Documentos de Académico
Documentos de Profesional
Documentos de Cultura
VERSIÓN: 5.0
Manual de Políticas de Seguridad de la Información
Fecha de Aprobación
Elaborado
Versión CAIR Directorio Observaciones
por:
V-1 11/03/2015 27/03/2015 Creación del documento
Se incluye la
V-2 28/05/2015 29/05/2015 metodología de código
seguro.
Se incluye la
Clasificación y
V-3 28/05/2015 29/05/2015
tratamiento de la
Información.
V-4 10/12/2015 17/12/2015 Adición y modificación
V-5 Johnny Romero 17/04/2017 21/04/2017 Modificación
CONTROL DE MODIFICACIONES
ÍNDICE
1. OBJETIVO. ....................................................................................................... 5
2. ALCANCE. ....................................................................................................... 5
3. GENERALIDADES. .......................................................................................... 6
4. POLÍTICAS. ...................................................................................................... 7
1. POLÍTICA DE SEGURIDAD (DOMINIO # 1 DE LA NORMA ISO 27001). ..................................................... 7
2. REVISIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN. ........................................................... 7
3. POLÍTICAS GENERALES. .................................................................................................................... 8
4. ASPECTOS ORGANIZATIVOS DE SEGURIDAD DE LA INFORMACIÓN (DOMINIO # 2 DE LA NORMA ISO
27001). ................................................................................................................................................... 9
5. ADMINISTRACIÓN DE RECURSOS GESTIÓN DE ACTIVOS. (DOMINIO # 3 DE LA NORMA ISO 27001). ...... 12
6. RECURSOS HUMANOS Y LA SEGURIDAD DE LA INFORMACIÓN (DOMINIO # 4 DE LA NORMA ISO 27001).
16
7. SEGURIDAD FÍSICA Y DEL ENTORNO (DOMINIO # 5 DE LA NORMA ISO 27001). ................................... 18
8. GESTIÓN DE LAS COMUNICACIONES Y OPERACIONES (DOMINIO # 6 DE LA NORMA ISO 27001). .......... 25
9. GESTIÓN Y CONTROL DE ACCESOS (DOMINIO # 7 DE LA NORMA ISO 27001). .................................... 31
10. ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS DE INFORMACIÓN (DOMINIO # 8 DE
LA NORMA ISO 27001). .......................................................................................................................... 39
11. INCIDENTES DE SEGURIDAD (DOMINIO # 9 DE LA NORMA ISO 27001). ........................................... 43
12. GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO (DOMINIO # 10 DE LA NORMA ISO 27001). ................ 45
13. CUMPLIMIENTO DE LEYES Y REGULACIONES (DOMINIO # 11 DE LA NORMA ISO 27001). .................. 46
5. ANEXOS. ........................................................................................................ 51
6. GLOSARIO. .................................................................................................... 54
1. OBJETIVO.
2. ALCANCE.
3. GENERALIDADES.
El Banco de Machala adopta como marco normativo principal las Normas Generales
para las Instituciones del Sistema Financiero, Título X.- De la Gestión y
Administración de Riesgos, Capítulo V.- De la Gestión del Riesgo Operativo, de la
codificación de resoluciones de la Superintendencia de Bancos del Ecuador; así como
también la norma ISO 27001 que es un modelo que establece controles sobre la
Seguridad de la Información.
1. Política de seguridad
2. Aspectos Organizativos de Seguridad de la Información
3. Administración de recursos Gestión de activos.
4. Gestión de Seguridad de los Recursos Humanos
5. Seguridad física y del entorno
6. Gestión Administración de las comunicaciones y operaciones
7. Gestión y Control de accesos
8. Adquisición de sistemas de información, desarrollo y mantenimiento
9. Administración Gestión de los incidentes de seguridad
10. Administración Gestión de la continuidad del negocio
11. Cumplimiento, marco legal y buenas prácticas
Las políticas de seguridad de la información deberán ser una guía para todo el
personal y definirán un lenguaje estándar de términos tecnológicos y de seguridad.
El desconocimiento de las políticas que hayan sido difundidas por los diferentes
medios, no será un justificativo para el no cumplimiento de las mismas.
4. POLÍTICAS.
Todas las personas que utilicen la información del Banco de Machala, ya sea en
forma escrita, verbal, electrónica en cualquiera de sus etapas: generación,
procesamiento, transmisión, almacenamiento, eliminación, tienen la obligación de
resguardar la confidencialidad, integridad y disponibilidad de la misma, así como de
cumplir con todas las leyes y regulaciones sobre seguridad emitidas por todos los
organismos de control.
