Psi - V3.0 2023

EL CLAN EAFC S.A. Versión 1.
0 Página 1 de 33
PLAN DE SEGURIDAD DE LA INFORMACIÓN
PLAN DE SEGURIDAD
DE LA INFORMACIÓN
VERSIÓN 3.0
Aprobado en Sesión de Directorio del 31 de enero de 2023
Vigente a partir del 01 de febrero de 2023
Elaborado por: Revisado por: Aprobado por:

El Clan EAFC S.A. Gerencia General Sesión de Directorio del 31.01.23
La impresión del presente documento será una copia no controlada. Antes de usarla, asegúrese de que se trate de la versión vigente.
EL CLAN EAFC S.A. Versión 1.0 Página 2 de 33
INDICE
CÁPITULO I: GENERALIDADES 3
CÁPITULO II: APLICACIÓN DE LA METODOLOGÍA DE SEGURIDAD DE LA INFORMACIÓN 6
CÁPITULO III: PLANES DE SEGURIDAD DE LA INFORMACIÓN 7
ANEXO 1: ANÁLISIS DIFERENCIAL DE SEGURIDAD 11
ANEXO 2: POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN 19
ANEXO 3: INDICADORES PARA LA VERIFICACIÓN DE SGSI 25
ANEXO 4: ANALISIS DE IMPORTANCIA 28
ANEXO 5: MATRIZ DE ANALISIS DE AMENAZAS 30
ANEXO 6: GLOSARIO DE TÉRMINOS 31

CÁPITULO I: GENERALIDADES
DEFINICIÓN Y PROPOSITO.-
El Plan de Seguridad de la Información (en adelante PSI) es el conjunto detallado de acciones

orientadas a planificar, orientar y desarrollar los mecanismos necesarios para dotar de disponibilidad,
confidencialidad e integridad al conjunto de datos y activos de información de EL CLAN EAFC S.A. (en
adelante la Empresa). El presente PSI se ha elaborado en cumplimiento de lo establecido en el
Reglamento del Sistema de Fondos Colectivos y de sus Empresas Administradoras (en adelante el
Reglamento).
ALCANCE.-
El presente PSI es de aplicación para todas las áreas que componen la Empresa cuya función sea
crítica en brindar los servicios de administración de fondos colectivos. Asimismo, el presente PSI
aplica a terceros a través de contratos o acuerdos de prestación de servicios.
OBJETIVOS.-
 Formular el esquema de seguridad de la información de acuerdo a lo propuesto en la

Metodología de Seguridad de la Información de la Empresa.
 Instaurar medidas de control de acceso a los activos de información de la Empresa.
 Alinear a la normatividad vigente a nivel Nacional las políticas de gestión y administración de
activos de información de la Empresa.
 Establecer las acciones, documentos, procedimientos y responsabilidades frente a la garantía
de la seguridad de la información en la Empresa.
 Proyectar la implementación del presente plan junto con sus actividades y documentos
relacionados.
RESPONSABLE
El seguimiento y/o verificación de la implementación y aplicación de la metodología de Seguridad de

la Información (en adelante la Metodología) se estructura en torno a un Comité de Seguridad de la
Información (en adelante el Comité); el cual estará liderado por su Coordinador del Equipo, quien
desarrolle la labor gerencial de la empresa o un encargado directo y eventual designado por la misma
autoridad, que realice todas las actividades de dirección y decisión para velar por la Seguridad de la
Información en la Empresa.
La estructura organizacional definida para el seguimiento y verificación de la metodología se ha

establecido de la siguiente manera:

A continuación se propone los Roles, Responsabilidades y Miembros del Comité.
Roles Responsabilidades Miembros

 Responsable general del Comité de Seguridad de la
Información.
 Impulsar y velar por la implementación y cumplimiento
del Sistema de Gestión de Seguridad de la Información de
la Empresa.
 Realizar el seguimiento y/o verificación de la
Coordinador
implementación de los requisitos, controles e indicadores
General del
previstos y propuestos por la Metodología.
Comité
 Aprobar las medidas y Políticas de Seguridad de la
Información y sus modificaciones, en relación con los
activos de la información de la Empresa.
 Establecer mecanismos necesarios para prevenir
situaciones de riesgo o incidentes de que puedan afectar
los recursos de Información de la Empresa.
 Responsable de asegurar los recursos necesarios para la
ejecución de los planes.
 Coordinar la logística necesaria para el funcionamiento
Secretario del
del Comité.
Comité
 Registrar las actividades del Comité durante las
reuniones de seguimiento.
 Actualizar el Plan de Seguridad de la Información.
 Revisar y aprobar los proyectos de seguridad de la
información y servir de facilitadores para su
implementación.
 Recomendar la investigación de los incidentes de
Representante seguridad de la información ante las instancias necesarias
de Operaciones, cuando haya lugar a ello.
Administración y  Evaluar los planes de acción para mitigar y/o eliminar
Ventas riesgos en seguridad de la información.
 Alinear sus acciones y decisiones a la normatividad
vigente en materia de tecnologías y seguridad de la
información.
 Responsable de la difusión de los cambios y resultados de
Roles Responsabilidades Miembros

los planes ejecutados.
MODIFICACIÓN Y DIFUSIÓN.-
El PSI deberá ser revisado, por lo menos, una vez al año. Las propuestas para modificar o actualizar el
documento deberán ser revisadas por la Gerencia General y aprobadas por el Directorio. La Empresa
entregará a cada uno de sus jefaturas una copia del PSI, para su conocimiento. Las definiciones y
términos empleados en este documento se encuentran documentados en el Glosario de Términos.
(Ver Anexo 1)

CÁPITULO II: APLICACIÓN DE LA METODOLOGÍA DE SEGURIDAD DE LA INFORMACIÓN
La metodología de seguridad de la información describe el contenido de las etapas en que se

estructura el proceso de diseño, implementación y operación de un Sistema de Gestión de la
Seguridad Informática (SGSI) en el que se basa el presente Plan de Seguridad de la Información.
En ese sentido durante su aplicación se desarrolla una serie de documentos de trabajo a fin de
obtener los planes de seguridad de la información los cuales son un conjunto detallado de acciones
orientadas a planificar, orientar y desarrollar los mecanismos necesarios para dotar de disponibilidad,
confidencialidad e integridad al conjunto de datos y activos de información.
El siguiente cuadro resume la Fase y los documentos de trabajo obtenidos luego de la aplicación de la
Metodología.
Fase Descripción Documentos de trabajo

En este apartado se realiza un Análisis Gap
(Análisis diferencial) con el propósito de
evaluar los Controles implantados vs.
FASE I - ANÁLISIS
Controles necesarios no existentes en relación ANEXO 1: ANÁLISIS DIFERENCIAL
DIFERENCIAL DE
con la norma internacional ISO/IEC DE SEGURIDAD
SEGURIDAD
27001:2013, que desarrolla un Código de
Buenas Prácticas para la Gestión de la
Seguridad de la Información.
El objetivo de ésta fase es definir y conocer las
ANEXO 2: POLÍTICAS DE
bases documentales y normativas sobre las
SEGURIDAD DE LA INFORMACIÓN
cuales se implementará el SGSI en el Clan EAFC
soportado en la norma ISO 27001:2013 y el
FASE II - SISTEMA DE ANEXO 3: INDICADORES PARA LA
Reglamento de Gestión del Riesgo Integral.
GESTIÓN DOCUMENTAL VERIFICACIÓN DE SGSI
• Política de Seguridad
• Procedimiento de Auditorías Internas
CÁPITULO I: GENERALIDADES –
• Gestión de Indicadores
RESPONSABLES
• Gestión de Roles y Responsabilidades
En esta Fase se lleva a cabo un inventario,
identificación, valoración y análisis de riesgo
FASE III - ANÁLISIS DE de los activos de información que le permita a
RIESGOS la entidad conocer las vulnerabilidades y
amenazas a las que se exponen los activos de
información.
Fase en la cual los proyectos a trabajar
recuperan todos los resultados del análisis de
FASE IV – PROPUESTAS riesgos previo, en base a los cuales se CÁPITULO III: PLANES DE
DE MEJORA plantearán proyectos en el cual se le dé SEGURIDAD DE LA INFORMACIÓN
prioridad a los riesgos que más impacto tiene y
pone en riesgo la seguridad de la Información.

