Seguridad de La Información

CÓDIGO: PO-RIE-001
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA

INFORMACIÓN
VERSIÓN: 5.0
Manual de Políticas de Seguridad de la Información
Versión 5.0 Fecha de Aprobación del Directorio: 21/04/2017 Pág. # 2 de 55

Derechos Reservados del Banco de Machala Prohibida su Reproducción Parcial o Total PO-RIE-001
CONTROL DE VERSIONES Y ACTUALIZACIONES
Fecha de Aprobación
Elaborado
Versión CAIR Directorio Observaciones
por:
V-1 11/03/2015 27/03/2015 Creación del documento
Se incluye la
V-2 28/05/2015 29/05/2015 metodología de código
seguro.
Se incluye la
Clasificación y
V-3 28/05/2015 29/05/2015
tratamiento de la
Información.
V-4 10/12/2015 17/12/2015 Adición y modificación
V-5 Johnny Romero 17/04/2017 21/04/2017 Modificación
CONTROL DE MODIFICACIONES
No. Versión Motivo o Causa Descripción del Cambio

Necesidad de agregar la metodología Se incluye la metodología de
1 2
de código seguro. código seguro.
Necesidad de agregar la Clasificación Se incluye la Clasificación y
2 3
y Tratamiento de la Información tratamiento de la Información.
Se agregan políticas del dominio
3 4 Adición y modificación # 5 Seguridad Física y del
entorno. Se modifican políticas.
Se actualizaron los cargos en
todo el documento, de acuerdo a
4 5 Modificación
los cambios en Organigrama
Estructural del Banco.
Se adicionan:
Políticas de privacidad de la
información y de Datos sensibles.
Políticas que refuerzan los
5 5 Adición controles internos para asegurar
el cumplimiento de la normativa
de no instalación de Software no
autorizado o sin la respectiva
licencia.
Se actualizaron las políticas en
función de la nueva estructura
6 5 Modificación
organizacional y sobre nuevos
controles implementados.

ÍNDICE
1. OBJETIVO. ....................................................................................................... 5
2. ALCANCE. ....................................................................................................... 5
3. GENERALIDADES. .......................................................................................... 6
4. POLÍTICAS. ...................................................................................................... 7
1. POLÍTICA DE SEGURIDAD (DOMINIO # 1 DE LA NORMA ISO 27001). ..................................................... 7
2. REVISIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN. ........................................................... 7
3. POLÍTICAS GENERALES. .................................................................................................................... 8
4. ASPECTOS ORGANIZATIVOS DE SEGURIDAD DE LA INFORMACIÓN (DOMINIO # 2 DE LA NORMA ISO
27001). ................................................................................................................................................... 9
5. ADMINISTRACIÓN DE RECURSOS GESTIÓN DE ACTIVOS. (DOMINIO # 3 DE LA NORMA ISO 27001). ...... 12
6. RECURSOS HUMANOS Y LA SEGURIDAD DE LA INFORMACIÓN (DOMINIO # 4 DE LA NORMA ISO 27001).
16
7. SEGURIDAD FÍSICA Y DEL ENTORNO (DOMINIO # 5 DE LA NORMA ISO 27001). ................................... 18
8. GESTIÓN DE LAS COMUNICACIONES Y OPERACIONES (DOMINIO # 6 DE LA NORMA ISO 27001). .......... 25
9. GESTIÓN Y CONTROL DE ACCESOS (DOMINIO # 7 DE LA NORMA ISO 27001). .................................... 31
10. ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS DE INFORMACIÓN (DOMINIO # 8 DE
LA NORMA ISO 27001). .......................................................................................................................... 39
11. INCIDENTES DE SEGURIDAD (DOMINIO # 9 DE LA NORMA ISO 27001). ........................................... 43
12. GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO (DOMINIO # 10 DE LA NORMA ISO 27001). ................ 45
13. CUMPLIMIENTO DE LEYES Y REGULACIONES (DOMINIO # 11 DE LA NORMA ISO 27001). .................. 46
5. ANEXOS. ........................................................................................................ 51
6. GLOSARIO. .................................................................................................... 54

1. OBJETIVO.
Definir y establecer lineamientos para administrar la Seguridad de la Información con

la finalidad de impedir accesos no autorizados o violaciones de las normas,
reglamentos, contratos, políticas y procedimientos de los estándares de Seguridad de
la Información definidos en el Banco de Machala.
2. ALCANCE.
El cumplimiento de las políticas y estándares de seguridad de la información debe ser

observado por todos los empleados de la institución, empleados externos contratados
por servicios prestados y todos los proveedores de productos y/o servicios.

3. GENERALIDADES.
El Banco de Machala adopta como marco normativo principal las Normas Generales
para las Instituciones del Sistema Financiero, Título X.- De la Gestión y
Administración de Riesgos, Capítulo V.- De la Gestión del Riesgo Operativo, de la
codificación de resoluciones de la Superintendencia de Bancos del Ecuador; así como
también la norma ISO 27001 que es un modelo que establece controles sobre la
Seguridad de la Información.
La norma ISO 27001 se desarrolla en 11 áreas o dominios a seguir:
1. Política de seguridad
2. Aspectos Organizativos de Seguridad de la Información
3. Administración de recursos Gestión de activos.
4. Gestión de Seguridad de los Recursos Humanos
5. Seguridad física y del entorno
6. Gestión Administración de las comunicaciones y operaciones
7. Gestión y Control de accesos
8. Adquisición de sistemas de información, desarrollo y mantenimiento
9. Administración Gestión de los incidentes de seguridad
10. Administración Gestión de la continuidad del negocio
11. Cumplimiento, marco legal y buenas prácticas
Las políticas de seguridad definirán los controles necesarios para garantizar la

integridad, la confidencialidad así como la disponibilidad de la información en el
momento que se requiera.
Las políticas de seguridad de la información deberán ser una guía para todo el
personal y definirán un lenguaje estándar de términos tecnológicos y de seguridad.
El desconocimiento de las políticas que hayan sido difundidas por los diferentes
medios, no será un justificativo para el no cumplimiento de las mismas.

4. POLÍTICAS.
1. Política de seguridad (Dominio # 1 de la norma ISO 27001).

_______________________________________________________________
Todas las personas que utilicen la información del Banco de Machala, ya sea en
forma escrita, verbal, electrónica en cualquiera de sus etapas: generación,
procesamiento, transmisión, almacenamiento, eliminación, tienen la obligación de
resguardar la confidencialidad, integridad y disponibilidad de la misma, así como de
cumplir con todas las leyes y regulaciones sobre seguridad emitidas por todos los
organismos de control.
De igual forma deben cumplir con toda la normativa y controles sobre políticas y
procedimientos de seguridad aprobados por el Directorio.
Esta política es de cumplimiento obligatorio para todos los empleados del Banco, el
personal externo y toda persona o empresa que tenga alguna relación contractual de
orden tecnológico con el Banco de Machala.
2. Revisión de la política de Seguridad de la Información.

__________________________________________________________________
ELABORACIÓN, ACTUALIZACIÓN, APROBACIÓN DE LAS POLÍTICAS DE

SEGURIDAD DE LA INFORMACIÓN.
La elaboración, actualización de las políticas de Seguridad de la Información son

responsabilidad del Oficial de Seguridad de la Información; y, la aprobación será
responsabilidad del: Directorio, Comité de Administración Integral de Riesgos.
Políticas de aprobación.-
Toda modificación a las políticas de Seguridad de la Información deberá ser

presentada por escrito a la Vicepresidencia General, quien evaluará las adiciones o
modificaciones propuestas y las presentará al Comité de Administración Integral de
Riesgos con su recomendación para la aprobación.
El Comité de Administración Integral de Riesgos evaluará las recomendaciones de la

Vicepresidencia General y decidirá si las presenta al Directorio del Banco de Machala.
El Directorio del Banco de Machala, luego de evaluar las recomendaciones, aprobará

o negará las adiciones o modificaciones propuestas por el Comité de Administración
Integral de Riesgos.

Políticas de Cumplimiento.-
El no acatar o cumplir las políticas definidas en este manual, se considerará una falta
inadmisible y se procederá conforme a lo previsto en el Reglamento Interno de
Trabajo del Banco de Machala, y/o de ser el caso con la aplicación de las penas
previstas en la Ley.
El Área de Auditoria Interna deberá revisar dentro de su plan de trabajo anual, el

cumplimiento y buen manejo que los usuarios den a las políticas establecidas en este
manual, siempre que hayan sido difundidas.
Políticas de Actualización.-
La actualización de este Manual estará a cargo del Oficial de Seguridad de la

Información; el mismo que debe revisar y actualizar la política de seguridad al menos
una vez al año, así como cada vez que se presenten cambios significativos en el
entorno tecnológico o en las normativas de los Entes de Control.
En toda actualización deberá quedar documentada la fecha de revisión, los nombres

de las personas que revisaron la política y el número de la versión.
Toda actualización relacionada a los temas de seguridad de la información,

proveniente de cambios en el Marco Legal o Regulatorio, serán de aplicación
obligatoria.
3. Políticas Generales.
__________________________________________________________________
La información debe ser protegida de acuerdo con su confidencialidad, valor y

criticidad.
La información del Banco de Machala debe ser usada únicamente para los propósitos
relacionados con la actividad del Banco.
Las políticas de Seguridad de la Información del Banco de Machala, deben ser

difundidas de manera frecuente a los usuarios finales, mediante charlas de
capacitación, Intranet, correo electrónico y cualquier otro método que la Alta Gerencia
considere adecuado.
Todos los Niveles Jerárquicos de la Institución, son responsables de concientizar y

asegurar que los empleados bajo su cargo cumplan con las políticas y procedimientos
de Seguridad de la Información.

Todos los Empleados del Banco de Machala deben estar conscientes y aceptar, que
los recursos entregados a ellos por la Institución, son susceptibles de análisis y
monitoreo periódico.
Todo activo de información generado en el Banco es propiedad absoluta del Banco de

Machala.
Seguridad de la Información debe tener identificados a los dueños de la información y

a los usuarios, a fin de establecer de manera coordinada los niveles de acceso
requeridos.
La entrega de información restringida, o reservada, a una persona o entidad externa,

sea esta pública o privada, para los requerimientos de tipo legal donde se exija
información mediante orden judicial, deberán ser autorizadas por la Vicepresidencia
General o por el Área de Asesoría Jurídica del Banco
4. Aspectos Organizativos de Seguridad de la Información (Dominio # 2 de la norma

ISO 27001).
__________________________________________________________________
Organización Interna.
Compromiso de la Dirección con la Seguridad de la Información.
La gestión de Seguridad de la Información debe contar con un compromiso de

respaldo y apoyo total de la Alta Dirección.
Este compromiso se debe ver reflejado en:
 Asignación de un responsable de Seguridad de la Información.

 Aprobación del documento de políticas de Seguridad de la Información.
 Velar por el cumplimiento de las políticas de Seguridad de la Información.
 Asignación de responsabilidades asociadas al tema de la Seguridad de la
Información.
 Presupuesto para herramientas de seguridad.
 Educación continua y permanente en temas de seguridad.
 Asignación de los recursos humanos necesarios para el desarrollo del trabajo.
Coordinación de la Seguridad de la Información.
Los responsables del Área de Seguridad de la Información deben realizar las

actividades de seguridad en coordinación con el personal de las diferentes Áreas de
acuerdo a los roles y funciones laborales que tenga este personal.

Asignación de responsabilidades para la Seguridad de la Información.
Todas las responsabilidades del personal de Seguridad de la información, deben estar

claramente definidas por la Alta Gerencia.
Los procesos de Seguridad de la Información contemplan la participación de

diferentes organismos y áreas de acuerdo a las funciones descritas en el manual de
funciones:
 Directorio
 Comité de Administración Integral de Riesgos
 Comité de Tecnología
 Vicepresidencia General
 Seguridad de la Información
 Analistas de los aplicativos – Gerencia de Desarrollo
 Dueños de la información (dueños de los procesos)
 Gerencia de Riesgo Operativo
 Auditoría Interna
Dueños de la información:
Toda la información utilizada por el Banco de Machala, debe poseer un dueño. Los
Dueños de la Información son responsables de los activos por lo cual deben:
 Definir los criterios de clasificación de la información a su cargo.

 Determinar los niveles de acceso a la información.
 Autorizar la asignación de permisos de acceso.
 Apoyar a las Áreas de Tecnología y Seguridad de la Información, en la
generación de los controles necesarios para el almacenamiento,
procesamiento, distribución y uso de la información.
Proceso de planificación de nuevos servicios de la información.
Cada Área del Banco de Machala en la planificación de los proyectos de nuevos

servicios de procesamiento de la información debe considerar los siguientes aspectos:
 La asignación de un Dueño de la Información para los nuevos servicios a

implementar.
 El Dueño de la Información será quien debe dar las aprobaciones para el uso
de este nuevo servicio, basado en la definición previa de los diferentes niveles
de acceso.
 El Área de Riesgos debe identificar los riesgos que genere el nuevo servicio y
además definir con los involucrados los diferentes controles y planes de acción
necesarios para mitigarlas.

