornada laboral o en otros tiempos prolongados de
ausencia del personal.
e) Es responsabilidad del owner o dueño del activo de información asegurar que sus activos
restringidos reciban un nivel de protección apropiado.
f) Todo acceso a los activos de información deberá estar protegido con mecanismos de control de
acceso.
-7-
g) Para los accesos fuera de estándar:
El único que puede autorizar accesos no estándar sobre un recurso es el “owner” del mismo.
Cualquier pedido debe ser aprobado por el “owner” de la aplicación / información involucrada
y/o sus representantes formalmente designados.
5.6. Criptografía
a) Los mecanismos de protección a nivel de Cifrado y Enmascaramiento de los datos, así como la
administración de llaves criptográficas, deben seguir los requisitos descritos en la 4180.223.06 -
Política de Protección de Datos.
b) Todos los tipos de aplicaciones enmarcadas en la presente Política deben seguir los requisitos a
nivel de manejo y protección de contraseñas, así como la administración de cuentas privilegiadas
descritas en la 4180.225.02 - Política de Gestión de Credenciales.
c) Se debe asegurar el uso apropiado y eficaz de la criptografía para proteger la confidencialidad,
disponibilidad e integridad de la información.
d) Se debe administrar todas las aplicaciones y/o dispositivos que cumplan la función de sistemas de
seguridad de llaves criptográficas.
e) Los algoritmos de cifrado deben proporcionar fortalezas de seguridad aprobadas, lo
suficientemente robustas y difíciles de romper por atacantes que comprometan la protección que
el algoritmo proporciona. (4180.223.06 - Política de Protección de Datos)
f) Los algoritmos y las longitudes de llave utilizadas para una protección criptográfica deben estar
dentro del marco de tiempo estimado para considerarse seguro. (4180.223.06 - Política de
Protección de Datos)
-8-
- Dar adecuada protección a los dispositivos de almacenamiento para así garantizar la disponibilidad
de servicio de la compañía.
d) Para un acceso seguro a la red, tanto a usuarios como dispositivos, se deben contemplar los
requisitos descritos en la 4180.242.03 - Política de Acceso Seguro a Red.
-9-
- Mitigar los riesgos asociados con el servicio subcontratado a proveedores críticos.
- Asegurar la protección de los activos de la organización que sean accesibles a los proveedores.
- Establecer y acordar todos los requisitos de seguridad de la información pertinentes con cada
proveedor que pueda tener acceso, procesar, almacenar, comunicar o suministrar componentes
de infraestructura de TI para la información de la organización
- Mantener el nivel acordado de seguridad de la información y de prestación del servicio en línea
con los acuerdos con los proveedores
- Los contratos con los proveedores que traten documentos de Uso Restringido deberán incluir
cláusulas de Seguridad de la Información, Confidencialidad y Protección de Datos Personales
según corresponda, de acuerdo al formato de Contratos de Prestación de Servicios que se
encuentra publicado en el Portal Normativo del Banco.
b) Los proveedores críticos de subcontratación significativa que además traten con información de
uso restringido deberán ser evaluados y cumplir con los lineamientos de seguridad exigidos por el
banco.
6. Partes Interesadas
Las siguientes son las partes interesadas frente al Marco de Gobierno de Seguridad de la Información
y sus requerimientos:
7. Glosario
a) Activo de Información: Información o soporte en ella reside, tiene un ciclo de vida y aplica a los
Datos, identidades, Aplicaciones, Software, Hardware, Redes, Documentos físicos (DF), Documentos
digitales (DD) entre otros, sean on-premise o cloud; independientemente de su ubicación ya sea dentro
- 10 -
de las instalaciones de la organización o de un tercero que tengan un valor para la empresa y/o
soporten o sean parte de la actividad, proceso o giro de negocio de la organización y los requerimientos
legales. Y además deberá contar con un “Custodio del activo de información” y un “Owner o Dueño”.
b) Administrado: Actividad relacionada con la ejecución de controles para la gestión de la aplicación
como: mantenimiento al aplicativo, instalación de parches, gestión de accesos, entre otros.
c) Alojado: Ubicación física del activo de información el cuál puede ser bajo una infraestructura de la
División de Sistemas o bajo una infraestructura propia de la Unidad.