CÁPITULO III: PLANES DE SEGURIDAD DE LA INFORMACIÓN
Luego de la aplicación de la Metodología de Seguridad de la Información se puede organizar y planificar los siguientes planes que permitirán la
implementación y consolidación del SGSI en la Empresa.
PROPUESTAS DE
CONTROL RESPONSABLE PRIORIDAD ESTADO DOCUMENTO PLANIFICADO DURACIÓN
MEJORA
13.2.2 Acuerdos sobre transferencia de información
Acuerdo de
13.2.4 Acuerdos de confidencialidad o de no divulgación Departamento Acuerdo de DICIEMBRE
Confidencialidad ALTA FINALIZADO 1 mes
15.1.2 Tratamiento de la seguridad dentro de los Legal Confidencialidad 2020
NDA
acuerdos con proveedores
Capacitación en
7.2.2 Toma de conciencia, educación y formación en la Departamento EN Material de DICIEMBRE
Seguridad de la MEDIA 1 mes
seguridad de la información. de TI PROGRESO Capacitación PSI 2020
Información
Indicadores de Plan de
17.1.3 Verificación, revisión y evaluación de la Departamento ENERO
Seguridad de la ALTA FINALIZADO Seguridad de 1 mes
continuidad de la seguridad de la información de TI 2020
Información Información
6.1.1 Roles y responsabilidades para la seguridad de la
información
8.1.2 Propiedad de los activos Departamento EN DICIEMBRE
Matriz de Roles MEDIA Matriz de Roles 1 mes
9.2.2 Suministro de acceso de usuarios de TI PROGRESO 2020
9.2.3 Gestión de derechos de acceso privilegiado
9.4.1 Restricción de acceso a la información
17.1.1 Planificación de la continuidad de la seguridad de
Plan de la información Departamento Plan de ENERO
ALTA FINALIZADO 2 meses
Continuidad 17.1.2 Implementación de la continuidad de la seguridad de TI Continuidad 2020
de la información

PROPUESTAS DE
MEJORA
5.1.1 Políticas para la seguridad de la información
5.1.2 Revisión de las políticas para la seguridad de la
información.
11.2.5 Retiro de activos
11.2.7 Disposición segura o reutilización de equipos
11.2.9 Política de escritorio limpio y pantalla limpia
13.2.1 Políticas y procedimientos de transferencia de
información
15.1.1 Política de seguridad de la información para las
relaciones con proveedores
18.1.2 Derechos propiedad intelectual (DPI)
Política de 18.1.4 Privacidad y protección de información de datos Plan de
Departamento ENERO
Seguridad de la personales ALTA FINALIZADO Seguridad de 2 meses
de TI 2020
Información 18.2.1 Revisión independiente de la seguridad de la Información
información
18.2.2 Cumplimiento con las políticas y normas de
seguridad
18.2.3 Revisión del cumplimiento técnico
6.2.1 Política para dispositivos móviles
6.2.2 Teletrabajo
8.1.3 Uso aceptable de los activos
8.2.1 Clasificación de la información
8.2.3 Manejo de activos
9.1.1 Política de control de acceso
9.3.1 Uso de información de autenticación secreta

PROPUESTAS DE
MEJORA
14.1.1 Análisis y especificación de requisitos de
seguridad de la información
14.1.2 Seguridad de servicios de las aplicaciones en
redes públicas
14.2.1 Política de desarrollo seguro
14.2.2 Procedimientos de control de cambios en
Procedimiento de sistemas
Departamento EN Procedimientos DICIEMBRE
Desarrollo de 14.2.3 Revisión técnica de las aplicaciones después de BAJA 2 meses
de TI PROGRESO de TI 2020
Software cambios en la plataforma de operación
14.2.4 Restricciones en los cambios a los paquetes de
software
14.2.5 Principio de Construcción de los Sistemas
Seguros.
14.2.6 Ambiente de desarrollo seguro
14.2.8 Pruebas de seguridad de sistemas
Procedimiento de
9.2.1 Registro y cancelación del registro de usuarios Departamento EN Procedimientos DICIEMBRE
Gestión de Acceso MEDIA 2 meses
9.2.5 Revisión de los derechos de acceso de usuarios de TI PROGRESO de TI 2020
de Usuarios
16.1.1 Responsabilidades y procedimientos
16.1.2 Reporte de eventos de seguridad de la
información
Procedimiento de 16.1.3 Reporte de debilidades de seguridad de la
Gestión de información
incidentes y 16.1.4 Evaluación de eventos de seguridad de la Departamento EN Procedimientos DICIEMBRE
BAJA 2 meses
mejoras en la información y decisiones sobre ellos de TI PROGRESO de TI 2020
seguridad de la 16.1.5 Respuesta a incidentes de seguridad de la
información información
16.1.6 Aprendizaje obtenido de los incidentes de
16.1.7 Recolección de evidencia

PROPUESTAS DE
MEJORA
Procedimiento de
Unidad de Manual de
Revisión de 18.1.1 Identificación de la legislación aplicable. ENERO
Gestión de MEDIA FINALIZADO Sistema de 2 meses
Cumplimiento 18.1.3 Protección de registros 2020
Riesgos Control Interno
SMV
Procedimiento DICIEMBRE
12.4.1 Registro de eventos Departamento EN Procedimientos
para la revisión de BAJA 2020 2 meses
12.4.3 Registros del administrador y del operador de TI PROGRESO de TI
logs

ANEXO 1: ANÁLISIS DIFERENCIAL DE SEGURIDAD
Estado Actual Observaciones Propuesta de Mejora

5 POLÍTICA DE SEGURIDAD
5.1 Directrices de la Dirección en seguridad de la información
Esta
Políticas para la seguridad de la Política de Seguridad de
5.1.1 parcialmente
información la Información
implementado.
Esta casi
Revisión de las políticas para la Política de Seguridad de
5.1.2 completamente
seguridad de la información. la Información
implementado.
6 ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACION
6.1 Organización interna
Esta casi
Roles y responsabilidades para la
A6.1.1 completamente Matriz de Roles
implementado.
Completamente
A6.1.2 Separación de deberes
implementado
Completamente
A6.1.3 Contacto con las autoridades
implementado
Contacto con grupos de interés Completamente
A6.1.4
especial implementado
Esta
Seguridad de la información en la
A6.1.5 parcialmente
gestión de proyectos.
implementado.
6.2 Dispositivos móviles y teletrabajo
Esta
Política de Seguridad de
A6.2.1 Política para dispositivos móviles parcialmente
la Información
implementado.
Política de Seguridad de
A6.2.2 Teletrabajo No aplica
la Información
7 SEGURIDAD DE LOS RECURSOS HUMANOS
7.1 Antes de asumir el empleo
Completamente
A7.1.1 Selección
implementado.
Completamente
A7.1.2 Términos y condiciones del empleo
implementado
7.2 Durante la ejecución del empleo
Completamente
A7.2.1 Responsabilidades de la dirección.
implementado
Toma de conciencia, educación y Esta casi Capacitación en
A7.2.2 formación en la seguridad de la completamente Seguridad de la
información. implementado Información
Completamente
A7.2.3 Proceso disciplinario.
implementado
7.2 Terminación y cambio de empleo