Misión de Seguridad de la Información:
El Área de Seguridad de la Información tiene la misión de conducir a la institución a

niveles de seguridad basados en las normativas vigentes y estándares internacionales
que promuevan el correcto uso de los activos de información, asegurando ante todo,
su confiabilidad, integridad y disponibilidad, concientizando en forma permanente a
todo el personal interno y externo, y proponiendo políticas que privilegien la seguridad
de la información dentro de la organización.
Visión de Seguridad de la Información:
El Área de Seguridad de la Información debe llegar a implementar procedimientos de

seguridad basados principalmente en los dominios y controles establecidos en la
familia de normas ISO 27000, considerando el tamaño y complejidad de la institución
así como en las normas de los entes de control, para llegar a tener un eficiente y
adecuado Sistema de Gestión de la Seguridad de la Información.
De los acuerdos de confidencialidad.
Los acuerdos de confidencialidad deberán ser revisados por el Área de Asesoría

Jurídica del Banco para que cumplan con todos los requisitos legales.
El personal de Seguridad de la Información debe firmar acuerdos especiales de

confidencialidad.
Todo personal que utilice claves privilegiadas debe firmar un compromiso especial de
confidencialidad para garantizar el buen manejo de dichas claves.
El Área de Recursos Humanos será la encargada de que todo el personal del Banco
de Machala conozca, entienda la responsabilidad que asume y firme las cláusulas de
confidencialidad desde su ingreso al Banco.
Terceros.
Los accesos a terceros sobre las plataformas tecnológicas, deberán ser propuestos
mediante formulario por el Gerente del Área solicitante y aprobado por el Oficial de
Tratamiento de la seguridad en contratos con terceros.
Los accesos a la información o a la infraestructura del Banco de Machala, se podrán

asignar exclusivamente a los proveedores de servicio o terceros siempre que tengan
contratos firmados con la Institución que incluyan cláusulas de confidencialidad. Sin
que ello confiera derecho alguno de propiedad o copia sobre dicha información.
Todo acceso a las plataformas tecnológicas o aplicativos del Banco, concedido a un

tercero, estará restringido al propósito del negocio entre el Banco de Machala y la

tercera Entidad, y debe estar siempre acorde a los términos y condiciones de uso
establecidos en el contrato.
Todo permiso de acceso a las plataformas tecnológicas o aplicativos del Banco para
personal de terceros que tengan una relación contractual con el Banco, por la cual
desempeñen labores de diseño, desarrollo de programas, de nuevos aplicativos, debe
ser concedido únicamente bajo un ambiente de Desarrollo o Pre-producción para no
exponer la integridad de los datos en producción. Las excepciones serán autorizadas
por el Oficial de Seguridad de la Información.
Los permisos de acceso a las plataformas tecnológicas o aplicativos del Banco de

Machala, que sean otorgados a los proveedores o terceros serán temporales y la
estimación del tiempo de vigencia del acceso será de responsabilidad del solicitante,
debiendo permanecer habilitados estrictamente por el periodo del tiempo que se
requiera para hacer el trabajo. Será responsabilidad de Seguridad de la Información la
habilitación y eliminación del permiso en el tiempo estipulado.
Toda clave de acceso utilizada por un proveedor, durante una instalación de un

producto o servicio, debe ser cambiada o eliminada según el caso, al finalizar el
proyecto, es decir al implementar el producto en el ambiente de producción y de
considerarlo necesario el Oficial de Seguridad, la custodia de estas claves pasará a
En los casos en que los aplicativos requieran del registro de una clave de máximos
privilegios para su funcionamiento, dicha clave será ingresada, administrada y
custodiada, únicamente por el personal de Seguridad de la Información.
5. Administración de recursos Gestión de activos. (Dominio # 3 de la norma ISO 27001).
_________________________________________________________________
Clasificación de los activos de información.
Los activos de información, son activos que tienen gran valor o utilidad para la
empresa, sus operaciones comerciales y su continuidad, por tal razón requieren de
tener una protección adecuada para garantizar la correcta operación del negocio.
Los activos de información sin que esta enumeración excluya activos de otra
naturaleza, se clasifican en:
 Datos: Todos aquellos datos (en cualquier formato) que se generan, recogen,
gestionan, almacenan, transmiten y destruyen en la organización como por
ejemplo: las bases de datos, archivos de datos, contratos, acuerdos,
documentación del sistema, información sobre investigaciones, manuales de

usuario, manuales técnicos, procedimientos operativos o de soporte, planes para
la continuidad del negocio, balances, pruebas de auditoría e información archivada
física o electrónicamente.
 Software: El software que se utiliza para la gestión de la información. Tipos de

activos como: herramientas de ofimática, herramientas de propósito específico,
herramientas de desarrollo, utilitarios, aplicaciones para acceso a la información.
 Hardware o Activos Físicos: Utilizados para gestionar la información y las

comunicaciones, son considerados activos de información. Por ejemplo: Equipos
de computación, servidores, equipos de comunicaciones, medios removibles,
herramientas de seguridad, herramientas de monitoreo, instrumentos particulares
para la ejecución del proceso y otros equipos físicos.
 Servicios: Servicios de computación y comunicaciones tanto internos como

externos. Internos, aquellos que una parte de la organización suministra a otra (por
Acceso al servicio de Internet, Acceso a los servicios de red; Externos, aquellos
que la organización suministra a partes interesadas como son los Clientes (por
ejemplo la comercialización de productos).
 Personas: Por su conocimiento, habilidades, experiencia y criticidad para el

proceso, son considerados como activos de información (Personal interno, líderes
de proyectos, proveedores críticos, etc.)
La clasificación de la información tiene como objetivo garantizar que los activos de

información reciban el más apropiado nivel de protección y medidas de tratamiento
especial acordes a su clasificación.
El Banco de Machala ha adoptado los siguientes niveles de confidencialidad para sus

activos de información:
 Pública: Esta clasificación se aplica a la información que puede ser conocida y

utilizada sin necesidad de autorizaciones especiales, por cualquier persona, ya
sea Empleado, Cliente u otros. Su uso o divulgación no causa ningún daño al
Banco.
Como referencia, dentro de este grupo se encuentran: Inventario de servicios del

Banco, tarifas de servicios, solicitudes de crédito, solicitudes para apertura de
cuentas corrientes y de ahorros, entre otros según consideración de los dueños de
información.
 De uso interno: Esta clasificación se aplica a la información que puede ser

conocida y utilizada por un grupo de empleados que la requieran para realizar su
trabajo; y, cuya divulgación o uso no autorizado incluso dentro de la organización,
puede causar algunos tipos de daños menores en la organización.
Como referencia dentro de este grupo se encuentran: Manuales de usuarios de los

sistemas, planes de acción, propuestas comerciales, información de marketing,
evaluación de la competencia, políticas salariales, información de los funcionarios,
entre otros según consideración de los dueños de información.
 Restringida: Información que es utilizada por un número reducido de funcionarios

y para uso exclusivo de sus labores; no puede ser conocida por otros funcionarios
o terceros.
Como referencia dentro de este grupo se encuentran: Manuales de

procedimientos, Informes de Monitoreo de Seguridad de la Información, informes
de riesgo, información sensitiva de Clientes, salarios del personal, mapa de
procesos, informes de investigaciones forenses, informes de auditoría, saldos de
Clientes, información personal de Clientes, información de operaciones de
Clientes, organigrama, diagramas de red del Banco, entre otros, según
consideración de los dueños de información. La divulgación o uso no autorizado
de esta información, puede causar serios daños al negocio.
 Reservada: Esta clasificación se aplica a la información altamente sensitiva del

Banco. Es la información que puede ser conocida únicamente por la alta
administración como: el Directorio, Vicepresidente General, Comité de Riesgos,
Comité de Auditoría, Auditor interno y según el caso por un grupo reducido de
funcionarios y bajo las autorizaciones respectivas. La divulgación o uso no
autorizado de esta información incluso dentro de la organización, puede causar
serios daños al negocio.
Como referencia dentro de este grupo se encuentran: Detalle de adquisiciones y/o

fusiones importantes, negocios de alto nivel, estrategias de la organización frente
a la competencia, información de accionistas, remoción de altos funcionarios.
Tratamiento de la Información.
A toda información que ha sido clasificada, se le debe establecer los lineamientos

para un tratamiento adecuado, definiendo los controles mínimos a ser aplicados, en
base a las mejores prácticas de seguridad y de acuerdo con cada nivel de
clasificación; Reservada, Restringida, Uso Interno y Pública.
Los Lineamientos para el tratamiento se clasifican de la siguiente manera:
 Transmisión:
Se refiere a la transmisión de la data mediante canales electrónicos. Para estos casos

en que la data se moviliza a través de medios que están expuestos a ataques
cibernéticos, es muy importante utilizar controles especiales para su protección, como
la encriptación con algoritmos robustos, firmas electrónicas, certificados digitales,
entre otros, para las categorías de reservadas y restringidas, garantizando así su

confidencialidad e integridad desde el origen hasta el destino. Los controles para las
categorías de uso interno dependerán del criterio del dueño de la información.
 Distribución:
Se refiere a los documentos físicos, para estos casos se debe utilizar sobres cerrados
y debidamente sellados o con la palabra “confidencial” para el envío de la información
crítica resguardando así la confidencialidad de los mismos.
 Almacenamiento.
Se deben implementar buenos controles al momento de almacenar la información

crítica, el dueño de la información es responsable de que existan controles para el
almacenamiento tanto de la información lógica como física y es responsable también
de validar que dichos controles se cumplan. En el caso de documentos físicos es
importante por parte de los usuarios finales la práctica de pantallas y escritorios
limpios. En ambos casos son muy importantes los controles de acceso.
 Destrucción.
Toda la información reservada y restringida, se debe sujetar al procedimiento
establecido para eliminación de información crítica. Respetando los tiempos de
vigencia de la data ya sea esta financiera o técnica, establecidos por los entes de
control.
 Accesos.
Se refiere a los procedimientos y controles que se deben aplicar para el acceso a los
diferentes tipos de información que existe en el Banco, ya sea por parte del personal
interno como de terceros, estos últimos adicionalmente deberán firmar un acuerdo de
confidencialidad.
 Divulgación.
Se refiere a la transmisión oral de la información, ya sea por teléfono o en persona.
Se debe concientizar a los usuarios para que no divulguen la información a cualquier
persona o en cualquier lugar. Siempre debe ser a personas autorizadas, en reuniones
formales o por escrito.
Para todos los casos la data categorizada como “de uso público” no requiere de
controles especiales. Referencia relativa a este punto se encuentra en el Anexo # 1.
Definición de data sensible:
El Banco de Machala ha definido como data sensible los siguientes campos:
 Número de tarjeta, ya sea débito o crédito.

 Número de cuenta corriente o de ahorro.
 Saldos de las cuentas.