De igual forma deben cumplir con toda la normativa y controles sobre políticas y
procedimientos de seguridad aprobados por el Directorio.
Esta política es de cumplimiento obligatorio para todos los empleados del Banco, el
personal externo y toda persona o empresa que tenga alguna relación contractual de
orden tecnológico con el Banco de Machala.
Políticas de aprobación.-
Políticas de Cumplimiento.-
El no acatar o cumplir las políticas definidas en este manual, se considerará una falta
inadmisible y se procederá conforme a lo previsto en el Reglamento Interno de
Trabajo del Banco de Machala, y/o de ser el caso con la aplicación de las penas
previstas en la Ley.
Políticas de Actualización.-
3. Políticas Generales.
__________________________________________________________________
La información del Banco de Machala debe ser usada únicamente para los propósitos
relacionados con la actividad del Banco.
Todos los Empleados del Banco de Machala deben estar conscientes y aceptar, que
los recursos entregados a ellos por la Institución, son susceptibles de análisis y
monitoreo periódico.
__________________________________________________________________
Organización Interna.
Directorio
Comité de Administración Integral de Riesgos
Comité de Tecnología
Vicepresidencia General
Seguridad de la Información
Analistas de los aplicativos – Gerencia de Desarrollo
Dueños de la información (dueños de los procesos)
Gerencia de Riesgo Operativo
Auditoría Interna
Dueños de la información:
Toda la información utilizada por el Banco de Machala, debe poseer un dueño. Los
Dueños de la Información son responsables de los activos por lo cual deben:
Todo personal que utilice claves privilegiadas debe firmar un compromiso especial de
confidencialidad para garantizar el buen manejo de dichas claves.
El Área de Recursos Humanos será la encargada de que todo el personal del Banco
de Machala conozca, entienda la responsabilidad que asume y firme las cláusulas de
confidencialidad desde su ingreso al Banco.
Terceros.
Los accesos a terceros sobre las plataformas tecnológicas, deberán ser propuestos
mediante formulario por el Gerente del Área solicitante y aprobado por el Oficial de
Seguridad de la Información.
tercera Entidad, y debe estar siempre acorde a los términos y condiciones de uso
establecidos en el contrato.
Todo permiso de acceso a las plataformas tecnológicas o aplicativos del Banco para
personal de terceros que tengan una relación contractual con el Banco, por la cual
desempeñen labores de diseño, desarrollo de programas, de nuevos aplicativos, debe
ser concedido únicamente bajo un ambiente de Desarrollo o Pre-producción para no
exponer la integridad de los datos en producción. Las excepciones serán autorizadas
por el Oficial de Seguridad de la Información.
En los casos en que los aplicativos requieran del registro de una clave de máximos
privilegios para su funcionamiento, dicha clave será ingresada, administrada y
custodiada, únicamente por el personal de Seguridad de la Información.
_________________________________________________________________
Los activos de información, son activos que tienen gran valor o utilidad para la
empresa, sus operaciones comerciales y su continuidad, por tal razón requieren de
tener una protección adecuada para garantizar la correcta operación del negocio.
Los activos de información sin que esta enumeración excluya activos de otra
naturaleza, se clasifican en:
Datos: Todos aquellos datos (en cualquier formato) que se generan, recogen,
gestionan, almacenan, transmiten y destruyen en la organización como por
ejemplo: las bases de datos, archivos de datos, contratos, acuerdos,
Versión 5.0 Fecha de Aprobación del Directorio: 21/04/2017 Pág. # 12 de 55
Derechos Reservados del Banco de Machala Prohibida su Reproducción Parcial o Total PO-RIE-001
Manual de Políticas de Seguridad de la Información
Tratamiento de la Información.
Transmisión:
confidencialidad e integridad desde el origen hasta el destino. Los controles para las
categorías de uso interno dependerán del criterio del dueño de la información.
Distribución:
Se refiere a los documentos físicos, para estos casos se debe utilizar sobres cerrados
y debidamente sellados o con la palabra “confidencial” para el envío de la información
crítica resguardando así la confidencialidad de los mismos.
Almacenamiento.
Destrucción.
Toda la información reservada y restringida, se debe sujetar al procedimiento
establecido para eliminación de información crítica. Respetando los tiempos de
vigencia de la data ya sea esta financiera o técnica, establecidos por los entes de
control.
Accesos.
Se refiere a los procedimientos y controles que se deben aplicar para el acceso a los
diferentes tipos de información que existe en el Banco, ya sea por parte del personal
interno como de terceros, estos últimos adicionalmente deberán firmar un acuerdo de
confidencialidad.
Divulgación.
Se refiere a la transmisión oral de la información, ya sea por teléfono o en persona.
Se debe concientizar a los usuarios para que no divulguen la información a cualquier
persona o en cualquier lugar. Siempre debe ser a personas autorizadas, en reuniones
formales o por escrito.
Para todos los casos la data categorizada como “de uso público” no requiere de
controles especiales. Referencia relativa a este punto se encuentra en el Anexo # 1.
__________________________________________________________________
El Área de Recursos Humanos será la encargada de que todo el personal del Banco
de Machala firme una cláusula de confidencialidad adjunta al contrato. Además debe
entregar al ingreso de este, las funciones que va a desempeñar el personal
contratado, las normativas y el código interno de trabajo.
Los contratos establecidos con el personal, deberán incluir cláusulas del compromiso
asumido para el cumplimiento de todas las políticas de seguridad y demás normas
definidas en la Institución.
Durante la permanencia:
Todos los empleados, contratistas y usuarios de terceros deben devolver todos los
activos que pertenecen a la empresa, una vez que ha terminado su relación laboral
contractual. (A.8.3.2)
Recursos Humanos debe confirmar con la Gerencia del Área en que laboraba el
empleado saliente, que éste haya entregado la información que manejaba bajo la
custodia de quien queda a cargo del puesto, los documentos financieros y que haya
transmitido todos los conocimientos que se requieren para desempeñar el puesto.
__________________________________________________________________
Se deben señalizar todos aquellos elementos que pudiesen implicar riesgo en caso de
incendio (tableros eléctricos, cuartos de racks, etc.)
Las áreas donde se encuentren los cuartos de rack deben tener restringido el acceso
con seguridades y señalización. El acceso a estas áreas será únicamente para el
personal técnico autorizado.
Los equipos deben ser ubicados en lugares protegidos para evitar el riesgo de
amenazas ambientales, así como para evitar los peligros y oportunidades de accesos
físicos no autorizados. (A.9.2.1)
Versión 5.0 Fecha de Aprobación del Directorio: 21/04/2017 Pág. # 18 de 55
Derechos Reservados del Banco de Machala Prohibida su Reproducción Parcial o Total PO-RIE-001
Manual de Políticas de Seguridad de la Información
Todos los equipos eléctricos deben tener la protección adecuada para prevenir o
mitigar fallas de energía o cualquier otro problema causado por fallas en los servicios
públicos, como UPS, reguladores de voltaje, entre otros. En especial los equipos de
centros de procesamiento y agencias.
Todos los cables de poder y telecomunicaciones que transporten voz o datos, deben
estar protegidos para evitar intercepciones o daños.
Todas las políticas de seguridad se aplicarán también a los equipos que funcionen
fuera de las instalaciones de la organización, en el caso de que los hubiere.
Los equipos, o el software instalado en los mismos, no podrán ser utilizados fuera de
las instalaciones sin la autorización previa de la Gerencia de Coordinación y Control
de TI.
Todos los equipos deben ser chequeados por el personal de Soporte Técnico, para
garantizar que han sido removidos o sobre-escrito de forma segura todos los datos
del perfil de la persona a la que se le retiran el equipo, antes de asignarlos a nuevos
usuarios. El personal de Soporte Técnico, debe generar un reporte diario a la
Gerencia de Coordinación y Control de TI; indicando el equipo que se retira, para
dejar constancia del cumplimiento de esta política.
Los equipos de funcionarios de alto nivel o críticos, deben ser respaldados antes de
su retiro y dicho respaldo debe permanecer bajo custodia de la Gerencia de
Coordinación y Control de TI, por un tiempo máximo de 3 años.
Las laptops deben guardarse bajo llave al terminar la jornada laborable, de ser posible
utilizar candados de seguridad.
Movilización de Equipos.
El personal del Banco de Machala no debe mover o reubicar los equipos de cómputo
o de telecomunicaciones, ni instalar o desinstalar dispositivos. En caso de requerir
este servicio deberá solicitarlo a la Mesa de Ayuda.
Ningún equipo podrá ser retirado de las instalaciones sin la debida autorización
escrita de un Gerente/Subgerente/Jefe de Agencia. En dicho documento se deben
especificar, nombre y firma de la persona que lo retira, fecha y hora del retiro, nombre
y firma de la persona que aprueba, los números de serie, marca, modelo y función del
equipo, así como el motivo del retiro. Todos los guardias de seguridad deben estar
instruidos para solicitar este documento y revisarlo antes de permitir la salida de los
equipos.