Esta casi
Terminación o cambio de
A7.3.1 completamente
responsabilidades de empleo.
implementado.
8 GESTION DE ACTIVOS
8.1 Responsabilidad por los activos
Completamente
A8.1.1 Inventario de activos
implementado
No esta
A8.1.2 Propiedad de los activos Matriz de Roles
implementado.
No esta Política de Seguridad de
A8.1.3 Uso aceptable de los activos
implementado. la Información
Completamente
A8.1.4 Devolución de activos
implementado
A8.2 Clasificación de la información
A8.2.1 Clasificación de la información
No aplica debido al
tamaño y
A8.2.2 Etiquetado de la información No aplica actividades
propias de la
organización.
A8.2.3 Manejo de activos
A8.2 Manejo de medios
La empresa
emplea
dispositivos de
A8.3.1 Gestión de medio removibles No aplica respaldo en
servidores alternos
y servicios en la
nube
La empresa
emplea
dispositivos de
A8.3.2 Disposición de los medios No aplica respaldo en
servidores alternos
y servicios en la
nube
La empresa
emplea
dispositivos de
A8.3.3 Transferencia de medios físicos No aplica respaldo en
servidores alternos
y servicios en la
nube
9 CONTROL DE ACCESO
9.1 Requisitos del negocio para el control de acceso
A9.1.1 Política de control de acceso


Completamente
A9.1.2 Acceso a redes y a servicios en red
implementado
9.2 Gestión de acceso de usuarios
Esta Procedimiento de
Registro y cancelación del registro
A9.2.1 parcialmente Gestion de Acceso de
de usuarios
implementado. Usuarios
Esta
A9.2.2 Suministro de acceso de usuarios parcialmente Matriz de Roles
implementado.
Gestión de derechos de acceso Completamente
A9.2.3 Matriz de Roles
privilegiado implementado
Gestión de información de Completamente
A9.2.4
autenticación secreta de usuarios implementado
Revisión de los derechos de acceso
A9.2.5 parcialmente Gestion de Acceso de
de usuarios
implementado. Usuarios
Retiro o ajuste de los derechos de Completamente
A9.2.6
acceso implementado
A9.3 Responsabilidades de los usuarios
Esta
Uso de información de Política de Seguridad de
A9.3.1 parcialmente
autenticación secreta la Información
implementado.
A9.4 Control de acceso a sistemas y aplicaciones
Restricción de acceso a la Completamente
A9.4.1 Matriz de Roles
información implementado
Completamente
A9.4.2 Procedimiento de ingreso seguro
implementado
No aplica debido al
tamaño y
A9.4.3 Sistema de gestión de contraseñas No aplica actividades
propias de la
organización.
Uso de programas utilitarios Completamente
A9.4.4
privilegiados implementado
Control de acceso a códigos fuente Completamente
A9.4.5
de programas implementado
10 CIFRADO
10.1 Controles criptográficos
Política sobre el uso de controles Completamente
A10.1.1
criptográficos implementado
Completamente
A10.1.2 Gestión de llaves
implementado
A11 SEGURIDAD FISICA Y DEL ENTORNO
11.1 Áreas seguras
Completamente
A11.1.1 Perímetro de seguridad física
implementado
Completamente
A11.1.2 Controles de acceso físicos
implementado


Seguridad de oficinas, recintos e Completamente
A11.1.3
instalaciones. implementado
Protección contra amenazas Completamente
A11.1.4
externas y ambientales. implementado
Completamente
A11.1.5 Trabajo en áreas seguras.
implementado
Áreas de carga, despacho y acceso Completamente
A11.1.6
público implementado
A11.2 Equipos
Ubicación y protección de los Completamente
A11.2.1
equipos implementado
Completamente
A11.2.2 Servicios de suministro
implementado
Completamente
A11.2.3 Seguridad en el cableado.
implementado
Esta
A11.2.4 Mantenimiento de los equipos. parcialmente
implementado.
Completamente Política de Seguridad de
A11.2.5 Retiro de activos
implementado la Información
Esta casi
Seguridad de equipos y activos
A11.2.6 completamente
fuera de las instalaciones
implementado.
Disposición segura o reutilización Completamente Política de Seguridad de
A11.2.7
de equipos implementado la Información
No aplica debido al
tamaño y
A11.2.8 Equipos de usuario desatendido No aplica actividades
propias de la
organización.
Política de escritorio limpio y Completamente Política de Seguridad de
A11.2.9
pantalla limpia implementado la Información
A12 SEGURIDAD DE LAS OPERACIONES
A12.1 Procedimientos operacionales y responsabilidades
Procedimientos de operación Completamente
A12.1.1
documentados implementado
Esta Metodología de
A12.1.2 Gestión de cambios parcialmente Seguridad de la
implementado. Información
Esta Metodología de
A12.1.3 Gestión de capacidad parcialmente Seguridad de la
implementado. Información
Separación de los ambientes de Completamente
A12.1.4
desarrollo, pruebas y operación implementado
A12.2 Protección contra códigos maliciosos
Controles contra códigos Completamente
A12.2.1
maliciosos implementado


Completamente
A12.3.1 Respaldo de la información
implementado
Esta
Procedimiento para la
A12.4.1 Registro de eventos parcialmente
revisión de logs
implementado.
Protección de la información de Completamente
A12.4.2
registro implementado
Esta
Registros del administrador y del Procedimiento para la
A12.4.3 parcialmente
operador revisión de logs
implementado.
Completamente
A12.4.4 Sincronización de relojes
implementado
Instalación de software en Completamente
A12.5.1
sistemas operativos implementado
A12.6 Gestión de la vulnerabilidad técnica
No aplica debido al
tamaño y
Gestión de las vulnerabilidades
A12.6.1 No aplica actividades
técnicas
propias de la
organización.
Restricciones sobre la instalación Completamente
A12.6.2
de software implementado
A12.7 Consideraciones sobre auditorias de sistemas de información
No aplica debido al
tamaño y
Controles de auditorías de
sistemas de información
propias de la
organización.
A13 SEGURIDAD DE LAS COMUNICACIONES
A13.1 Gestión de la seguridad de las redes
Completamente
A13.1.1 Controles de redes
implementado
Completamente
A13.1.2 Seguridad de los servicios de red
implementado
Completamente
A13.1.3 Separación en las redes
implementado
A13.2 Transferencia de información
Esta
Políticas y procedimientos de Política de Seguridad de
transferencia de información la Información
implementado.
Esta
Acuerdos sobre transferencia de Acuerdo de
información Confidencialidad NDA
implementado.
Completamente
A13.2.3 Mensajería Electrónica
implementado
Acuerdos de confidencialidad o de Esta Acuerdo de
A13.2.4
no divulgación parcialmente Confidencialidad NDA