 Dirección de correo.
6. Recursos Humanos y la Seguridad de la Información (Dominio # 4 de la norma ISO

27001).
__________________________________________________________________
El recurso humano es una de las principales fuentes de riesgo para la seguridad de la

información por esta razón en este dominio se tratan algunos de los aspectos más
importantes que se deben considerar antes, durante y después de una relación
laboral.
Proceso de vinculación del personal:
El Área de Recursos Humanos será responsable de verificar todos los datos,

referencias laborales y personales así como el historial laboral del personal que se
seleccione principalmente para los puestos sensibles dentro del Banco de Machala.
El Área de Recursos Humanos debe definir y documentar los roles y

responsabilidades de los diferentes cargos en un manual de funciones, incluyendo
siempre los temas de seguridad relacionados con las responsabilidades laborales.
El Área de Recursos Humanos será la encargada de que todo el personal del Banco
de Machala firme una cláusula de confidencialidad adjunta al contrato. Además debe
entregar al ingreso de este, las funciones que va a desempeñar el personal
contratado, las normativas y el código interno de trabajo.
Los contratos establecidos con el personal, deberán incluir cláusulas del compromiso
asumido para el cumplimiento de todas las políticas de seguridad y demás normas
definidas en la Institución.
Durante la permanencia:
La Administración debe velar porque los empleados, contratistas y usuarios de

terceros, cumplan siempre las políticas de Seguridad de la Información.
Recursos Humanos, en caso de no existir un proceso automatizado, tiene la

obligación de informar a Seguridad de la Información cuando los usuarios hacen uso
de sus vacaciones o cambian de funciones, de modo que sean temporalmente
deshabilitados hasta que se reintegren a sus labores o se actualicen sus permisos
acorde a sus nuevas funciones respectivamente.
Todo el personal que labore en el Banco de Machala, debe recibir capacitación en

temas relacionados con la Seguridad de la Información, el Área de Recursos

Humanos deberá mantener un registro de las capacitaciones y calificaciones

obtenidas por el personal durante las mismas.
Cese de la relación laboral:
Las responsabilidades para realizar la terminación o el cambio del empleo, deben

estar claramente definidas y asignadas. (A.8.3.1)
Todos los empleados, contratistas y usuarios de terceros deben devolver todos los
activos que pertenecen a la empresa, una vez que ha terminado su relación laboral
contractual. (A.8.3.2)
Los derechos de acceso de todos los empleados, contratistas y usuarios de terceros

en todos los sistemas, una vez que ha terminado su relación laboral contractual,
deben ser removidos de inmediato. (A.8.3.3)
La información personal de los funcionarios y/o terceros es de carácter reservado, por

lo tanto el sueldo, y los datos los utilizará la Empresa únicamente según lo establecido
en los acuerdos o contratos laborales y en ningún momento podrá divulgarlos a
terceras partes a menos que cuente con la autorización formal del funcionario y/o
contratista o por una instancia legal (A.15.1.4)
Cuando los empleados sean desvinculados, Recursos Humanos debe confirmar la

entrega de todos los ítems entregados al empleado como son derechos de acceso,
tarjetas de acceso, computadoras, teléfonos móviles, llaves y cualquier otro activo en
custodia del personal que haya sido entregado por el Banco.
Recursos Humanos debe confirmar con la Gerencia del Área en que laboraba el
empleado saliente, que éste haya entregado la información que manejaba bajo la
custodia de quien queda a cargo del puesto, los documentos financieros y que haya
transmitido todos los conocimientos que se requieren para desempeñar el puesto.
Recursos Humanos debe asegurarse de que el exempleado sea escoltado y

supervisado en todo momento por el jefe hasta su salida de la Institución, más aún si
se retira en condiciones adversas por incumplimientos específicos.
Recursos Humanos debe facilitar permanentemente a Seguridad de la Información las

herramientas necesarias para verificar los datos de los empleados para proceder a
darles de baja en las diferentes plataformas del Banco, como son: vistas de la base
de Recursos Humanos sobre campos de fecha de ingreso, fecha de egreso, nombre,
del empleado, cédula, cargo, localidad, área, código de empleado.
Cuando el personal que se retira de la Institución ha pertenecido a áreas críticas,

como Seguridad de la Información, Soporte Técnico, Infraestructura, Líderes de
aplicaciones, y demás áreas que defina el Banco, Recursos Humanos debe pasar un
aviso de inmediato a todo el personal para evitar que tengan acceso a las
instalaciones por desconocimiento de que ya no pertenecen al Banco.
7. Seguridad Física y del entorno (Dominio # 5 de la norma ISO 27001).
__________________________________________________________________
Control de acceso físico: Señalización de áreas de evacuación.
El acceso a las vías de evacuación debe estar siempre señalizado.
Las señales que indiquen la localización de alarmas u otro sistema de emergencia

como equipos contra incendio deben ubicarse en todas las vías de evacuación.
Se deben señalizar todos aquellos elementos que pudiesen implicar riesgo en caso de
incendio (tableros eléctricos, cuartos de racks, etc.)
El Área de Administración debe darle mantenimiento permanente a las señales de

evacuación y en los casos que amerite deberán actualizarlas.
Control de acceso físico: Señalización y control de las áreas restringidas.
Toda área restringida debe estar debidamente señalizada.
Las áreas donde se encuentren los cuartos de rack deben tener restringido el acceso
con seguridades y señalización. El acceso a estas áreas será únicamente para el
personal técnico autorizado.
El Gerente Nacional Administrativo y/o Jefe Administrativo, junto con el Coordinador

de Seguridad y Salud Ocupacional, tienen la responsabilidad de velar que se cumpla
la debida señalización de todas las áreas críticas en las que los accesos del personal
deben estar restringidos.
El Jefe de Seguridad, tiene la responsabilidad de coordinar la vigilancia del control del

acceso restringido a los centros de cómputo (Principal, Alterno, Cintoteca, Bóvedas) y
en general a todas las áreas que la entidad considere críticas.
El Gerente Administrativo y/o Jefe Administrativo, tienen la responsabilidad de exigir

que las centrales de conexión o centros de cableado, sean catalogados como áreas
críticas y, por tanto su acceso debe estar restringido al personal autorizado y no
pueden ser utilizadas con otros fines (bodegas o archivos).
El Coordinador de Seguridad y Salud Ocupacional, tiene la responsabilidad de

controlar que en todas las áreas que el Banco considere críticas existan elementos de
control de incendio y alarmas.
Seguridad de los equipos.
Los equipos deben ser ubicados en lugares protegidos para evitar el riesgo de
amenazas ambientales, así como para evitar los peligros y oportunidades de accesos
físicos no autorizados. (A.9.2.1)
Todos los equipos eléctricos deben tener la protección adecuada para prevenir o
mitigar fallas de energía o cualquier otro problema causado por fallas en los servicios
públicos, como UPS, reguladores de voltaje, entre otros. En especial los equipos de
centros de procesamiento y agencias.
Todos los cables de poder y telecomunicaciones que transporten voz o datos, deben
estar protegidos para evitar intercepciones o daños.
Todas las políticas de seguridad se aplicarán también a los equipos que funcionen
fuera de las instalaciones de la organización, en el caso de que los hubiere.
Los equipos, o el software instalado en los mismos, no podrán ser utilizados fuera de
las instalaciones sin la autorización previa de la Gerencia de Coordinación y Control
de TI.
Todos los equipos deben ser chequeados por el personal de Soporte Técnico, para
garantizar que han sido removidos o sobre-escrito de forma segura todos los datos
del perfil de la persona a la que se le retiran el equipo, antes de asignarlos a nuevos
usuarios. El personal de Soporte Técnico, debe generar un reporte diario a la
Gerencia de Coordinación y Control de TI; indicando el equipo que se retira, para
dejar constancia del cumplimiento de esta política.
Los equipos de funcionarios de alto nivel o críticos, deben ser respaldados antes de
su retiro y dicho respaldo debe permanecer bajo custodia de la Gerencia de
Coordinación y Control de TI, por un tiempo máximo de 3 años.
El personal del Banco de Machala no puede ni debe cambiar las configuraciones

preestablecidas de las estaciones de trabajo, los únicos autorizados son el personal
de Soporte Técnico.
No se puede instalar o conectar módems a las computadoras de la red corporativa del

Banco, ya sean de escritorio como laptops (ej.: Módems de empresas telefónicas).
Las laptops deben guardarse bajo llave al terminar la jornada laborable, de ser posible
utilizar candados de seguridad.
Las herramientas de Seguridad de la Información solo podrán ser reiniciadas, o

apagadas con la aprobación del Oficial de Seguridad de la Información por eventos
tales como mantenimientos del centro de cómputo u otros que deberán ser
justificados por la Gerencia de Coordinación y Control de TI.
Entrada/Salida de los equipos de las instalaciones del Banco.
Movilización de Equipos.
La movilización de los equipos informáticos, es responsabilidad de la Gerencia de

Coordinación y Control de TI.
El personal del Banco de Machala no debe mover o reubicar los equipos de cómputo
o de telecomunicaciones, ni instalar o desinstalar dispositivos. En caso de requerir
este servicio deberá solicitarlo a la Mesa de Ayuda.
Ningún equipo podrá ser retirado de las instalaciones sin la debida autorización
escrita de un Gerente/Subgerente/Jefe de Agencia. En dicho documento se deben
especificar, nombre y firma de la persona que lo retira, fecha y hora del retiro, nombre
y firma de la persona que aprueba, los números de serie, marca, modelo y función del
equipo, así como el motivo del retiro. Todos los guardias de seguridad deben estar
instruidos para solicitar este documento y revisarlo antes de permitir la salida de los
equipos.
El personal de Soporte técnico del Área de Coordinación y Control de TI, será

responsable de registrar el nombre del empleado al que se le entrega el equipo en
custodia y de recabar la firma de responsabilidad del mismo en un documento de
Entrega/Recepción (Ver Anexo # 1 del manual de procedimientos A-SIS-02-02-
001), al momento de la entrega. Este registro debe residir en los archivos del área.
Protección y ubicación de equipos.
Los equipos asignados a los empleados, son para uso exclusivo del desempeño de
sus funciones.
El personal del Banco de Machala es responsable del buen uso y cuidado de los
equipos bajo su custodia.
No se debe consumir alimentos o ingerir líquidos sobre los equipos.
No se deben colocar objetos encima de los equipos informáticos.
Se debe tener cuidado de no cubrir los orificios de ventilación del monitor o del CPU.
Se deben mantener los equipos en un entorno limpio y libre de humedad.
Está prohibido al personal, abrir o desarmar los computadores o cualquier equipo

informático. Esto solo lo puede realizar el personal técnico autorizado.
El personal debe cuidar que no se pinchen los cables de conexión de los

computadores, monitores, etc. con las sillas u otros objetos pesados. Si requiere la
reubicación de los cables deberá solicitarlo a la Mesa de Ayuda.
Las computadoras del personal tanto de escritorio como personales, para conectarse
a la red corporativa, deben tener instalado el software antivirus debidamente
actualizado.
Es obligación del personal apagar las computadoras al terminar su jornada laboral.

Es obligación del personal avisar al Subgerente o Jefe Administrativo cuando vea que
hay un cortocircuito o un problema eléctrico, para que se tomen los correctivos del
caso.
Mantenimiento de Equipos.
El personal del Banco que necesite servicios de mantenimiento o reparación de sus

equipos informáticos, debe solicitarlo vía mail a la Mesa de Ayuda.
Es responsabilidad del personal de Soporte Técnico que respalde la información

cuando se envíe un equipo a reparación.
Es responsabilidad de la Gerencia de Coordinación y Control de TI solicitar a la

Gerencia Nacional Administrativa, todos los controles de protección eléctricos para
preservar los equipos contra fallos en el suministro de energía o cualquier problema
eléctrico que se pudiera presentar.
Notificación de pérdida de Equipo.
El personal del Banco de Machala, debe dar aviso de inmediato a la Gerencia de

Coordinación y Control de TI y a la Gerencia Nacional Administrativa, en caso de robo
o extravío del equipo informático bajo su custodia o de la desaparición de partes del
mismo.
De la instalación/desinstalación de Software.
El área de Soporte Técnico es la única que está autorizada para hacer la

instalación/desinstalación del software en los equipos de cómputo del Banco de
Machala.
El personal que requiera la desinstalación de algún aplicativo o herramienta de su

equipo, debe enviar el requerimiento vía mail a la Mesa de Ayuda.
El personal de Soporte Técnico únicamente podrá instalar en los equipos, el Software

que se ha definido como autorizado por la Gerencia de Coordinación y Control de TI.
Está prohibido que el personal del Banco de Machala instale o utilice software no
autorizado o no licenciado en los equipos de la Institución. Todo el personal sin
excepciones debe respetar esta política.
En caso de requerir la instalación de aplicaciones que no se encuentren en el

estándar del Banco, se deberá enviar un requerimiento formal a través de la Mesa de
Ayuda con aprobación del Vicepresidente/Gerente del área solicitante. La Gerencia
de Coordinación y Control de TI aprobarán o negarán el requerimiento basado en la
documentación enviada, a la factibilidad de obtener la licencia y a las funciones que
cumple el usuario solicitante.

Las políticas de grupo de directorio activo deben estar configuradas para permitir que
únicamente el personal autorizado de Soporte Técnico, pueda instalar programas en
los equipos.
La Gerencia de Coordinación y Control de TI deberá facilitar semestralmente a

Seguridad de la Información, un reporte del inventario de software instalado en todos
los equipos clientes del Banco.
Seguridad de la Información debe ejecutar un control adicional que asegure el

cumplimiento de la política de no instalación de software no autorizado.
De los equipos portátiles.
Todo equipo portátil debe tener deshabilitado el acceso al Wifi, Bluetooth y cualquier
medio de conexión inalámbrica que posea. La excepción de esta política debe estar
debidamente autorizada por el Vicepresidente o Gerente del área del custodio del
equipo así como documentada.
Del acceso remoto.
No se permite la administración remota de ningún dispositivo, equipo o servidor de

infraestructura del Banco de Machala, a usuarios no autorizados.
Los usuarios autorizados para la administración remota de los equipos del Banco,
deberán hacerlo únicamente mediante las herramientas adquiridas por el Banco para
este propósito, los únicos usuarios autorizados a tener permisos de acceso remoto a
los equipos de la red del Banco de Machala, son: Departamento de Soporte Técnico
de Sistemas, el personal de Seguridad de la Información y el personal de Auditoría,
estos últimos por demanda si así lo necesitaren.
El acceso remoto a los sistemas del Banco será mediante VPN o sistemas que
brinden una seguridad igual o superior como son los accesos tipo webex, la
autorización de su uso será otorgada únicamente por el Oficial de Seguridad de la
Información previo al análisis respectivo.
El acceso remoto de terceros siendo estos únicamente técnicos de soporte de los

canales o de los fabricantes, es un mecanismo de excepción, que en principio tendrá
carácter temporal; la autorización de su uso será otorgada por el Oficial de Seguridad
de la Información, luego del análisis respectivo, serán de carácter temporal y deberán
hacerse siempre en presencia de un observador por parte del Banco, ya sea de
Sistemas, Seguridad de la Información y/o el dueño del proceso o aplicativo.