d) Aplicación: Programa de software que realiza una función específica directamente para un usuario y
puede ejecutarse sin acceso a los privilegios de control, supervisión o administración del sistema
e) Aplicación User IT: Activos de información desarrollados, instalados, administrados y/o actualizados
por la unidad usuaria fuera de la custodia de la División de Tecnología de Información, orientados al
procesamiento y administración de datos e información, lo cual involucra que es una aplicación
inventariada que cumple con los criterios del Check List User IT y se alinea con los estándares
tecnológicos y lineamientos de seguridad establecidos por el BCP
- 11 -
s) Gestor de Riesgos No Financieros (Gestor RNF): Personal de apoyo, perteneciente a la unidad
usuaria, que facilite la generación del inventario de activos de información y coordinación de la gestión
y tratamiento de riesgos con su Unidad. Todo Gestor RNF deberá velar por la correcta identificación y
clasificación de los activos de información dentro de su Unidad, así como también, de mantener
actualizado el inventario donde dichos activos se encuentran registrados.
t) Gestor de aplicaciones de usuarios TI: Líder del equipo de especialistas de aplicaciones de la
unidad. Será el responsable de velar que los nuevos requerimientos tecnológicas o cambios en el
portafolio de las aplicaciones de su unidad, sean gestionados bajo el modelo de gobierno para
Aplicaciones (User IT), para lo cual deberá coordinar directamente con su bróker de sistemas, según
el flujo de atención definido en el Modelo de Gobierno para Aplicaciones (User IT). Este rol es
indispensable para la gestión de las aplicaciones de la unidad y es el responsable de las aplicaciones
User IT desde su concepción hasta su eliminación o pase formal a la División de Tecnologías de
Información.
u) Identidad: El conjunto de valores de atributos (es decir, características) por los caules una identidad
es reconocible y que, dentro del alcance de la responsabilidad de un administrador de identidad, es
suficiente para distinguir esa identidad de cualquier otra entidad.
v) Hardware: Los componente físicos de un sistema de información.
w) Información: Cualquier forma de registro electrónico, óptico, magnético o en otros medios, susceptible
de ser procesada, distribuida y almacenada,que son el elemento fundamental de los activos de
información.
La información adopta muchas formas, tanto en los sistemas como fuera de ellos. Puede ser:
Almacenada, en los sistemas o en medios portables;
Transmitida, a través de redes o entre sistemas;
Impresa o escrita, en papel o hablada en conversaciones.
x) Integridad: Propiedad que salvaguarda la modificación o eliminación no autorizada de información
asegurando el “No repudio” y la autenticidad.
y) Owner o Dueño: Líder usuario o Gerente de la unidad responsable o LT responsable de los activos
de información de su Unidad, de la información de un activo. Los Owners o Dueños de activos son
formalmente los responsables identificar los requerimientos necesarios para mantener la seguridad de
los activos según su clasificación (preservación de confidencialidad, integridad, disponibilidad)
mientras estos sean desarrollados, producidos, mantenidos o usados.Y es el responsable del
Portafolio de aplicaciones de la Unidad a su cargo.
z) Privacidad: propiedad de la información, por la que se garantiza que la información propia e individual
del cliente es conocida sólo por individuos autorizados.
aa) Procesamiento de Datos: se entiende por procesamiento de datos (independientemente del medio
que los contenga), a la validación, transmisión (o distribución) y transformación de datos, ya sea que
se efectúe por el Banco o por contratación de servicios con otras empresas, de forma local o fuera del
país. Toda operación enmarcada bajo esta definición deberá contar con niveles de seguridad que
aseguren la confidencialidad, integridad, disponibilidad y privacidad de los datos, enmarcadas bajo las
directrices, lineamientos y regulaciones locales y la autorización del ente regulador en caso aplique.
bb) Proveedores Críticos (*): son todos aquellos proveedores adjudicados como resultado del proceso de
formalización de contratos, cuyos servicios han sido clasificados como estratégicos y de alto riesgo
para la organización.
cc) Proveedores críticos con acceso a información de uso restringido (*): son todos aquellos terceros
que tienen acceso a información de uso restringido del banco, los cuales están sujetos a cumplir con
los lineamientos de seguridad de la información exigidos por el banco. Se entiende también que
cualquier proveedor crítico con acceso a información de uso restringido, es una subcontratación
significativa.
dd) Redes: Sistema(s) de información implementado con una colección de componentes interconectados.
Dichos componentes pueden incluir enrutadores, concentradores, cableado, controladores de
telecomunicaciones, centros de distribución de claves y dispositivos de control técnico.
ee) Subcontratación (*): Se entiende por subcontratación a la modalidad de gestión mediante la cual una
empresa contrata a un tercero para que éste desarrolle un proceso que podría ser realizada por la
empresa contratante.
- 12 -
ff) Subcontratación significativa (*): es toda aquella subcontratación que, en caso de falla o suspensión
del servicio, puede poner en riesgo importante a la empresa, al afectar sus ingresos, solvencia o,
continuidad operativa.
(*) Para mayor detalle ver norma 4147.010.05 - Formalización de contratos con Proveedores de Bienes
y Servicios.
- 13 -