implementado.
14 Adquisición, desarrollo y mantenimiento de sistemas

14.1 Requisitos de seguridad de los sistemas de información
Análisis y especificación de Esta
Procedimiento de
A.14.1.1 requisitos de seguridad de la parcialmente
Desarrollo de Software
información implementado.
Esta
Seguridad de servicios de las Procedimiento de
A.14.1.2 parcialmente
aplicaciones en redes públicas Desarrollo de Software
implementado.
No aplica debido al
tamaño y
Protección de transacciones de los
A.14.1.3 No aplica actividades
servicios de las aplicaciones.
propias de la
organización.
A14.2 Seguridad en los procesos de Desarrollo y de Soporte
No esta Procedimiento de
A.14.2.1 Política de desarrollo seguro
implementado. Desarrollo de Software
Procedimientos de control de No esta Procedimiento de
A.14.2.2
cambios en sistemas implementado. Desarrollo de Software
Revisión técnica de las aplicaciones
A.14.2.3 después de cambios en la
plataforma de operación
Restricciones en los cambios a los No esta Procedimiento de
A.14.2.4
paquetes de software implementado. Desarrollo de Software
Principio de Construcción de los No esta Procedimiento de
A.14.2.5
Sistemas Seguros. implementado. Desarrollo de Software
A.14.2.6 Ambiente de desarrollo seguro
La empresa no
Desarrollo contratado contrata
A.14.2.7 No aplica
externamente desarrollos
externos
A.14.2.8 Pruebas de seguridad de sistemas
La empresa no
contrata
A.14.2.9 Prueba de aceptación de sistemas No aplica
desarrollos
externos
A14.3 Datos de prueba
No aplica debido al
tamaño y
A.14.3.1 Protección de datos de prueba No aplica actividades
propias de la
organización.
A15 RELACIONES CON LOS PROVEEDORES
A15.1 Seguridad de la información en las relaciones con los proveedores.


Política de seguridad de la
A15.1.1 información para las relaciones
con proveedores
Tratamiento de la seguridad
No esta Acuerdo de
A15.1.2 dentro de los acuerdos con
implementado. Confidencialidad NDA
proveedores
No aplica debido al
Cadena de suministro de tamaño y
A15.1.3 tecnología de información y No aplica actividades
comunicación propias de la
organización.
A15.2 Gestión de la prestación de servicios de proveedores
Seguimiento y revisión de los No esta
A15.2.1
servicios de los proveedores implementado.
Gestión del cambio en los servicios No esta
A15.2.2
de los proveedores implementado.
A16 GESTION DE INCIDENTES DE SEGURIDAD DE LA INFORMACION
A16.1 Gestión de incidentes y mejoras en la seguridad de la información
Procedimiento de
Responsabilidades y No esta Gestión de incidentes y
A16.1.1
procedimientos implementado. mejoras en la seguridad
de la información
Procedimiento de
Reporte de eventos de seguridad No esta Gestión de incidentes y
A16.1.2
de la información implementado. mejoras en la seguridad
de la información
Procedimiento de
Reporte de debilidades de No esta Gestión de incidentes y
A16.1.3
seguridad de la información implementado. mejoras en la seguridad
de la información
Procedimiento de
Evaluación de eventos de
No esta Gestión de incidentes y
A16.1.4 seguridad de la información y
implementado. mejoras en la seguridad
decisiones sobre ellos
de la información
Procedimiento de
Respuesta a incidentes de No esta Gestión de incidentes y
A16.1.5
seguridad de la información implementado. mejoras en la seguridad
de la información
Procedimiento de
Aprendizaje obtenido de los
A16.1.6 incidentes de seguridad de la
información
de la información
Procedimiento de
A16.1.7 Recolección de evidencia
de la información
A17 ASPECTOS DE SEGURIDAD DE LA INFORMACIÓN DE LA GESTION DE CONTINUIDAD DE NEGOCIO
A17.1 Continuidad de Seguridad de la información


Planificación de la continuidad de No esta
A17.1.1 Plan de Continuidad
la seguridad de la información implementado.
Implementación de la continuidad No esta
A17.1.2 Plan de Continuidad
de la seguridad de la información implementado.
Verificación, revisión y evaluación Indicadores de
No esta
A17.1.3 de la continuidad de la seguridad Seguridad de la
implementado.
de la información Información
A17.2 Redundancias
Disponibilidad de instalaciones de No esta Implementación del Site
A17.2.1
procesamiento de información implementado. de Contingencia
A18 CUMPLIMIENTO
A18.1 Cumplimiento de requisitos legales y contractuales
Identificación de la legislación
A18.1.1 parcialmente Revisión de
aplicable.
implementado. Cumplimiento SMV
Esta
Derechos propiedad intelectual Política de Seguridad de
(DPI) la Información
implementado.
A18.1.3 Protección de registros parcialmente Revisión de
implementado. Cumplimiento SMV
Esta
Privacidad y protección de Política de Seguridad de
información de datos personales la Información
implementado.
No aplica debido al
tamaño y
Reglamentación de controles
criptográficos.
propias de la
organización.
A18.2 Revisiones de seguridad de la información
Revisión independiente de la No esta Política de Seguridad de
A18.2.1
seguridad de la información implementado. la Información
Cumplimiento con las políticas y No esta Política de Seguridad de
A18.2.2
normas de seguridad implementado. la Información
A18.2.3 Revisión del cumplimiento técnico

ANEXO 2: POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
ANTECEDENTES.-
De acuerdo a la Metodología de Gestión de Seguridad de la Información que emplea la Empresa, la

cual está apoyada en la norma ISO 27001:2013 y el Reglamento de Gestión del Riesgo Integral se
propone las siguientes políticas.
POLITICAS GENERALES.-
 La información que se maneja en la organización, solamente podrá ser utilizada con fines
empresariales.
 Los recursos informáticos asignados a cada usuario, son para uso limitado a la función
empresarial.
 Los servicios informáticos podrán usarse ocasionalmente para asuntos personales, excepto sí:
interfieren con el desempeño propio del servicio, interfieren en las labores propias de los
funcionarios y suponen un alto costo para la entidad.
 Todos los funcionarios que conforman las diferentes áreas de la entidad deberán clasificar la
información que tengan bajo su custodia en alguna de las categorías como: USO PUBLICO,
USO PRIVADO, USO RESERVADO O CONFIDENCIAL.
 La información confidencial debe manejarse como tal de manera recíproca entre la entidad y
terceras partes.
 Toda la información catalogada por las áreas como crítica debe contar con copias de
respaldo para garantizar su seguridad.
 El centro de cómputo es un área de acceso restringido, por tal motivo el ingreso y
permanencia debe ser autorizado.
 El acceso a los diferentes equipos informáticos y sistemas de información debe hacerse a
través de los mecanismos de autenticación establecidos.
 El acceso no autorizado a los sistemas de información y uso indebido de los recursos
informáticos de la entidad está prohibido.
POLITICAS ESPECIFICAS.-
 Política de estructura organizacional de seguridad de la información

La empresa en cumplimiento a la Metodología, ha creado un esquema de seguridad de la
información definiendo y estableciendo roles y responsabilidades que involucren las
actividades de operación, gestión y administración de la seguridad de la información, así
como la creación del Comité de Seguridad de la Información.
 Política de seguridad para los recursos humanos

La empresa implementa acciones para asegurar que los trabajadores, proveedores y demás
colaboradores de la Entidad, entiendan sus responsabilidades, como usuarios y
responsabilidad de los roles asignados, con el fin de reducir el riesgo de hurto, fraude,
filtraciones o uso inadecuado de la información y de las instalaciones.
Se debe capacitar y sensibilizar a los funcionarios durante la inducción sobre las políticas de
seguridad de la información.