Políticas para el Centro de Cómputo.
Controles de acceso.
La Gerencia de Coordinación y Control de TI/Subgerencia de Producción, son los

únicos autorizados para aprobar el acceso del personal interno/externo al Centro de
cómputo.
Todo personal externo para ingresar al Centro de cómputo del Banco de Machala,
debe estar acompañado permanentemente por personal interno autorizado. No se
pueden quedar solos ni por un momento. La persona que acompañe al visitante
deberá ser seleccionada por el Gerente de Coordinación y Control de TI, o por el
Oficial de Seguridad de la información, este último solo en los casos en que la revisión
o el trabajo se realice sobre un equipo de seguridad.
El centro de cómputo debe contar con las seguridades necesarias para prevenir el
ingreso de personal no autorizado.
Se debe tener un control de acceso físico como bitácoras, que involucren la

identificación del personal que entra o sale del área, donde se anoten datos como:
 Fecha;
 Hora de entrada/salida;
 Empresa;
 Cédula de identidad;
 Persona que autoriza;
 Tipo de trabajo a realizar;
 Firma.
El personal al que se asigne los medios de acceso físico al centro de cómputo como
(tarjetas, llaves, tokens, etc), es responsable de la custodia de los mismos, en caso de
pérdida o substracción, deben avisar de inmediato al Jefe de Seguridad Física para la
desprogramación de los mismos.
Las instalaciones del centro de cómputo deben contar con cámaras conectadas y
monitoreadas las 24 horas, desde una consola central.
La Gerencia de Coordinación y Control de TI, debe instruir al personal que labora en

el centro de cómputo sobre qué medidas tomar en caso de que alguien pretenda
entrar sin autorización o a la fuerza.
Control de instalaciones eléctricas.
Las instalaciones del centro de cómputo deben contar con sistemas de alarma
audibles o que se visualicen en las consolas de seguridad para detección de fuego o
humo.

Las instalaciones del centro de cómputo deben contar con medios adecuados para
extinción de fuego como extintores de incendio a base de gases limpios,
dispensadores de tumbado y conexiones eléctricas seguras y adecuadas para este
tipo de instalaciones.
Se debe tener instalados equipos que protejan la información y los dispositivos en

caso de variación de voltaje como: reguladores de voltaje, supresores pico, UPS,
generadores alternos de energía.
Todos los equipos deben contar con una instalación de tierra física, en el punto
eléctrico de donde se energizan.
Las instalaciones eléctricas del centro de cómputo deben ser independientes.
Las instalaciones de tierra física de un centro de cómputo no deben ser compartidas

con otras instalaciones del edificio, estas deben ser independientes.
El centro de cómputo debe contar con plantas eléctricas de emergencia.
La Gerencia de Coordinación y Control de TI, debe tener planes de mantenimiento

preventivo de las instalaciones y suministros de energía del centro de cómputo.
Está terminantemente prohibido fumar, consumir alimentos y bebidas dentro del

centro de cómputo. Se debe de tener señales de las prohibiciones indicadas.
No se debe almacenar elementos de limpieza, cartones o papelería en el centro de

cómputo.
La Gerencia de Coordinación y Control de TI, debe solicitar a la Gerencia Nacional

Administrativa, la limpieza de los ductos de aire, de los filtros de aire y de la cámara
de aire que existe debajo del piso del centro de cómputo, con una frecuencia mínima
anual.
En el centro de cómputo, se deben tener buenos controles para mantener condiciones

ambientales especiales para los equipos, relativos a la climatización, humedad y
temperatura.
Los Operadores del equipo central deben estar entrenados para recuperar o restaurar
información en caso de destrucción de archivos.
Todas las actividades del centro de cómputo deben normarse mediante manuales,
instructivos, normas, reglamentos, etc.
Al finalizar cualquier trabajo de mantenimiento en el centro de cómputo, el personal de

Administración/Operadores deben asegurarse que todos los cables queden bien
instalados y ordenados, dentro de los gabinetes, así como asegurarse que todas las
puertas están cerradas y aseguradas y los sistemas de alarma encendidos.

No se permite tomar fotos ni el uso de cámaras fotográficas o cámaras de video en el

centro de cómputo.
No se permite arrastrar equipo sobre el piso falso del centro de cómputo, se deben
utilizar carretillas con llantas de caucho; tampoco se permiten carretillas con llantas de
hierro, a menos que previamente se proteja el piso falso con cartón o cualquier otro
material protector.
No se debe instalar equipos inalámbricos o antenas dentro del centro de cómputo.
No se permiten las conexiones en cadena de varios PDU (regletas) (conocido como

Daisy chaining) por peligro de cortocircuitos.
Se debe verificar que el proveedor del hardware y software instalado en el centro de

cómputo proporcione siempre la documentación técnica que el área de Coordinación
y Control de TI defina, Como por ejemplo:
Manual de configuración y operación de los equipos.

Manual de utilitarios disponibles.
Manual de sistemas operativos.
8. Gestión de las Comunicaciones y Operaciones (Dominio # 6 de la norma ISO 27001).
__________________________________________________________________
Protección contra el código malicioso y descargable.
Prevención de Virus informáticos – Desinfección.
Para prevenir infecciones por virus informáticos, los usuarios deben evitar hacer uso
de cualquier clase de software que no haya sido proporcionado y validado por la
Gerencia de Coordinación y Control de TI.
Los usuarios no deben exponerse a situaciones de ingeniería social por ejemplo

respondiendo mensajes de email donde se les pida ejecutar un programa a cambio de
ganar un premio o evitar algún problema de infección.
Cuando los usuarios necesiten leer una memoria extraíble (pen-drive) o un CD

deberán revisarlo primero con el software de antivirus de su equipo para asegurarse
de que no contiene ningún tipo de virus.
Soporte Técnico debe encargarse de que todos los equipos desktop y laptops del
Banco tengan instalado y funcionando el antivirus corporativo.
Todos los servidores del Banco deben tener el antivirus corporativo instalado,
actualizado y funcionando.
Todos los ATM’s (cajeros automáticos) deben tener el antivirus corporativo instalado,
actualizado y funcionando.
Seguridad de la Información debe monitorear periódicamente que los antivirus de los

servidores y cajeros no estén fuera de línea (off-line).
Cualquier usuario que sospeche de alguna infección por virus de su equipo, deberá
dejar de usarlo inmediatamente, de preferencia desconectar el cable de red y llamar a
la Mesa de Ayuda, para la detección y erradicación del virus.
Los únicos autorizados a la desinfección de los virus es el personal de Soporte

Técnico de Sistemas.
Instalación de software no autorizado.
El Área de Tecnología de la Información debe tener un inventario del software

autorizado a instalar en el Banco de Machala.
El personal de Soporte Técnico no podrá instalar en los equipos del Banco, software
que no esté licenciado.
El personal de Soporte Técnico solo podrá instalar en los equipos del Banco, el
software y los dispositivos aprobados por la Gerencia de Coordinación y Control de TI.
Se prohíbe a los usuarios finales instalar software o hardware nuevo en cualquier

equipo del Banco de Machala, incluyendo Computadores de escritorio, equipos
portátiles, o servidores. Toda instalación deberá ser realizada por el personal de
Tecnología de la Información autorizado, siempre que existan las aprobaciones del
caso.
Todo hardware o software que se descubra instalado sin las aprobaciones necesarias,
será desinstalado de inmediato por el personal de Soporte Técnico.
La Gerencia de Coordinación y Control de TI, será el custodio de la documentación de

licencias del software, manuales de usuario y manuales de instalación del Hardware
comprados por el Banco.
La Gerencia de Coordinación y Control de TI será responsable de la administración de

las licencias del Software y Hardware adquiridos por el Banco.
Mediante políticas de grupo de Directorio Activo se deben deshabilitar tanto las

opciones “Agregar” o “Eliminar” programas en todos los Computadores del Banco.
Mediante políticas de grupo de Directorio Activo se debe deshabilitar la función Auto

ejecutar en todos los Computadores que tienen unidades de CD-ROM.

Del Intercambio de información - Mensajería electrónica (Seguridad del Correo

electrónico).
Todos los usuarios que se creen deben nacer con correo interno con excepción de los
usuarios de caja (Recibidores – Pagadores), quienes no deben tener acceso al
servicio de correo electrónico.
Los Usuarios de ventanillas de extensión, en sitios donde solo existe una ventanilla, si
pueden tener el servicio de correo electrónico, como único medio de comunicación,
con la autorización previa de sus jefes.
La solicitud para el correo electrónico interno la deben hacer los Jefes de los
respectivos Usuarios, mediante el formulario de creación de cuentas, si el Usuario es
nuevo, de lo contrario lo pueden solicitar vía correo electrónico. Este servicio no
requiere de aprobaciones especiales.
El servicio de correo externo requiere de un permiso adicional que deben autorizar los
Vicepresidentes/Gerentes o Jefes del área del solicitante según sea el caso, mediante
el formulario respectivo.
Todo usuario con una cuenta de correo electrónico es el responsable absoluto de los
envíos que se hagan con su cuenta. Su responsabilidad no se excluye en caso de que
el usuario se haya alejado del terminal dejando abierto su correo y otro usuario haya
enviado un mensaje en su nombre.
El Banco se reserva el derecho de monitorear los buzones de correo de los

empleados por las siguientes razones:
 Sospechas de violación de las políticas internas del Banco.

 Sospechas de violación de leyes locales o internacionales.
 Situación de emergencia que pudiera repercutir en forma negativa en los
negocios del Banco, para la pérdida de este u otro servicio a nivel general.
 Algún requerimiento de tipo legal originado por la Fiscalía, Superintendencia de
Bancos, o algún organismo de control del Sistema Financiero.
Los Administradores de cuentas del correo deberán:
Asignar las cuentas de correo siguiendo las políticas establecidas.
Asignar las cuentas de correo interno/externo, únicamente a los usuarios autorizados

acorde a los procedimientos establecidos por el Banco.
Los usuarios del servicio de correo tienen el compromiso de:
 Conocer las políticas para el buen manejo del correo.

 Cumplir con las políticas para el buen uso y manejo del correo provisto por el
Banco.
Los mensajes deben ser cortos, concretos y precisos.
Está terminantemente prohibido el envío de cadenas a través del correo electrónico

de ningún tipo, aun cuando el contenido se trate de temas religiosos. Esto debido a
que sobrecargan innecesariamente la red, pudiendo crear problemas de saturación de
la misma lo que degradará el servicio.
Está terminantemente prohibido el envío de mensajes de tipo fraudulento,

discriminatorios, racistas, difamatorios, ofensivos, intimidantes o que atenten contra la
dignidad y el honor de terceros.
Está terminantemente prohibido enviar mensajes con imágenes, videos o

terminologías obscenas y en general todo tipo de pornografía, en especial de
pornografía infantil la cual es penada por las leyes locales e internacionales.
Está prohibido el uso del correo electrónico para el envío de mensajes con trasfondo
político.
Está terminantemente prohibido modificar los mensajes de otro usuario cambiando el

contenido del mismo.
Está terminantemente prohibido enviar mensajes que no sean de trabajo.
Está terminantemente prohibido enviar mensajes que inquieten al personal y/o lo

induzcan a adoptar posiciones negativas en contra de la administración interna.
Está terminantemente prohibido suscribirse a listas de correos electrónicos externos

de empresas que no tengan relación con sus funciones.
El correo electrónico no se puede utilizar para hacer negocios personales, únicamente

debe ser utilizado para propósitos del negocio aprobados por la dirección del Banco.
Está terminantemente prohibido utilizar mecanismos, dispositivos o programación que

permita ocultar la identidad del remitente del mensaje.
Todos los mensajes que circulen en el correo deben utilizar términos y expresiones
acorde con las formas de comunicación donde impere siempre la cortesía y el
respeto.
El envío de mensajes y sobre todo documentos hacia personas y empresas fuera del
Banco, debe ser manejado con mucha responsabilidad por parte de los empleados.
Todo correo electrónico que llegue desde el correo externo, sin que tenga idea de su
origen (remitente), propósito o contenido, debe ser eliminado sin abrirlo ni
responderlo, así evitará cualquier peligro de contagio por virus o un ataque de
ingeniería social.

