Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Psi - V3.0 2023
Psi - V3.0 2023
0 Página 1 de 33
PLAN DE SEGURIDAD
DE LA INFORMACIÓN
VERSIÓN 3.0
Aprobado en Sesión de Directorio del 31 de enero de 2023
Vigente a partir del 01 de febrero de 2023
INDICE
CÁPITULO I: GENERALIDADES 3
CÁPITULO II: APLICACIÓN DE LA METODOLOGÍA DE SEGURIDAD DE LA INFORMACIÓN 6
CÁPITULO III: PLANES DE SEGURIDAD DE LA INFORMACIÓN 7
ANEXO 1: ANÁLISIS DIFERENCIAL DE SEGURIDAD 11
ANEXO 2: POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN 19
ANEXO 3: INDICADORES PARA LA VERIFICACIÓN DE SGSI 25
ANEXO 4: ANALISIS DE IMPORTANCIA 28
ANEXO 5: MATRIZ DE ANALISIS DE AMENAZAS 30
ANEXO 6: GLOSARIO DE TÉRMINOS 31
CÁPITULO I: GENERALIDADES
DEFINICIÓN Y PROPOSITO.-
ALCANCE.-
El presente PSI es de aplicación para todas las áreas que componen la Empresa cuya función sea
crítica en brindar los servicios de administración de fondos colectivos. Asimismo, el presente PSI
aplica a terceros a través de contratos o acuerdos de prestación de servicios.
OBJETIVOS.-
RESPONSABLE
El PSI deberá ser revisado, por lo menos, una vez al año. Las propuestas para modificar o actualizar el
documento deberán ser revisadas por la Gerencia General y aprobadas por el Directorio. La Empresa
entregará a cada uno de sus jefaturas una copia del PSI, para su conocimiento. Las definiciones y
términos empleados en este documento se encuentran documentados en el Glosario de Términos.
(Ver Anexo 1)
En ese sentido durante su aplicación se desarrolla una serie de documentos de trabajo a fin de
obtener los planes de seguridad de la información los cuales son un conjunto detallado de acciones
orientadas a planificar, orientar y desarrollar los mecanismos necesarios para dotar de disponibilidad,
confidencialidad e integridad al conjunto de datos y activos de información.
El siguiente cuadro resume la Fase y los documentos de trabajo obtenidos luego de la aplicación de la
Metodología.
Luego de la aplicación de la Metodología de Seguridad de la Información se puede organizar y planificar los siguientes planes que permitirán la
implementación y consolidación del SGSI en la Empresa.
PROPUESTAS DE
CONTROL RESPONSABLE PRIORIDAD ESTADO DOCUMENTO PLANIFICADO DURACIÓN
MEJORA
13.2.2 Acuerdos sobre transferencia de información
Acuerdo de
13.2.4 Acuerdos de confidencialidad o de no divulgación Departamento Acuerdo de DICIEMBRE
Confidencialidad ALTA FINALIZADO 1 mes
15.1.2 Tratamiento de la seguridad dentro de los Legal Confidencialidad 2020
NDA
acuerdos con proveedores
Capacitación en
7.2.2 Toma de conciencia, educación y formación en la Departamento EN Material de DICIEMBRE
Seguridad de la MEDIA 1 mes
seguridad de la información. de TI PROGRESO Capacitación PSI 2020
Información
Indicadores de Plan de
17.1.3 Verificación, revisión y evaluación de la Departamento ENERO
Seguridad de la ALTA FINALIZADO Seguridad de 1 mes
continuidad de la seguridad de la información de TI 2020
Información Información
6.1.1 Roles y responsabilidades para la seguridad de la
información
8.1.2 Propiedad de los activos Departamento EN DICIEMBRE
Matriz de Roles MEDIA Matriz de Roles 1 mes
9.2.2 Suministro de acceso de usuarios de TI PROGRESO 2020
9.2.3 Gestión de derechos de acceso privilegiado
9.4.1 Restricción de acceso a la información
17.1.1 Planificación de la continuidad de la seguridad de
Plan de la información Departamento Plan de ENERO
ALTA FINALIZADO 2 meses
Continuidad 17.1.2 Implementación de la continuidad de la seguridad de TI Continuidad 2020
de la información
PROPUESTAS DE
CONTROL RESPONSABLE PRIORIDAD ESTADO DOCUMENTO PLANIFICADO DURACIÓN
MEJORA
5.1.1 Políticas para la seguridad de la información
5.1.2 Revisión de las políticas para la seguridad de la
información.
11.2.5 Retiro de activos
11.2.7 Disposición segura o reutilización de equipos
11.2.9 Política de escritorio limpio y pantalla limpia
13.2.1 Políticas y procedimientos de transferencia de
información
15.1.1 Política de seguridad de la información para las
relaciones con proveedores
18.1.2 Derechos propiedad intelectual (DPI)
Política de 18.1.4 Privacidad y protección de información de datos Plan de
Departamento ENERO
Seguridad de la personales ALTA FINALIZADO Seguridad de 2 meses
de TI 2020
Información 18.2.1 Revisión independiente de la seguridad de la Información
información
18.2.2 Cumplimiento con las políticas y normas de
seguridad
18.2.3 Revisión del cumplimiento técnico
6.2.1 Política para dispositivos móviles
6.2.2 Teletrabajo
8.1.3 Uso aceptable de los activos
8.2.1 Clasificación de la información
8.2.3 Manejo de activos
9.1.1 Política de control de acceso
9.3.1 Uso de información de autenticación secreta
PROPUESTAS DE
CONTROL RESPONSABLE PRIORIDAD ESTADO DOCUMENTO PLANIFICADO DURACIÓN
MEJORA
14.1.1 Análisis y especificación de requisitos de
seguridad de la información
14.1.2 Seguridad de servicios de las aplicaciones en
redes públicas
14.2.1 Política de desarrollo seguro
14.2.2 Procedimientos de control de cambios en
Procedimiento de sistemas
Departamento EN Procedimientos DICIEMBRE
Desarrollo de 14.2.3 Revisión técnica de las aplicaciones después de BAJA 2 meses
de TI PROGRESO de TI 2020
Software cambios en la plataforma de operación
14.2.4 Restricciones en los cambios a los paquetes de
software
14.2.5 Principio de Construcción de los Sistemas
Seguros.
14.2.6 Ambiente de desarrollo seguro
14.2.8 Pruebas de seguridad de sistemas
Procedimiento de
9.2.1 Registro y cancelación del registro de usuarios Departamento EN Procedimientos DICIEMBRE
Gestión de Acceso MEDIA 2 meses
9.2.5 Revisión de los derechos de acceso de usuarios de TI PROGRESO de TI 2020
de Usuarios
16.1.1 Responsabilidades y procedimientos
16.1.2 Reporte de eventos de seguridad de la
información
Procedimiento de 16.1.3 Reporte de debilidades de seguridad de la
Gestión de información
incidentes y 16.1.4 Evaluación de eventos de seguridad de la Departamento EN Procedimientos DICIEMBRE
BAJA 2 meses
mejoras en la información y decisiones sobre ellos de TI PROGRESO de TI 2020
seguridad de la 16.1.5 Respuesta a incidentes de seguridad de la
información información
16.1.6 Aprendizaje obtenido de los incidentes de
seguridad de la información
16.1.7 Recolección de evidencia
PROPUESTAS DE
CONTROL RESPONSABLE PRIORIDAD ESTADO DOCUMENTO PLANIFICADO DURACIÓN
MEJORA
Procedimiento de
Unidad de Manual de
Revisión de 18.1.1 Identificación de la legislación aplicable. ENERO
Gestión de MEDIA FINALIZADO Sistema de 2 meses
Cumplimiento 18.1.3 Protección de registros 2020
Riesgos Control Interno
SMV
Procedimiento DICIEMBRE
12.4.1 Registro de eventos Departamento EN Procedimientos
para la revisión de BAJA 2020 2 meses
12.4.3 Registros del administrador y del operador de TI PROGRESO de TI
logs
Completamente
A7.1.1 Selección
implementado.
Completamente
A7.1.2 Términos y condiciones del empleo
implementado
7.2 Durante la ejecución del empleo
Completamente
A7.2.1 Responsabilidades de la dirección.
implementado
Toma de conciencia, educación y Esta casi Capacitación en
A7.2.2 formación en la seguridad de la completamente Seguridad de la
información. implementado Información
Completamente
A7.2.3 Proceso disciplinario.
implementado
7.2 Terminación y cambio de empleo
ANTECEDENTES.-
POLITICAS GENERALES.-
La información que se maneja en la organización, solamente podrá ser utilizada con fines
empresariales.
Los recursos informáticos asignados a cada usuario, son para uso limitado a la función
empresarial.
Los servicios informáticos podrán usarse ocasionalmente para asuntos personales, excepto sí:
interfieren con el desempeño propio del servicio, interfieren en las labores propias de los
funcionarios y suponen un alto costo para la entidad.
Todos los funcionarios que conforman las diferentes áreas de la entidad deberán clasificar la
información que tengan bajo su custodia en alguna de las categorías como: USO PUBLICO,
USO PRIVADO, USO RESERVADO O CONFIDENCIAL.
La información confidencial debe manejarse como tal de manera recíproca entre la entidad y
terceras partes.
Toda la información catalogada por las áreas como crítica debe contar con copias de
respaldo para garantizar su seguridad.
El centro de cómputo es un área de acceso restringido, por tal motivo el ingreso y
permanencia debe ser autorizado.
El acceso a los diferentes equipos informáticos y sistemas de información debe hacerse a
través de los mecanismos de autenticación establecidos.
El acceso no autorizado a los sistemas de información y uso indebido de los recursos
informáticos de la entidad está prohibido.
POLITICAS ESPECIFICAS.-
La Empresa suministrará a los usuarios las claves respectivas para el acceso a los servicios de
red y sistemas de información a los que hayan sido autorizados, las claves son de uso
personal e intransferible.
Solicitudes de Soporte
Objetivo Controlar que los funcionarios asuman la responsabilidad frente a su conocimiento y manejo de
las tecnologías de información y comunicaciones que estén a su cargo.
Pregunta El soporte requerido estaba justificado por algo ajeno a la falte de conocimiento del funcionario
que solicita.
Métrica En el periodo de tiempo establecido, número de solicitudes no justificadas y el tiempo de
soporte requerido para atenderlas. La contabilización se hará por:
- Jefe
- Empleado
- Vendedor
Permisos de Acceso
Objetivo Validar que el número de accesos permitidos sea congruente con la estructura organizacional y
la organización para la seguridad de la información.
Pregunta ¿Cuántos usuarios tienen acceso autorizado a la aplicación?
Métrica Contabilizar el número de usuarios que tienen autorizado el acceso bajo los siguientes
parámetros:
- Solo lectura
- Modificación
- Control Total
Implementación de Controles
Objetivo Identificar el porcentaje de avance en la implementación de los controles de seguridad.
Pregunta ¿Cuántos controles de seguridad se han implementado?
Métrica Contabilizar el número de controles de seguridad implementados versus los identificados
propuestos en la Metodología de Seguridad de la Información
Sensibilización
Objetivo Verificar que el personal reciban oportunamente el entrenamiento y sensibilización requerido
por el SGSI.
Pregunta ¿Cuántos empleados han recibido formalmente un curso de entrenamiento o sensibilización en
seguridad de la información?
Métrica Contabilizar el número de funcionarios que han recibido
Gestión de Incidentes
Objetivo Verificar la efectividad de la gestión de incidentes de seguridad de la información.
Pregunta ¿Cuántos eventos, incidentes y/o falsos positivos se han presentado durante el período de
tiempo definido?
Métrica Número de eventos, incidentes y/o falsos positivos registrados
Elaborado por: Revisado por: Aprobado por:
El Clan EAFC S.A. Gerencia General Sesión de Directorio del 31.01.23
La impresión del presente documento será una copia no controlada. Antes de usarla, asegúrese de que se trate de la versión vigente.
EL CLAN EAFC S.A. Versión 1.0 Página 26 de 33
Disponibilidad
Objetivo Verificar el cumplimiento de los niveles de disponibilidad establecidos con base en la
clasificación de los activos de información.
Pregunta ¿Cuántas caídas por razones de seguridad, se han presentado en el mes?
Métrica Número de caídas por período de tiempo establecido y la duración de cada una estableciendo
una de las siguientes causas:
- Virus
- Ataques informáticos
- Error de configuración
- Problemas de hardware
- Uso no autorizado
- Problemas de red
Confidencialidad
Objetivo Verificar el cumplimiento de los niveles de confidencialidad establecidos con base en la
clasificación de los activos de información.
Pregunta ¿Cuántos incidentes relacionados con acceso no autorizado a la información, se han presentado
en el mes?
Métrica Número de incidentes de confidencialidad por período de tiempo establecido y la duración de
cada una estableciendo una de las siguientes causas:
- Virus
- Ataques informáticos
- Error de configuración
- Problemas de hardware
- Uso no autorizado
- Problemas de red
Integridad
Objetivo Verificar el cumplimiento de los niveles de integridad establecidos con base en la clasificación
de los activos de información.
Pregunta ¿Cuántos incidentes relacionados con afectación de la integridad de los datos, se han
presentado en el mes?
Métrica Número de incidentes de integridad de datos por período de tiempo establecido y la duración
de cada una estableciendo una de las siguientes causas:
- Virus
- Ataques informáticos
- Error de configuración
- Problemas de hardware
- Uso no autorizado
- Problemas de red
Activos
Objetivo Mantener la protección requerida frente a seguridad de la información para los activos de la
Entidad.
Pregunta ¿Cuántos activos pertenecen a cada nivel de clasificación frente a Disponibilidad, Integridad y
Disponibilidad?
Métrica Número de activos por cada uno de los niveles establecidos en la metodología:
- Confidencialidad
- Integridad
- Disponibilidad
Elaborado por: Revisado por: Aprobado por:
El Clan EAFC S.A. Gerencia General Sesión de Directorio del 31.01.23
La impresión del presente documento será una copia no controlada. Antes de usarla, asegúrese de que se trate de la versión vigente.
EL CLAN EAFC S.A. Versión 1.0 Página 27 de 33
Licenciamiento
Objetivo Verificar el cumplimiento legal para todas las aplicaciones y sistemas de información instalados
en la empresa.
Pregunta ¿Cuántos aplicaciones o sistemas de información se encuentran instalados correctamente
licenciados? ¿cuántos en periodo de prueba? ¿cuántos fuera de licencia?
Métrica Un conteo para las siguientes instancias
- Aplicaciones de servidor: número total – discriminar el porcentaje en Licenciadas, Periodo de
prueba, Licencia vencida, Sin Licenciar
- Aplicaciones de usuario final: número total – discriminar el porcentaje en Licenciadas, Periodo
de prueba, Licencia vencida, Sin Licenciar.
Cifrado de datos
Objetivo Verificar la cobertura de los archivos que deben estar protegidos por cifrado de datos.
Pregunta ¿Se cumple con el envio cifrado de información a los entes reguladores? ¿Cuándo vence los
certificados?
Métrica Se mide por:
- Cumple SI/NO, ¿porque no?