 Política de gestión de activos de Información

La empresa es el dueño de la propiedad intelectual de los productos y servicios desarrollados
por el personal y los proveedores, derivadas del objeto del cumplimiento de funciones y/o
tareas asignadas, como las necesarias para el cumplimiento del objeto del contrato.
El Comité mantiene un inventario actualizado de los activos de información de acuerdo el
cual es empleado en su evaluación de riesgo.
 Política de controles criptográficos

La empresa exhorta al Comité a verificar los sistemas o aplicaciones que realicen y/o
permitan la transmisión de información pública reservada o información pública clasificada
(privada), lo realicen mediante herramientas que cumplan con un cifrado de datos.
Es obligatorio el uso de estas herramientas durante la trasmisión de la información al Ente
Regulador acorde a la regulación y procedimientos que el propone.
 Política de uso de los activos

La empresa restringe el uso de los activos de información mediante la asignación de los
recursos a los usuarios finales a fin que puedan emplearlos de acuerdo a sus roles y
funciones.
Los usuarios no deben mantener almacenados en los discos duros de las estaciones cliente o
discos virtuales de red, archivos de vídeo, música, y fotos y cualquier tipo de archivo que no
estén relacionados a la actividad comercial de la empresa.
 Política de uso de Internet

La Empresa permite el acceso a servicio de internet, exhorta a que el personal realice la
navegación en sitios seguros y al uso adecuado de la red, evitando errores, pérdidas,
modificaciones no autorizadas o uso inadecuado de la información.
Los usuarios de los activos de información de la Empresa no tienen permitido el acceso a
redes sociales, sistemas de mensajería instantánea, acceso a sistemas de almacenamiento en
la nube y cuentas de correo no institucional durante su horario laboral.
 Política para uso de dispositivos móviles

La empresa establece las directrices de uso y manejo de dispositivos móviles (teléfonos
móviles, teléfonos inteligentes “smart phones”, tabletas), entre otros, suministrados por la
empresa y personales que hagan uso de los servicios de información de la Entidad.
Los usuarios no están autorizados a cambiar la configuración, a desinstalar software,
formatear o restaurar de fábrica los equipos móviles institucionales, cuando se encuentran a
su cargo, únicamente se deben aceptar y aplicar las actualizaciones.
El uso de estos dispositivos está restringido a actividades relacionadas al giro de la Empresa.
 Política para uso de conexiones remotas / teletrabajo

La Empresa define las circunstancias y requisitos para realizar conexiones remotas a su
plataforma tecnológica y desde su plataforma a otras plataformas; así mismo, suministra las
herramientas y controles necesarios para que dichas conexiones se realicen de manera
segura.
Los usuarios del servicio de conexión remota deben de contar con aprobación de su
inmediato superior para establecer dicha conexión a los dispositivos de la plataforma

tecnológica de la empresa y acatar las condiciones de uso establecidas par a dichas

conexiones.
Los usuarios únicamente deben establecer conexiones remotas en computadores
previamente identificados y, en ninguna circunstancia, en computadores públicos o de uso
compartido, de hoteles o cafés internet, entre otros.
Antes de realizar cualquier actividad de teletrabajo, el superior responsable debe analizar
alcance de las actividades a desarrollar, estableciendo como mínimo, el horario, los activos
de información a acceder, los sistemas de información y los servicios requeridos para el
desarrollo de las actividades de teletrabajo e informarlos oportunamente al área responsable.
 Política de acceso a redes y recursos de red

La empresa propende que las redes y recursos de red sean debidamente protegidas contra
accesos no autorizados a través de mecanismos de control de acceso lógico y físicos.
Los usuarios deben informar al área encargada sobre cualquier inconveniente, ya sea por
exceso o falta de permisos, para acceder a la información.
Los usuarios deben de utilizar las redes y servicios de comunicación de la empresa
únicamente para el cumplimiento de las funciones asignadas evitando usos no autorizados o
en beneficio propio.
 Política de clasificación de la información.

La empresa consiente de la necesidad de asegurar que la información reciba el nivel de
protección apropiado, define reglas de como clasificar la información.
Se considera información toda forma de comunicación o representación de conocimiento o
datos digitales, escritos en cualquier medio, ya sea magnético, papel, visual u otro que
genere la empresa.
El comité debe identificar los riesgos a los que está expuesta la información de la empresa,
teniendo en cuenta que la información pueda ser copiada, divulgada, modificada o destruida
física o digitalmente por el personal.
Los niveles de clasificación de la información que se ha establecido son: USO PUBLICO, USO
PRIVADO, USO RESERVADO O CONFIDENCIAL.
 Política de intercambio de información.

La empresa asegura la protección de la información transferida o transmitida con Entidades
externas y procesos internos, debe realizarse previo firma de Acuerdos de Confidencialidad
con terceras partes con quienes interactúen con la información.
 Política de control de acceso.

La Empresa define las reglas para asegurar un acceso controlado, físico o lógico, a la
información y plataforma informática, considerándolas como importantes para el SGSI.
La conexión remota a la red de área local debe realizarse a través de una conexión VPN
segura suministrada por la empresa, la cual debe ser aprobada por el Área de Sistemas de
información.
 Política de establecimiento, uso y protección de claves de acceso.

Ningún usuario deberá acceder a los servicios de red y sistemas de información, utilizando
una cuenta de usuario o clave de otro usuario.

La Empresa suministrará a los usuarios las claves respectivas para el acceso a los servicios de
red y sistemas de información a los que hayan sido autorizados, las claves son de uso
personal e intransferible.

 Políticas de seguridad del centro de datos y centros de cableado.

La empresa asegura la protección de la información en las redes y la protección de la
infraestructura de soporte. En las instalaciones del centro de datos o de los centros de
cableado, No está permitido: Fumar dentro al centro de datos, introducir alimentos o
bebidas al centro de datos, mover, desconectar y/o conectar equipo de cómputo sin
autorización y modificar la configuración del equipo o intentarlo sin autorización.
Toda persona debe hacer uso únicamente de los equipos y accesorios que les sean asignados
y para los fines que se les autorice.
 Política de escritorio y pantalla limpia.

La empresa define las pautas generales para reducir el riesgo de acceso no autorizado,
pérdida y daño de la información durante y fuera del horario de trabajo normal de los
usuarios.
El personal debe conservar su escritorio libre de información, propia de la empresa, que
pueda ser alcanzada, copiada o utilizada por terceros o por personal que no tenga
autorización para su uso o conocimiento.
Los usuarios de los sistemas de información deben bloquear la pantalla de su computador
con el protector de pantalla, en los momentos que no esté utilizando el equipo o cuando por
cualquier motivo deba dejar su puesto de trabajo.
 Política de respaldo y restauración de información.

La empresa proporciona medios de respaldo adecuados para asegurar que toda la
información esencial y el software, se pueda recuperar después de una falla, garantizando
que la información y la infraestructura de software crítica de la entidad, sean respaldadas y
puedan ser restauradas en caso de una falla y/o desastre.
La restauración de copias de respaldo en ambientes de producción debe estar debidamente
aprobada por el propietario de la información y solicitadas al área respectiva.
Semanalmente el responsable del backup, verifica la correcta ejecución de los procesos de
backup y la calidad e integridad de los recursos involucrados en la misma.
 Política de uso de correo electrónico.