La información clasificada como reservada o restringida no puede ser enviada por el

correo ni dentro ni fuera del Banco, sin la debida autorización de la alta Gerencia o su
Jefe Inmediato según el grado de criticidad, cuidando y garantizando siempre la
confidencialidad de la información.
El envío de mensajes masivos es exclusivo de la(s) persona(s) que maneja(n) la

cuenta de “BM_Broadcast”.
El envío de un mensaje a una lista de usuarios, para mejor manejo del correo, está
restringido a 20 usuarios por mensaje.
Ninguna persona puede enviar un mensaje desde otro buzón o cuenta que no sea el
propio sin tener la autorización expresa del dueño del buzón.
El tamaño default para envío/recepción de mensajería tiene un máximo permitido de

hasta 2MB, las excepciones las autoriza el personal de Seguridad de la Información.
El tamaño básico de los buzones de correo electrónico de los usuarios, debe ser
definido por las áreas de Tecnología y Seguridad de la Información.
Las autorizaciones que se requieran hacer sobre cualquier evento sea este crítico o
no, tendrán validez únicamente si se envían desde el mismo correo electrónico de la
persona que emite la autorización, un mensaje no tendrá validez para autorizar algo si
se envía desde un correo ajeno.
Los usuarios son responsables de realizar sus respaldos del archivo de correo PST,
se sugiere hacerlo mensualmente, puede ser en un pendrive o en un DVD, para lo
cual deberá solicitar el soporte a la Mesa de ayuda, indicando que le respalden el
archivo de PST. En el servidor no se guarda ningún mensaje.
Está prohibido que el personal conecte en sus equipos módems de diversos

proveedores de Internet, para navegar, ya que esto abre un hueco de seguridad en
nuestra red y nos expone a un riesgo muy alto de sufrir ataques.
El Banco de Machala debe tener un software Anti-Spam para manejar correos no

deseados o no solicitados.
Todos los usuarios deben notificar a la Mesa de Ayuda cuando reciban correos tipo
basura o spam para que se proceda de inmediato al bloqueo de las direcciones
remitentes.

Seguridad del servicio de Internet:
El acceso a Internet es un servicio especial, delicado y que tiene costo, por lo que
será otorgado a los colaboradores del Banco de Machala cuyas tareas exijan
específicamente el uso de esta herramienta.
El servicio de Internet para los usuarios será autorizado exclusivamente por los
dueños de procesos, sus delegados, Vicepresidente o Gerente según sea el caso,
mediante el envío de un formulario desde el buzón del autorizador, indicando los sitios
que requiere acceder.
Los usuarios únicamente tendrán acceso a las direcciones y/o categorías de Internet
que les sean aprobadas o que correspondan al perfil relacionado con su cargo.
La actividad del uso del servicio de Internet será permanentemente monitoreada, si el

usuario es detectado incumpliendo estas políticas automáticamente perderá el
servicio de Internet temporalmente y en casos graves será sancionado según el
reglamento interno.
La rotación de un empleado hacia otra área o cambio de funciones implica la pérdida

del servicio de Internet (navegación y correo externo). Y su reposición dependerá de
una nueva autorización
Los empleados de empresas que mantienen relaciones de trabajo con el Banco, no

pueden tener servicio de Internet. Las excepciones se manejarán con la solicitud
directa del Dueño del Proceso, su delegado, el Vicepresidente/Gerente del área en
que se encuentra laborando el tercero y serán analizadas por el Oficial de Seguridad
de la Información.
Los Consultores y Auditores Externos podrán tener el servicio de Internet mediante

conexión de sus equipos a la red de Wi-fi que el Banco tiene para los visitantes, red
inalámbrica que está debidamente separada de la red interna del Banco.
Está terminantemente prohibido conectarse a través de Internet directamente a sitios

de música (mp3) y mantener activa la conexión mientras escucha música, por el alto
consumo de ancho de banda.
Está prohibido a los empleados del Banco de Machala navegar en sitios relacionados
con pornografía, terrorismo, sexo, drogas, satanismo, juegos, música y/o videos.
Está terminantemente prohibido bajarse programas de sitios de Internet, aun cuando

estos se presenten como “freeware” o de uso gratuito.
Está terminantemente prohibido bajarse juegos de los sitios web.
Están prohibidas las suscripciones a sitios en la red que no estén relacionados con los
fines del negocio del Banco de Machala.
Está prohibido utilizar servicios de chateo o mensajería como Skype, Yahoo

Messenger, Facebook, entre otros.
El Área de Mercadeo es la única autorizada a manejar las redes sociales del Banco.
Está prohibido al personal asumir en nombre del Banco de Machala, posiciones

personales en los foros de opinión que provee el Internet así como en otros medios de
este tipo.
Está prohibido al personal que revelen en las redes sociales, información detallada de
sus cargos, funciones y demás información que pudiera exponerlos o exponer al
Banco.
De la sincronización del reloj.
La Gerencia de Coordinación y Control de TI, debe velar siempre porque los relojes
de todos los sistemas estén sincronizados respecto de una fuente de referencia
común.
La Gerencia de Coordinación y Control de TI debe utilizar el servicio NTP para

sincronizar los relojes de todos los dispositivos de la red.
El dispositivo de referencia para la sincronización de relojes del Banco de Machala

será el PDC (primary domain controler).
El Área de Auditoría en conjunto con la Gerencia de Coordinación y Control de TI,

debe realizar revisiones por muestreo con una frecuencia semestral, de la
sincronización de los relojes de los equipos del Banco.
9. Gestión y Control de Accesos (Dominio # 7 de la norma ISO 27001).

__________________________________________________________________
De la restricción del acceso a la información – Monitoreo.
El Banco de Machala, tendrá derecho de monitorear el uso de sus recursos de

información y de TI para asegurar el uso apropiado de los mismos, así como para
proteger estos recursos de posibles ataques internos o externos.
El Área de Seguridad de la Información es responsable de monitorear la red utilizando

las herramientas de seguridad instaladas, para identificar eventos no autorizados en
el tráfico de la red, que pudieran producir un impacto negativo a los recursos de TI o a
la continuidad del negocio como: Accesos remotos a servidores o Clientes sean estos
internos o externos, accesos no autorizados a servidores, bases de datos, ataques a
canales electrónicos, entre otros.

Las empresas que tienen relación contractual con el Banco y que manejan
información sensible de los clientes a través de sus redes, equipos de comunicación,
servidores deberán firmar acuerdos de cumplimiento de seguridad.
Seguridad de la Información deberá visitar al menos una vez al año, los centros de
cómputo de las empresas con quienes haya firmado acuerdos de cumplimiento de
seguridad para garantizar el cumplimiento de los términos del mismo.
Las revisiones de datos o recursos tales como correos electrónicos, se deberán

realizar respetando los artículos de privacidad de la Ley de Comercio electrónico, del
COIP y solicitando la autorización del dueño del correo, el personal de Seguridad de
la Información, deberá monitorear toda fuente externa en búsqueda de nuevas
vulnerabilidades ya sean estas técnicas o no, y desarrollar la mitigación apropiada
para enfrentarlas.
El personal de Seguridad de la Información debe estar suficientemente capacitado

para utilizar las herramientas de seguridad para el monitoreo de los diferentes eventos
que se presenten en la red, recopilando, clasificando, procesando, interpretando y
diseñando adecuadamente cada una de las alarmas, para asegurar una respuesta
ágil, organizada y efectiva frente a eventos críticos que pudieran impactar
negativamente las operaciones del Banco.
El uso de las herramientas utilizadas para el análisis y monitoreo, buscará identificar

el uso no autorizado de los recursos tecnológicos de la Institución, actos que violen el
Código de Ética y Conducta del Banco, o patrones de fraude por parte de los
empleados o funcionarios. Dentro del alcance del análisis y monitoreo de estas
herramientas, se define a todos los dispositivos tecnológicos de propiedad del Banco
de Machala.
Las áreas que pueden utilizar las herramientas de monitoreo de seguridad serán:
Seguridad de la Información y de Auditoria. La información a la que accedan por
ningún motivo podrá ser divulgada interna o externamente.
De la Gestión de acceso de Usuario.
Política de control de accesos.
El Área de Seguridad de la Información será la única encargada de la administración

de las cuentas de acceso de los usuarios del Banco de Machala en los ambientes de
producción.
Estándares de seguridad para el registro de los usuarios.
Todo usuario de los sistemas debe ser registrado con sus nombres y apellidos,
completos, documento de identidad, código de empleado un user_id y una clave,

cumpliendo los procedimientos de creación de usuarios que constan en el documento

G-RIE-02-01-002.
Se prohíbe el uso de cuentas genéricas para el acceso de los usuarios a los

diferentes recursos tecnológicos del Banco.
Únicamente podrán existir cuentas genéricas para la ejecución automatizada de los

aplicativos que exigen una cuenta, para levantar servicios, para acceso de las
interfaces. Estos casos serán manejados como excepciones y serán aprobados por
el Oficial de Seguridad de la Información con el justificativo del área solicitante. Los
usuarios del Banco de Machala, en lo posible, deben ser registrados con el mismo
user_id en todos los aplicativos. Se manejarán excepciones que dependerán de la
longitud del user_id registrado y de las limitantes de cada aplicativo.
Estándares de seguridad para la gestión de privilegios.
El Dueño de la Información, definirá los roles y perfiles de acceso por cada cargo
existente en la Institución, mismos que deberán ser aprobados por los dueños de los
procesos o sus delegados.
Seguridad de la Información documentará y custodiará los perfiles y roles de acceso

definidos. Esta información será clasificada como “Restringida”.
Los usuarios deben ser provistos únicamente con los accesos para los servicios a los
que ellos de acuerdo a sus funciones han sido específicamente autorizados a usar.
(A11.4.1).
Los administradores de cada plataforma deben utilizar cuentas con los privilegios
mínimos necesarios para sus tareas operativas diarias.
En general se prohíbe el uso de contraseñas con perfil administrador en la operativa

diaria, pudiendo recurrir al uso de las cuentas de máximos privilegios cuando sea
indispensable y con autorización previa de sus jefes y de Seguridad de la Información.
Seguridad de la Información será responsable de definir las políticas de seguridad

para la configuración segura de todos los dispositivos de control de acceso tales
como: tarjetas inteligentes, tokens, dispositivos de encriptación y demás tecnologías
que se implementen.
Los encargados del soporte y mantenimiento técnico de los sistemas operativos,

bases de datos y equipos de comunicación deberán mantener usuarios con perfiles
de acceso relacionados exclusivamente a las funciones que van a realizar. Estos
perfiles de acceso deberán ser definidos y otorgados entre la Gerencia de
Coordinación y Control de TI y Seguridad de la Información.
El acceso a grabar en memorias USB (pen drive) y/o CD está restringido únicamente
al personal autorizado. Este permiso solo podrá ser autorizado por el Gerente del
Área del usuario solicitante, para lo cual debe llenar un formulario y enviarlo firmado.
Anexo # 2.
Los usuarios con cargo de Vicepresidentes y Gerentes, Gerente Oficial de

Cumplimiento, Oficial de Seguridad de la Información, tendrán el acceso a grabar en
memorias USB (pen drive) y/o CD por defecto en sus cuentas y no tendrán necesidad
de firmar documento alguno.
Los usuarios con cargo de Vicepresidentes y Gerentes, Gerente Oficial de