Los equipos asignados a los empleados, son para uso exclusivo del desempeño de
sus funciones.
El personal del Banco de Machala es responsable del buen uso y cuidado de los
equipos bajo su custodia.
Se debe tener cuidado de no cubrir los orificios de ventilación del monitor o del CPU.
Las computadoras del personal tanto de escritorio como personales, para conectarse
a la red corporativa, deben tener instalado el software antivirus debidamente
actualizado.
Es obligación del personal avisar al Subgerente o Jefe Administrativo cuando vea que
hay un cortocircuito o un problema eléctrico, para que se tomen los correctivos del
caso.
Mantenimiento de Equipos.
De la instalación/desinstalación de Software.
Está prohibido que el personal del Banco de Machala instale o utilice software no
autorizado o no licenciado en los equipos de la Institución. Todo el personal sin
excepciones debe respetar esta política.
Las políticas de grupo de directorio activo deben estar configuradas para permitir que
únicamente el personal autorizado de Soporte Técnico, pueda instalar programas en
los equipos.
Todo equipo portátil debe tener deshabilitado el acceso al Wifi, Bluetooth y cualquier
medio de conexión inalámbrica que posea. La excepción de esta política debe estar
debidamente autorizada por el Vicepresidente o Gerente del área del custodio del
equipo así como documentada.
Los usuarios autorizados para la administración remota de los equipos del Banco,
deberán hacerlo únicamente mediante las herramientas adquiridas por el Banco para
este propósito, los únicos usuarios autorizados a tener permisos de acceso remoto a
los equipos de la red del Banco de Machala, son: Departamento de Soporte Técnico
de Sistemas, el personal de Seguridad de la Información y el personal de Auditoría,
estos últimos por demanda si así lo necesitaren.
El acceso remoto a los sistemas del Banco será mediante VPN o sistemas que
brinden una seguridad igual o superior como son los accesos tipo webex, la
autorización de su uso será otorgada únicamente por el Oficial de Seguridad de la
Información previo al análisis respectivo.
Controles de acceso.
Todo personal externo para ingresar al Centro de cómputo del Banco de Machala,
debe estar acompañado permanentemente por personal interno autorizado. No se
pueden quedar solos ni por un momento. La persona que acompañe al visitante
deberá ser seleccionada por el Gerente de Coordinación y Control de TI, o por el
Oficial de Seguridad de la información, este último solo en los casos en que la revisión
o el trabajo se realice sobre un equipo de seguridad.
El centro de cómputo debe contar con las seguridades necesarias para prevenir el
ingreso de personal no autorizado.
Fecha;
Hora de entrada/salida;
Empresa;
Cédula de identidad;
Persona que autoriza;
Tipo de trabajo a realizar;
Firma.
El personal al que se asigne los medios de acceso físico al centro de cómputo como
(tarjetas, llaves, tokens, etc), es responsable de la custodia de los mismos, en caso de
pérdida o substracción, deben avisar de inmediato al Jefe de Seguridad Física para la
desprogramación de los mismos.
Las instalaciones del centro de cómputo deben contar con cámaras conectadas y
monitoreadas las 24 horas, desde una consola central.
Las instalaciones del centro de cómputo deben contar con sistemas de alarma
audibles o que se visualicen en las consolas de seguridad para detección de fuego o
humo.
Las instalaciones del centro de cómputo deben contar con medios adecuados para
extinción de fuego como extintores de incendio a base de gases limpios,
dispensadores de tumbado y conexiones eléctricas seguras y adecuadas para este
tipo de instalaciones.
Todos los equipos deben contar con una instalación de tierra física, en el punto
eléctrico de donde se energizan.
Los Operadores del equipo central deben estar entrenados para recuperar o restaurar
información en caso de destrucción de archivos.
Todas las actividades del centro de cómputo deben normarse mediante manuales,
instructivos, normas, reglamentos, etc.
No se permite arrastrar equipo sobre el piso falso del centro de cómputo, se deben
utilizar carretillas con llantas de caucho; tampoco se permiten carretillas con llantas de
hierro, a menos que previamente se proteja el piso falso con cartón o cualquier otro
material protector.
__________________________________________________________________
Para prevenir infecciones por virus informáticos, los usuarios deben evitar hacer uso
de cualquier clase de software que no haya sido proporcionado y validado por la
Gerencia de Coordinación y Control de TI.