- Proxima fecha de renovación
Para efectos del contenido del presente PGC se aplicarán las siguientes definiciones:
Aplicativos: Conjunto de programas que realizan tareas específicas y permiten procesar, de manera
automatizada, un servicio o producto.
Catástrofe: Es un suceso de tal magnitud que no solo afecta a la Empresa, sino que incluso perjudica
a la ciudad y/o al país, comprometiendo a proveedores, clientes y autoridades locales, como por
ejemplo: terremoto.
Centro de cómputo alterno: Es el centro de cómputo de respaldo, que deberá incluir una sala de
servidores para retomar las operaciones de un centro de cómputo principal en caso de una
contingencia.
Crisis: Evento o proceso grave de características complejas que ocasiona un impacto importante en
los intereses, patrimonio o en el normal desarrollo de las operaciones de la Empresa y el Fondo
Colectivo que administra.
Desastre: Se refiriere al suceso que por su magnitud compromete los recursos de la Empresa, tanto
físicos como humanos, requiriendo un esfuerzo de recuperación mayor en personal, tiempo y dinero,
como por ejemplo: atentado terrorista, incendios, inundaciones, entre otros.
Evento: Suceso o serie de sucesos que pueden ser internos o externos a la Empresa y el Fondo
Colectivo que administra, originados por la misma causa, que ocurren durante el mismo periodo de
tiempo.
Fondo Colectivo: Es el patrimonio autónomo constituido por las Cuotas Capital pagadas por los
Asociados, con el objeto de adquirir bienes y/o servicios por acción conjunta de los Asociados que lo
integran. Igualmente, comprende los resultados de las inversiones de los recursos del Fondo
Colectivo, las penalidades y la Cuota de Fondo de Reserva, de ser el caso.
Información: Conjunto de datos contenidos en documentos físicos (papel, microfichas, libros y otros),
así como también en medios magnéticos y/u ópticos (diskettes, cintas, cartridge, cd, dvd, discos,
otros).
Internet: Red de transmisión de información de alcance mundial que se realiza bajo ciertos
estándares y protocolos que son respetados por todos los que se quieran integrar.
Página web: Es una red privada que utiliza protocolos de internet y comunicación para compartir
información y operaciones de interés del Asociado. Dicha página web permitirá al Asociado, de forma
segura, consultar su estado de cuenta, presentar su propuesta de remate, administrar sus pagos de
cuotas, entre otros. Adicionalmente, el Asociado tendrá un buzón de mensajería electrónica por el
cual la Empresa dirigirá sus comunicaciones.
Plan de Continuidad de Negocios: Proceso cuyo objetivo es implementar respuestas efectivas para
que la operatividad del negocio continúe de una manera razonable, con el fin de salvaguardar los
intereses de sus principales grupos de interés.
Procesos críticos del negocio: Se entiende por procesos críticos de negocios a aquellos procesos
indispensables para la continuidad de las operaciones de la Empresa y cuya falta o ejecución
deficiente puede tener un impacto financiero, de imagen y/o de reputación significativo para la
Empresa y el Fondo Colectivo que administra.
Reglamento del Sistema de Fondos Colectivos y de sus Empresas Administradoras: Resolución SMV
N° 020-2014-SMV/01, Reglamento del Sistema de Fondos Colectivos y de sus Empresas
Administradoras, y sus modificatorias.
Software: Soporte lógico de los sistemas compuesto por el conjunto de programas de sistemas que
permiten que el equipo tangible o hardware ejecute las instrucciones o comandos que se le imparte.
Tiempo Objetivo de Recuperación (RTO): Es el tiempo que la Empresa ha establecido para reanudar
un proceso en caso de ocurrencia de un incidente o un evento de interrupción de las operaciones de
la Empresa y el Fondo Colectivo que administra.
Trabajador: Todo aquel que, independientemente del régimen laboral o contractual en el que se
encuentre, desarrolla actividades permanentes para EL CLAN EAFC S.A.