Cumplimiento, Oficial de Seguridad de la Información, tendrán el acceso al Correo
Externo y a Internet por defecto en sus cuentas y no tendrán necesidad de firmar
documento alguno.
Estándares de seguridad para la gestión de contraseñas de usuario.
Seguridad de la Información deberá hacer una revisión ya sea manual o automática

cada 90 días de los usuarios en los diferentes aplicativos para evitar que alguno haya
salido de la Institución y se haya quedado con permisos. La administración así como
la entrega de las contraseñas a los usuarios será responsabilidad de Seguridad de la
Información.
La contraseña inicial de todos los Sistemas, deberá ser entregada por Seguridad de la
Información utilizando un procedimiento de entrega seguro que le ayude a certificar la
identidad del usuario previo a la entrega.
Las contraseñas iniciales en todos los aplicativos deberán nacer expiradas para
obligar al usuario al cambio inmediato.
Seguridad de la Información no podrá entregar contraseñas por teléfono. Las

contraseñas se entregarán siguiendo el procedimiento de entrega de contraseñas
definido en el manual de procedimientos G-RIE-02-001-002.
El tipo de contraseñas que Seguridad de la Información entregue a los usuarios, no

debe ser nunca igual al user_id, excepto en los casos de reinicialización de claves en
ciertos aplicativos diseñados de esta forma.
Toda contraseña instalada por defecto en cualquier aplicativo o recurso tecnológico

adquirido por el Banco de Machala, deberá ser cambiada antes de ser implementada
en ambiente de producción.
De la Revisión de los derechos de acceso de usuario.
Los accesos otorgados a los usuarios deberán ser revisados de forma periódica por
Auditoría Interna. (A.11.2.4)
Al menos una vez por año Seguridad de la Información entregará a los Dueños de los
Procesos los listados de todos los usuarios con sus respectivos roles para la revisión.
Los permisos que deban ser eliminados se procesarán de inmediato contra el reporte
generado por los dueños de los procesos o sus delegados.
Estándares de seguridad para las contraseñas.
Los usuarios son responsables de toda acción realizada con sus contraseñas en los
sistemas de información. Por tanto deben preocuparse del buen uso y manejo de las
mismas.
Las claves o contraseñas, son de carácter personal e intransferible, siendo

estrictamente prohibido bajo cualquier circunstancia ceder la misma a otro empleado
o funcionario del Banco.
Los usuarios deben memorizar sus claves, en lo posible deben evitar mantener sus
contraseñas escritas, si lo requieren deben guardarlas en lugares de difícil acceso.
Las contraseñas almacenadas en las bases de datos o cualquier dispositivo de

almacenamiento deberán estar encriptadas o enmascaradas, para que no puedan ser
interpretadas a simple vista por usuarios no autorizados.
Los campos donde se ingresen las contraseñas al momento de ingresar a los

aplicativos, deben mostrarse al usuario siempre enmascaradas.
Las cuentas de usuario deberán estar configuradas para que se bloqueen al 3er
intento fallido de acceso.
El desbloqueo de las claves, lo hará únicamente el personal autorizado de Seguridad

de la Información, pudiendo ser los Operadores, los Analistas de seguridad e incluso
el Oficial de Seguridad. Se hará en forma manual en respuesta a un requerimiento del
usuario realizado por teléfono, correo, o presencial.
La longitud de las contraseñas deberá ser: 8 mínima y máxima hasta 16 caracteres

según lo permitan los diferentes aplicativos.
Las contraseñas siempre que el aplicativo lo permita, deben cumplir con al menos 2
de las siguientes características:
 Ser alfanuméricas (a-z) (0-9)

 Tener al menos una mayúscula
 Tener al menos un carácter especial
No se debe incluir como parte de la contraseña el nombre del usuario.
Los sistemas deben estar configurados para manejar historia de las 12 últimas
contraseñas, así se controlará que los usuarios no repitan las claves al momento del
cambio.

Los sistemas deben estar configurados para que las contraseñas caduquen cada 30
días.
Todas las contraseñas de conexión o de webconfig deben guardarse encriptadas.
Los usuarios no deben utilizar contraseñas obvias o fáciles de adivinar por contener
información personal (ej. nombres de los hijos, números de teléfono, fechas de
nacimiento, nombres de mascotas, teléfono, entre otras).
Seguridad de la Información administrará y mantendrá la custodia de las contraseñas

de máximos privilegios de los sistemas operativos, bases de datos, aplicativos y
equipos de comunicación del Banco de Machala.
Seguridad de la Información deberá mantener las contraseñas de máximos privilegios

en sobres sellados, debidamente almacenadas en lugares seguros, como una caja
fuerte, cuidando tener una copia de las mismas fuera de las instalaciones del Banco.
El Área de Seguridad de la Información debe mantener documentado el inventario

actualizado de las contraseñas que custodia.
En caso de que personal de Sistemas requiera la utilización de alguna de las

contraseñas administradoras en custodia de Seguridad de la Información, ésta deberá
ser solicitada previa aprobación de la Gerencia de Coordinación y Control de TI, el
personal de Seguridad de la Información digitará la clave con los cuidados del caso y
permanecerá supervisando lo que se haga con esta clave hasta el final del proceso,
luego de lo cual procederá a cambiarla si lo considera necesario y ensobrarla
nuevamente.
Equipo de usuarios desatendidos.
Es obligación de los usuarios bloquear su computador cada vez que se retiren de su

sitio de trabajo, para lo cual deben utilizar el juego de teclas “Windows + L” o
“Ctrl+Alt+Spr”.
Los aplicativos deben tener programado un control de sesiones de trabajo para que
se desconecte automáticamente cuando detecte que no existe actividad alguna en un
periodo entre 5 y 10 minutos. Este valor debe ser parametrizable.
Las políticas de grupo de directorio activo, deben estar configuradas para que en
todas las estaciones de trabajo entre los 5 y 10 minutos de inactividad como mínimo,
se active el protector de pantalla definido por la Institución.
Las políticas de grupo de directorio activo, deben restringir la configuración del

protector de pantalla para que los usuarios finales no puedan deshabilitarlo o
modificar la configuración del tiempo.

Es obligación de los usuarios que al final de la jornada laboral, cierren todas las
aplicaciones y apaguen el computador.
Previo a los fines de semana y/o feriados, los usuarios deben dejar desconectadas las
impresoras, escaners, cafeteras y todo dispositivo eléctrico para prevenir conatos de
incendio.
Del control de Escritorios y Pantallas Limpias.
El Banco de Machala, adopta la política de escritorios y pantallas limpias, a fin de

reducir los riesgos de pérdida y/o daño de la información.
Los escritorios deben permanecer limpios sin documentos cuando los usuarios
terminen la jornada laboral.
Es obligación de los usuarios guardar con llave todos los documentos críticos o
confidenciales para no dejarlos al alcance de terceros, evitando así la fuga de
información.
Los documentos que contengan información de Clientes, no se deben dejar en los

escritorios, se deben guardar en un lugar seguro, preservando así la privacidad de los
Clientes.
Los usuarios que manejan tokens, no pueden dejarlos puestos en los equipos, es su
responsabilidad guardarlos en un lugar seguro con llave, cuando no los estén
utilizando.
Control de acceso a la red.
Todos los usuarios/equipos que acceden a los diferentes elementos de la red,

deberán estar previamente autorizados por Seguridad de la información.
Es obligación del personal de Tecnología de la Información, cambiar las claves por

defecto, de todos los equipos de red que configuren.
Es obligación del personal de Tecnología de la Información, tener todos los

dispositivos de red actualizados a la última versión.
Los accesos externos a la red, deberán ser controlados mediante políticas de acceso
en el Firewall externo.
El control de acceso a la red, debe estar restringido mediante herramientas de

seguridad perimetral.
Las herramientas de seguridad no podrán ser deshabilitadas por el personal de

Tecnología de la Información ya sea en forma temporal o permanente a menos que
tengan la aprobación del Oficial de Seguridad de la Información.

Las políticas de acceso de los Firewall, deben nacer totalmente cerradas y poco a
poco se irán abriendo de acuerdo a las necesidades del negocio.
Los niveles de acceso a la red, no deben comprometer la segregación de funciones y

responsabilidades.
Por seguridad es obligación del personal de Tecnología de la Información mantener

siempre deshabilitados todos los servicios de red que no se estén utilizando.
De la segregación de redes.
La plataforma tecnológica del Banco de Machala deberá estar distribuida en

segmentos de red independientes. El tráfico entre estos segmentos de red deberá
estar controlado mediante dispositivos de seguridad que permitan monitorear y/o
bloquear accesos.
Todos los servidores de bases de datos críticas, deben ser ubicados tras un firewall o
de preferencia en una zona desmilitarizada (DMZ).
Gestión de accesos.
Políticas derivadas de la norma JB-2014-3066 para canales electrónicos.
El envío de información de sus Clientes relacionada con al menos números de

cuentas y tarjetas, debe ser realizado bajo condiciones de seguridad de la
información, considerando que cuando dicha información se envíe mediante correo
electrónico o utilizando algún otro medio vía Internet, ésta deberá ser enmascarada;
Se debe contar en todos los canales electrónicos con software antimalware

permanentemente actualizado, que permita proteger el software instalado, detectar
oportunamente cualquier intento o alteración en su código, configuración y/o
funcionalidad, y emitir las alarmas correspondientes para el bloqueo del canal
electrónico, su inactivación y revisión oportuna por parte de personal técnico
autorizado.
No se permitirá el almacenamiento de la información propiedad del Banco de Machala

en equipos o dispositivos que pertenezcan a funcionarios de la Institución o de
terceros.
El Banco debe contar con un software antimalware permanentemente actualizado, el

cual permita detectar oportunamente cualquier intento o alteración del software ya sea
en su configuración y/o funcionalidad, y emitir las alarmas correspondientes para la
revisión oportuna por parte del personal técnico autorizado de la institución.
Se debe incorporar en todos los procedimientos de administración de seguridad de los

canales electrónicos, el bloqueo de los canales electrónicos o de las tarjetas cuando
se presenten eventos inusuales que adviertan situaciones fraudulentas o después de
un número máximo de tres (3) intentos de acceso fallido. Estos eventos deben ser
notificados a clientes a través de mensajería móvil, correo electrónico u otro
mecanismo. La reactivación de los servicios debe ser de manera segura.
Las claves de acceso a todos los canales electrónicos, se deben renovar en forma
automática por lo menos 1 vez al año.
La clave de banca electrónica debe ser diferente de aquella por la cual se accede a
otros canales electrónicos.
Los procedimientos de administración de la Seguridad de la Información, deben tener

controles para impedir que funcionarios de la entidad que no estén debidamente
autorizados tengan acceso a consultar información confidencial de los Clientes en el
ambiente de producción.
Se debe mantener logs de auditoría sobre las consultas realizadas por los
funcionarios a la información confidencial de los Clientes, la cual debe contener como
mínimo: identificación del funcionario, sistema utilizado, identificación del equipo (IP),
fecha, hora, e información consultada. Esta información deberá conservarse por lo
menos por doce (12) meses;
En todo canal electrónico en donde se solicite el ingreso de una clave, ésta debe
aparecer enmascarada.
10. Adquisición, Desarrollo y Mantenimiento de los Sistemas de Información

(Dominio # 8 de la norma ISO 27001).
__________________________________________________________________
Del análisis y especificación de los requisitos de seguridad de los Sistemas de

información.
En todo desarrollo de un nuevo aplicativo así como los cambios o actualizaciones de

un aplicativo existente, se deben especificar los requisitos y controles de seguridad
que se requieren aplicar.
En todo aplicativo nuevo o por mantenimiento, se deben establecer los niveles de

riesgo a los que está expuesto el aplicativo, basados en el uso de la red, puertos,
servicios activos, sistemas operativos, bases de datos y demás.
Seguridad de la Información debe participar en todos los proyectos que generen los
nuevos servicios, la adecuación de los antiguos o los requerimientos críticos o
normativos, desde el inicio de los mismos.

En todos los procesos de compra, actualización y/o desarrollo de software deberá

participar el área de Seguridad de la Información, para verificar los esquemas de
seguridad así como el cumplimiento de las políticas de seguridad.
Ninguna nueva aplicación desarrollada o adquirida podrá ser puesta en ambiente de

producción si las versiones del software de apoyo no tienen soporte del fabricante.
Toda versión de software de apoyo que se instale, deberá haber sido previamente
liberada al mercado, y deberá estar funcionando en otras instalaciones sean estas
locales o internacionales.
Los aplicativos que se implementen en producción, deben tener un módulo de

administración de usuarios que cumpla con los estándares definidos por Seguridad de
la Información.
Todo nuevo aplicativo que se implemente en producción, debe tener la capacidad de

restringir la asignación de accesos por fechas y por horas.
Todos los nuevos aplicativos que se implementen en producción, deben tener un log
que permita identificar los periodos de inactividad de los usuarios para poderlos
suspender ya sea en forma manual o automática.
Todos los nuevos aplicativos deben tener logs de auditoría para la trazabilidad de los
eventos.
Todos los aplicativos que se adquieran a terceros o se desarrollen in house, deben

presentar las claves que digite el usuario al momento de ingresar al aplicativo en
formato enmascarado.
Los desarrolladores deben cuidar que los aplicativos no guarden en su código fuente
ninguna contraseña de usuario.
Tratamiento correcto de las aplicaciones.
De la validación de los datos de entrada.
Para todo nuevo aplicativo desarrollado en el Banco, el responsable de la unidad de

Desarrollo debe garantizar que su personal utilice la metodología de programación
segura aprobada por el Banco.
En caso de que un aplicativo no tenga la funcionalidad que le permita corregir un error

de ingreso, el personal de Desarrollo deberá programar los scripts para resolver el
problema puntual, su ejecución debe estar sujeta al procedimiento establecido
mediante el envío por parte del usuario solicitante a Mesa de Ayuda del formulario
“Reporte de novedades a Mesa de Ayuda”.

Del control del procesamiento interno.
El área de Desarrollo debe incluir chequeos de validación en las aplicaciones para la

detección de una posible corrupción en la información debida a errores de
procesamiento o de acciones deliberadas. Utilizando metodologías o herramientas
especializadas.
Se debe aplicar un control de revisión de vulnerabilidades al código fuente de las

aplicaciones antes de aprobar su paso a producción, con herramientas
especializadas, siempre que la herramienta sea compatible con el lenguaje del
programa
Seguridad de la Información debe mantener una matriz de vulnerabilidades de los

diferentes aplicativos para establecer los controles que mitiguen dichas
vulnerabilidades en caso de que no se pudieran remediar o que los planes de acción
de las remediaciones tuvieran que ser a largo o mediano plazo.
Los aplicativos desarrollados en lenguajes antiguos para los que no haya

herramientas de escaneo en el mercado como es el RPG, deberán tener un
tratamiento diferente a los aplicativos de lenguajes modernos. Su código fuente
deberá ser revisado manualmente.
De la integridad de los mensajes.
Todas las aplicaciones deben tener controles para parametrizar los mensajes de error
que se generen en el sistema. La aplicación debe presentar mensajes generados con
una descripción apropiada que ayude al usuario a entender la fuente del error.
El personal de Desarrollo debe cuidar que los mensajes de información sensible que
se envían desde las aplicaciones, no muestren más de lo necesario, se envíen a los
destinatarios correctos, se tomen precauciones para que no se eliminen o modifiquen
en forma accidental o intencionada y se generen siempre en los momentos
adecuados.
De la validación de los datos de salida.
El personal de Desarrollo debe validar siempre los datos de salida de las aplicaciones,
para garantizar que el procesamiento de la información almacenada es correcto.
La Gerencia de Desarrollo, debe velar porque una vez corregida la data en

producción, se proceda a corregir el código de la aplicación que genera
inconsistencias para asegurar que no se vuelvan a repetir.
La ejecución de los scripts de corrección de la data en producción la hará

exclusivamente el personal del Departamento de Base de datos. .

Todas las correcciones que se hagan de la data en producción se podrán procesar

únicamente si se cuenta con el soporte respectivo del dueño del Proceso o su
delegado.
Controles criptográficos.
De la política de uso de controles criptográficos.
Se debe contar con mecanismos o controles de encriptación para proteger la

confidencialidad e integridad de los datos de la Institución.
Los mecanismos, protocolos, o software de encriptación que se utilicen en el Banco

deberán estar basados en estándares internacionales y deberán ser definidos y
documentados por Seguridad de la Información,
Se prohíbe transmitir o enviar el PAN, el CVV o la fecha de caducidad de las tarjetas

de pago (débito o crédito), por cualquier tipo de mensajería, sin que estos estén
debidamente protegidos por algún procedimiento seguro: encriptados o
enmascarados.
Se deberán activar mecanismos de enmascaramiento o cifrado de discos duros, en

los equipos que almacenen datos sensibles.
Las redes inalámbricas que se utilicen en el Banco de Machala, deberán utilizar

procedimientos fuertes de autenticación, para lo cual deben basarse en protocolos
como WPA, WPA+WPA2 que aporten con cifrados robustos para la autenticación y la
trasmisión. Adicionalmente deberán llevar un control de autenticación por las MACs
de las Computadoras y/o los celulares.
Únicamente el personal específicamente autorizado por el negocio podrá visualizar de

forma completa el número de la tarjeta (débito o crédito).
El método de enmascaramiento debe permitir visualizar una cantidad máxima de

dígitos de las tarjetas de (débito o crédito) que serán los primeros seis y los últimos
cuatro dígitos del número de tarjeta.
Todos los nuevos aplicativos que manejen bases de datos con versiones superiores a
la 2008 deberán encriptar la data sensible con la funcionalidad propia de las bases
SQL.
De la Gestión de claves criptográficas.
Se debe establecer una gestión de las claves que respalde el uso de las técnicas
criptográficas en la Organización.
Seguridad de la Información será el custodio de todas las llaves criptográficas que se

utilicen en el Banco.

El estándar a seguir en los mecanismos de encriptación, serán claves de encriptación

de 128 bits como mínimo.
Todo proceso criptográfico deberá manejar el principio de control dual de llave pública
y privada, en especial las que protegen los números de tarjetas de pago (débito o
crédito).
El protocolo de comunicación que soportará el Banco será el TLS 1.2 o superiores.
Todas las cadenas de conexión entre el AS-400 y los servidores deberán estar
encriptadas.
Las claves de tipo randómico que se utilicen en los aplicativos, deberán ser
generadas con herramientas especializadas del tipo HSM que manejen algoritmos de
generación seguros.
De la metodología de código seguro.

Es obligación del programador la incorporación de medidas de seguridad en los
sistemas de información desde su desarrollo y/o implementación y durante su
mantenimiento.
En la programación de las aplicaciones, el personal de desarrollo deberá utilizar

siempre una metodología de código seguro.
Seguridad de la Información, debe realizar el escaneo y análisis de código fuente de

los programas con las herramientas adquiridas para tal efecto.
11. Incidentes de Seguridad (Dominio # 9 de la norma ISO 27001).

__________________________________________________________________
De la comunicación de eventos y debilidades en seguridad.
El plan de respuesta a incidentes debe estar dividido en cuatro fases:

 Acción inmediata para detener o minimizar el incidente;
 Investigación del incidente;
 Restauración de los recursos afectados,
 Reporte del incidente a los canales apropiados.
Todos los empleados tienen la responsabilidad de reportar de forma inmediata
cualquier evento o sospecha de actividades no autorizadas al área de Seguridad de la
Información.
Todo evento de seguridad debe ser manejado por el personal en forma confidencial.

El área de Seguridad de la Información, debe registrar todo incidente de seguridad

para su adecuado control en conjunto con las actividades realizadas para la
mitigación del mismo.
Todos los empleados, contratistas y usuarios de terceros, como usuarios de los
sistemas de información y de los servicios, están obligados a anotar y reportar
cualquier punto débil de seguridad que observen o sospechen en los sistemas o
servicios. (A.13.1.2)
La Administración de responsabilidades y procedimientos debe ser establecida para
asegurar una respuesta rápida, efectiva y ordenada frente a los incidentes de
seguridad. (A.13.2.1)
Cuando una acción de seguimiento contra una persona u organización luego de un
reporte de incidente de seguridad involucra acciones legales (ya sean civiles o
penales), debe ser recolectada y conservada la evidencia preservando la cadena de
custodia, para ser presentada conforme a las reglas establecidas para presentación
de pruebas en la jurisdicción competente. (A13.2.3)
El personal de Seguridad de la Información, debe estar preparado para reaccionar
ante nuevas amenazas o incidentes de seguridad, teniendo actualizadas las
herramientas de seguridad como son la herramienta de detección de intrusos, el
antivirus, hacer nuevas definiciones, crear nuevas reglas, actualizar o mejorar las
existentes.
Cuando el personal con accesos críticos, como personal de Seguridad de la
Información, personal de Servidores, Redes, etc, termine la relación laboral con el
Banco de Machala, el personal de Seguridad de la Información debe proceder de
inmediato a cambiar todas las claves privilegiadas que este personal haya manejado
para realizar su trabajo.
El personal a cargo de la Mesa de Ayuda, debe registrar todos los casos de incidentes
de seguridad que les hayan sido reportados. De preferencia utilizando una
herramienta especial para el ingreso de los casos y la administración de los mismos y
deberá comunicarlos de inmediato al personal de Seguridad de la Información
El personal a cargo de la Mesa de Ayuda, debe crear y mantener una base de
conocimientos de cada uno de los casos que les ingrese a su buzón, así como de las
soluciones.
La Mesa de Ayuda debe tratar de educar a los usuarios con instrucciones básicas,
que les permitan resolver por su cuenta problemas como cables sueltos, equipos con
tomacorrientes no conectados, entre otros.
Mesa de Ayuda debe llevar una estadística de problemas para así detectar los
incidentes repetitivos, revisarlos mensualmente y hacer un análisis adecuado para
poder encontrarles una solución definitiva.
Todos los casos se deben manejar mediante el método de ingreso de tickets en
alguna herramienta para así poder medir el rendimiento y efectividad del personal de
la Mesa de Ayuda.
12. Gestión de la Continuidad del Negocio (Dominio # 10 de la norma ISO 27001).

__________________________________________________________________
La Gestión de la continuidad del negocio soporta etapas donde la información puede
estar altamente expuesta, por esta razón se hace necesario desarrollar los de planes
de continuidad considerando siempre la seguridad de la información.
La continuidad del negocio exige tener un plan de contingencia (DRP) documentado y
permanentemente actualizado.
El personal del equipo de recuperación debe estar capacitado en todo lo que respecta
al plan de contingencia.
Los documentos del plan de contingencia deben reposar tanto en el centro de
cómputo principal como en el centro de cómputo alterno y en alguna otra localidad
previamente definida.
Los backups no deben ser menores de dos (padres e hijos) y deben guardarse en
lugares seguros y adecuados.
Los procesos de mantenimiento a las bases de datos deberán ser correctamente
programados considerando fechas y horarios críticos del negocio, para evitar
impactos en la operativa del negocio.
Se deben implantar calendarios de operación a fin de establecer prioridades de
proceso.
Se debe realizar una prueba de evacuación completa con todo el personal en todas
las instalaciones, al menos una vez al año.
El Área encargada de la Continuidad del Negocio debe supervisar que se realice una
prueba de continuidad/contingencia al menos 1 vez al año y participar activamente.

El Área encargada de la Continuidad del Negocio y el área de Administración serán

responsables de que se envíen a los proveedores contratados por el Banco, acuerdos
de confidencialidad para que sean firmados por sus representantes legales.
El Área encargada de la Continuidad del Negocio y el área de Administración serán
responsables de exigir a los proveedores críticos del Banco que tengan planes de
contingencia (DRP) bien implementados.
El Área encargada de la Continuidad del Negocio será responsable de exigir cláusulas
de soporte especializado en los contratos con proveedores críticos del Banco ante
eventos de contingencia que pudiera sufrir el Banco.
13. Cumplimiento de leyes y regulaciones (Dominio # 11 de la norma ISO 27001).

__________________________________________________________________
Objetivo: Evitar brechas con cualquier ley, estatuto, obligaciones contractuales o

regulatorias así como con cualquier requerimiento de seguridad.
Cumplimiento de requerimientos legales.
Todos los estatutos relevantes, regulatorios, requerimientos contractuales y metas

organizacionales deben estar explícitamente definidos, documentados y actualizados
a la fecha para cada sistema de información. (A15.1.1)
Deben ser implementados procedimientos apropiados para asegurar el cumplimiento

de las regulaciones de los entes de control y requerimientos contractuales en el uso
de material y productos de software propietario, respetando los derechos de
propiedad intelectual así como el uso de productos de software propietario. (A15.1.2)
Los registros importantes deben ser protegidos de pérdidas, destrucción y/o

falsificación de acuerdo con los estatutos, requerimientos regulatorios, contractuales y
del negocio. (A.15.1.3)
Se debe asegurar la protección de la data y la privacidad tal como se requiera en las,

regulaciones de los entes de control y de ser aplicable, según las cláusulas
contractuales. (A.15.1.4)
Los usuarios deben ser disuadidos de no utilizar las facilidades de proceso de

información para propósitos no autorizados. (A.15.1.5)
Controles criptográficos deben ser utilizados en conformidad con todos los acuerdos
relevantes, leyes y regulaciones. (A15.1.6)

Seguridad de la Información debe cumplir con todas las regulaciones de seguridad

emitidas por los entes de control como son la Superintendencia de Bancos y Código
Orgánico Monetario y Financiero.
Cumplimiento con las políticas de seguridad y estándares.
Los dueños de proceso deben asegurar que todos los procedimientos de seguridad
dentro de sus áreas de responsabilidad, se desarrollan correctamente para asegurar
la conformidad con las políticas y los estándares. (A15.2.1)
Los sistemas de información deben ser chequeados regularmente para garantizar la

seguridad y la implementación de los estándares. (A15.2.2)
Requerimientos de auditoria y actividades que involucran chequeos en los sistemas

operacionales deben ser cuidadosamente planificados y acordados para minimizar el
riego de interrupción de los procesos del negocio. (A.15.3.1)
El acceso a las herramientas de auditoría de los Sistemas de Información deben ser

adecuadamente protegidos para prevenir cualquier posible mal uso o que resulten
comprometidas. (A.15.3.2)
Del manejo de documentos.
Los usuarios autorizados deberán retirar de forma inmediata todos los documentos
que envíen a las impresoras.
Se prohíbe la reutilización de hojas impresas que contengan información clasificada

como confidencial o reservada.
En la zona de almacenamiento de archivos de documentos siempre se debe:
 Disminuir la cantidad de documentos almacenados.

 No fumar en los lugares donde se archivan documentos.
 Alejar los documentos de las luminarias.
 No almacenar elementos de limpieza en dichas zonas.
Aislar las zonas de archivos, de lugares donde exista otro riesgo de incendio (por
ejemplo zona de generadores, zona de reservorios de combustible de los
generadores).

14. Políticas de privacidad del Banco de Machala.

__________________________________________________________________
El personal debe enviar toda información de tarjetas por mail enmascarando

manualmente los números de tarjeta.
El personal no debe dejar en el escritorio documentos con información sensible de los

Clientes o del Banco, se debe aplicar la política de escritorios limpios.
El personal no puede publicar o compartir la información de sus Clientes.
El personal debe cuidar el no hablar en los corredores o en los ascensores sobre

información de los clientes.
La información confidencial se debe enviar en sobres con el sello de confidencial ya

sea con un sello especial o en forma manuscrita.
El Cliente debe leer atentamente la presente Política de Privacidad cada vez que
accede al Sitio Web del Banco, así podrá estar seguro del manejo que el Banco de
Machala practica con sus datos.
Toda política es variante en el tiempo por ello el Cliente debe leerla y manifestar su
acuerdo con la misma, para poder utilizar el sitio Web del Banco.
El Banco de Machala, tiene pleno conocimiento de que es su responsabilidad proteger

la confidencialidad y privacidad de la información financiera y personal de sus
Clientes.
El Banco de Machala permitirá el acceso a la información de sus Clientes, únicamente

a personas debidamente autorizadas, o a terceros de confianza, que operen bajo una
relación contractual, en la que previamente se hayan comprometido con los términos
de seguridad y privacidad del Banco, y en la que hayan acordado operar conforme a
las políticas del Banco.
Todo acceso concedido a un tercero a las plataformas tecnológicas del Banco de

Machala, estará restringido al propósito de negocio entre el Banco de Machala y la
tercera Entidad.
El Banco de Machala publica en su Sitio Web, las versiones de los navegadores con
los que se puede acceder al Sitio. Versiones inferiores a las sugeridas no darán un
servicio seguro ni de calidad. Es responsabilidad del Cliente mantenerse informado
sobre este tema y actualizar las versiones de sus navegadores.
Toda la información personal que nos entreguen los Clientes como dirección, correo
electrónico, teléfonos, números de fax y cualquier otro dato que lo identifique como
Cliente, no será revelada a terceros que no operen bajo una relación contractual con
el Banco, a menos que se lo hayamos comunicado previamente al cliente, que

hayamos sido autorizados por el Cliente o que por una instancia legal hayamos sido
requeridos. Es responsabilidad del Cliente, garantizar la exactitud, veracidad e
integridad de la información de tipo personal y financiera que le proporcione al Banco.
Para el Banco de Machala la seguridad de su información es una prioridad en la

operativa diaria, invertimos en soluciones y tecnologías de primer nivel para proteger
la información que nos proporcionan los Clientes. Tenemos especial cuidado en los
controles implementados para proteger su información personal en todos nuestros
productos y servicios. Sin embargo, el Cliente debe tener en consideración que a
pesar de las características técnicas y seguras de transmisión de información a través
del Internet, ningún sistema es 100% seguro o está exento de sufrir ataques de
terceros.
El acceso a nuestro Sitio Web se realiza mediante un ID de usuario y una contraseña

proporcionada al inicio por el Banco así como con otros factores de autenticación. Es
responsabilidad del Cliente proteger la confidencialidad de su contraseña y de
los otros factores de autenticación que el Banco le haya proporcionado. De igual
manera el Cliente asume la responsabilidad por todas las actividades que se realicen
bajo su ID de usuario y contraseña durante el tiempo que dure la relación con el
Banco de Machala. Por tal razón el Cliente se compromete a: Notificar de inmediato al
Banco de Machala mediante el canal del Call Center (1-700-800-700 opc.5) sobre el
robo o uso no autorizado de su ID de usuario y contraseña. El no cumplimiento de
este punto deslinda al Banco de Machala de toda responsabilidad por la pérdida o
daño sufrido con el uso indebido del usuario y contraseña.
Los clientes pueden tener la seguridad de que Banco de Machala no está en el

negocio de venta de información personal. No vendemos los datos de nuestros
Clientes a terceros, ni los alquilamos bajo ningún concepto.
El Banco de Machala cuenta con programas de concienciación y formación sobre

seguridad y privacidad, para garantizar que los empleados comprendan la importancia
de proteger los datos personales, al igual que políticas de privacidad y estándares que
regulan la forma en que el Banco de Machala gestiona los datos de nuestros Clientes.
15.- SANCIONES:
Los usuarios que se los encuentren por primera vez infringiendo las políticas de
seguridad y privacidad, en caso de ser una política crítica como compartir una clave,
serán reportados a su Gerente y a Recursos Humanos para la respectiva separación
del Banco.
En caso de ser una política menos crítica, por ejemplo que dejó el terminal sin
bloquear durante su ausencia, deberán escuchar una charla personalizada por parte
del personal de Seguridad de la Información y firmar un acta de compromiso en la que
aceptan que están en conocimiento de las mismas y que si infringen nuevamente una
de estas políticas serán sometidos a una sanción económica que puede variar del 1 al
10% o una pena mayor según la criticidad de la falta clasificada en el reglamento
interno de trabajo. Este documento permanecerá bajo custodia de Seguridad de la
Información. En caso de reincidencia el evento será escalado a Recursos Humanos.
En caso de negarse a firmar el acta de compromiso, serán reportados directamente a

Recursos Humanos para la respectiva sanción.

5. ANEXOS.
Anexo # 1: Clasificación de Datos.

Anexo # 2: Solicitud de accesos a Puertos USB.

Anexo # 3: Solicitud de acceso a Correo Externo

6. GLOSARIO.
 CD-ROM: Es un dispositivo capaz de leer un disco compacto de

tecnología óptica que se utiliza para almacenar y utilizar información en
medios informáticos.
 Cookie: (o galleta informática) es una pequeña información enviada por

un sitio web y almacenada en el navegador del usuario, de manera que
el sitio web puede consultar la actividad previa del usuario.
 Dueño o propietario de Activo de Información: Es la persona,

designada por la entidad, que tiene la responsabilidad de definir los
controles, el desarrollo, el mantenimiento, el uso y la seguridad de los
activos de información que tiene bajo su cargo.
 Frames: Son marcos o recuadros, sirven o se usan para dividir una

página web en ventanas más chicas y así tener varias ventanas para
cargar diferentes documentos en una sola página HTML.
 Header: Se refiere a la información suplementaria situada al principio de

un bloque de información que va a ser almacenada o transmitida y que
contiene información necesaria para el correcto tratamiento del bloque
de información.
 PST: Extensión que representa la cualidad de un archivo de correo

electrónico como Outlook.
 Referencia (A #.#.#): Los parrafos que tienen esta referencia han sido
transcritos de la norma ISO 27001.
 Stride: Es un acrónimo de la Metodología de código seguro que resume

6 categorías de amenazas: Spoofing, Tampering, Repudiation,
Information Disclosure, Denial of Service, and Elevation of Privilege.
 SSL Secure Sockets Layer: (SSL; en español «capa de conexión

segura») son protocolos criptográficos que proporcionan
comunicaciones seguras por una red, comúnmente Internet.

 Spoofing: En términos de seguridad de redes hace referencia al uso de

técnicas a través de las cuales un atacante, generalmente con usos
maliciosos o de investigación, se hace pasar por una entidad distinta a
través de la falsificación de los datos en una comunicación.
 Switch: o conmutador es un dispositivo de interconexión de redes

informáticas, dispositivo analógico que permite interconectar redes
operando en la capa 2 o de nivel de enlace de datos del modelo OSI.
 Router: Es un dispositivo que proporciona conectividad a nivel de red o

nivel tres en el modelo OSI. Su función principal consiste en enviar o
encaminar paquetes de datos de una red a otra, es decir, interconectar
subredes.
 Pendrive: Es un tipo de dispositivo de almacenamiento de datos que

utiliza memoria flash para guardar datos e información.
 URL: Se trata de una cadena de caracteres que identifica cada recurso

disponible en el internet, dirección de acceso a un sitio web específico.
 Ofimática: La ofimática es aquel conjunto de herramientas, técnicas y

aplicaciones que se utilizan para facilitar, optimizar, mejorar y
automatizar las tareas referentes a la oficina.


Seguridad de La Información

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Seguridad de La Información

Cargado por

Copyright:

Formatos disponibles

CÓDIGO: PO-RIE-001

MANUAL DE POLÍTICAS DE SEGURIDAD DE LA

Versión 5.0 Fecha de Aprobación del Directorio: 21/04/2017 Pág. # 2 de 55

CONTROL DE VERSIONES Y ACTUALIZACIONES

No. Versión Motivo o Causa Descripción del Cambio

Versión 5.0 Fecha de Aprobación del Directorio: 21/04/2017 Pág. # 3 de 55

Versión 5.0 Fecha de Aprobación del Directorio: 21/04/2017 Pág. # 4 de 55

Definir y establecer lineamientos para administrar la Seguridad de la Información con

El cumplimiento de las políticas y estándares de seguridad de la información debe ser

Versión 5.0 Fecha de Aprobación del Directorio: 21/04/2017 Pág. # 5 de 55

La norma ISO 27001 se desarrolla en 11 áreas o dominios a seguir:

Las políticas de seguridad definirán los controles necesarios para garantizar la

Versión 5.0 Fecha de Aprobación del Directorio: 21/04/2017 Pág. # 6 de 55

1. Política de seguridad (Dominio # 1 de la norma ISO 27001).

2. Revisión de la política de Seguridad de la Información.

ELABORACIÓN, ACTUALIZACIÓN, APROBACIÓN DE LAS POLÍTICAS DE

La elaboración, actualización de las políticas de Seguridad de la Información son

Toda modificación a las políticas de Seguridad de la Información deberá ser

El Comité de Administración Integral de Riesgos evaluará las recomendaciones de la

El Directorio del Banco de Machala, luego de evaluar las recomendaciones, aprobará

Versión 5.0 Fecha de Aprobación del Directorio: 21/04/2017 Pág. # 7 de 55

El Área de Auditoria Interna deberá revisar dentro de su plan de trabajo anual, el

La actualización de este Manual estará a cargo del Oficial de Seguridad de la

En toda actualización deberá quedar documentada la fecha de revisión, los nombres

Toda actualización relacionada a los temas de seguridad de la información,

La información debe ser protegida de acuerdo con su confidencialidad, valor y

Las políticas de Seguridad de la Información del Banco de Machala, deben ser

Todos los Niveles Jerárquicos de la Institución, son responsables de concientizar y

Versión 5.0 Fecha de Aprobación del Directorio: 21/04/2017 Pág. # 8 de 55

Todo activo de información generado en el Banco es propiedad absoluta del Banco de

Seguridad de la Información debe tener identificados a los dueños de la información y

La entrega de información restringida, o reservada, a una persona o entidad externa,

4. Aspectos Organizativos de Seguridad de la Información (Dominio # 2 de la norma

Compromiso de la Dirección con la Seguridad de la Información.

La gestión de Seguridad de la Información debe contar con un compromiso de

Este compromiso se debe ver reflejado en:

 Asignación de un responsable de Seguridad de la Información.

Coordinación de la Seguridad de la Información.

Los responsables del Área de Seguridad de la Información deben realizar las

Versión 5.0 Fecha de Aprobación del Directorio: 21/04/2017 Pág. # 9 de 55

Asignación de responsabilidades para la Seguridad de la Información.

Todas las responsabilidades del personal de Seguridad de la información, deben estar

Los procesos de Seguridad de la Información contemplan la participación de

 Definir los criterios de clasificación de la información a su cargo.

Proceso de planificación de nuevos servicios de la información.

Cada Área del Banco de Machala en la planificación de los proyectos de nuevos

 La asignación de un Dueño de la Información para los nuevos servicios a

Versión 5.0 Fecha de Aprobación del Directorio: 21/04/2017 Pág. # 10 de 55

Misión de Seguridad de la Información:

El Área de Seguridad de la Información tiene la misión de conducir a la institución a

Visión de Seguridad de la Información:

El Área de Seguridad de la Información debe llegar a implementar procedimientos de

De los acuerdos de confidencialidad.

Los acuerdos de confidencialidad deberán ser revisados por el Área de Asesoría

El personal de Seguridad de la Información debe firmar acuerdos especiales de

Tratamiento de la seguridad en contratos con terceros.

Los accesos a la información o a la infraestructura del Banco de Machala, se podrán

Todo acceso a las plataformas tecnológicas o aplicativos del Banco, concedido a un

Versión 5.0 Fecha de Aprobación del Directorio: 21/04/2017 Pág. # 11 de 55

Los permisos de acceso a las plataformas tecnológicas o aplicativos del Banco de

Toda clave de acceso utilizada por un proveedor, durante una instalación de un

5. Administración de recursos Gestión de activos. (Dominio # 3 de la norma ISO 27001).

Clasificación de los activos de información.