Soporte Técnico debe encargarse de que todos los equipos desktop y laptops del
Banco tengan instalado y funcionando el antivirus corporativo.
Todos los servidores del Banco deben tener el antivirus corporativo instalado,
actualizado y funcionando.
Versión 5.0 Fecha de Aprobación del Directorio: 21/04/2017 Pág. # 25 de 55
Derechos Reservados del Banco de Machala Prohibida su Reproducción Parcial o Total PO-RIE-001
Manual de Políticas de Seguridad de la Información
Todos los ATM’s (cajeros automáticos) deben tener el antivirus corporativo instalado,
actualizado y funcionando.
Cualquier usuario que sospeche de alguna infección por virus de su equipo, deberá
dejar de usarlo inmediatamente, de preferencia desconectar el cable de red y llamar a
la Mesa de Ayuda, para la detección y erradicación del virus.
El personal de Soporte Técnico no podrá instalar en los equipos del Banco, software
que no esté licenciado.
El personal de Soporte Técnico solo podrá instalar en los equipos del Banco, el
software y los dispositivos aprobados por la Gerencia de Coordinación y Control de TI.
Todo hardware o software que se descubra instalado sin las aprobaciones necesarias,
será desinstalado de inmediato por el personal de Soporte Técnico.
Todos los usuarios que se creen deben nacer con correo interno con excepción de los
usuarios de caja (Recibidores – Pagadores), quienes no deben tener acceso al
servicio de correo electrónico.
Los Usuarios de ventanillas de extensión, en sitios donde solo existe una ventanilla, si
pueden tener el servicio de correo electrónico, como único medio de comunicación,
con la autorización previa de sus jefes.
La solicitud para el correo electrónico interno la deben hacer los Jefes de los
respectivos Usuarios, mediante el formulario de creación de cuentas, si el Usuario es
nuevo, de lo contrario lo pueden solicitar vía correo electrónico. Este servicio no
requiere de aprobaciones especiales.
El servicio de correo externo requiere de un permiso adicional que deben autorizar los
Vicepresidentes/Gerentes o Jefes del área del solicitante según sea el caso, mediante
el formulario respectivo.
Todo usuario con una cuenta de correo electrónico es el responsable absoluto de los
envíos que se hagan con su cuenta. Su responsabilidad no se excluye en caso de que
el usuario se haya alejado del terminal dejando abierto su correo y otro usuario haya
enviado un mensaje en su nombre.
Está prohibido el uso del correo electrónico para el envío de mensajes con trasfondo
político.
Todos los mensajes que circulen en el correo deben utilizar términos y expresiones
acorde con las formas de comunicación donde impere siempre la cortesía y el
respeto.
El envío de mensajes y sobre todo documentos hacia personas y empresas fuera del
Banco, debe ser manejado con mucha responsabilidad por parte de los empleados.
Todo correo electrónico que llegue desde el correo externo, sin que tenga idea de su
origen (remitente), propósito o contenido, debe ser eliminado sin abrirlo ni
responderlo, así evitará cualquier peligro de contagio por virus o un ataque de
ingeniería social.
El envío de un mensaje a una lista de usuarios, para mejor manejo del correo, está
restringido a 20 usuarios por mensaje.
Ninguna persona puede enviar un mensaje desde otro buzón o cuenta que no sea el
propio sin tener la autorización expresa del dueño del buzón.
El tamaño básico de los buzones de correo electrónico de los usuarios, debe ser
definido por las áreas de Tecnología y Seguridad de la Información.
Las autorizaciones que se requieran hacer sobre cualquier evento sea este crítico o
no, tendrán validez únicamente si se envían desde el mismo correo electrónico de la
persona que emite la autorización, un mensaje no tendrá validez para autorizar algo si
se envía desde un correo ajeno.
Los usuarios son responsables de realizar sus respaldos del archivo de correo PST,
se sugiere hacerlo mensualmente, puede ser en un pendrive o en un DVD, para lo
cual deberá solicitar el soporte a la Mesa de ayuda, indicando que le respalden el
archivo de PST. En el servidor no se guarda ningún mensaje.
Todos los usuarios deben notificar a la Mesa de Ayuda cuando reciban correos tipo
basura o spam para que se proceda de inmediato al bloqueo de las direcciones
remitentes.
El acceso a Internet es un servicio especial, delicado y que tiene costo, por lo que
será otorgado a los colaboradores del Banco de Machala cuyas tareas exijan
específicamente el uso de esta herramienta.
El servicio de Internet para los usuarios será autorizado exclusivamente por los
dueños de procesos, sus delegados, Vicepresidente o Gerente según sea el caso,
mediante el envío de un formulario desde el buzón del autorizador, indicando los sitios
que requiere acceder.
Los usuarios únicamente tendrán acceso a las direcciones y/o categorías de Internet
que les sean aprobadas o que correspondan al perfil relacionado con su cargo.
Está prohibido a los empleados del Banco de Machala navegar en sitios relacionados
con pornografía, terrorismo, sexo, drogas, satanismo, juegos, música y/o videos.
Están prohibidas las suscripciones a sitios en la red que no estén relacionados con los
fines del negocio del Banco de Machala.
Versión 5.0 Fecha de Aprobación del Directorio: 21/04/2017 Pág. # 30 de 55
Derechos Reservados del Banco de Machala Prohibida su Reproducción Parcial o Total PO-RIE-001
Manual de Políticas de Seguridad de la Información
El Área de Mercadeo es la única autorizada a manejar las redes sociales del Banco.
Está prohibido al personal que revelen en las redes sociales, información detallada de
sus cargos, funciones y demás información que pudiera exponerlos o exponer al
Banco.
La Gerencia de Coordinación y Control de TI, debe velar siempre porque los relojes
de todos los sistemas estén sincronizados respecto de una fuente de referencia
común.
Las empresas que tienen relación contractual con el Banco y que manejan
información sensible de los clientes a través de sus redes, equipos de comunicación,
servidores deberán firmar acuerdos de cumplimiento de seguridad.
Seguridad de la Información deberá visitar al menos una vez al año, los centros de
cómputo de las empresas con quienes haya firmado acuerdos de cumplimiento de
seguridad para garantizar el cumplimiento de los términos del mismo.
Las áreas que pueden utilizar las herramientas de monitoreo de seguridad serán:
Seguridad de la Información y de Auditoria. La información a la que accedan por
ningún motivo podrá ser divulgada interna o externamente.
Todo usuario de los sistemas debe ser registrado con sus nombres y apellidos,
completos, documento de identidad, código de empleado un user_id y una clave,
El Dueño de la Información, definirá los roles y perfiles de acceso por cada cargo
existente en la Institución, mismos que deberán ser aprobados por los dueños de los
procesos o sus delegados.
Los usuarios deben ser provistos únicamente con los accesos para los servicios a los
que ellos de acuerdo a sus funciones han sido específicamente autorizados a usar.
(A11.4.1).
Los administradores de cada plataforma deben utilizar cuentas con los privilegios
mínimos necesarios para sus tareas operativas diarias.
El acceso a grabar en memorias USB (pen drive) y/o CD está restringido únicamente
al personal autorizado. Este permiso solo podrá ser autorizado por el Gerente del
Versión 5.0 Fecha de Aprobación del Directorio: 21/04/2017 Pág. # 33 de 55
Derechos Reservados del Banco de Machala Prohibida su Reproducción Parcial o Total PO-RIE-001
Manual de Políticas de Seguridad de la Información
Área del usuario solicitante, para lo cual debe llenar un formulario y enviarlo firmado.
Anexo # 2.
La contraseña inicial de todos los Sistemas, deberá ser entregada por Seguridad de la
Información utilizando un procedimiento de entrega seguro que le ayude a certificar la
identidad del usuario previo a la entrega.
Las contraseñas iniciales en todos los aplicativos deberán nacer expiradas para
obligar al usuario al cambio inmediato.
Los accesos otorgados a los usuarios deberán ser revisados de forma periódica por
Auditoría Interna. (A.11.2.4)
Al menos una vez por año Seguridad de la Información entregará a los Dueños de los
Procesos los listados de todos los usuarios con sus respectivos roles para la revisión.
Versión 5.0 Fecha de Aprobación del Directorio: 21/04/2017 Pág. # 34 de 55
Derechos Reservados del Banco de Machala Prohibida su Reproducción Parcial o Total PO-RIE-001
Manual de Políticas de Seguridad de la Información
Los permisos que deban ser eliminados se procesarán de inmediato contra el reporte
generado por los dueños de los procesos o sus delegados.
Los usuarios son responsables de toda acción realizada con sus contraseñas en los
sistemas de información. Por tanto deben preocuparse del buen uso y manejo de las
mismas.