La empresa define las pautas generales para asegurar una adecuada protección de la
información de la empresa, en el uso del servicio de correo electrónico por parte de los
usuarios autorizados.
Los usuarios del correo electrónico son responsables de evitar prácticas o usos del correo
que puedan comprometer la seguridad de la información. Los servicios de correo electrónico
se emplean para servir a una finalidad operativa y administrativa en relación con la empresa.
Este servicio debe utilizarse exclusivamente para las tareas propias de la función desarrollada
en la empresa y no debe utilizarse para ningún otro fin. No está autorizado el envío de
cadenas de correo, envío de correos masivos con archivos adjuntos de gran tamaño que
puedan congestionar la red. No está autorizado el envío de correos con contenido que
atenten contra la integridad y dignidad de las personas y el buen nombre de la empresa.

 Política de Tercerización u Outsourcing.

La empresa mantiene la seguridad de la información y los servicios de procesamiento de
información, a los cuales tienen acceso terceras partes, entidades externas o que son
procesados, comunicados o dirigidos por estas.
En los contratos o acuerdos con los proveedores y/o contratistas se debe incluir una causal
de terminación del acuerdo o contrato de servicios, por el no cumplimiento de las políticas
de seguridad de la información.
 Política de cumplimiento de requisitos legales y contractuales

Los empleados deben de prevenir el incumplimiento de obligaciones legales relacionadas con
seguridad de la información.
El comité respeta y acata las normas legales existentes relacionadas con seguridad de la
información, para lo cual realizará una continua revisión, identificación, documentación y
cumplimiento de la legislación y requisitos contractuales aplicables para la entidad,
relacionada con la seguridad de la información.
 Política de Revisiones de Seguridad de la Información

La empresa garantiza el funcionamiento del sistema de gestión de seguridad de la
información de acuerdo a las políticas y procedimientos implementados acorde a su
Metodología de Seguridad de la Información.
La empresa realiza auditorias con personal externo a la entidad al sistema de gestión de
seguridad de la información, para la verificación y cumplimiento de objetivos, controles,
políticas y procedimientos de seguridad de la Información.
 Política de uso de mensajería instantánea y redes sociales.

La información que se publique o divulgue por cualquier medio de Internet, de cualquier
personal o proveedor de la empresa, que sea creado a nombre personal en redes sociales se
considera fuera de alcance y por lo tanto su confiabilidad, integridad y disponibilidad y los
daños y perjuicios que pueda llegar a causar serán de completa responsabilidad de la
persona que las haya generado.
Toda información distribuida en las redes sociales que sea originada por la empresa, debe ser
autorizada por los jefes de área para ser socializadas y con un vocabulario institucional.
No se debe utilizar el nombre de la empresa en las redes sociales para difamar o afectar la
imagen y reputación de la empresa.
 Política de adquisición, desarrollo y mantenimiento de Sistemas de Información.

La adquisición, desarrollo y mantenimiento de sistemas de información incluye buenas
prácticas durante todo el ciclo de vida, los requisitos relacionados con la seguridad digital son
incorporados a los sistemas de información tanto nuevos como ya existentes. El área
responsable debe de considerar y aplicar las buenas prácticas y lineamientos de desarrollo
seguro durante todo el ciclo de vida de los mismos sistemas de información. Y debe de
prever un nivel adecuado y oportuno de soporte para solucionar los problemas que se
presenten. En ese sentido se debe de asegurar que los sistemas de información construidos
validen la información suministrada por los usuarios antes de procesarla.

ANEXO 3: Indicadores para la verificación de SGSI
Solicitudes de Soporte
Objetivo Controlar que los funcionarios asuman la responsabilidad frente a su conocimiento y manejo de
las tecnologías de información y comunicaciones que estén a su cargo.
Pregunta El soporte requerido estaba justificado por algo ajeno a la falte de conocimiento del funcionario
que solicita.
Métrica En el periodo de tiempo establecido, número de solicitudes no justificadas y el tiempo de
soporte requerido para atenderlas. La contabilización se hará por:
- Jefe
- Empleado
- Vendedor
Permisos de Acceso
Objetivo Validar que el número de accesos permitidos sea congruente con la estructura organizacional y
la organización para la seguridad de la información.
Pregunta ¿Cuántos usuarios tienen acceso autorizado a la aplicación?
Métrica Contabilizar el número de usuarios que tienen autorizado el acceso bajo los siguientes
parámetros:
- Solo lectura
- Modificación
- Control Total
Implementación de Controles
Objetivo Identificar el porcentaje de avance en la implementación de los controles de seguridad.
Pregunta ¿Cuántos controles de seguridad se han implementado?
Métrica Contabilizar el número de controles de seguridad implementados versus los identificados
propuestos en la Metodología de Seguridad de la Información
Sensibilización
Objetivo Verificar que el personal reciban oportunamente el entrenamiento y sensibilización requerido
por el SGSI.
Pregunta ¿Cuántos empleados han recibido formalmente un curso de entrenamiento o sensibilización en
seguridad de la información?
Métrica Contabilizar el número de funcionarios que han recibido
Revisión del SGSI

Objetivo Controlar que el SGSI cuente con las revisiones oportunas para evolucionar junto con la
dinámica de la Entidad.
Pregunta ¿Hace cuánto tiempo se realizó la última revisión?
Métrica Número de meses que han transcurrido desde el último:
- Auditoría Interna
- Auditoría Externa
- Revisión de las políticas de seguridad
- Revisión de Roles y responsabilidades
Gestión de Incidentes
Objetivo Verificar la efectividad de la gestión de incidentes de seguridad de la información.
Pregunta ¿Cuántos eventos, incidentes y/o falsos positivos se han presentado durante el período de
tiempo definido?
Métrica Número de eventos, incidentes y/o falsos positivos registrados
Disponibilidad
Objetivo Verificar el cumplimiento de los niveles de disponibilidad establecidos con base en la
clasificación de los activos de información.
Pregunta ¿Cuántas caídas por razones de seguridad, se han presentado en el mes?
Métrica Número de caídas por período de tiempo establecido y la duración de cada una estableciendo
una de las siguientes causas:
- Virus
- Ataques informáticos
- Error de configuración
- Problemas de hardware
- Uso no autorizado
- Problemas de red
Confidencialidad
Objetivo Verificar el cumplimiento de los niveles de confidencialidad establecidos con base en la
clasificación de los activos de información.
Pregunta ¿Cuántos incidentes relacionados con acceso no autorizado a la información, se han presentado
en el mes?
Métrica Número de incidentes de confidencialidad por período de tiempo establecido y la duración de
cada una estableciendo una de las siguientes causas:
- Virus
- Uso no autorizado
- Problemas de red
Integridad
Objetivo Verificar el cumplimiento de los niveles de integridad establecidos con base en la clasificación
de los activos de información.
Pregunta ¿Cuántos incidentes relacionados con afectación de la integridad de los datos, se han
presentado en el mes?
Métrica Número de incidentes de integridad de datos por período de tiempo establecido y la duración
de cada una estableciendo una de las siguientes causas:
- Virus
- Uso no autorizado
- Problemas de red
Activos
Objetivo Mantener la protección requerida frente a seguridad de la información para los activos de la
Entidad.
Pregunta ¿Cuántos activos pertenecen a cada nivel de clasificación frente a Disponibilidad, Integridad y
Disponibilidad?
Métrica Número de activos por cada uno de los niveles establecidos en la metodología:
- Confidencialidad
- Integridad
- Disponibilidad
Licenciamiento
Objetivo Verificar el cumplimiento legal para todas las aplicaciones y sistemas de información instalados
en la empresa.
Pregunta ¿Cuántos aplicaciones o sistemas de información se encuentran instalados correctamente
licenciados? ¿cuántos en periodo de prueba? ¿cuántos fuera de licencia?
Métrica Un conteo para las siguientes instancias
- Aplicaciones de servidor: número total – discriminar el porcentaje en Licenciadas, Periodo de
prueba, Licencia vencida, Sin Licenciar
- Aplicaciones de usuario final: número total – discriminar el porcentaje en Licenciadas, Periodo
de prueba, Licencia vencida, Sin Licenciar.
Cifrado de datos
Objetivo Verificar la cobertura de los archivos que deben estar protegidos por cifrado de datos.
Pregunta ¿Se cumple con el envio cifrado de información a los entes reguladores? ¿Cuándo vence los
certificados?
Métrica Se mide por:
- Cumple SI/NO, ¿porque no?
- Proxima fecha de renovación