Los usuarios deben memorizar sus claves, en lo posible deben evitar mantener sus
contraseñas escritas, si lo requieren deben guardarlas en lugares de difícil acceso.
Las cuentas de usuario deberán estar configuradas para que se bloqueen al 3er
intento fallido de acceso.
Las contraseñas siempre que el aplicativo lo permita, deben cumplir con al menos 2
de las siguientes características:
Los sistemas deben estar configurados para manejar historia de las 12 últimas
contraseñas, así se controlará que los usuarios no repitan las claves al momento del
cambio.
Los sistemas deben estar configurados para que las contraseñas caduquen cada 30
días.
Los usuarios no deben utilizar contraseñas obvias o fáciles de adivinar por contener
información personal (ej. nombres de los hijos, números de teléfono, fechas de
nacimiento, nombres de mascotas, teléfono, entre otras).
Los aplicativos deben tener programado un control de sesiones de trabajo para que
se desconecte automáticamente cuando detecte que no existe actividad alguna en un
periodo entre 5 y 10 minutos. Este valor debe ser parametrizable.
Las políticas de grupo de directorio activo, deben estar configuradas para que en
todas las estaciones de trabajo entre los 5 y 10 minutos de inactividad como mínimo,
se active el protector de pantalla definido por la Institución.
Es obligación de los usuarios que al final de la jornada laboral, cierren todas las
aplicaciones y apaguen el computador.
Previo a los fines de semana y/o feriados, los usuarios deben dejar desconectadas las
impresoras, escaners, cafeteras y todo dispositivo eléctrico para prevenir conatos de
incendio.
Los escritorios deben permanecer limpios sin documentos cuando los usuarios
terminen la jornada laboral.
Es obligación de los usuarios guardar con llave todos los documentos críticos o
confidenciales para no dejarlos al alcance de terceros, evitando así la fuga de
información.
Los usuarios que manejan tokens, no pueden dejarlos puestos en los equipos, es su
responsabilidad guardarlos en un lugar seguro con llave, cuando no los estén
utilizando.
Los accesos externos a la red, deberán ser controlados mediante políticas de acceso
en el Firewall externo.
Las políticas de acceso de los Firewall, deben nacer totalmente cerradas y poco a
poco se irán abriendo de acuerdo a las necesidades del negocio.
De la segregación de redes.
Todos los servidores de bases de datos críticas, deben ser ubicados tras un firewall o
de preferencia en una zona desmilitarizada (DMZ).
Gestión de accesos.
un número máximo de tres (3) intentos de acceso fallido. Estos eventos deben ser
notificados a clientes a través de mensajería móvil, correo electrónico u otro
mecanismo. La reactivación de los servicios debe ser de manera segura.
Las claves de acceso a todos los canales electrónicos, se deben renovar en forma
automática por lo menos 1 vez al año.
La clave de banca electrónica debe ser diferente de aquella por la cual se accede a
otros canales electrónicos.
Se debe mantener logs de auditoría sobre las consultas realizadas por los
funcionarios a la información confidencial de los Clientes, la cual debe contener como
mínimo: identificación del funcionario, sistema utilizado, identificación del equipo (IP),
fecha, hora, e información consultada. Esta información deberá conservarse por lo
menos por doce (12) meses;
En todo canal electrónico en donde se solicite el ingreso de una clave, ésta debe
aparecer enmascarada.
__________________________________________________________________
Seguridad de la Información debe participar en todos los proyectos que generen los
nuevos servicios, la adecuación de los antiguos o los requerimientos críticos o
normativos, desde el inicio de los mismos.
Toda versión de software de apoyo que se instale, deberá haber sido previamente
liberada al mercado, y deberá estar funcionando en otras instalaciones sean estas
locales o internacionales.
Todos los nuevos aplicativos que se implementen en producción, deben tener un log
que permita identificar los periodos de inactividad de los usuarios para poderlos
suspender ya sea en forma manual o automática.
Todos los nuevos aplicativos deben tener logs de auditoría para la trazabilidad de los
eventos.
Los desarrolladores deben cuidar que los aplicativos no guarden en su código fuente
ninguna contraseña de usuario.
Todas las aplicaciones deben tener controles para parametrizar los mensajes de error
que se generen en el sistema. La aplicación debe presentar mensajes generados con
una descripción apropiada que ayude al usuario a entender la fuente del error.
El personal de Desarrollo debe cuidar que los mensajes de información sensible que
se envían desde las aplicaciones, no muestren más de lo necesario, se envíen a los
destinatarios correctos, se tomen precauciones para que no se eliminen o modifiquen
en forma accidental o intencionada y se generen siempre en los momentos
adecuados.
El personal de Desarrollo debe validar siempre los datos de salida de las aplicaciones,
para garantizar que el procesamiento de la información almacenada es correcto.
Controles criptográficos.
Todos los nuevos aplicativos que manejen bases de datos con versiones superiores a
la 2008 deberán encriptar la data sensible con la funcionalidad propia de las bases
SQL.
Se debe establecer una gestión de las claves que respalde el uso de las técnicas
criptográficas en la Organización.
Todo proceso criptográfico deberá manejar el principio de control dual de llave pública
y privada, en especial las que protegen los números de tarjetas de pago (débito o
crédito).
Todas las cadenas de conexión entre el AS-400 y los servidores deberán estar
encriptadas.
Las claves de tipo randómico que se utilicen en los aplicativos, deberán ser
generadas con herramientas especializadas del tipo HSM que manejen algoritmos de
generación seguros.
Mesa de Ayuda debe llevar una estadística de problemas para así detectar los
incidentes repetitivos, revisarlos mensualmente y hacer un análisis adecuado para
poder encontrarles una solución definitiva.
Todos los casos se deben manejar mediante el método de ingreso de tickets en
alguna herramienta para así poder medir el rendimiento y efectividad del personal de
la Mesa de Ayuda.
Controles criptográficos deben ser utilizados en conformidad con todos los acuerdos
relevantes, leyes y regulaciones. (A15.1.6)
Los dueños de proceso deben asegurar que todos los procedimientos de seguridad
dentro de sus áreas de responsabilidad, se desarrollan correctamente para asegurar
la conformidad con las políticas y los estándares. (A15.2.1)
Los usuarios autorizados deberán retirar de forma inmediata todos los documentos
que envíen a las impresoras.
Aislar las zonas de archivos, de lugares donde exista otro riesgo de incendio (por
ejemplo zona de generadores, zona de reservorios de combustible de los
generadores).
El Cliente debe leer atentamente la presente Política de Privacidad cada vez que
accede al Sitio Web del Banco, así podrá estar seguro del manejo que el Banco de
Machala practica con sus datos.
Toda política es variante en el tiempo por ello el Cliente debe leerla y manifestar su
acuerdo con la misma, para poder utilizar el sitio Web del Banco.
El Banco de Machala publica en su Sitio Web, las versiones de los navegadores con
los que se puede acceder al Sitio. Versiones inferiores a las sugeridas no darán un
servicio seguro ni de calidad. Es responsabilidad del Cliente mantenerse informado
sobre este tema y actualizar las versiones de sus navegadores.
Toda la información personal que nos entreguen los Clientes como dirección, correo
electrónico, teléfonos, números de fax y cualquier otro dato que lo identifique como
Cliente, no será revelada a terceros que no operen bajo una relación contractual con
Versión 5.0 Fecha de Aprobación del Directorio: 21/04/2017 Pág. # 48 de 55
Derechos Reservados del Banco de Machala Prohibida su Reproducción Parcial o Total PO-RIE-001
Manual de Políticas de Seguridad de la Información
15.- SANCIONES:
Los usuarios que se los encuentren por primera vez infringiendo las políticas de
seguridad y privacidad, en caso de ser una política crítica como compartir una clave,
serán reportados a su Gerente y a Recursos Humanos para la respectiva separación
del Banco.
En caso de ser una política menos crítica, por ejemplo que dejó el terminal sin
bloquear durante su ausencia, deberán escuchar una charla personalizada por parte
del personal de Seguridad de la Información y firmar un acta de compromiso en la que
Versión 5.0 Fecha de Aprobación del Directorio: 21/04/2017 Pág. # 49 de 55
Derechos Reservados del Banco de Machala Prohibida su Reproducción Parcial o Total PO-RIE-001
Manual de Políticas de Seguridad de la Información
aceptan que están en conocimiento de las mismas y que si infringen nuevamente una
de estas políticas serán sometidos a una sanción económica que puede variar del 1 al
10% o una pena mayor según la criticidad de la falta clasificada en el reglamento
interno de trabajo. Este documento permanecerá bajo custodia de Seguridad de la
Información. En caso de reincidencia el evento será escalado a Recursos Humanos.
5. ANEXOS.
Anexo # 1: Clasificación de Datos.
6. GLOSARIO.
Referencia (A #.#.#): Los parrafos que tienen esta referencia han sido
transcritos de la norma ISO 27001.