ANEXO 4: ANALISIS DE IMPORTANCIA
Tipo de Criterio de Criterio de Criterio de

Activo Importancia
Activo confidencialidad disponibilidad integridad
Centro de procesamiento de
datos principal Uso Restringido Crítico Medio Alto
Centro de procesamiento de
Ubicación datos alterno Uso Interno Bajo Medio Medio
Ubicación local de
infraestructura y
comunicaciones Uso Restringido Crítico Medio Alto
Servidores Uso Restringido Alto Medio Alto
Equipos escritorio, portátiles Uso Interno Medio Medio Medio
Equipos de seguridad
perimetral Uso Restringido Alto Medio Alto
Hardware Equipos de red y
comunicaciones Uso Interno Alto Medio Alto
Central Telefónica Uso Interno Medio Medio Medio
Sistema de alimentación UPS Uso Restringido Medio Medio Alto
Sistema de aire acondicionado Uso Interno Medio Medio Medio
Sistemas Operativos Windows
Software
Server Uso Interno Alto Medio Alto
(Base)
Bases de datos SQL server Uso Interno Alto Medio Alto
Correo electrónico Uso Interno Alto Medio Alto
Antivirus Uso Interno Alto Medio Alto
Página Web Pública Medio Medio Medio
Extranet de asociados Uso Interno Medio Medio Medio
Sistema de backups Uso Interno Alto Medio Alto
Software
Sistema Contable Domino Uso Interno Alto Medio Alto
(Aplicación)
Sistema de Planillas Uso Interno Medio Medio Medio
Sistema de Fondos Colectivos Uso Interno Crítico Medio Alto
Sistemas Bancario del FC Uso Interno Crítico Medio Alto
T-Registro de SUNAT Uso Interno Medio Medio Medio
PDT SUNAT Uso Interno Medio Medio Medio
Red de datos Uso Interno Alto Medio Alto
Redes Red de telefonía Uso Interno Alto Medio Alto
Acceso a Internet Uso Interno Alto Medio Alto
Aplicaciones de desarrollo Uso Restringido Bajo Medio Medio
Código fuente aplicaciones Uso Restringido Alto Medio Alto
Información Registros de operación: logs,
(Datos) informes y monitoreo Uso Restringido Medio Medio Alto
Bases de datos corporativas Uso Interno Crítico Medio Alto
Copias de Respaldo Uso Restringido Medio Medio Alto
Actas de Asamblea Pública Medio Crítico Alto
File de Empleados Uso Restringido Bajo Crítico Alto
Información
Ordenes de Compra y Servicios Uso Interno Bajo Medio Medio
(Document
Certificado de Rentas Uso Interno Bajo Medio Medio
os)
Comunicaciones SMV Uso Restringido Alto Crítico Crítico
Contrato de Fondo Colectivos Uso Restringido Crítico Crítico Crítico
Tipo de Criterio de Criterio de Criterio de

Activo Importancia
Activo confidencialidad disponibilidad integridad
Contratos de Trabajo Uso Restringido Alto Medio Alto

Declaración jurada
Mensual/Anual Uso Interno Medio Medio Medio
Estados Financieros Uso Interno Medio Medio Medio
Estatuto de la Empresa Uso Interno Medio Medio Medio
File de Asociado Uso Interno Alto Crítico Alto
File de Cartas Notariales Uso Interno Medio Medio Medio
File de Garantías Uso Interno Medio Crítico Alto
Libro de actas del Directorio Uso Restringido Crítico Medio Alto
Libro de reclamaciones Pública Alto Medio Medio
Libros contables Uso Interno Alto Medio Alto

ANEXO 5: MATRIZ DE ANALISIS DE AMENAZAS

ANEXO 6: GLOSARIO DE TÉRMINOS
Para efectos del contenido del presente PGC se aplicarán las siguientes definiciones:
Aplicativos: Conjunto de programas que realizan tareas específicas y permiten procesar, de manera
automatizada, un servicio o producto.
Asociado o Cliente: Es toda persona natural o jurídica que ha celebrado un Contrato de

Administración de Fondos Colectivos, que ha efectuado los pagos iniciales previstos en el Contrato, y
que ha sido aprobado por la Empresa para participar en alguno de los Programas que esta administra.
Se podrá usar indistintamente el término Cliente o Asociado para la misma referencia.
Backup: Copia de información en medios magnéticos, almacenada en un medio y ubicación diferente

al lugar donde se genera o utiliza en forma rutinaria, con el propósito de utilizar dicha información en
casos de emergencia.
Base de datos: Conjunto de registros (unidades de información relevante) ordenados y clasificados

para su posterior consulta, actualización o cualquier tarea de mantenimiento mediante aplicaciones
específicas.
Catástrofe: Es un suceso de tal magnitud que no solo afecta a la Empresa, sino que incluso perjudica
a la ciudad y/o al país, comprometiendo a proveedores, clientes y autoridades locales, como por
ejemplo: terremoto.
Centro de cómputo alterno: Es el centro de cómputo de respaldo, que deberá incluir una sala de
servidores para retomar las operaciones de un centro de cómputo principal en caso de una
contingencia.
Crisis: Evento o proceso grave de características complejas que ocasiona un impacto importante en
los intereses, patrimonio o en el normal desarrollo de las operaciones de la Empresa y el Fondo
Colectivo que administra.
Desastre: Se refiriere al suceso que por su magnitud compromete los recursos de la Empresa, tanto
físicos como humanos, requiriendo un esfuerzo de recuperación mayor en personal, tiempo y dinero,
como por ejemplo: atentado terrorista, incendios, inundaciones, entre otros.
Disponibilidad: La disponibilidad de la información se refiere a la seguridad con la que puede ser

recuperada la información en el momento en que se necesite; es decir, evitar su pérdida o bloqueo,
bien sea por ataque doloso, mala operación accidental o situaciones fortuitas o de fuerza mayor.
Empresa: Hace referencia a EL CLAN EAFC S.A.
Evento: Suceso o serie de sucesos que pueden ser internos o externos a la Empresa y el Fondo
Colectivo que administra, originados por la misma causa, que ocurren durante el mismo periodo de
tiempo.

Fondo Colectivo: Es el patrimonio autónomo constituido por las Cuotas Capital pagadas por los
Asociados, con el objeto de adquirir bienes y/o servicios por acción conjunta de los Asociados que lo
integran. Igualmente, comprende los resultados de las inversiones de los recursos del Fondo
Colectivo, las penalidades y la Cuota de Fondo de Reserva, de ser el caso.
Hardware: Elementos físicos que componen o complementan a un computador o equipos de red y

telecomunicaciones.
Impacto: La(s) consecuencia(s) de un evento, expresado ya sea en términos cualitativos o

cuantitativos. Usualmente se expresa en términos monetarios, como pérdidas financieras también es
llamado severidad.
Incidente: Es cualquier tipo de evento que inhabilite o interrumpa la capacidad de mantener un

negocio en su entorno normal por un periodo de tiempo y que afecte negativamente la misión de la
Empresa.
Información: Conjunto de datos contenidos en documentos físicos (papel, microfichas, libros y otros),
así como también en medios magnéticos y/u ópticos (diskettes, cintas, cartridge, cd, dvd, discos,
otros).
Internet: Red de transmisión de información de alcance mundial que se realiza bajo ciertos
estándares y protocolos que son respetados por todos los que se quieran integrar.
Página web: Es una red privada que utiliza protocolos de internet y comunicación para compartir
información y operaciones de interés del Asociado. Dicha página web permitirá al Asociado, de forma
segura, consultar su estado de cuenta, presentar su propuesta de remate, administrar sus pagos de
cuotas, entre otros. Adicionalmente, el Asociado tendrá un buzón de mensajería electrónica por el
cual la Empresa dirigirá sus comunicaciones.
Plan de Contingencia: Proceso cuyo objetivo es establecer los procedimientos de recuperación de la

infraestructura de Tecnologías de la Información (TI) en caso de presentarse un desastre.
Plan de Continuidad de Negocios: Proceso cuyo objetivo es implementar respuestas efectivas para
que la operatividad del negocio continúe de una manera razonable, con el fin de salvaguardar los
intereses de sus principales grupos de interés.
Plan de Emergencia: Proceso cuyo objetivo es implementar respuestas en la Empresa que

salvaguarde la integridad de los trabajadores y/o los activos de la Empresa ante una emergencia o
eventos inesperados.
Procesos críticos del negocio: Se entiende por procesos críticos de negocios a aquellos procesos
indispensables para la continuidad de las operaciones de la Empresa y cuya falta o ejecución
deficiente puede tener un impacto financiero, de imagen y/o de reputación significativo para la
Empresa y el Fondo Colectivo que administra.
Reglamento del Sistema de Fondos Colectivos y de sus Empresas Administradoras: Resolución SMV
N° 020-2014-SMV/01, Reglamento del Sistema de Fondos Colectivos y de sus Empresas
Administradoras, y sus modificatorias.

SMV: Superintendencia del Mercado de Valores.
Software: Soporte lógico de los sistemas compuesto por el conjunto de programas de sistemas que
permiten que el equipo tangible o hardware ejecute las instrucciones o comandos que se le imparte.
Tiempo Objetivo de Recuperación (RTO): Es el tiempo que la Empresa ha establecido para reanudar
un proceso en caso de ocurrencia de un incidente o un evento de interrupción de las operaciones de
la Empresa y el Fondo Colectivo que administra.
Trabajador: Todo aquel que, independientemente del régimen laboral o contractual en el que se
encuentre, desarrolla actividades permanentes para EL CLAN EAFC S.A.
Usuario: Cualquier persona relacionada o no laboralmente a la Empresa, a quien se le ha autorizado

el uso de instalaciones, servicios y/o infraestructura tecnológica de la Empres


Psi - V3.0 2023

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Psi - V3.0 2023

Cargado por

Copyright:

Formatos disponibles

EL CLAN EAFC S.A. Versión 1.

PLAN DE SEGURIDAD DE LA INFORMACIÓN

Elaborado por: Revisado por: Aprobado por:

PLAN DE SEGURIDAD DE LA INFORMACIÓN

Elaborado por: Revisado por: Aprobado por:

PLAN DE SEGURIDAD DE LA INFORMACIÓN

El Plan de Seguridad de la Información (en adelante PSI) es el conjunto detallado de acciones

 Formular el esquema de seguridad de la información de acuerdo a lo propuesto en la

El seguimiento y/o verificación de la implementación y aplicación de la metodología de Seguridad de

La estructura organizacional definida para el seguimiento y verificación de la metodología se ha

Elaborado por: Revisado por: Aprobado por:

PLAN DE SEGURIDAD DE LA INFORMACIÓN

A continuación se propone los Roles, Responsabilidades y Miembros del Comité.

Roles Responsabilidades Miembros

PLAN DE SEGURIDAD DE LA INFORMACIÓN

Roles Responsabilidades Miembros

Elaborado por: Revisado por: Aprobado por:

PLAN DE SEGURIDAD DE LA INFORMACIÓN

CÁPITULO II: APLICACIÓN DE LA METODOLOGÍA DE SEGURIDAD DE LA INFORMACIÓN

La metodología de seguridad de la información describe el contenido de las etapas en que se

Fase Descripción Documentos de trabajo

Elaborado por: Revisado por: Aprobado por:

PLAN DE SEGURIDAD DE LA INFORMACIÓN

CÁPITULO III: PLANES DE SEGURIDAD DE LA INFORMACIÓN

Elaborado por: Revisado por: Aprobado por:

PLAN DE SEGURIDAD DE LA INFORMACIÓN

Elaborado por: Revisado por: Aprobado por:

PLAN DE SEGURIDAD DE LA INFORMACIÓN

Elaborado por: Revisado por: Aprobado por:

PLAN DE SEGURIDAD DE LA INFORMACIÓN

Elaborado por: Revisado por: Aprobado por:

PLAN DE SEGURIDAD DE LA INFORMACIÓN

ANEXO 1: ANÁLISIS DIFERENCIAL DE SEGURIDAD

Estado Actual Observaciones Propuesta de Mejora

Elaborado por: Revisado por: Aprobado por:

PLAN DE SEGURIDAD DE LA INFORMACIÓN

Estado Actual Observaciones Propuesta de Mejora

Elaborado por: Revisado por: Aprobado por:

PLAN DE SEGURIDAD DE LA INFORMACIÓN

Estado Actual Observaciones Propuesta de Mejora

Elaborado por: Revisado por: Aprobado por:

PLAN DE SEGURIDAD DE LA INFORMACIÓN

Estado Actual Observaciones Propuesta de Mejora

Elaborado por: Revisado por: Aprobado por:

PLAN DE SEGURIDAD DE LA INFORMACIÓN

Estado Actual Observaciones Propuesta de Mejora

PLAN DE SEGURIDAD DE LA INFORMACIÓN

Estado Actual Observaciones Propuesta de Mejora

14 Adquisición, desarrollo y mantenimiento de sistemas

Elaborado por: Revisado por: Aprobado por:

PLAN DE SEGURIDAD DE LA INFORMACIÓN

Estado Actual Observaciones Propuesta de Mejora

Elaborado por: Revisado por: Aprobado por:

PLAN DE SEGURIDAD DE LA INFORMACIÓN

Estado Actual Observaciones Propuesta de Mejora

Elaborado por: Revisado por: Aprobado por:

PLAN DE SEGURIDAD DE LA INFORMACIÓN

ANEXO 2: POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN

De acuerdo a la Metodología de Gestión de Seguridad de la Información que emplea la Empresa, la

 Política de estructura organizacional de seguridad de la información

 Política de seguridad para los recursos humanos

Elaborado por: Revisado por: Aprobado por: