PLAN DE SEGURIDAD INFORMÁTICA PARA UNA ENTIDAD FINANCIERA”
-
Upload
henry-lucas -
Category
Documents
-
view
16.348 -
download
1
Transcript of PLAN DE SEGURIDAD INFORMÁTICA PARA UNA ENTIDAD FINANCIERA”
UNIVERSIDAD NACIONAL MAYOR DE SAN MARCOSFundada en 1551
FACULTAD DE CIENCIAS MATEMÁTICAS
E.A.P. DE COMPUTACIÓN
“PLAN DE SEGURIDAD INFORMÁTICA PARA UNA ENTIDAD FINANCIERA”
TRABAJO MONOGRÁFICO
Para optar el Título Profesional de:
LICENCIADA
AUTORA
NORMA EDITH CÓRDOVA RODRÍGUEZ
LIMA – PERÚ2003
DEDICATORIADEDICATORIA
Este trabajo va dedicado a la UniversidadNacional Mayor de San Marcos, a la que ledebo mi formación profesional y los éxitos
que he alcanzado.
I N D I C E
INTRODUCCION
CAPITULO I.
OBJETIVOS Y ALCANCES
1.1 Objetivos.................................................................................................................1
CAPITULO II
METODOLOGÍA Y PROCEDIMIENTOS UTILIZADO
2.1 Metodología ESA....................................................................................................3
CAPITULO III
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL DE LA ADMINISTRACIÓN DE
LA SEGURIDAD DE INFORMACIÓN
3.1 Evaluación ............................................................................................................53.2 Alcances ............................................................................................................6
CAPITULO IV
SEGURIDAD DE LA INFORMACIÓN – ROLES Y ESTRUCTURA
ORGANIZACIONAL
4.1 Situación actual.....................................................................................................84.2 Roles y responsabilidades de la estructura organizacional de seguridad de
información.....................................................................................................94.3 Organización del area de seguridad informática propuesta ............. 13
CAPITULO V
EVALUACIÓN DE RIESGOS, AMENAZAS Y VULNERABILIDADES
5.1 Matriz de uso y estrategia de tecnología ....................................................... 165.2 Matriz de evaluación de amenazas y vulnerabilidades ............................... 265.3 Matriz de iniciativas del negocio / procesos .................................................. 38
CAPITULO VI
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
6.1 Definición..............................................................................................................48
6.2 Cumplimiento obligatorio ...................................................................................49
6.3 Organización de la Seguridad ..........................................................................49
6.3.1 Estructura organizacional................................................................. 496.3.2 Acceso por parte de terceros........................................................... 506.3.3 Outsourcing......................................................................................... 51
6.4 Evaluacion de riesgo ..........................................................................................51
6.4.1 Inventario de activos.......................................................................... 526.4.2 Clasificación del acceso de la información.................................... 536.4.3 Definiciones........................................................................................ 54
6.4.4 Aplicación de controles para la información clasificada.............. 546.4.5 Análisis de riesgo............................................................................... 57
6.4.6 Cumplimiento ...................................................................................... 57 6.4.7 Aceptación de riesgo......................................................................... 58
6.5 Seguridad del personal......................................................................................58
6.5.1 Seguridad en la definición de puestos de trabajo y recursos ..... 596.5.2 Capacitación de usuarios ................................................................. 606.5.3 Procedimientos de respuesta ante incidentes de seguridad..... 61
6.5.3.1 Registro de fallas ............................................................................. 626.5.3.2 Intercambios de información y correo electrónico...................... 626.5.3.3 Seguridad para media en tránsito ................................................. 64
6.6 Seguridad física de las instalaciones de procesamiento de datos .............64
6.6.1 Protección de las instalaciones de los centros de datos............. 646.6.2 Control de acceso a las instalaciones de cómputo ...................... 656.6.3 Acuerdo con regulaciones y leyes................................................... 66
6.7 Administración de comunicaciones y operaciones........................................66
6.7.1 Procedimientos y responsabilidades operacionales .................... 666.7.1.1 Procedimientos operativos documentados.................................. 666.7.1.2 Administración de operaciones realizadas por terceros............ 676.7.1.3 Control de cambios operacionales................................................ 676.7.1.4 Administración de incidentes de seguridad................................. 686.7.1.5 Separación de funciones de operaciones y desarrollo .............. 68
6.7.2 Protección contra virus...................................................................... 696.7.3 Copias de respaldo............................................................................ 70
6.8 Control de acceso de datos...............................................................................71
6.8.1 Identificación de usuarios ................................................................. 71
6.8.2 Seguridad de contraseñas................................................................ 726.8.2.1 Estructura .......................................................................................... 726.8.2.2 Vigencia............................................................................................. 736.8.2.3 Reutilización de contraseñas ......................................................... 736.8.2.4 Intentos fallidos de ingreso............................................................. 736.8.2.5 Seguridad de contraseñas ............................................................. 74
6.8.3 Control de transacciones .................................................................. 746.8.4 Control de producción y prueba ...................................................... 756.8.5 Controles de acceso de programas ................................................ 766.8.6 Administración de acceso de usuarios........................................... 766.8.7 Responsabilidades del usuario........................................................ 786.8.8 Seguridad de computadoras ............................................................ 796.8.9 Control de acceso a redes................................................................ 80
6.8.9.1 Conexiones con redes externas.................................................... 806.8.9.2 Estándares generales ..................................................................... 816.8.9.3 Política del uso de servicio de redes ............................................ 826.8.9.4 Segmentación de redes.................................................................. 836.8.9.5 Análisis de riesgo de red ................................................................ 836.8.9.6 Acceso remoto(dial-in) .................................................................... 836.8.9.7 Encripción de los datos................................................................... 84
6.8.10 Control de acceso al sistema operativo ......................................... 846.8.10.1 Estándares generales ................................................................... 846.8.10.2 Limitaciones de horario................................................................. 846.8.10.3 Administración de contraseñas ................................................... 856.8.10.4 Inactividad del sistema.................................................................. 856.8.10.5 Estándares de autenticación en los sistemas........................... 85
6.8.11 Control de acceso de aplicación...................................................... 856.8.11.1 Restricciones de acceso a información...................................... 866.8.11.2 Aislamiento de sistemas críticos................................................. 86
6.8.12 Monitoreo del acceso y uso de los sistemas................................. 866.8.12.1 Sincronización del reloj................................................................. 866.8.12.2 Responsabilidades generales...................................................... 876.8.12.3 Registro de eventos del sistema................................................. 87
6.8.13 Computación móvil y teletrabajo ..................................................... 876.8.13.1 Responsabilidades generales...................................................... 876.8.13.2 Acceso remoto ............................................................................... 88
6.9 Desarrollo y mantenimiento de los sistemas..................................................89
6.9.1 Requerimientos de seguridad de sistemas.................................... 896.9.1.1 Control de cambios.......................................................................... 896.9.1.2 Análisis y especificación de los requerimientos de seguridad . 90
6.9.2 Seguridad en sistemas de aplicación............................................. 906.9.2.1 Desarrollo y prueba de aplicaciones............................................. 90
6.10 Cumplimiento normativo ...................................................................................91
6.10.1 Registros ............................................................................................. 91
6.10.2 Revisión de la política de seguridad y cumplimiento técnico ..... 926.10.3 Propiedad de los programas ............................................................ 926.10.4 Copiado de software adquirido y alquilado.................................... 92
6.11 Consideraciones de auditoria de sistemas .....................................................93
6.11.1 Protección de las herramientas de auditoria ................................. 936.11.2 Controles de auditoria de sistemas................................................. 93
6.12 Política de Comercio Electrónico .....................................................................94
6.12.1 Términos e información de comercio electrónico ......................... 956.12.1.1 Recolección de información y privacidad .................................. 956.12.1.2 Divulgación ..................................................................................... 95
6.12.2 Transferencia electrónica de fondos............................................... 96
6.13 Información almacenada en medios digitales y físicos ................................97
6.13.1 Etiquetado de la información............................................................ 976.13.2 Copiado de la información................................................................ 976.13.3 Distribución de la información.......................................................... 986.13.4 Almacenamiento de la información................................................. 986.13.5 Eliminación de la información .......................................................... 99
CAPITULO VII
PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL
7.1 Clasificación de información...........................................................................1027.2 Seguridad de red y comunicaciones.............................................................1037.3 Inventario de accesos a los sistemas...........................................................1067.4 Adaptación de contratos con proveedores ..................................................1077.5 Campaña de concientización de usuarios. ..................................................1087.6 Verificación y adaptación de los sistemas del banco.................................1097.7 Estandarización de la configuración del software base.............................1107.8 Revisión, y adaptación de procedimientos complementarios...................1117.9 Cronograma tentativo de implementación...................................................113
CONCLUSIONES Y RECOMENDACIONES ........................................................114
ANEXOS
A. Diseño de arquitectura de seguridad de red ................................................118
B. Circular n° g-105-2002 publicada por la Superintendencia de Banca ySeguros (SBS) sobre riesgos de tecnología de información.....................121
C. Detalle: Diagnostico de la Situacion Actual de la Administración de los riesgosde tecnologia de la informacion......................................................................132
BIBLIOGRAFÍA.. ..............................................................................................154
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
RESUMEN
La liberalización y la globalización de los servicios financieros, junto con la
creciente sofisticación de la tecnología financiera, están haciendo cada vez
más diversas y complejas las actividades de los bancos en términos de
Seguridad.
En otros tiempos la seguridad de la información era fácilmente administrable,
sólo bastaba con resguardar los documentos más importantes bajo llave y
mantener seguros a los empleados que poseen el conocimiento poniendo
guardias de seguridad. Hoy en día es más difícil.
Los sistemas electrónicos entraron en las oficinas y obligaron a los sistemas de
seguridad a evolucionar para mantenerse al día con la tecnología cambiante.
Luego, hace unos 5 años, los negocios, aún las empresas más pequeñas, se
conectaron a Internet (una amplia red pública con pocas reglas y sin
guardianes).
De manera similar a otro tipo de crímenes, el cuantificar los gastos y pérdidas
en seguridad de la información o crímenes cibernéticos es muy difícil. Se
tiende a minimizar los incidentes por motivos muchas veces justificables.
Por otro lado el objetivo fundamental de la seguridad no es proteger los
sistemas, sino reducir los riesgos y dar soporte a las operaciones del negocio.
La computadora más segura del mundo es aquella que está desconectada de
cualquier red, enterrada profundamente en algún oscuro desierto y rodeada de
guardias armados, pero es también la más inútil.
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
La seguridad es sólo uno de los componentes de la administración de riesgos –
minimizar la exposición de la empresa y dar soporte a su capacidad de lograr
su misión. Para ser efectiva, la seguridad debe estar integrada a los procesos
del negocio y no delegada a algunas aplicaciones técnicas.
Los incidentes de seguridad más devastadores tienden más a ser internos que
externos. Muchos de estos incidentes involucran a alguien llevando a cabo una
actividad autorizada de un modo no autorizado. Aunque la tecnología tiene
cierta ingerencia en limitar esta clase de eventos internos, las verificaciones y
balances como parte de los procesos del negocio son mucho más efectivos.
Las computadoras no atacan a las empresas, lo hace la gente. Los empleados
bien capacitados tienen mayores oportunidades de detectar y prevenir los
incidentes de seguridad antes de que la empresa sufra algún daño. Pero para
que los empleados sean activos, se requiere que entiendan como reconocer,
responder e informar los problemas – lo cual constituye la piedra angular de la
empresa con conciencia de seguridad lo que nosotros llamamos “cultura de
seguridad”.
El presente trabajo describe como se define un Plan de Seguridad para una
entidad financiera, empieza por definir la estructura organizacional (roles y
funciones), después pasa a definir las políticas para finalmente concluir con un
plan de implementación o adecuación a las políticas anteriormente definidas.
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
ABSTRACT
The liberalization and globalization of the financial services with the increasing
sophistication of the financial technology are facing more complex banking
activities in terms of security.
Long time ago, security information was easily management, just it was enough
guard the more important documents under the keys and placed employees;
who has the knowledge; safe, just placing bodyguards; nowadays it is harder.
The electronics systems got in the office and made systems security evolved to
be updated with the technology changes. Then, 5 years ago, the business; even
the small companies were connected to Internet (a public network with few
rules and without security).
In a similar way of other kind of crimes, measure security IT expenses and lost
or cybernetic crimes are very difficult. People tend to minimize incidents for
justifying reasons.
By the other hand, the main objective of IT Security is not to protect the
systems; it is to reduce risks and to support the business operations. The most
secure computer in the world is which is disconnected form the network, placed
deeply in any dark desert and be surrounded by armed bodyguards, but it is
also the most useless.
Security is just one of the components of risk management - minimize the
exposition of the business and support the capacity of meet his mission. To be
effective, security must be integrated through the business process and not
delegate to some technical applications.
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
The more destructive security incidents tend mostly to be internal instead of
external. Many of these involve someone taking an authorized activity in a way
non-authorized. Although technology has some concern in limit these kind of
internal events, the verifications and balances as part of the business process
are more effective.
Computers does not attack enterprises, people do it. Employees with
knowledge have more opportunities to detect and prevent security incidents
before the enterprises suffer a damage. But to make employees more concern,
we need that they understand, reply and inform security incidents – which is the
most important thing inside the enterprise with security concern, which is called
“security culture”.
The present work describes how you can define a Security Plan for a financial
enterprise, begin defining the Organizational structure (roles and
responsibilities), then define the policies and finally ends with the
Implementation Plan which are the activities to meet the policies before
mentioned.
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
INTRODUCCIÓN
Los eventos mundiales recientes han generado un mayor sentido de urgencia
que antes con respecto a la necesidad de tener mayor seguridad - física y de
otro tipo. Las empresas pueden haber reforzado las medidas de seguridad,
pero nunca se sabe cuándo o cómo puede estar expuesta. A fin de brindar la
más completa protección empresarial, se requiere de un sistema exhaustivo de
seguridad. Es vital implementar un plan de seguridad. Sin embargo,
implementar un plan proactivo que indique cómo sobrevivir a los múltiples
escenarios también preparará a las empresas en el manejo de las amenazas
inesperadas que podría afrontar en el futuro.
La mayoría de las empresas ha invertido tiempo y dinero en la construcción de
una infraestructura para la tecnología de la información que soporte su
compañía, esa infraestructura de TI podría resultar ser una gran debilidad si se
ve comprometida. Para las organizaciones que funcionan en la era de la
informática interconectadas y con comunicación electrónica, las políticas de
información bien documentadas que se comunican, entienden e implementen
en toda la empresa, son herramientas comerciales esenciales en el entorno
actual para minimizar los riesgos de seguridad.
Imagine lo que sucedería si:
• La información esencial fuera robada, se perdiera, estuviera en peligro,
fuera alterada o borrada.
• Los sistemas de correo electrónico no funcionaran durante un día o más.
¿Cuánto costaría esta improductividad?
• Los clientes no pudieran enviar órdenes de compra a través de la red
durante un prolongado periodo de tiempo.
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
Prepararse para múltiples escenarios parece ser la tendencia creciente. En un
informe publicado por Giga Information Group con respecto a las tendencias de
TI estimadas para el año 2002, se espera que los ejecutivos corporativos se
interesen cada vez más en la prevención de desastres físicos, ciberterrorismo y
espionaje de libre competencia. Implementar una política de seguridad
completa le da valor intrínseco a su empresa. También mejorará la credibilidad
y reputación de la empresa y aumentará la confianza de los accionistas
principales, lo que le dará a la empresa una ventaja estratégica.
¿Cómo desarrollar una política de seguridad?
• Identifique y evalúe los activos: Qué activos deben protegerse y cómo
protegerlos de forma que permitan la prosperidad de la empresa.
• Identifique las amenazas: ¿Cuáles son las causas de los potenciales
problemas de seguridad? Considere la posibilidad de violaciones a la
seguridad y el impacto que tendrían si ocurrieran.
Estas amenazas son externas o internas:
o Amenazas externas: Se originan fuera de la organización y son
los virus, gusanos, caballos de Troya, intentos de ataques de los
hackers, retaliaciones de ex-empleados o espionaje industrial.
o Amenazas internas: Son las amenazas que provienen del
interior de la empresa y que pueden ser muy costosas porque el
infractor tiene mayor acceso y perspicacia para saber donde
reside la información sensible e importante. Las amenazas
internas también incluyen el uso indebido del acceso a Internet
por parte de los empleados, así como los problemas que podrían
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
ocasionar los empleados al enviar y revisar el material ofensivo a
través de Internet.
• Evalué los riesgos: Éste puede ser uno de los componentes más
desafiantes del desarrollo de una política de seguridad. Debe calcularse
la probabilidad de que ocurran ciertos sucesos y determinar cuáles tiene
el potencial para causar mucho daño. El costo puede ser más que
monetario - se debe asignar un valor a la pérdida de datos, la privacidad,
responsabilidad legal, atención pública indeseada, la pérdida de clientes
o de la confianza de los inversionistas y los costos asociados con las
soluciones para las violaciones a la seguridad.
• Asigne las responsabilidades: Seleccione un equipo de desarrollo que
ayude a identificar las amenazas potenciales en todas las áreas de la
empresa. Sería ideal la participación de un representante por cada
departamento de la compañía. Los principales integrantes del equipo
serían el administrador de redes, un asesor jurídico, un ejecutivo
superior y representantes de los departamentos de Recursos Humanos
y Relaciones Públicas.
• Establezca políticas de seguridad: Cree una política que apunte a los
documentos asociados; parámetros y procedimientos, normas, así como
los contratos de empleados. Estos documentos deben tener información
específica relacionada con las plataformas informáticas, las plataformas
tecnológicas, las responsabilidades del usuario y la estructura
organizacional. De esta forma, si se hacen cambios futuros, es más fácil
cambiar los documentos subyacentes que la política en sí misma.
• Implemente una política en toda la organización: La política que se
escoja debe establecer claramente las responsabilidades en cuanto a la
seguridad y reconocer quién es el propietario de los sistemas y datos
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
específicos. También puede requerir que todos los empleados firmen la
declaración; si la firman, debe comunicarse claramente. Éstas son las
tres partes esenciales de cumplimiento que debe incluir la política:
o Cumplimiento: Indique un procedimiento para garantizar el
cumplimiento y las consecuencias potenciales por incumplimiento.
o Funcionarios de seguridad: Nombre individuos que sean
directamente responsables de la seguridad de la información.
Asegúrese de que no es la misma persona que supervisa,
implementa o revisa la seguridad para que no haya conflicto de
intereses.
o Financiación: Asegúrese de que a cada departamento se le haya
asignado los fondos necesarios para poder cumplir
adecuadamente con la política de seguridad de la compañía.
• Administre el programa de seguridad: Establezca los procedimientos
internos para implementar estos requerimientos y hacer obligatorio su
cumplimiento.
Consideraciones importantes
A través del proceso de elaboración de una política de seguridad, es importante
asegurarse de que la política tenga las siguientes características:
• Se pueda implementar y hacer cumplir
• Sea concisa y fácil de entender
• Compense la protección con la productividad
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
Una vez la política se aprueba totalmente, debe hacerse asequible a todos los
empleados porque, en ultima instancia, ellos son responsables de su éxito. Las
políticas deben actualizarse anualmente (o mejor aún cada seis meses) para
reflejar los cambios en la organización o cultura.
Se debe mencionar que no debe haber dos políticas de seguridad iguales
puesto que cada empresa es diferente y los detalles de la política dependen de
las necesidades exclusivas de cada una. Sin embargo, usted puede comenzar
con un sistema general de políticas de seguridad y luego personalizarlo de
acuerdo con sus requerimientos específicos, limitaciones de financiación e
infraestructura existente.
Una política completa de seguridad de la información es un recurso valioso que
amerita la dedicación de tiempo y esfuerzo. La política que adopte su empresa
brinda una base sólida para respaldar el plan general de seguridad. Y una base
sólida sirve para respaldar una empresa sólida.
BANCO ABC
En el presente trabajo desarrollaremos el Plan de Seguridad para una entidad
financiera a la cual llamaremos el Banco ABC.
El Banco ABC es un banco de capital extranjero, tiene 35 agencias a nivel
nacional, ofrece todos los productos financieros conocidos, posee presencia en
Internet a través de su pagina web, es un banco mediano cuenta con 500
empleados y es regulado por la Superintendencia de Banca y Seguros.
A lo largo de todo el desarrollo del trabajo describiremos mas en detalle su
estructura interna, evaluaremos los riesgos a los cuales están expuestos, para
lo cual se realizara un diagnostico objetivo de la situación actual y como se
deben contrarrestar, para finalmente terminar diseñando el Plan de Seguridad y
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
las principales actividades que deben ejecutarse para la implementación de las
políticas de seguridad.
A continuación describiremos brevemente la situación actual de los aspectos
más importantes en la elaboración del Plan de Seguridad; como son la
organización, el propio Plan y la adecuación al Plan.
A) Organización de seguridad de la información
Actualmente el Banco cuenta con un área de seguridad informática
recientemente constituida, los roles y responsabilidades del área no han sido
formalizados y las tareas desempeñadas por el área se limitan por ahora al
control de accesos de la mayoría de sistemas del Banco. Algunas tareas
correspondientes a la administración de seguridad son desarrolladas por el
área de sistemas como la administración de red, firewalls y bases de datos,
otras tareas son realizadas directamente por las áreas usuarias, y finalmente
otras responsabilidades como la elaboración de las políticas y normas de
seguridad, concientización de los usuarios, monitoreo de incidentes de
seguridad, etc., no han sido asignadas formalmente a ninguna de las áreas.
En este sentido, en el presente trabajo detallamos los roles y responsabilidades
relacionadas a la administración de seguridad de la información que involucra
no solamente a miembros de las áreas de seguridad informática y sistemas
como administradores de seguridad de información y custodios de información,
sino a los gerentes y jefes de las unidades de negocio como propietarios de
información, y a los usuarios en general.
B) Diseño del plan de seguridad de la información
Para el diseño del Plan de seguridad de la información se desarrollaran las
siguientes etapas:
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
- Evaluación de riesgos, amenazas y vulnerabilidades
Para la definición del alcance de las políticas y estándares y con el propósito de
identificar las implicancias de seguridad del uso y estrategia de tecnología,
amenazas y vulnerabilidades y nuevas iniciativas del negocio, se desarrollarán
un conjunto de entrevistas con las Gerencias del Banco, personal del área de
sistemas, auditoria interna y el área de seguridad informática. Producto de la
consolidación de la información obtenida en dichas entrevistas se elaborará
unas matrices que se presentarán en el capítulo N° V del presente documento.
- Políticas de seguridad de información.
Con el objetivo de contar con una guía para la protección de información del
Banco, se elaborarán las políticas y estándares de seguridad de la información,
tomando en cuenta el estándar de seguridad de información ISO 17799, los
requerimientos de la Circular N° G-105-2002 publicada por la Superintendencia
de Banca y Seguros (SBS) sobre Riesgos de Tecnología de Información y las
normas establecidas internamente por el Banco.
- Diseño de arquitectura de seguridad de red.
Con el objetivo de controlar las conexiones de la red del Banco con
entidades externas y monitorear la actividad realizada a través de dichas
conexiones, se elaborará una propuesta de arquitectura de red la cual
incluye dispositivos de monitoreo de intrusos y herramientas de inspección
de contenido.
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
C) Plan de Implementación
De la identificación de riesgos amenazas y vulnerabilidades relacionadas
con la seguridad de la información del Banco, se lograron identificar las
actividades más importantes a ser realizadas por el Banco con el propósito
de alinear las medidas de seguridad implementadas para proteger la
información del Banco, con las Políticas de seguridad y estándares
elaborados.
Este plan de alto nivel incluye una descripción de la actividad a ser
realizada, las etapas incluidas en su desarrollo y el tiempo estimado de
ejecución.
El Autor
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
Capítulo I
OBJETIVOS Y ALCANCES
1.1 Objetivos
El objetivo del presente trabajo es realizar un diagnostico de la situación actual
en cuanto a la seguridad de información que el Banco ABC actualmente
administra y diseñar un Plan de Seguridad de la Información (PSI) que permita
desarrollar operaciones seguras basadas en políticas y estándares claros y
conocidos por todo el personal del Banco. Adicionalmente, el presente trabajo
contempla la definición de la estrategia y los proyectos más importantes que
deben ser llevados a cabo para culminar con el Plan de Implementación.
La reglamentación que elaboró la SBS con respecto a los riesgos de
tecnología forma parte de un proceso de controles que se irán implementando,
tal como lo muestra el gráfico siguiente, los primeros controles fueron
enfocados hacia los riesgos propios del negocio (financieros y de capital), y él
ultima en ser reglamentado es el que nos aboca hoy, que es el diseño de un
Plan de Seguridad Informática (PSI) para esta entidad financiera.
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
Gráfico de Evolución de las regulaciones de la Superintendencia de
Banca y Seguros
RiesgosFinancieros
Riesgos deNegocios
Riesgos deOperaciones
• Estructura• Rentabilidad• Adec. Capital• De Crédito• De liquidez• De Tasa de
Interés• De Mercado• De Moneda
• Riesgo dePolítica
• Riesgo País• Riesgo
Sistémico
• RiesgoPolítico
• Riesgo deCrisisBancarias
• Otros
• Procesos• Tecnología• Personas• Eventos
1. Plan de Seguridad Informática PSI
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
Capítulo II
METODOLOGÍA Y PROCEDIMIENTOS UTILIZADOS
2.1 Metodología ESA
La estrategia empleada para la planificación y desarrollo del presente trabajo,
está basada en la metodología Enterprise Security Arquitecture (ESA) para el
diseño de un modelo de seguridad, como marco general establece el diseño de
políticas, normas y procedimientos de seguridad para el posterior desarrollo de
controles sobre la información de la empresa.
E v a l u a c i ó n d e R i e s g o& V u l n e r a b i l i d a d
Estra teg ía d eT e c n o l o g í a & U s o
Pol í t ica
A r q u i t e c t u r a d e S e g u r i d a d& E s t á n d a r e s T e c n i c o s
M o d e l o d e S e g u r i d a d
G u í a s y P r o c e d i m i e n t o s
A d m i n i t r a t i v o s y d e U s u a r i o F ina l
P r o c e s o s d e
R e c u p e r a c í o n
P r o c e s o s d e
E j e c u c i ó n
P r o c e s o s d e
M o n i t o r e o
In ic ia t ivas & P r o c e s o sd e N e g o c i o s
Co
mp
ro
mis
o d
e l
a A
lta G
er
en
cia
Estructura de Administración de Seguridad de Información
Pr
og
ra
ma d
e E
ntr
en
am
ien
to y
Co
nc
ien
tiz
ac
iónVis ión y Es tra teg ia de Segur idad
A m e n a z a s
En el desarrollo del trabajo se utilizaron los siguientes procedimientos de
trabajo:
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
1. Entrevistas para la identificación de riesgos amenazas y vulnerabilidades de
la organización con el siguiente personal de la empresa:
- Gerente de División de Negocios.
- Gerente de División de Riesgos
- Gerente de División de Administración y Operaciones
- Gerente de División de Finanzas
- Gerente de División de Negocios Internacionales
- Gerente de Negocios Internacionales
- Gerente de Asesoría Legal
- Auditor de Sistemas
- Gerente de Sistemas
- Gerente Adjunto de Seguridad Informática
- Asistente de Seguridad Informática
2. Definición y discusión de la organización del área de seguridad informática.
3. Elaboración de las políticas de seguridad de información del Banco
tomando como referencia el estándar para seguridad de información ISO
17799, los requerimientos de la Circular N° G-105-2002 publicada por la
Superintendencia de Banca y Seguros (SBS) sobre Riesgos de Tecnología
de Información y las normas internas del Banco referidas a la seguridad de
información.
4. Evaluación de la arquitectura de red actual y diseño de una propuesta de
arquitectura de red.
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
Capítulo III
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL DE LA ADMINISTRACIÓN DE LA
SEGURIDAD DE INFORMACIÓN
3.1 Evaluación
Efectuada nuestra revisión de la administración de riesgos de tecnología de
información del Banco hemos observado que el Plan de Seguridad de
Información (PSI) no ha sido desarrollado. Si bien hemos observado la
existencia de normas, procedimientos y controles que cubren distintos aspectos
de la seguridad de la información, se carece en general de una metodología,
guía o marco de trabajo que ayude a la identificación de riesgos y
determinación de controles para mitigar los mismos.
Dentro de los distintos aspectos a considerar en la seguridad de la Información,
se ha podido observar que se carece de Políticas de seguridad de la
Información y de una Clasificación de Seguridad de los activos de Información
del Banco. Cabe mencionar que se ha observado la existencia de controles, en
el caso de la Seguridad Lógica, sobre los accesos a los sistemas de
información así como procedimientos establecidos para el otorgamiento de
dichos accesos. De igual manera se ha observado controles establecidos con
respecto a la seguridad física y de personal.
Sin embargo, estos controles no obedecen a una definición previa de una
Política de Seguridad ni de una evaluación de riesgos de seguridad de la
información a nivel de todo el Banco. Los controles establecidos a la fecha son
producto de evaluaciones particulares efectuadas por las áreas involucradas o
bajo cuyo ámbito de responsabilidad recae cierto aspecto de la seguridad.
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
3.2 Alcances
El alcance del diagnóstico de la situación de administración del riesgo de
Tecnología de Información, en adelante TI, comprende la revisión de las
siguientes funciones al interior del área de sistemas:
• Administración del área de Tecnología de Información
- Estructura organizacional
- Función de seguridad a dedicación exclusiva
- Políticas y procedimientos para administrar los riesgos de TI
- Subcontratación de recursos.
• Actividades de desarrollo y mantenimiento de sistemas informáticos
• Seguridad de la Información
- Administración de la Seguridad de la Información.
- Aspectos de la seguridad de la información (lógica, personal y física y
ambiental)
- Inventario periódico de activos asociados a TI
• Operaciones computarizadas
- Administración de las operaciones y comunicaciones
- Procedimientos de respaldo
- Planeamiento para la continuidad de negocios
- Prueba del plan de continuidad de negocios
Asimismo, comprende la revisión de los siguientes aspectos:
• Cumplimiento normativo
• Privacidad de la información
• Auditoria de sistemas
El siguiente cuadro muestra el grado de cumplimiento en los aspectos
relacionados a la adecuación del Plan de Seguridad:
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
Aspectos EvaluadosGrado de
Cumplimiento
1 Estructura de la seguridad de la Información
2 Plan de seguridad de la Información
2.1 Políticas, estándares y procedimientos de seguridad.
2.1.1. Seguridad Lógica
2.1.2 Seguridad de Personal
2.1.3 Seguridad Física y Ambiental
2.1.4 Clasificación de Seguridad
3 Administración de las operaciones y comunicaciones
4 Desarrollo y mantenimiento de sistemas informáticos
5 Procedimientos de respaldo
6 Plan de continuidad de negocios
6.1 Planeamiento para la Continuidad de Negocios
6.2Criterios para el diseño e implementación del Plan de
continuidad de Negocios
6.3 Prueba del Plan de Continuidad de Negocios
7 Subcontratación
8 Cumplimiento normativo
9 Privacidad de la información
10 Auditoria de Sistemas
Una descripción mas detallada de los aspectos evaluados pueden ser
encontrados en el Anexo C.
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
Capítulo IV
SEGURIDAD DE LA INFORMACIÓN – ROLES Y ESTRUCTURA
ORGANIZACIONAL
4.1 Situación actual
La administración de seguridad de información se encuentra distribuida
principalmente entre las áreas de sistemas y el área de seguridad informática.
En algunos casos, la administración de accesos es realizada por la jefatura o
gerencia del área que utiliza la aplicación.
Las labores de seguridad realizadas actualmente por el área de seguridad
informática son las siguientes:
- Creación y eliminación de usuarios
- Verificación y asignación de perfiles en las aplicaciones
Las labores de seguridad realizadas por el área de sistemas son las siguientes:
- Control de red
- Administración del firewall
- Administración de accesos a bases de datos
Las funciones de desarrollo y mantenimiento de políticas y estándares de
seguridad no están definidas dentro de los roles de la organización.
Cabe mencionar que el acceso con privilegio administrativo al computador
central es restringido, el área de seguridad informática define una contraseña,
la cual es enviada a la oficina de seguridad (Gerencia de Administración) en un
sobre cerrado, en caso de necesitarse acceso con dicho privilegio, la
contraseña puede ser obtenida por el gerente de sistemas o el jefe de soporte
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
técnico y producción, solicitando el sobre a la oficina de seguridad. Luego
deben realizar un informe sobre la actividad realizada en el computador central.
4.2 ROLES Y RESPONSABILIDADES DE LA ESTRUCTURA
ORGANIZACIONAL DE SEGURIDAD DE INFORMACIÓN
El área organizacional encargada de la administración de seguridad de
información debe soportar los objetivos de seguridad de información del Banco.
Dentro de sus responsabilidades se encuentran la gestión del plan de
seguridad de información así como la coordinación de esfuerzos entre el
personal de sistemas y los empleados de las áreas de negocios, siendo éstos
últimos los responsables de la información que utilizan. Asimismo, es
responsable de promover la seguridad de información a lo largo de la
organización con el fin de incluirla en el planeamiento y ejecución de los
objetivos del negocio.
Es importante mencionar que las responsabilidades referentes a la seguridad
de información son distribuidas dentro de toda la organización y no son de
entera responsabilidad del área de seguridad informática, en ese sentido
existen roles adicionales que recaen en los propietarios de la información, los
custodios de información y el área de auditoria interna.
Los propietarios de la información deben verificar la integridad de su
información y velar por que se mantenga la disponibilidad y confidencialidad de
la misma.
Los custodios de información tienen la responsabilidad de monitorear el
cumplimiento de las actividades encargadas y el área de auditoria interna debe
monitorear el cumplimiento de la política de seguridad y el cumplimiento
adecuado de los procesos definidos para mantener la seguridad de
información.
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
A continuación presentamos los roles y responsabilidades relacionadas a la
administración de seguridad de información:
Área de Seguridad Informática.
El área organizacional encargada de la administración de seguridad de
información tiene como responsabilidades:
• Establecer y documentar las responsabilidades de la organización en
cuanto a seguridad de información.
• Mantener la política y estándares de seguridad de información de la
organización.
• Identificar objetivos de seguridad y estándares del Banco (prevención de
virus, uso de herramientas de monitoreo, etc.)
• Definir metodologías y procesos relacionados a la seguridad de información.
• Comunicar aspectos básicos de seguridad de información a los empleados
del Banco. Esto incluye un programa de concientización para comunicar
aspectos básicos de seguridad de información y de las políticas del Banco.
• Desarrollar controles para las tecnologías que utiliza la organización. Esto
incluye el monitoreo de vulnerabilidades documentadas por los
proveedores.
• Monitorear el cumplimiento de la política de seguridad del Banco.
• Controlar e investigar incidentes de seguridad o violaciones de seguridad.
• Realizar una evaluación periódica de vulnerabilidades de los sistemas que
conforman la red de datos del Banco.
• Evaluar aspectos de seguridad de productos de tecnología, sistemas o
aplicaciones utilizados en el Banco.
• Asistir a las gerencias de división en la evaluación de seguridad de las
iniciativas del negocio.
• Verificar que cada activo de información del Banco haya sido asignado a un
“propietario” el cual debe definir los requerimientos de seguridad como
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
políticas de protección, perfiles de acceso, respuesta ante incidentes y sea
responsable final del mismo.
• Administrar un programa de clasificación de activos de información,
incluyendo la identificación de los propietarios de las aplicaciones y datos.
• Coordinación de todas las funciones relacionadas a seguridad, como
seguridad física, seguridad de personal y seguridad de información
almacenada en medios no electrónicos.
• Desarrollar y administrar el presupuesto de seguridad de información.
• Reportar periódicamente a la gerencia de Administración y Operaciones.
• Administración de accesos a las principales aplicaciones del Banco.
• Elaborar y mantener un registro con la relación de los accesos de los
usuarios sobre los sistemas y aplicaciones del Banco y realizar revisiones
periódicas de la configuración de dichos accesos en los sistemas.
• Controlar aspectos de seguridad en el intercambio de información con
entidades externas.
• Monitorear la aplicación de los controles de seguridad física de los
principales activos de información.
Custodio de Información:
Es el responsable de la administración diaria de la seguridad en los sistemas
de información y el monitoreo del cumplimiento de las políticas de seguridad en
los sistemas que se encuentran bajo su administración. Sus responsabilidades
son:
• Administrar accesos a nivel de red (sistema operativo).
• Administrar accesos a nivel de bases de datos.
• Administrar los accesos a archivos físicos de información almacenada en
medios magnéticos (diskettes, cintas), ópticos (cd´s) o impresa.
• Implementar controles definidos para los sistemas de información,
incluyendo investigación e implementación de actualizaciones de seguridad
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
de los sistemas (service packs, fixes, etc.) en coordinación con el área de
seguridad informática.
• Desarrollar procedimientos de autorización y autenticación.
• Monitorear el cumplimiento de la política y procedimientos de seguridad en
los activos de información que custodia.
• Investigar brechas e incidentes de seguridad.
• Entrenar a los empleados en aspectos de seguridad de información en
nuevas tecnologías o sistemas implantados bajo su custodia.
• Asistir y administrar los procedimientos de backup, recuperación y plan de
continuidad de sistemas.
Usuario:
Las responsabilidades de los usuarios finales, es decir, aquellas personas que
utilizan información del Banco como parte de su trabajo diario están definidas a
continuación:
• Mantener la confidencialidad de las contraseñas de aplicaciones y sistemas.
• Reportar supuestas violaciones de la seguridad de información.
• Asegurarse de ingresar información adecuada a los sistemas.
• Adecuarse a las políticas de seguridad del Banco.
• Utilizar la información del Banco únicamente para los propósitos
autorizados.
Propietario de Información:
Los propietarios de información son los gerentes y jefes de las unidades de
negocio, los cuales, son responsables de la información que se genera y se
utiliza en las operaciones de su unidad. Las áreas de negocios deben ser
conscientes de los riesgos de tal forma que sea posible tomar decisiones para
disminuir los mismos.
Entre las responsabilidades de los propietarios de información se tienen:
• Asignar los niveles iniciales de clasificación de información.
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
• Revisión periódica de la clasificación de la información con el propósito de
verificar que cumpla con los requerimientos del negocio.
• Asegurar que los controles de seguridad aplicados sean consistentes con la
clasificación realizada.
• Determinar los criterios y niveles de acceso a la información.
• Revisar periódicamente los niveles de acceso a los sistemas a su cargo.
• Determinar los requerimientos de copias de respaldo para la información
que les pertenece.
• Tomar las acciones adecuadas en caso de violaciones de seguridad.
• Verificar periódicamente la integridad y coherencia de la información
producto de los procesos de su área.
Auditoria Interna:
El personal de auditoria interna es responsable de monitorear el cumplimiento
de los estándares y guías definidas en las políticas internas. Una estrecha
relación del área de auditoria interna con el área de seguridad informática es
crítica para la protección de los activos de información. Por lo tanto dentro del
plan anual de evaluación del área de auditoria interna se debe incluir la
evaluación periódica de los controles de seguridad de información definidos por
el Banco.
Auditoria interna debe colaborar con el área de seguridad informática en la
identificación de amenazas y vulnerabilidades referentes a la seguridad de
información del Banco.
4.3 ORGANIZACIÓN DEL AREA DE SEGURIDAD INFORMÁTICA
PROPUESTA
Dado el volumen de operaciones y la criticidad que presenta la información
para el negocio del Banco y tomando en cuenta las mejores prácticas de la
industria, es necesaria la existencia de un área organizacional que administre
la seguridad informática. Como requisito indispensable, esta área debe ser
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
independiente de la Gerencia de Sistemas, la cual en muchos casos es la
ejecutora de las normas y medidas de seguridad elaboradas.
Este proceso de independización de la administración de la seguridad del área
de sistemas ya fue iniciado por el Banco al crear el área de seguridad
informática, la cual, reporta a la Gerencia de división de Administración y
Operaciones.
Considerando la falta de recursos con el perfil requerido que puedan ser
rápidamente reasignados, el proceso de entendimiento y asimilación de las
responsabilidades, los roles definidos correspondientes al área de seguridad
informática, y la necesidad de implementar un esquema adecuado de
seguridad, proponemos definir una estructura organizacional de seguridad
transitoria en la cual se creará un comité de coordinación de seguridad de la
información para la definición de los objetivos del área y el monitoreo de las
actividades de la misma.
El comité de coordinación de seguridad de la información, estará conformado
por las siguientes personas:
• Gerente de división de Administración y Operaciones (presidente del
comité).
• Jefe del área de seguridad informática (responsable del comité).
• Gerente de Sistemas.
• Auditor de Sistemas.
• Jefe del departamento de Riesgo Operativo y Tecnológico.
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
Gerente deAdministración y
Operaciones
SistemasContraloría
General OperacionesRecursosHumanos Administración
SeguridadInformática
Comité deCoordinación deSeguridad de la
Információn
Fig. 1: Estructura organizacional transitoria propuesta para la
administración de la seguridad de información.
Gerente deSistemas
Jefe deDepartamente de
Riesgo Operativo yTecnológico
Auditor deSistemas
Jefe de SeguridadInformática
(Responsable)
Gerente de División deAdministración y
Operaciones(Presidente del Comité)
Fig. 2: Organización del Comité de coordinación de Seguridad de la
Información.
Este comité, determinará el gradual traslado de las responsabilidades de
seguridad al área de seguridad informática, monitoreará las labores realizadas
por el área, colaborando a su vez con el entendimiento de la plataforma
tecnológica, los procesos del negocio del Banco y la planificación inicial de
actividades que desarrollará el área a corto plazo.
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
El comité de coordinación deberá reunirse con una frecuencia quincenal, con la
posibilidad de convocar reuniones de emergencia en caso de existir alguna
necesidad que lo amerite.
Es importante resaltar que luego que el área de seguridad informática haya
logrado una asimilación de sus funciones, un entendimiento de los procesos del
negocio del Banco y una adecuada interrelación con las gerencias de las
distintas divisiones del Banco, el jefe de área de seguridad informática debe
reportar directamente al Gerente de división de Administración y Operaciones,
convirtiéndose el comité de coordinación de seguridad informática, en un ente
consultivo, dejando la labor de monitoreo a la gerencia de división.
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
Capítulo V
EVALUACIÓN DE RIESGOS, AMENAZAS Y VULNERABILIDADES
Con el propósito de obtener un adecuado entendimiento de la implicancia que
tiene el uso de tecnología, las amenazas y vulnerabilidades, así como las
iniciativas del negocio sobre la seguridad de la información del Banco, se
efectuaron entrevistas, de las cuales se obtuvo las siguientes tres matrices, que
nos muestran la implicancia en seguridad que presentan cada uno de los
factores mencionados anteriormente, así como el estándar o medida a aplicar
para minimizar los riesgos correspondientes.
5.1 Matriz de uso y estrategia de tecnología
Esta matriz muestra la tecnología utilizada actualmente por el Banco y los
cambios estratégicos planificados que impactan en ella, las implicancias de
seguridad asociadas al uso de tecnología y los estándares o medidas
propuestas para minimizar los riesgos generados por la tecnología empleada.
Tecnología Implicancia de seguridadEstándar o medida de
seguridad a aplicar
Actual
Windows NT,
Windows 2000
Se debe contar con controles
de acceso adecuados a la data
y sistemas soportados por el
Sistema Operativo.
Estándar de mejores
prácticas de seguridad para
Windows NT
Estándar de mejores
prácticas de seguridad para
Windows 2000.
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
Tecnología Implicancia de seguridadEstándar o medida de
seguridad a aplicar
OS/400 Se debe contar con controles
de acceso adecuados a la data
y sistemas soportados por el
computador Central. Los
controles que posee este
servidor deben ser lo más
restrictivos posibles pues es el
blanco potencial de la mayoría
de intentos de acceso no
autorizado.
Estándar de mejores
prácticas de seguridad para
OS/400.
Base de datos
SQL Server
Se debe contar con controles
de acceso a información de los
sistemas que soportan el
negocio de la Compañía.
Estándar de mejores
prácticas de seguridad para
bases de datos SQL Server.
Banca electrónica
a través de
Internet.
• El servidor Web se
encuentra en calidad de
"hosting" en Telefónica
Data, se debe asegurar
que el equipo cuente con
las medidas de seguridad
necesarias, tanto físicas
como lógicas.
• La transmisión de los datos
es realizada a través de un
medio público (Internet), se
debe contar con medidas
adecuadas para mantener
• Estándares de
encripción de
información transmitida.
• Cláusulas de
confidencialidad y
delimitación de
responsabilidades en
contratos con
proveedores.
• Acuerdos de nivel de
servicios con
proveedores, en los
cuales se detalle el
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
Tecnología Implicancia de seguridadEstándar o medida de
seguridad a aplicar
la confidencialidad de la
información (encripción de
la data).
• El servidor Web que es
accedido por los clientes
puede ser blanco potencial
de actividad vandálica con
el propósito de afectar la
imagen del Banco.
• La disponibilidad del
sistema es un factor clave
para el éxito del servicio.
porcentaje mínimo de
disponibilidad del
sistema.
• Evaluación
independiente de la
seguridad del servidor
que brinda el servicio, o
acreditación de la misma
por parte del proveedor.
Banca telefónica • Transmisión de información
por medios públicos sin
posibilidad de protección
adicional.
• Imposibilidad de mantener
la confidencialidad de las
operaciones con el
proveedor del servicio
telefónico.
• Posibilidad de obtención de
números de tarjeta y
contraseñas del canal de
transmisión telefónico.
• Establecimiento de
límites adecuados a las
operaciones realizadas
por vía telefónica.
• Posibilidad de registrar
el número telefónico
origen de la llamada.
• Controles en los
sistemas de grabación
de llamadas telefónica.
• Evaluar la posibilidad de
notificar al cliente de
manera automática e
inmediata luego de
realizada la operación.
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
Tecnología Implicancia de seguridadEstándar o medida de
seguridad a aplicar
Sistema Central
Core Bancario
• El sistema central es el
sistema que soporta gran
parte de los procesos del
negocio del Banco, por lo
tanto, todo acceso no
autorizado al servidor
representa un riesgo
potencial para el negocio.
• Estándar de mejores
prácticas de seguridad
para OS/400.
• Revisión periódica de los
accesos otorgados a los
usuarios del sistema.
• Monitoreo periódico de
la actividad realizada en
el servidor.
• Verificación del control
dual de aprobación en
transacciones sensibles.
MIS (Management
Information
System)
• El acceso a repositorios de
información sensible debe
ser restringido
adecuadamente.
• Estándares de seguridad
de Windows 2000, bases
de datos.
• Adecuados controles de
acceso y otorgamiento
de perfiles a la
aplicación.
Desarrollo de
aplicaciones para
las unidades de
negocio, en
periodos muy
cortos.
• Los proyectos de desarrollo
en periodos muy cortos,
comprenden un acelerado
desarrollo de sistemas; la
aplicación de medidas de
seguridad, debería
encontrarse incluida en el
desarrollo del proyecto.
• Estándar de mejores
prácticas de seguridad
para Windows 2000,
OS/400.
• Metodología para el
desarrollo de
aplicaciones.
• Procedimientos de
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
Tecnología Implicancia de seguridadEstándar o medida de
seguridad a aplicar
• El tiempo de pase a
producción de un nuevo
sistema que soportará un
producto estratégico, es
muy importante para el
éxito del negocio, lo cual
puede originar que no se
tomen las medidas de
seguridad necesarias antes
del pase a producción de
los nuevos sistemas.
control de cambios.
• Evaluación de
requerimientos de
seguridad de los
sistemas antes de su
pase a producción.
• Estándar de mejores
prácticas de seguridad
para aplicaciones
distribuidas.
Computadoras
personales.
• Se debe contar con
adecuados controles de
acceso a información
existente en computadoras
personales.
• Se requieren adecuados
controles de accesos a la
información de los sistemas
desde las computadoras
personales de usuarios.
• La existencia de diversos
sistemas operativos en el
parque de computadores
personales, tales como,
Windows 95, Windows 98,
Windows NT, Windows
• Concientización y
entrenamiento de los
usuarios en temas de
seguridad de la
información.
• Implementación de
mayores controles de
seguridad para
computadoras
personales.
• Finalización del proyecto
de migración de la
plataforma de
computadoras
personales al sistema
operativo Windows 2000
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
Tecnología Implicancia de seguridadEstándar o medida de
seguridad a aplicar
2000 Professional,
Windows XP, impide
estandarizar la
configuración de los
sistemas.
• Debe existir un control
sobre los dispositivos que
pudieran facilitar fuga de
información (disqueteras,
grabadoras de cd's,
impresoras personales,
etc.)
• Se debe controlar y
monitorear las aplicaciones
y sistemas instalados en
las PC´s
y Windows XP.
• Estándares de mejores
prácticas de seguridad
para estaciones de
trabajo.
• Actualización periódica
de inventarios del
software instalado.
• Monitoreo periódico de
carpetas compartidas.
• Monitoreo de actividad
de los usuarios,
sistemas de detección
de intrusos.
Correo electrónico • Posibilidad de
interceptación no
autorizada de mensajes de
correo electrónico.
• Riesgo de acceso no
autorizado a información
del servidor.
• Posibilidad de utilización de
recursos por parte de
personas no autorizadas,
para enviar correo
• Se debe contar con
estándares de encripción
para los mensajes de
correo electrónico que
contengan información
confidencial.
• Estándares de mejores
prácticas de seguridad
para Windows NT y
Lotus Notes.
• Configuración de anti-
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
Tecnología Implicancia de seguridadEstándar o medida de
seguridad a aplicar
electrónico a terceros (relay
no autorizado).
• Posibilidad de recepción de
correo inservible (SPAM).
relay.
• Implementación de un
sistema de seguridad del
contenido SMTP.
Conexión a
Internet y redes
públicas / Firewall.
• Riesgos de accesos no
autorizados desde Internet
y redes externas hacia los
sistemas del Banco.
• Adecuado uso del acceso a
Internet por parte de los
usuarios.
• Los dispositivos que
permiten controlar accesos,
tales como, firewalls,
servidores proxy, etc.
Deben contar con medidas
de seguridad adecuadas
para evitar su manipulación
por personas no
autorizadas.
• Riesgo de acceso no
autorizado desde socios de
negocios hacia los
sistemas de La Compañía.
• Políticas de seguridad.
• Estándares de mejores
prácticas de seguridad
para servidores
Windows NT, Windows
2000, correo electrónico,
servidores Web y
equipos de
comunicaciones.
• Delimitación de
responsabilidades
referentes a la seguridad
de información en
contratos con
proveedores.
• Mejores prácticas de
seguridad para
configuración de
Firewalls.
• Diseño e
implementación de una
arquitectura de
seguridad de
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
Tecnología Implicancia de seguridadEstándar o medida de
seguridad a aplicar
red.Utilización de
sistemas de detección
de intrusos.
• Especificación de
acuerdos de nivel de
servicio con el
proveedor.
• Controles y filtros para el
acceso a Internet.
En Proyecto
Cambios en la
infraestructura de
red.
• Los cambios en la
infraestructura de red
pueden generar nuevas
puertas de entrada a
intrusos si los cambios no
son realizados con una
adecuada planificación.
• Una falla en la
configuración de equipos
de comunicaciones puede
generar falta de
disponibilidad de sistemas.
• Un diseño de red
inadecuado puede facilitar
el ingreso no autorizado a
la red de datos.
• Elaboración de una
arquitectura de red con
medidas de seguridad
adecuadas.
• Establecer controles de
acceso adecuados a la
configuración de los
equipos de
comunicaciones.
• Plan de migración de
infraestructura de red.
Software de Riesgo de acceso no • Estándar de seguridad
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
Tecnología Implicancia de seguridadEstándar o medida de
seguridad a aplicar
administración
remota de PC´s y
servidores.
autorizado a las consolas de
administración y agentes de
administración remota.
para Windows NT
• Estándar de seguridad
para Windows 2000
• Estándar de seguridad
para Windows XP
• Controles de acceso
adecuados a las
consolas y agentes de
administración remota.
• Establecimiento de
adecuados
procedimientos para
tomar control remoto de
PC´s o servidores.
• Adecuada configuración
del registro (log) de
actividad realizada
mediante administración
remota.
Migración de
servidores
Windows NT
Server a Windows
2000 Server.
• Posibilidad de error en el
traslado de los usuarios y
permisos de acceso a los
directorios de los nuevos
servidores.
• Posibilidad de existencia de
vulnerabilidades no
conocidas anteriormente.
• Estándares de seguridad
para Windows 2000.
• Procedimientos de
control de cambios.
• Plan de migración a
Windows 2000.
• Políticas de seguridad.
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
Tecnología Implicancia de seguridadEstándar o medida de
seguridad a aplicar
Implantación de
Datawarehouse.
• Información sensible
almacenada en un
repositorio centralizado,
requiere de controles de
acceso adecuados.
• La disponibilidad del
sistema debe ser alta para
no afectar las operaciones
que soporta.
• Estándares de
Seguridad para Windows
2000.
• Estándar de seguridad
en bases de datos SQL.
• Plan de implantación de
Datawarehouse.
• Procedimientos para
otorgamiento de perfiles.
• Políticas de seguridad.
5.2 Matriz de Evaluación de Amenazas y Vulnerabilidades
En esta matriz se muestra los riesgos y amenazas identificadas, las
implicancias de seguridad y los estándares o medidas de seguridad necesarias
para mitigar dicha amenaza.
Amenaza /
VulnerabilidadImplicancia de Seguridad
Estándar o medida de
seguridad a aplicar
Riesgos/ Amenazas
Interés en obtener
información
estratégica del
Banco, por parte
de competidores
de negocio.
La existencia de información
atractiva para competidores de
negocio tales como
información de clientes e
información de marketing
implica la aplicación de
controles adecuados para el
• Estándares de seguridad
para servidores
Windows 2000,
Windows NT y OS/400.
• Control de acceso a las
aplicaciones del Banco.
Revisión y depuración
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
Amenaza /
VulnerabilidadImplicancia de Seguridad
Estándar o medida de
seguridad a aplicar
acceso a información. periódica de los accesos
otorgados.
• Restricciones en el
manejo de información
enviada por correo
electrónico hacia redes
externas, extraída en
disquetes o cd´s e
información impresa.
• Verificación de la
información impresa en
reportes, evitar mostrar
información innecesaria
en ellos.
• Políticas de seguridad.
Interés en obtener
beneficios
económicos
mediante actividad
fraudulenta.
Debido al volumen de dinero
que es administrado por es
administrado por una entidad
financiera, la amenaza de
intento de fraude es una
posibilidad muy tentadora
tanto para personal interno del
Banco, así como para personal
externo.
• Estándares de seguridad
para Windows NT,
Windows 2000, OS/400
y bases de datos SQL.
• Controles de accesos a
los menús de las
aplicaciones.
• Revisiones periódicas de
los niveles de accesos
de los usuarios.
• Evaluación periódica de
la integridad de la
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
Amenaza /
VulnerabilidadImplicancia de Seguridad
Estándar o medida de
seguridad a aplicar
información por parte del
propietario de la misma.
• Revisiones periódicas de
los registros (logs) de los
sistemas y operaciones
realizadas.
• Mejores prácticas para
configuración de
firewalls, servidores y
equipos de
comunicaciones.
Actividad
vandálica
realizada por
“hackers” o
“crackers”
• La actividad desarrollada
por “hackers” o “crackers”
de sistemas, puede afectar
la disponibilidad, integridad
y confidencialidad de la
información del negocio.
Estos actos vandálicos
pueden ser desarrollados
por personal interno o
externo al Banco.
• Adicionalmente si dicha
actividad es realizada
contra equipos que
proveen servicios a los
clientes (página Web del
banco) la imagen y
• Estándares de seguridad
para servidores
Windows 2000.
• Estándares de seguridad
para servidores
Windows NT.
• Delimitación de
responsabilidades y
sanciones en los
contratos con
proveedores de servicios
en calidad de “hosting”.
• Verificación de
evaluaciones periódicas
o certificaciones de la
seguridad de los
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
Amenaza /
VulnerabilidadImplicancia de Seguridad
Estándar o medida de
seguridad a aplicar
reputación del Banco se
podría ver afectada en un
grado muy importante.
sistemas en calidad de
“hosting”.
• Concientización y
compromiso formal de
los usuarios en temas
relacionados a la
seguridad de
información.
• Políticas de Seguridad.
Pérdida de
información
producto de
infección por virus
informático.
• El riesgo de pérdida de
información por virus
informático es alto si no se
administra adecuadamente
el sistema Antivirus y los
usuarios no han sido
concientizados en
seguridad de información
• Adecuada arquitectura e
implementación del
sistema antivirus.
• Verificación periódica de
la actualización del
antivirus de
computadoras
personales y servidores.
• Generación periódica de
reportes de virus
detectados y
actualización de
antivirus.
Fuga de
información a
través del personal
que ingresa de
manera temporal
• Los accesos otorgados al
personal temporal deben
ser controlados
adecuadamente, asimismo
la actividad realizada por
• Control adecuado de los
accesos otorgados.
• Depuración periódica de
accesos otorgados a los
sistemas.
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
Amenaza /
VulnerabilidadImplicancia de Seguridad
Estándar o medida de
seguridad a aplicar
en sustitución de
empleados en
vacaciones.
los mismos en los sistemas
debe ser periódicamente
monitoreada.
• El personal temporal podría
realizar actividad no
autorizada, la cual podría
ser detectada cuando haya
finalizado sus labores en el
Banco.
• Restricciones en acceso
a correo electrónico y
transferencia de
archivos hacia Internet.
• Adecuada configuración
y revisión periódica de
los registros (logs) de
aplicaciones y sistema
operativo.
Vulnerabilidades
No se cuenta con
un inventario de
perfiles de acceso
a las aplicaciones.
El control sobre la actividad de
los usuarios en los sistemas es
llevado a cabo en muchos
casos, mediante perfiles de
usuarios controlando así los
privilegios de acceso a los
sistemas.
• Se debe contar con un
inventario de los
accesos que poseen los
usuarios sobre las
aplicaciones.
• Revisiones periódicas de
los perfiles y accesos de
los usuarios por parte
del propietario de la
información.
Exceso de
contraseñas
manejadas por los
usuarios.
La necesidad de utilizar
contraseñas distintas para
cada sistema o aplicación del
Banco, puede afectar la
seguridad en la medida que el
usuario no sea capaz de
• Uniformizar dentro de lo
posible la estructura de
las contraseñas
empleadas y sus fechas
de renovación.
• Implementar un sistema
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
Amenaza /
VulnerabilidadImplicancia de Seguridad
Estándar o medida de
seguridad a aplicar
retener en la memoria, la
relación de nombres de
usuario y contraseñas
utilizadas en todos los
sistemas. La necesidad de
anotar las contraseñas por
parte de los usuarios, expone
las mismas a acceso por parte
de personal no autorizado.
de Servicio de directorio,
el cual permita al usuario
identificarse en él, y
mediante un proceso
automático, éste lo
identifique en los
sistemas en los cuales
posee acceso.
Existencia de
usuarios del área
de desarrollo y
personal temporal
con acceso al
entorno de
producción.
El ambiente de producción
debe contar con controles de
acceso adecuados con
respecto los usuarios de
desarrollo, esto incluye las
aplicaciones y bases de datos
de las mismas.
• Inventario y depuración
de perfiles de acceso
que poseen los usuarios
de desarrollo en el
entorno de producción.
• Adecuada segregación
de funciones del
personal del área de
sistemas.
• Procedimiento de pase a
producción.
Aplicaciones cuyo
acceso no es
controlado por el
área de seguridad
informática.
El área de seguridad
informática debe participar en
el proceso de asignación de
accesos a las aplicaciones del
Banco y verificar que la
solicitud de accesos sea
coherente con el cargo del
• Formalización de roles y
responsabilidades del
área de seguridad
informática.
• Traslado de la
responsabilidad del
control de accesos a
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
Amenaza /
VulnerabilidadImplicancia de Seguridad
Estándar o medida de
seguridad a aplicar
usuario.
El gerente que aprueba la
solicitud es el responsable de
los accesos que solicita para
los usuarios de su área.
aplicaciones al área de
seguridad informática.
Falta de
conciencia en
seguridad por
parte del personal
del Banco.
El personal del Banco es el
vínculo entre la política de
seguridad y su implementación
final para aplicar la política de
seguridad, se pueden
establecer controles y un
monitoreo constante, pero la
persona es siempre el punto
más débil de la cadena de
seguridad, este riesgo se
puede incrementar si el
usuario no recibe una
adecuada capacitación y
orientación en seguridad de
información.
• Programa de
capacitación del Banco
en temas relacionados a
la seguridad de
información.
• Capacitación mediante
charlas, videos,
presentaciones, afiches,
etc., los cuales
recuerden
permanentemente al
usuario la importancia
de la seguridad de
información.
Falta de personal
con conocimientos
técnicos de
seguridad
informática.
Para una adecuada
administración de la seguridad
informática se requiere
personal capacitado que
pueda cumplir las labores de
elaboración de políticas y
administración de seguridad
• Capacitación del
personal técnico en
temas de seguridad de
información o inclusión
nuevo de personal con
conocimientos de
seguridad de
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
Amenaza /
VulnerabilidadImplicancia de Seguridad
Estándar o medida de
seguridad a aplicar
en el área de seguridad
informática, así como
implementación de controles y
configuración de sistemas en
el área de sistemas.
información para las
áreas de seguridad
informática y sistemas.
Falta de controles
adecuados para la
información que
envían los
usuarios hacia
Internet.
El acceso hacia Internet por
medios como correo
electrónico, ftp (file transfer
protocol) o incluso web en
algunos casos, puede facilitar
la fuga de información
confidencial del Banco.
El Banco ha invertido en la
implementación de una
herramienta para el filtrado de
las páginas web que son
accedidas por los usuarios, se
debe asegurar que dicho
control sea adecuadamente
aplicado.
Vulnerabilidades:
• No existen controles
adecuados sobre el
personal autorizado a
enviar correo electrónico al
exterior.
• Configuración adecuada
del servidor Proxy y la
herramienta Surf
Control.
• Generación periódica de
reportes de la
efectividad de los
controles aplicados.
• Implementación de una
adecuada arquitectura
de red.
• Mejores prácticas para
la configuración de
Firewalls.
• Implementación y
administración de
herramientas para la
inspección del contenido
de los correos
electrónicos enviados.
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
Amenaza /
VulnerabilidadImplicancia de Seguridad
Estándar o medida de
seguridad a aplicar
• No existen herramientas de
inspección de contenido
para correo electrónico.
• Se pudo observar que
usuarios que no se han
identificado en el dominio
del Banco, pueden acceder
al servicio de navegación a
través del servidor Proxy.
No existen
controles
adecuados para la
información
almacenada en las
computadoras
personales.
Existe información
almacenada en las
computadoras personales de
los usuarios que requiere
ciertos niveles de seguridad.
Los usuarios deben contar con
procedimientos para realizar
copias de respaldo de su
información importante.
Vulnerabilidades:
• El sistema operativo
Windows 95/98 no permite
otorgar niveles apropiados
de seguridad a la
información existente en
ellas.
• No existe un procedimiento
para verificación periódica
• Establecimiento de un
procedimiento formal
que contemple la
generación de copia de
respaldo de información
importante de los
usuarios.
• Concluir el proceso de
migración del sistema
operativo de las
computadoras
personales a Windows
2000 Professional o
Windows XP.
• Concientización de
usuarios en temas
relacionados a la
seguridad de la
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
Amenaza /
VulnerabilidadImplicancia de Seguridad
Estándar o medida de
seguridad a aplicar
de las carpetas
compartidas por los
usuarios.
• El procedimiento para
realizar copias de respaldo
de la información
importante no es conocido
por todos los usuarios.
información.
Arquitectura de red
inapropiada para
controlar accesos
desde redes
externas.
Posibilidad de acceso no
autorizado a sistemas por
parte de personal externo al
Banco.
Vulnerabilidades:
• Existencia de redes
externas se conectan con
la red del Banco sin la
protección de un firewall.
• Los servidores de acceso
público no se encuentran
aislados de la red interna.
• Diseño de arquitectura
de seguridad de red.
• Adecuada configuración
de elementos de control
de conexiones
(firewalls).
• Implementación y
administración de
herramientas de
seguridad.
Fuga de
información
estratégica
mediante
sustracción de
computadores
Es posible obtener la
información existente en las
computadoras portátiles de los
gerentes del banco mediante
el robo de las mismas.
• Programas para
encripción de la data
confidencial existente en
los discos duros de las
computadoras portátiles.
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
Amenaza /
VulnerabilidadImplicancia de Seguridad
Estándar o medida de
seguridad a aplicar
portátiles.
Acceso no
autorizado a través
de enlaces
inalámbricos.
• El riesgo de contar con
segmentos de red
inalámbricos sin medidas
de seguridad específicas
para este tipo de enlaces,
radica en que cualquier
persona podría conectar un
equipo externo al Banco
incluso desde un edificio
cercano.
• Evaluación del alcance
de la red inalámbrica.
• Separación del
segmento de red
inalámbrico mediante un
Firewall.
• Verificación periódica de
la actividad realizada
desde la red
inalámbrica.
• Utilización de encripción
.
Controles de
acceso hacia
Internet desde la
red interna.
• Posibilidad de acceso no
autorizado desde la red
interna de datos hacia
equipos de terceros en
Internet.
• Posibilidad de fuga de
información.
• Posibilidad de realización
de actividad ilegal en
equipos de terceros a
través de Internet.
• Implementación de una
adecuada arquitectura
de red.
• Configuración adecuada
de servidor Proxy.
• Mejores prácticas para
la configuración de
Firewalls.
• Implementación y
administración de
herramientas para la
seguridad del contenido
de los correos
electrónicos enviados.
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
Amenaza /
VulnerabilidadImplicancia de Seguridad
Estándar o medida de
seguridad a aplicar
• Monitoreo periódico de
la actividad, mediante el
análisis de los registros
(logs) de los sistemas.
5.3 Matriz de Iniciativas del Negocio / Procesos
En esta matriz se muestra las iniciativas y operaciones del negocio que poseen
alta implicancia en seguridad y los estándares o medidas de seguridad a ser
aplicados para minimizar los riesgos generados por ellas.
Iniciativa del
NegocioImplicancia de Seguridad
Estándar o medida de
seguridad a aplicar
Iniciativas del Negocio
Implantación de
Datawarehouse.
• Información sensible
almacenada en un
repositorio centralizado,
requiere de controles de
acceso adecuados.
• La disponibilidad del
sistema debe ser alta para
no afectar las operaciones
que soporta.
• Estándar de mejores
prácticas de
seguridad para
Windows NT
• Estándar de mejores
prácticas de
seguridad para
Windows
• Plan de implantación
de Datawarehouse.
• Procedimientos para
otorgamiento de
perfiles.
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
Iniciativa del
NegocioImplicancia de Seguridad
Estándar o medida de
seguridad a aplicar
• Implementación de
una arquitectura de
red segura.
Proyecto de
tercerización del
Call Center
• Consulta de información
existente en los sistemas
por parte de terceros.
• Registro de información en
los sistemas por parte de
terceros.
• Especificación de
responsabilidades y
obligaciones
referentes a la
seguridad de la
información del
Banco, en los
contratos con
terceros.
• Especificación de
acuerdos de nivel de
servicio.
• Adecuados controles
de acceso a la
información
registrada en el
sistema
Proyecto de
comunicación con
Conasev utilizando
firmas digitales
(Requerimiento de
Conasev)
• El acceso de personal no
autorizado a los medios de
almacenamiento de llaves
de encripción (media,
smartcards, impresa)
debilita todo el sistema de
encripción de la
• Estándares de
seguridad para la
manipulación y
revocación de llaves
de encripción.
• Implementación de
controles de acceso a
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
Iniciativa del
NegocioImplicancia de Seguridad
Estándar o medida de
seguridad a aplicar
información.
• Para los procesos de firma
y encripción de la
información se requiere el
ingreso de contraseñas,
estas contraseñas deben
ser mantenidas en forma
confidencial.
dispositivos y llaves
de encripción.
Digitalización
(scanning) de
poderes y firmas.
• La disposición de estos
elementos en medios
digitales requiere de
adecuados niveles de
protección para evitar su
acceso no autorizado y
utilización con fines
ilegales.
• Aplicación de
estándares de
seguridad de la
plataforma que
contiene dicha
información.
• Encripción de la data
digitalizada.
• Restricción de
accesos a los
poderes y firmas
tanto a nivel de
aplicación, como a
nivel de sistema
operativo.
Tercerización de
operaciones de
sistemas y Help
Desk.
• La administración de
equipos críticos de la red
del Banco por parte de
terceros representa un
• Cláusulas de
confidencialidad y
establecimiento claro
de responsabilidades
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
Iniciativa del
NegocioImplicancia de Seguridad
Estándar o medida de
seguridad a aplicar
riesgo en especial por la
posibilidad de fuga de
información confidencial.
de los proveedores
en los contratos,
especificación de
penalidades en caso
de incumplimiento.
• Monitoreo periódico
de las operaciones
realizadas por
personal externo,
incluyendo la revisión
periódica de sus
actividades en los
registros (logs) de
aplicaciones y
sistema operativo.
• Evitar otorgamiento
de privilegios
administrativos a
personal externo,
para evitar
manipulación de
registros.
Proyecto de
interconexión del
Sistema Swift a la
red de datos del
Banco.
• El sistema SWIFT se
encuentra en un segmento
aislado de la red de datos
del Banco por razones de
seguridad de información.
• Estándar de mejores
prácticas de
seguridad para
servidores Windows
NT
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
Iniciativa del
NegocioImplicancia de Seguridad
Estándar o medida de
seguridad a aplicar
• Al unir el sistema Swift a la
red de datos del Banco,
dicho sistema se va a
encontrar expuesto a
intentos de acceso no
autorizados por parte de
equipos que comprenden
la red de datos.
• Controles de acceso
a la aplicación
SWIFT.
• Estándares de
encripción de datos
entre el sistema Swift
y los terminales que
se comunican con él.
Operaciones del Negocio
Almacenamiento
de copias de
respaldo realizado
por Hermes.
• Las cintas de backup
guardan información
confidencial del negocio del
banco, adicionalmente
deben encontrarse
disponibles para ser
utilizadas en una
emergencia y la
información que guardan
debe mantenerse íntegra.
• Acuerdos de
confidencialidad y
tiempo de respuesta
en los contratos con
el proveedor.
• Pruebas del tiempo
de respuesta del
proveedor para
transportar las cintas
de backup en caso de
emergencia.
• Verificación periódica
del estado de las
cintas.
Procesamiento de
transacciones de
tarjetas de crédito
• El almacenamiento de
información por parte de
terceros podría representar
• Acuerdos de
confidencialidad y
tiempo de respuesta
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
Iniciativa del
NegocioImplicancia de Seguridad
Estándar o medida de
seguridad a aplicar
y débito realizado
por Unibanca.
una fuente de divulgación
no autorizada de
información del Banco y
sus clientes.
• El acceso a los sistemas
por parte de terceros debe
ser controlado para evitar
la realización de actividad
no autorizada.
en contratos con el
proveedor.
• Estándares de
encripción de
información
transmitida.
Almacenamiento
de Documentos
realizado por
terceros “File
Service”
• El almacenamiento de
información por parte de
terceros podría representar
una fuente de divulgación
no autorizada de
información del Banco y
sus clientes.
• El almacenamiento de
información debe realizarse
de manera adecuada para
mantener la disponibilidad
de los documentos y evitar
su deterioro.
• Acuerdos de
confidencialidad y
tiempo de respuesta
en contratos con
proveedores.
• Verificación periódica
del grado de deterioro
de la documentación.
Impresión y
ensobrado de
estados de cuenta
realizado por
Napatek
• El almacenamiento de
información por parte de
terceros podría representar
una fuente de divulgación
no autorizada de
• Acuerdos de
confidencialidad en
contratos con
proveedores.
• Estándares de
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
Iniciativa del
NegocioImplicancia de Seguridad
Estándar o medida de
seguridad a aplicar
información del Banco y
sus clientes.
• El envío de información
sensible al proveedor debe
ser realizado por un canal
de transmisión seguro, o
en su defecto debe contar
con medidas de encripción,
que impidan su utilización
en caso de ser
interceptada.
encripción de datos
transmitidos por
correo electrónico.
• Verificación de
integridad de la data
transmitida.
Envío de
información
sensible a clientes
y entidades
recaudadoras vía
correo electrónico
• Se debe asegurar que la
información sensible
transmitida a los clientes
cuente con medidas de
seguridad adecuadas las
cuales permitan garantizar
el cumplimiento de normas
como el secreto bancario.
• Estándares de
encripción de datos
transmitidos.
Almacenamiento
físico de
información
realizada al interior
del Banco.
• El Banco almacena
documentos importantes
de clientes, muchos de
ellos con información
confidencial, asimismo
existe información en otros
medios como discos duros,
cintas, etc., que albergan
• Clasificación y
etiquetado de la
información.
• Implementación de
controles físicos de
acceso a la
información de
acuerdo a su
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
Iniciativa del
NegocioImplicancia de Seguridad
Estándar o medida de
seguridad a aplicar
información importante. Se
debe asegurar que dicha
información cuente con
medidas de seguridad
adecuadas que aseguren
la integridad, disponibilidad
y confidencialidad de la
información.
clasificación.
• Establecimiento de
condiciones
apropiadas de
almacenamiento para
evitar su deterioro.
• Mantenimiento de un
registro de entrada y
salida de activos de
los archivos.
Acceso de
personal de
Rehder a la red de
datos del Banco.
• Todo acceso de personal
externo a la red de datos
del Banco representa un
riesgo potencial de acceso
no autorizado a los
sistemas.
• Cláusulas de
confidencialidad y
establecimiento claro
de responsabilidades
de los proveedores
en los contratos,
especificación de
penalidades en caso
de incumplimiento.
• Monitoreo de
actividad realizada
por personal externo.
• Restricciones de
acceso a Internet
configurados en el
firewall.
Centro de • Los sistemas ubicados en • Especificación de
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
Iniciativa del
NegocioImplicancia de Seguridad
Estándar o medida de
seguridad a aplicar
Contingencia
ubicado en el TIC
de Telefónica
Data.
Telefónica Data deben
encontrarse siempre
disponibles para ser
utilizados en casos de
emergencia.
• Se debe asegurar la
integridad de la información
existente en los sistemas
de respaldo y el grado de
actualización de la misma
con respecto al sistema en
producción.
acuerdos de nivel de
servicio y
penalidades en caso
de incumplimiento en
contratos con
proveedores.
• Pruebas del centro de
contingencia.
• Verificación periódica
de la disponibilidad
de los sistemas y
grado de
actualización de la
información.
Atención en Front
Office.
• Las aplicaciones y los
sistemas de
comunicaciones deben
encontrarse disponibles en
todo momento para no
afectar la atención a los
clientes.
• Los periodos de
indisponibilidad deben ser
medidos.
• Acuerdos de niveles
de servicio en
contratos con
proveedores de
comunicaciones.
• Verificación periódica
de disponibilidad de
los sistemas.
• Implementación de
métricas de
rendimiento y
disponibilidad de los
sistemas.
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
Iniciativa del
NegocioImplicancia de Seguridad
Estándar o medida de
seguridad a aplicar
Soporte de IBM al
Servidor AS/400.
• El servidor AS/400 es el
que soporta la mayor
cantidad de procesos del
negocio del Banco, por lo
tanto se debe asegurar que
el proveedor debe ser
capaz de restaurar los
servicios del servidor en el
menor tiempo posible.
• Asimismo dado que el
proveedor accede
periódicamente al equipo,
existe el riesgo de acceso
no autorizado a
información existente en el
mismo.
• Cláusulas de
confidencialidad y
establecimiento claro
de responsabilidades
de los proveedores
en los contratos,
especificación de
penalidades en caso
de incumplimiento.
• Asignación de un
usuario distinto al
utilizado por personal
del Banco con los
privilegios mínimos
necesarios.
• Inspección del log de
actividades del
proveedor luego de
realizar
mantenimiento al
equipo.
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
Capítulo VI
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
En este capitulo se elaboraran las políticas de seguridad con el propósito de
proteger la información de la empresa, estas servirán de guía para la
implementación de medidas de seguridad que contribuirán a mantener la
integridad, confidencialidad y disponibilidad de los datos dentro de los sistemas
de aplicación, redes, instalaciones de cómputo y procedimientos manuales.
El documento de políticas de seguridad ha sido elaborado tomando como base
la siguiente documentación:
- Estándar de seguridad de la información ISO 17799
- Requerimientos de la Circular N° G-105-2002 de la Superintendencia
de Banca y Seguros (SBS) sobre Riesgos de Tecnología de Información.
- Normas internas del Banco referidas a seguridad de información.
6.1 Definición
Una Política de seguridad de información es un conjunto de reglas aplicadas a
todas las actividades relacionadas al manejo de la información de una entidad,
teniendo el propósito de proteger la información, los recursos y la reputación de
la misma.
Propósito
El propósito de las políticas de seguridad de la información es proteger la
información y los activos de datos del Banco. Las políticas son guías para
asegurar la protección y la integridad de los datos dentro de los sistemas de
aplicación, redes, instalaciones de cómputo y procedimientos manuales.
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
6.2 CUMPLIMIENTO OBLIGATORIO
El cumplimiento de las políticas y estándares de seguridad de la información es
obligatorio y debe ser considerado como una condición en los contratos del
personal.
El Banco puede obviar algunas de las políticas de seguridad definidas en este
documento, únicamente cuando se ha demostrado claramente que el
cumplimiento de dichas políticas tendría un impacto significativo e inaceptable
para el negocio. Toda excepción a las políticas debe ser documentada y
aprobada por el área de seguridad informática y el área de auditoria interna,
detallando el motivo que justifica el no-cumplimiento de la política.
6.3 ORGANIZACIÓN DE LA SEGURIDAD
En esta política se definen los roles y responsabilidades a lo largo de la
organización con respecto a la protección de recursos de información. Esta
política se aplica a todos los empleados y otros asociados con el Banco, cada
uno de los cuales cumple un rol en la administración de la seguridad de la
información. Todos los empleados son responsables de mantener un ambiente
seguro, en tanto que el área de seguridad informática debe monitorear el
cumplimiento de la política de seguridad definida y realizar las actualizaciones
que sean necesarias, producto de los cambios en el entorno informático y las
necesidades del negocio.
6.3.1 Estructura Organizacional
En la administración de la seguridad de la información participan todos los
empleados siguiendo uno o más de los siguientes roles:
- Área de Seguridad Informática
- Usuario
- Custodio de información
- Propietario de información
- Auditor interno
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
Los roles y funciones de administración de la seguridad de la información de
cada uno de estas personas están detalladas en el Capitulo IV.
6.3.2 Acceso por parte de terceros
El Banco debe establecer para terceros al menos las mismas
restricciones de acceso a la información que a un usuario interno.
Además, el acceso a la información debe limitarse a lo mínimo
indispensable para cumplir con el trabajo asignado. Las excepciones
deben ser analizadas y aprobadas por el área de seguridad informática.
Esto incluye tanto acceso físico como lógico a los recursos de información
del Banco.
Todo acceso por parte de personal externo debe ser autorizado por un
responsable interno, quien asume la responsabilidad por las acciones que
pueda realizar el mismo. El personal externo debe firmar un acuerdo de
no-divulgación antes de obtener acceso a información del Banco.
Proveedores que requieran acceso a los sistemas de información del
Banco deben tener acceso únicamente cuando sea necesario.
Todas las conexiones que se originan desde redes o equipos externos al
Banco, deben limitarse únicamente a los servidores y aplicaciones
necesarios. Si es posible, estos servidores destino de las conexiones
deben estar físicamente o lógicamente separados de la red interna del
Banco.
Los contratos relacionados a servicios de tecnologías de información
deben ser aprobados por el área legal del Banco, y en el caso de que
afecten la seguridad o las redes de la organización deben ser aprobados
adicionalmente por el área de seguridad informática. Bajo determinadas
condiciones, como en la ejecución de servicios críticos para el negocio, el
Banco debe considerar efectuar una revisión independiente de la
estructura de control interno del proveedor.
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
En los contratos de procesamiento de datos externos se debe especificar
los requerimientos de seguridad y acciones a tomar en caso de violación
de los contratos. Todos los contratos deben incluir una cláusula donde se
establezca el derecho del Banco de nombrar a un representante
autorizado para evaluar la estructura de control interna del proveedor.
6.3.3 Outsourcing
Todos los contratos de Outsourcing deben incluir lo siguiente:
- Acuerdos sobre políticas y controles de seguridad.
- Determinación de niveles de disponibilidad aceptable.
- El derecho del Banco de auditar los controles de seguridad de
información del proveedor.
- Determinación de los requerimientos legales del Banco.
- Metodología del proveedor para mantener y probar cíclicamente la
seguridad del sistema.
- Que el servicio de procesamiento y la información del Banco objeto
de la subcontratación estén aislados, en todo momento y bajo
cualquier circunstancia.
El proveedor es responsable de inmediatamente informar al responsable
del contrato de cualquier brecha de seguridad que pueda comprometer
información del Banco. Cualquier empleado del Banco debe informar de
violaciones a la seguridad de la información por parte de proveedores al
área de seguridad informática.
6.4 EVALUACION DE RIESGO
El costo de las medidas y controles de seguridad no debe exceder la
pérdida que se espera evitar. Para la evaluación del riesgo se deben de
seguir los siguientes pasos:
- Clasificación del acceso de la información
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
- Ejecución del análisis del riesgo identificando áreas vulnerables, pérdida
potencial y selección de controles y objetivos de control para mitigar los
riesgos, de acuerdo a los siguientes estándares.
6.4.1 Inventario de activos
Los inventarios de activos ayudan a garantizar la vigencia de una
protección eficaz de los recursos, y también pueden ser necesarios para
otros propósitos de la empresa, como los relacionados con sanidad y
seguridad, seguros o finanzas (administración de recursos). El proceso de
compilación de un inventario de activos es un aspecto importante de la
administración de riesgos. Una organización debe contar con la capacidad
de identificar sus activos y el valor relativo e importancia de los mismos.
Sobre la base de esta información, la organización puede entonces,
asignar niveles de protección proporcionales al valor e importancia de los
activos. Se debe elaborar y mantener un inventario de los activos
importantes asociados a cada sistema de información. Cada activo debe
ser claramente identificado y su propietario y clasificación en cuanto a
seguridad deben ser acordados y documentados, junto con la ubicación
vigente del mismo (importante cuando se emprende una recuperación
posterior a una pérdida o daño). Ejemplos de activos asociados a
sistemas de información son los siguientes:
- Recursos de información: bases de datos y archivos, documentación
de sistemas, manuales de usuario, material de capacitación,
procedimientos operativos o de soporte, planes de continuidad,
disposiciones relativas a sistemas de emergencia para la reposición de
información perdida (“fallback”), información archivada;
- Recursos de software: software de aplicaciones, software de sistemas,
herramientas de desarrollo y utilitarios;
- Activos físicos: equipamiento informático (procesadores, monitores,
computadoras portátiles, módems), equipos de comunicaciones
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
(routers, PBXs, máquinas de fax, contestadores automáticos), medios
magnéticos (cintas y discos), otros equipos técnicos (suministro de
electricidad, unidades de aire acondicionado), mobiliario, lugares de
emplazamiento;
- Servicios: servicios informáticos y de comunicaciones, utilitarios
generales, por Ej. calefacción, iluminación, energía eléctrica, aire
acondicionado.
6.4.2 Clasificación del acceso de la información
Toda la información debe de ser clasificada como Restringida,
Confidencial, Uso Interno o General de acuerdo a lo definido en el capitulo
4.2.1. La clasificación de información debe de ser documentada por el
Propietario, aprobada por la gerencia responsable y distribuida a los
Custodios durante el proceso de desarrollo de sistemas o antes de la
distribución de los documentos o datos.
La clasificación asignada a un tipo de información, solo puede ser
cambiada por el propietario de la información, luego de justificar
formalmente el cambio en dicha clasificación.
La información que existe en más de un medio (por ejemplo, documento
fuente, registro electrónico, reporte o red) debe de tener la misma
clasificación sin importar el formato.
Frecuentemente, la información deja de ser sensible o crítica después de
un cierto período de tiempo, verbigracia, cuando la información se ha
hecho pública. Este aspecto debe ser tomado en cuenta por el propietario
de la información, para realizar una reclasificación de la misma, puesto
que la clasificación por exceso (“over- classification”) puede traducirse en
gastos adicionales innecesarios para la organización.
La información debe de ser examinada para determinar el impacto en el
Banco si fuera divulgada o alterada por medios no autorizados. A
continuación detallamos algunos ejemplos de información sensible:
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
q Datos de interés para la competencia:
- Estrategias de marketing
- Listas de clientes
- Fechas de renovación de créditos
- Tarifaciones
- Datos usados en decisiones de inversión
q Datos que proveen acceso a información o servicios:
- Llaves de encripción o autenticación
- Contraseñas
q Datos protegidos por legislación de privacidad vigente
- Registros del personal
- Montos de los pasivos de clientes
- Datos históricos con 10 años de antigüedad
q Datos que tienen un alto riesgo de ser blanco de fraude u otra actividad
ilícita:
- Datos contables utilizados en sistemas
- Sistemas que controlan desembolsos de fondos
6.4.3 Definiciones
Restringida: Información con mayor grado de sensibilidad; el acceso a
esta información debe de ser autorizado caso por caso.
Confidencial: Información sensible que solo debe ser divulgada a
aquellas personas que la necesiten para el cumplimiento de sus
funciones.
Uso Interno: Datos generados para facilitar las operaciones diarias;
deben de ser manejados de una manera discreta, pero no requiere de
medidas elaboradas de seguridad.
General: Información que es generada específicamente para su
divulgación a la población general de usuarios.
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
6.4.4 Aplicación de controles para la información clasificada
Las medidas de seguridad a ser aplicadas a los activos de información
clasificados, incluyen pero no se limitan a las siguientes:
6.4.4.1 Información de la Compañía almacenada en formato digital
• Todo contenedor de información en medio digital (CD´s, cintas de
backup, diskettes, etc.) debe presentar una etiqueta con la clasificación
correspondiente.
• La información en formato digital clasificada como de acceso “General”,
puede ser almacenada en cualquier sistema de la Compañía. Sin
embargo se deben tomar las medidas necesarias para no mezclar
información “General” con información correspondiente a otra
clasificación.
• Todo usuario, antes de transmitir información clasificada como
“Restringida” o “Confidencial”, debe asegurarse que el destinatario de la
información esté autorizado a recibir dicha información.
• Todo usuario que requiere acceso a información clasificada como
“Restringida” o “Confidencial”, debe ser autorizado por el propietario de
la misma. Las autorizaciones de acceso a este tipo de información
deben ser documentadas.
• La clasificación asignada a un tipo de información, solo puede ser
cambiada por el propietario de la información, luego de justificar
formalmente el cambio en dicha clasificación.
• Información en formato digital, clasificada como “Restringida”, debe ser
encriptada con un método aprobado por los encargados de la
administración de seguridad de la información, cuando es almacenada
en cualquier medio (disco duro, disquetes, cintas, CDs, etc.).
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
• Es recomendable el uso de técnicas de encripción para la información
clasificada como “Restringida” o “Confidencial”, transmitida a través de la
red de datos del Banco.
• Toda transmisión de Información clasificada como “Restringida”,
“Confidencial” o de “Uso Interno” realizada hacia o a través de redes
externas a la Compañía debe realizarse utilizando un medio de
transmisión seguro o utilizando técnicas de encripción aprobadas.
• Todo documento en formato digital, debe presentar la clasificación
correspondiente en la parte superior (cabecera) e inferior (pié de página)
de cada página del documento.
• Los medios de almacenamiento, incluyendo discos duros de
computadoras, que albergan información clasificada como “Restringida”,
deben ser ubicados en ambientes cerrados diseñados para el
almacenamiento de dicho tipo de información. En lugar de protección
física, la información clasificada como “Restringida”, podría ser protegida
con técnicas de encripción aprobadas por la Compañía.
6.4.4.2 Información de la Compañía almacenada en formato no
digital
• Todo documento o contenedor de información debe ser etiquetado como
“Restringida”, “Confidencial”, de “Uso interno” o de Acceso “General”,
dependiendo de la clasificación asignada.
• Todo documento que presente información clasificada como
“Confidencial” o “Restringida”, debe ser etiquetado en la parte superior e
inferior de cada página con la clasificación correspondiente.
• Todo documento clasificado como “Confidencial” o “Restringido” debe
contar con una carátula en la cual se muestre la clasificación de la
información que contiene.
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
• Los activos de información correspondiente a distintos niveles de
clasificación, deben ser almacenados en distintos contenedores, de no ser
posible dicha distinción, se asignará el nivel más critico de la información
identificada a todo el contenedor de información.
• El ambiente donde se almacena la información clasificada como
“Restringida”, debe contar con adecuados controles de acceso y
asegurado cuando se encuentre sin vigilancia. El acceso debe ser
permitido solo al personal formalmente autorizado. Personal de limpieza
debe ingresar al ambiente acompañado por personal autorizado.
• Solo el personal formalmente autorizado debe tener acceso a información
clasificada como “Restringida” o “Confidencial”
• Los usuarios que utilizan documentos con información “Confidencial” o
“Restringida” deben asegurarse de:
- Almacenarlos en lugares adecuados
- Evitar que usuarios no autorizados accedan a dichos documentos
- Destruir los documentos si luego de su utilización dejan de ser
necesarios
6.4.5 Análisis de riesgo
Los Propietarios de la información y custodios son conjuntamente
responsables del desarrollo de análisis de riesgos anual de los sistemas a
su cargo. Como parte del análisis se debe identificar las aplicaciones de
alta criticidad como críticas para la recuperación ante desastres. Es
importante identificar:
- Áreas vulnerables
- Pérdida potencial
- Selección de controles y objetivos de control para mitigar los riesgos,
indicando las razones para su inclusión o exclusión (Seguridad de
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
datos, Plan de respaldo/recuperación, Procedimientos estándar de
operación)
Adicionalmente, un análisis de riesgo debe de ser conducido luego de
cualquier cambio significativo en los sistemas, en concordancia con el
clima cambiante de las operaciones en el negocio del Banco.
El análisis de riesgo debe tener un propósito claramente definido y
delimitado, existiendo dos posibilidades: cumplimiento con los controles
y/o medidas de protección o la aceptación del riesgo.
6.4.6 Cumplimiento
El cumplimiento satisfactorio del proceso de evaluación del riesgo se
caracteriza por:
- Identificación y clasificación correcta de los activos a ser protegidos.
- Aplicación consistente y continua de los controles y/o medidas para
mitigar el riesgo (seguridad efectiva de datos, recuperación ante
desastres adecuado)
- Detección temprana de los riesgos, reporte adecuado de pérdidas, así
como una respuesta oportuna y efectiva ante las perdidas ya
materializadas.
6.4.7 Aceptación de riesgo
La gerencia responsable puede obviar algún control o requerimiento de
protección y aceptar el riesgo identificado solo cuando ha sido
claramente demostrado que las opciones disponibles para lograr el
cumplimiento han sido identificadas y evaluadas, y que éstas tendrían un
impacto significativo y no aceptable para el negocio.
La aceptación de riesgo por falta de cumplimiento de los controles y/o
medidas de protección debe ser documentada, revisada por las partes
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
involucradas, comunicada por escrito y aceptada por las áreas
responsables de la administración de la seguridad.
6.5 SEGURIDAD DEL PERSONAL
Los estándares relacionados al personal deben ser aplicados para asegurarse
que los empleados sean seleccionados adecuadamente antes de ser
contratados, puedan ser fácilmente identificados mientras formen parte del
Banco y que el acceso sea revocado oportunamente cuando un empleado es
despedido o transferido. Deben desarrollarse estándares adicionales para
asegurar que el personal sea consciente de todas sus responsabilidades y
acciones apropiadas en el reporte de incidentes.
Esta política se aplica a todos los empleados, personal contratado y
proveedores.
Los empleados son los activos más valiosos del Banco. Sin embargo, un
gran número de problemas de seguridad de cómputo pueden ser causados
por descuido o desinformación. Se deben de implementar procedimientos
para manejar estos riesgos y ayudar al personal del Banco a crear un
ambiente de trabajo seguro.
Medidas de precaución deben de ser tomadas cuando se contrata,
transfiere y despide a los empleados. Deben de establecerse controles
para comunicar los cambios del personal y los requerimientos de recursos
de cómputo a los responsables de la administración de la seguridad de la
información. Es crucial que estos cambios sean atendidos a tiempo.
6.5.1 Seguridad en la definición de puestos de trabajo y recursos
El departamento de Recursos Humanos debe de notificar al área de
seguridad informática, la renuncia o despido de los empleados así como
el inicio y fin de los periodos de vacaciones de los mismos. Cuando se
notifique un despido o transferencia, el Custodio de información debe de
asegurarse que el identificador de usuario sea revocado. Cuando se
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
notifique una transferencia o despido, el área de seguridad debe de
asegurarse que las fichas o placas sean devueltas al Banco. Cualquier
ítem entregado al empleado o proveedor como computadoras portátiles,
llaves, tarjetas de identificación, software, datos, documentación,
manuales, etc. deben de ser entregados a su gerente o al área de
Recursos Humanos.
La seguridad es responsabilidad de todos los empleados y personas
involucradas con el Banco. Por ende, todos los empleados, contratistas,
proveedores y personas con acceso a las instalaciones e información del
Banco deben de acatar los estándares documentados en la política de
seguridad del Banco e incluir la seguridad como una de sus
responsabilidades principales.
Todos los dispositivos personales de información, como por ejemplo
computadoras de propiedad de los empleados o asistentes digitales
personales (PDA – Personal Digital Assistant), que interactúen con los
sistemas del Banco, deben ser aprobados y autorizados por la gerencia
del Banco.
6.5.2 Capacitación de usuarios
Es responsabilidad del área de seguridad informática promover
constantemente la importancia de la seguridad a todos los usuarios de los
sistemas de información. El programa de concientización en seguridad
debe de contener continuas capacitaciones y charlas, adicionalmente se
puede emplear diversos métodos como afiches, llaveros, mensajes de
log-in, etc., los cuales recuerden permanentemente al usuario el papel
importante que cumplen en el mantenimiento de la seguridad de la
información.
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
Orientación para los empleados y/o servicios de terceros nuevos
Cuando se contrate a un empleado nuevo y/o el servicio de algún tercero,
se debe de entregar la política de seguridad así como las normas y
procedimientos para el uso de las aplicaciones y los sistemas de
información del Banco. Asimismo se debe entregar un resumen escrito de
las medidas básicas de seguridad de la información.
El personal de terceros debe recibir una copia del acuerdo de no
divulgación firmado por el Banco y por el proveedor de servicios de
terceros así como orientación con respecto a su responsabilidad en la
confidencialidad de la información del Banco.
Entre otros aspectos se debe considerar:
- El personal debe de ser comunicado de las implicancias de seguridad
en relación a las responsabilidades de su trabajo
- Una copia firmada de la política de seguridad de información debe de
ser guardada en el archivo del empleado
Concientización periódica
Estudios muestran que la retención y el conocimiento aplicable se
incrementa considerablemente cuando el tema es sujeto a revisión. Los
usuarios deben de ser informados anualmente sobre la importancia de la
seguridad de la información. Un resumen escrito de la información básica
debe de ser entregada nuevamente a cada empleado y una copia firmada
debe de ser guardada en sus archivos.
La capacitación en seguridad debe de incluir, pero no estar limitado, a los
siguientes aspectos:
- Requerimientos de identificador de usuario y contraseña
- Seguridad de PC, incluyendo protección de virus
- Responsabilidades de la organización de seguridad de información
- Concientización de las técnicas utilizadas por “hackers”
- Programas de cumplimiento
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
- Guías de acceso a Internet
- Guías de uso del correo electrónico
- Procesos de monitoreo de seguridad de la información utilizados
- Persona de contacto para información adicional
6.5.3 Procedimientos de respuesta ante incidentes de seguridad
El personal encargado de la administración de seguridad debe ser
plenamente identificado por todos los empleados del Banco.
Si un empleado del Banco detecta o sospecha la ocurrencia de un
incidente de seguridad, tiene la obligación de notificarlo al personal de
seguridad informática. Si se sospecha la presencia de un virus en un
sistema, el usuario debe desconectar el equipo de la red de datos,
notificar al área de seguridad informática quien trabajará en coordinación
con el área de soporte técnico, para la eliminación del virus antes de
restablecer la conexión a la red de datos. Es responsabilidad del usuario
(con la apropiada asistencia técnica) asegurarse que el virus haya sido
eliminado por completo del sistema antes de conectar nuevamente el
equipo a la red de datos.
Si un empleado detecta una vulnerabilidad en la seguridad de la
información debe notificarlo al personal encargado de la administración de
la seguridad, asimismo, está prohibido para el empleado realizar pruebas
de dicha vulnerabilidad o aprovechar ésta para propósito alguno.
El área de seguridad informática debe documentar todos los reportes de
incidentes de seguridad.
Cualquier error o falla en los sistemas debe ser notificado a soporte
técnico, quién determinará si el error es indicativo de una vulnerabilidad
en la seguridad.
Las acciones disciplinarias tomadas contra socios de negocio o
proveedores por la ocurrencia de una violación de seguridad, deben ser
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
consistentes con la magnitud de la falta, ellas deben ser coordinadas con
el área de Recursos Humanos.
6.5.3.1 Registro de fallas
El personal encargado de operar los sistemas de información debe
registrar todos lo errores y fallas que ocurren en el procesamiento de
información o en los sistemas de comunicaciones. Estos registros deben
incluir lo siguiente:
- Nombre de la persona que reporta la falla
- Hora y fecha de ocurrencia de la falla
- Descripción del error o problema
- Responsable de solucionar el problema
- Descripción de la respuesta inicial ante el problema
- Descripción de la solución al problema
- Hora y fecha en la que se solucionó el problema
Los registros de fallas deben ser revisados semanalmente. Los registros
de errores no solucionados deben permanecer abiertos hasta que se
encuentre una solución al problema. Además, estos registros deben ser
almacenados para una posterior verificación independiente.
6.5.3.2 Intercambios de información y correo electrónico
Los mensajes de correo electrónico deben ser considerados de igual
manera que un memorándum formal, son considerados como parte de
los registros del Banco y están sujetos a monitoreo y auditoria. Los
sistemas de correo electrónico no deben ser utilizados para lo siguiente:
- Enviar cadenas de mensajes
- Enviar mensajes relacionados a seguridad, exceptuando al personal
encargado de la administración de la seguridad de la información
- Enviar propaganda de candidatos políticos
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
- Actividades ilegales, no éticas o impropias
- Actividades no relacionadas con el negocio del Banco
- Diseminar direcciones de correo electrónico a listas públicas
No deben utilizarse reglas de reenvío automático a direcciones que no
pertenecen a la organización. No existe control sobre los mensajes de
correo electrónico una vez que estos se encuentran fuera de la red del
Banco.
Deben establecerse controles sobre el intercambio de información del
Banco con terceros para asegurar la confidencialidad e integridad de la
información, y que se respete la propiedad intelectual de la misma. Debe
tomarse en consideración:
- Acuerdos para el intercambio de software
- Seguridad de media en tránsito
- Controles sobre la transmisión mediante redes
Debe establecerse un proceso formal para aprobar la publicación de
información del Banco. El desarrollo de páginas Web programables o
inteligentes (utilizando tecnologías como CGI o ASP) debe considerarse
como desarrollo de software y debe estar sujeto a los mismos controles.
La información contenida en sistemas públicos no debe contener
información restringida, confidencial o de uso interno. De igual manera,
los equipos que brindan servicios Web, correo electrónico, comercio
electrónico u otros servicios públicos no deben almacenar información
restringida, confidencial o de uso interno. Antes que un empleado del
Banco libere información que no sea de uso general debe verificarse la
identidad del individuo u organización recipiente utilizando firmas
digitales, referencias de terceros, conversaciones telefónicas u otros
mecanismos similares.
Debe establecerse controles sobre equipos de oficina como teléfonos,
faxes e impresoras que procesan información sensible del Banco.
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
Información restringida o confidencial solo debe imprimirse en equipos
específicamente designados para esta tarea.
6.5.3.3 Seguridad para media en tránsito
La información a ser transferida en media digital o impresa debe ser
etiquetada con la clasificación de información respectiva y detallando
claramente el remitente y recipiente del mismo. La información enviada
por servicios postales debe ser protegida de accesos no autorizados
mediante la utilización de:
- Paquetes sellados o lacrados
- Entrega en persona
- Firmado y sellado de un cargo
6.6 SEGURIDAD FÍSICA DE LAS INSTALACIONES DE
PROCESAMIENTO DE DATOS
Se deben implementar medidas de seguridad física para asegurar la
integridad de las instalaciones y centros de cómputo. Las medidas de
protección deben ser consistentes con el nivel de clasificación de los
activos y el valor de la información procesada y almacenada en las
instalaciones.
6.6.1 Protección de las instalaciones de los centros de datos
Un centro de procesamiento de datos o de cómputo es definido como
cualquier edificio o ambiente dentro de un edificio que contenga equipos
de almacenamiento, proceso o transmisión de información. Estos incluyen
pero no se limitan a los siguientes:
- Mainframe, servidores, computadoras personales y periféricos
- Consolas de administración
- Librerías de cassettes o DASD
- Equipos de telecomunicaciones
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
- Centrales telefónicas, PBX
- Armarios de alambrado eléctrico o cables
Los controles deben de ser evaluados anualmente para compensar
cualquier cambio con relación a los riesgos físicos.
Los gerentes que estén planeando o revisando cualquier ambiente
automatizado, incluyendo el uso de las computadoras personales, deben
contactarse con el personal encargado de la administración de la
seguridad de la información para asistencia en el diseño de los controles
físicos de seguridad.
6.6.2 Control de acceso a las instalaciones de cómputo
El acceso a cualquier instalación de cómputo debe estar restringido
únicamente al personal autorizado.
Todas las visitas deben ser identificadas y se debe mantener un registro
escrito de las mismas. Estas visitas deben ser en compañía de un
empleado durante la permanencia en las instalaciones de computo.
Si bien es recomendable que los proveedores de mantenimiento, a
quienes se les otorga acceso continuo a las áreas sensibles, estén
siempre acompañados por un empleado autorizado de la empresa, puede
resultar poco práctico en algunos casos.
Todo el personal en las instalaciones de cómputo deben de portar un
carné, placa o ficha de identificación. Sistemas automatizados de
seguridad para acceso físico deben de ser instalados en centros de
cómputo principales. Centros pequeños pueden controlar el acceso físico
mediante el uso de candados de combinación o llaves.
Medidas apropiadas como guardias o puertas con alarmas, deben de ser
utilizadas para proteger las instalaciones durante las horas no laborables.
El retiro de cualquier equipo o medio electrónico de las instalaciones de
cómputo debe de ser aprobado por escrito por personal autorizado.
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
6.6.3 Acuerdo con regulaciones y leyes
Los controles de seguridad física deben de estar en acuerdo con las
regulaciones existentes de fuego y seguridad, así como con los
requerimientos contractuales de los seguros contratados.
6.7 ADMINISTRACIÓN DE COMUNICACIONES Y OPERACIONES
La administración de las comunicaciones y operaciones del Banco, son
esenciales para mantener un adecuado nivel de servicio a los clientes. Los
requerimientos de seguridad deben ser desarrollados e implementados
para mantener el control sobre las comunicaciones y las operaciones.
Los procedimientos operacionales y las responsabilidades para mantener
accesos adecuados a los sistemas, así como el control y la disponibilidad
de los mismos, deben ser incluidas en las funciones operativas del Banco.
Todas las comunicaciones e intercambios de información, tanto dentro de
las instalaciones y sistemas del Banco como externas a ella, deben ser
aseguradas, de acuerdo al valor de la información protegida.
6.7.1 Procedimientos y Responsabilidades Operacionales
6.7.1.1 Procedimientos operativos documentados
Todos los procedimientos de operación de los sistemas deben ser
documentados y los cambios realizados a dichos procedimientos deben
ser autorizados por la gerencia respectiva.
Todos los procedimientos de encendido y apagado de los equipos deben
ser documentados; dichos procedimientos deben incluir el detalle de
personal clave a ser contactado en caso de fallas no contempladas en el
procedimiento regular documentado.
Todas las tareas programadas en los sistemas para su realización
periódica, deben ser documentadas. Este documento debe incluir tiempo
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
de inicio, tiempo de duración de la tarea, procedimientos en caso de
falla, entre otros.
Los procedimientos para resolución de errores deben ser documentados,
entre ellos se debe incluir:
− Errores en la ejecución de procesos por lotes
− Fallas o apagado de los sistemas
− Códigos de error en la ejecución de procesos por lotes
− Información de los contactos que podrían colaborar con la resolución
de errores.
6.7.1.2 Administración de operaciones realizadas por terceros
Todos los procesos de operación realizados por terceros deben ser
sujetos a una evaluación de riesgos de seguridad y se debe desarrollar
procedimientos para administrar estos riesgos.
- Asignación de responsables para la supervisión de dichas
actividades
- Determinar si se procesará información crítica.
- Determinar los controles de seguridad a implementar
- Evaluar el cumplimiento de los estándares de seguridad del Banco.
- Evaluar la implicancia de dichas tareas en los planes de contingencia
del negocio
- Procedimientos de respuesta ante incidentes de seguridad
- Evaluar el cumplimiento de los estándares del Banco referentes a
contratos con terceros.
6.7.1.3 Control de cambios operacionales
Todos los cambios realizados en los sistemas del Banco, a excepción de
los cambios de emergencia, deben seguir los procedimientos de
cambios establecidos.
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
Solo el personal encargado de la administración de la seguridad puede
realizar o aprobar un cambio de emergencia. Dicho cambio debe ser
documentado y aprobado en un periodo máximo de 24 horas luego de
haberse producido el cambio.
Los roles del personal involucrado en la ejecución de los cambios en los
sistemas deben encontrarse debidamente especificados.
Los cambios deben ser aprobados por la gerencia del área usuaria, el
personal encargado de la administración de la seguridad de la
información y el encargado del área de sistemas. Todos los
requerimientos de cambios deben ser debidamente documentados,
siguiendo los procedimientos para cambios existentes en el Banco.
Antes de la realización de cualquier cambio a los sistemas se debe
generar copias de respaldo de dichos sistemas.
6.7.1.4 Administración de incidentes de seguridad
Luego de reportado el incidente de seguridad, éste debe ser investigado
por el área de seguridad informática. Se debe identificar la severidad del
incidente para la toma de medidas correctivas.
El personal encargado de la administración de la seguridad debe realizar
la investigación de los incidentes de forma rápida y confidencial.
Se debe mantener una documentación de todos los incidentes de
seguridad ocurridos en el Banco.
Se debe mantener intacta la evidencia que prueba la ocurrencia de una
violación de seguridad producida tanto por entes internos o externos,
para su posterior utilización en procesos legales en caso de ser
necesario.
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
6.7.1.5 Separación de funciones de operaciones y desarrollo
El ambiente de prueba debe de mantenerse siempre separado del
ambiente de producción, debiendo existir controles de acceso
adecuados para cada uno de ellos.
El ambiente de producción es aquel en el cual residen los programas
ejecutables de producción y los datos necesarios para el funcionamiento
de los mismos. Solo el personal autorizado a efectuar los cambios en los
sistemas debe contar con privilegios de escritura en los mismos.
Los programas compiladores no deben ser instalados en los sistemas en
producción, todo el código debe ser compilado antes de ser transferido
al ambiente de producción.
Las pruebas deben de realizarse utilizando datos de prueba. Sin
embargo, copias de datos de producción pueden ser usadas para las
pruebas, siempre y cuando los datos sean autorizados por el propietario
y manejados de manera confidencial.
El personal de desarrollo puede tener acceso de solo lectura a los datos
de producción. La actualización de los permisos de acceso a los datos
de producción debe de ser autorizada por el propietario de información y
otorgada por un periodo limitado.
Se deben utilizar estándares de nombres para distinguir el conjunto de
nombres de las tareas y de los datos, del modelo y de los ambientes de
producción.
Un procedimiento de control de cambio debe de asegurar que todos los
cambios del modelo y ambientes de producción hayan sido revisados y
aprobados por el (los) gerente(s) apropiados.
6.7.2 Protección contra virus
El área de seguridad informática debe realizar esfuerzos para determinar
el origen de la infección por virus informático, para evitar la reinfección de
los equipos del Banco.
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
La posesión de virus o cualquier programa malicioso está prohibida a
todos los usuarios. Se tomarán medidas disciplinarias en caso se
encuentren dichos programas en computadoras personales de usuarios.
Todos los archivos adjuntos recibidos a través del correo electrónico
desde Internet deben ser revisados por un antivirus antes de ejecutarlos.
Asimismo está prohibido el uso de diskettes y discos compactos
provenientes de otra fuente que no sea la del mismo BANCO ABC, a
excepción de los provenientes de las interfaces con organismos
reguladores, proveedores y clientes, los cuales necesariamente deben
pasar por un proceso de verificación y control en el área de Sistemas
(Help Desk), antes de ser leídos.
El programa antivirus debe encontrarse habilitado en todos las
computadoras del Banco y debe ser actualizado periódicamente. En caso
de detectar fallas en el funcionamiento de dichos programas éstas deben
ser comunicadas al área de soporte técnico. El programa antivirus debe
ser configurado para realizar revisiones periódicas para la detección de
virus en los medios de almacenamiento de las computadoras del Banco.
Debe contarse con un procedimiento para la actualización periódica de los
programas antivirus y el monitoreo de los virus detectados.
Es obligación del personal del Banco, emplear sólo los programas cuyas
licencias han sido obtenidas por el Banco y forman parte de su plataforma
estándar. Asimismo, se debe evitar compartir directorios o archivos con
otros usuarios; en caso de ser absolutamente necesario, coordinar con la
Gerencia respectiva y habilitar el acceso sólo a nivel de lectura,
informando al Departamento de Producción y Soporte Técnico.
Todo el personal del Banco debe utilizar los protectores de pantalla y/o
papel tapiz autorizados por la Institución; el estándar es:
Papel Tapiz: BANCO ABC
Protector de Pantalla: BANCO ABC.
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
6.7.3 Copias de respaldo
Los Custodios de información deben definir un cronograma para la
retención y rotación de las copias de respaldo, basado en los
requerimientos establecidos por los Propietarios de información,
incluyendo el almacenamiento en uno o más ubicaciones distintos a las
del centro de cómputo. Los Custodios de información son también
responsables de asegurar que se generen copias de respaldo del
software de los servidores del Banco, y que las políticas de manipulación
de información se ejercen para las copias de respaldo trasladadas o
almacenadas fuera de los locales del Banco. Debe formalmente definirse
procedimientos para la creación y recuperación de copias de respaldo.
Trimestralmente deben efectuarse pruebas para probar la capacidad de
restaurar información en caso sea necesario. Estas pruebas deben
efectuarse en un ambiente distinto al ambiente de producción.
Los usuarios deben generar copias de respaldo de información crítica
transfiriendo o duplicando archivos a la carpeta personal establecida para
dicho fin por la Gerencia de Sistemas, la cual se encuentra ubicada en
uno de los servidores del Banco. Deben generarse copias de respaldo de
estos servidores según un cronograma definido por los Custodios de
información.
Las cintas con copias de respaldo deben ser enviadas a un local remoto
periódicamente, basándose en un cronograma determinado por la
gerencia del Banco.
Los mensajes electrónicos, así como cualquier información considerada
importante, deben ser guardados en copias de respaldo y retenidos por
dispositivos automáticos.
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
6.8 CONTROL DE ACCESO DE DATOS
La información manejada por los sistemas de información y las redes
asociadas debe estar adecuadamente protegida contra modificaciones no
autorizadas, divulgación o destrucción. El uso inteligente de controles de
acceso previene errores o negligencias del personal, así como reduce la
posibilidad del acceso no autorizado.
6.8.1 Identificación de Usuarios
Cada usuario de un sistema automatizado debe de ser identificado de
manera única, y el acceso del usuario así como su actividad en los
sistemas debe de ser controlado, monitoreado y revisado.
Cada usuario de un sistema debe tener un código de identificación que no
sea compartido con otro usuario. Para lograr el acceso a los sistemas
automatizados, se requiere que el usuario provea una clave que solo sea
conocida por él.
Debe establecerse un procedimiento para asegurar que el código de
identificación de un usuario sea retirado de todos los sistemas cuando un
empleado es despedido o transferido.
Los terminales y computadoras personales deben bloquearse luego de
quince (15) minutos de inactividad. El usuario tendrá que autenticarse
antes de reanudar su actividad.
El usuario debe ser instruido en el uso correcto de las características de
seguridad del terminal y funciones de todas las plataformas, estaciones de
trabajo, terminales, computadoras personales, etc., y debe cerrar la
sesión o bloquear la estación de trabajo cuando se encuentre
desatendida.
Todos los consultores, contratistas, proveedores y personal temporal
deben tener los derechos de acceso cuidadosamente controlados. El
acceso solo debe ser válido hasta el final del trimestre o incluso antes,
dependiendo de la terminación del contrato.
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
Todos los sistemas deben proveer pistas de auditoria del ingreso a los
sistemas y violaciones de los mismos. A partir de estos datos, los
custodios de los sistemas deben elaborar reportes periódicos los cuales
deben ser revisados por el área de seguridad informática. Estos reportes
también deben incluir la identidad del usuario, y la fecha y hora del
evento. Si es apropiado, las violaciones deben ser reportadas al gerente
del individuo. Violaciones repetitivas o significantes o atentados de
accesos deben ser reportados al gerente a cargo de la persona y al área
de seguridad de la información.
6.8.2 Seguridad de contraseñas
6.8.2.1 Estructura
Todas las contraseñas deben tener una longitud mínima de ocho (8)
caracteres y no deben contener espacios en blanco.
Las contraseñas deben ser difíciles de adivinar. Palabras de diccionario,
identificadores de usuario y secuencias comunes de caracteres, como
por ejemplo “12345678” o “QWERTY”, no deben ser empleadas. Así
mismo, detalles personales como los nombres de familiares, número de
documento de identidad, número de teléfono o fechas de cumpleaños no
deben ser usadas salvo acompañados con otros caracteres adicionales
que no tengan relación directa. Las contraseñas deben incluir al menos
un carácter no alfanumérico. Las contraseñas deben contener al menos
un carácter alfabético en mayúscula y uno en minúscula.
6.8.2.2 Vigencia
Todas las contraseñas deben expirar dentro de un periodo que no
exceda los noventa (90) días. Cada gerente debe determinar un máximo
periodo de vigencia de las contraseñas, el cual es recomendable no sea
menos de (30) días.
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
6.8.2.3 Reutilización de contraseñas
No debe permitirse la reutilización de ninguna de las 5 últimas
contraseñas. Esto asegura que los usuarios no utilicen las mismas
contraseñas en intervalos regulares. Los usuarios no deben poder
cambiar sus contraseñas más de una vez al día.
A los usuarios con privilegios administrativos, no se les debe permitir la
reutilización de las últimas 13 contraseñas.
6.8.2.4 Intentos fallidos de ingreso
Todos los sistemas deben estar configurados para deshabilitar los
identificadores de los usuarios en caso de ocurrir (3) intentos fallidos de
autenticación.
En los casos que los sistemas utilizados no soporten controles para las
características establecidas para la estructura, vigencia, reutilización e
intentos fallidos de ingreso, se debe documentar la excepción a la
política, detallando la viabilidad de modificar la aplicación para soportar
las características establecidas para las contraseñas.
6.8.2.5 Seguridad de contraseñas
Es importante que todos los empleados protejan sus contraseñas,
debiéndose seguir las siguientes regulaciones:
- Bajo ninguna circunstancia, se debe escribir las contraseñas en
papel, o almacenarlas en medios digitales no encriptados.
- Las contraseñas no deben ser divulgadas a ningún otro usuario salvo
bajo el pedido de un gerente, con autorización del área de seguridad
informática y auditoria interna. Si se divulga la contraseña, esta debe
ser cambiada durante el próximo ingreso.
- El usuario autorizado es responsable de todas las acciones
realizadas por alguna persona a quién se le ha comunicado la
contraseña o identificador de usuario.
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
- Los sistemas no deben mostrar la contraseña en pantalla o en
impresiones, para prevenir que éstas sean observadas o
recuperadas.
- Las contraseñas deben estar siempre encriptadas cuando se
encuentren almacenadas o cuando sean transmitidas a través de
redes.
- El control de acceso a archivos, bases de datos, computadoras y
otros sistemas de recursos mediante contraseñas compartidas está
prohibido.
6.8.3 Control de transacciones
Los empleados deben tener acceso únicamente al conjunto de
transacciones en línea requeridas para ejecutar sus tareas asignadas.
Este conjunto de transacciones debe estar claramente definido para
prevenir alguna ocurrencia de fraude y malversación.
El conjunto de transacciones debe ser definido durante el proceso de
desarrollo de sistemas, revisado periódicamente y mantenido por la
gerencia Propietaria.
El acceso para la ejecución de transacciones sensibles debe ser
controlado mediante una adecuada segregación de tareas. Por ejemplo,
los usuarios que tengan permiso para registrar instrucciones de pago no
deben poder verificar o aprobar su propio trabajo.
Toda operación realizada en los sistemas que afecten información
sensible como saldos operativos contables, deben contar con controles
duales de aprobación, dichos controles de aprobación deben ser
asignados con una adecuada segregación de funciones.
Reportes de auditoria de transacciones sensibles o de alto valor deben
ser revisadas por la gerencia usuaria responsable en intervalos regulares
apropiados. Los reportes deben incluir la identidad del usuario, la fecha y
la hora del evento.
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
6.8.4 Control de producción y prueba
El ambiente de prueba debe mantenerse siempre separado del ambiente
de producción, se deben implementar controles de acceso adecuados en
ambos ambientes.
Las pruebas deben realizarse utilizando datos de prueba. Sin embargo,
copias de datos de producción pueden ser usadas para las pruebas,
siempre y cuando los datos sean autorizados por el Propietario y
manejados de manera confidencial.
El personal de desarrollo puede tener acceso de sólo lectura a los datos
de producción. La actualización de los permisos de acceso a los datos de
producción debe ser autorizada por el propietario y otorgada por un
periodo limitado.
Estándares de nombres deben ser utilizados para distinguir los datos y
programas de desarrollo y producción.
Un procedimiento de control de cambios debe asegurar que todos los
cambios del modelo y ambientes de producción hayan sido revisados y
aprobados por el (los) gerente(s) apropiados, y el personal encargado de
la administración de la seguridad de la información.
Los programas de producción, sistemas operativos y librerías de
documentación deben ser considerados datos confidenciales y ser
protegidos.
Debe realizarse una adecuada segregación de tareas dentro del área de
procesamiento de datos o sistemas. Las tareas del personal de soporte
de aplicación, soporte técnico, y operadores del centro de datos deben
estar claramente definidas y sus permisos de acceso a los datos deben
basarse en los requerimientos específicos de su trabajo.
6.8.5 Controles de acceso de programas
Los controles de acceso de programas deben asegurar que los usuarios
no puedan acceder a la información sin autorización.
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
Los programas deben poder generar una pista de auditoria de todos los
accesos y violaciones.
Las violaciones de los controles de acceso deben ser registradas y
revisadas por el propietario o por el personal del área de sistemas
custodio de los datos. Las violaciones de seguridad deben ser reportadas
al gerente del empleado y al área responsable de la administración de la
seguridad de la información.
Se debe tener cuidado particular en todos los ambientes para asegurar
que ninguna persona tenga control absoluto. Los operadores de sistemas,
por ejemplo, no deben tener acceso ilimitado a los identificadores de
superusuario. Dichos identificadores de usuario, son solo necesarios
durante una emergencia y deben ser cuidadosamente controlados por la
gerencia usuaria, quien debe realizar un monitoreo periódico de su
utilización.
6.8.6 Administración de acceso de usuarios
La asignación de identificadores de usuario especiales o privilegiados
(como cuentas administrativas y supervisores) debe ser revisada cada 3
meses.
Los propietarios de la información son responsables de revisar los
privilegios de los sistemas periódicamente y de retirar todos aquellos que
ya no sean requeridos por los usuarios. Es recomendable realizar
revisiones trimestralmente debido al continuo cambio de los ambientes de
trabajo y la importancia de los datos.
Es responsabilidad del propietario de la información y de los
administradores de sistemas ver que los privilegios de acceso estén
alineados con las necesidades del negocio, sean asignados basándose
en requerimientos y que se comunique la lista correcta de accesos al área
de sistemas de información.
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
En las situaciones donde los usuarios con accesos a información
altamente sensible sean despedidos, los supervisores deben coordinar
directamente con el área de seguridad informática para eliminar el acceso
de ese usuario.
Se debe buscar el desarrollo de soluciones técnicas para evitar el uso de
accesos privilegiados innecesarios.
Luego del despido o renuncia de algún empleado, es responsabilidad del
jefe del empleado revisar cualquier archivo físico o digital elaborado o
modificado por el usuario. El gerente debe también asignar la propiedad
de dicha información a la persona relevante así como determinar la
destrucción de los archivos innecesarios.
Todos los usuarios que tienen acceso a las cuentas privilegiadas deben
tener sus propias cuentas personales para uso del negocio. Por ende, los
administradores de sistemas y empleados con acceso a cuentas
privilegiadas deben usar sus cuentas personales para realizar actividades
de tipo no privilegiadas.
Cuentas de usuario que no son utilizadas por noventa (90) días deben ser
automáticamente deshabilitadas. Las cuentas que no han sido utilizadas
por un periodo largo demuestran que el acceso de información de ese
sistema no es necesario. Los custodios de la información deben informar
al propietario de la información la existencia de las cuentas inactivas.
Todos los accesos a los sistemas de información deben estar controlados
mediante un método de autenticación incluyendo una combinación
mínima de identificador de usuario/contraseña. Dicha combinación debe
proveer la verificación de la identidad del usuario.
Para los usuarios con tareas similares, se debe utilizar grupos o controles
de acceso relacionados a roles para asignar permisos y accesos a las
cuentas del individuo.
Todos los usuarios de los sistemas de información deben de tener un
identificador de usuario único que sea válido durante el período laboral del
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
usuario. Los identificadores de usuarios no deben de ser utilizados por
otros individuos incluso luego de que el usuario original haya renunciado o
haya sido despedido.
Los sistemas no deben permitir que los usuarios puedan tener sesiones
múltiples para un mismo sistema, salvo bajo autorización específica del
propietario de la información.
6.8.7 Responsabilidades del usuario
Todo equipo de cómputo, alquilado o de propiedad del Banco, así como
los servicios compartidos facturados a cada unidad de negocio serán
usados solo para actividades relacionadas al negocio del Banco.
Los sistemas del Banco no pueden ser usados para desarrollar software
para negocios personales o externos al Banco.
Los equipos no deben ser usados para preparar documentos para uso
externo, salvo bajo la aprobación escrita del gerente del área usuaria.
Se debe implementar protectores de pantallas en todas las computadoras
personales y servidores, activándose luego de cinco (5) minutos de
inactividad.
Toda la actividad realizada utilizando un identificador de usuario
determinado, es de responsabilidad del empleado a quién le fue asignado.
Por consiguiente, los usuarios no deben compartir la información de su
identificador con otros o permitir que otros empleados utilicen su
identificador de usuario para realizar cualquier acción. También, los
usuarios están prohibidos de realizar cualquier acción utilizando un
identificador que no sea el propio.
6.8.8 Seguridad de computadoras
Se debe mantener un inventario actualizado de todo el software y
hardware existente en el Banco, la responsabilidad del mantenimiento del
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
inventario es del jefe de producción de la gerencia de sistemas. Todo
traslado o asignación de equipos debe ser requerida por el gerente del
área usuaria, es de responsabilidad del jefe de producción de la gerencia
de sistemas, la verificación y realización del requerimiento.
Es de responsabilidad del usuario, efectuar un correcto uso del equipo de
cómputo que le fue asignado, así como de los programas en él instalados;
cualquier cambio y/o traslado deberá ser solicitado con anticipación por su
respectiva Gerencia. Asimismo el usuario debe verificar que cualquier
cambio y/o traslado del Equipo de Cómputo que le fue asignado, se
realice por personal de Soporte Técnico, así como también la instalación o
retiro de software.
Cualquier microcomputador, computadora personal o portátil / notebook
perteneciente al Banco debe ser únicamente utilizada para propósitos de
negocios. Estas computadoras pueden ser utilizadas de las siguientes
maneras:
- Como un terminal comunicándose con otra computadora
- Como una computadora aislada que realice su propio procesamiento
sin comunicación con ninguna otra computadora
Medidas apropiadas de seguridad de computadoras personales, como los
programas de seguridad de computadoras personales o los candados
físicos, deben ser utilizados en relación con los datos y aplicaciones en
ejecución.
Sin importar su uso, las medidas de seguridad deben ser implementadas
en todas las microcomputadoras y computadoras personales:
- Una vez habilitada la computadora, ésta no debe dejarse desatendida,
incluso por un periodo corto.
- Todo los disquetes, cintas, CD´s y otros dispositivos de
almacenamiento de información incluyendo información impresa, que
contengan datos sensibles deben ser guardados en un ambiente
seguro cuando no sean utilizados.
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
- El acceso a los datos almacenados en un microcomputador debe ser
limitado a los usuarios apropiados.
Los discos duros no deben contener datos sensibles salvo en las
computadoras cuyo acceso físico sea restringido o que tengan instalados
un programa de seguridad y que los accesos a la computadora y a sus
archivos sean controlados adecuadamente.
Los disquetes no deben ser expuestos a temperaturas altas o a
elementos altamente magnéticos.
Deben generarse copias de respaldo de documentos y datos de manera
periódica, asimismo, deben desarrollarse procedimientos para su
adecuada restauración en el caso de pérdida.
Todos los programas instalados en las computadoras deben ser legales,
aprobados y periódicamente inventariados.
Solo los programas adquiridos o aprobados por el Banco, serán
instalados en las computadoras del Banco.
El uso de programas de juegos, de distribución gratuita (freeware o
shareware) o de propiedad personal está prohibido, salvo que éste sea
aprobado por la gerencia y se haya revisado la ausencia de virus en el
mismo.
6.8.9 Control de acceso a redes
6.8.9.1 Conexiones con redes externas
Los sistemas de red son vulnerables y presentan riesgos inherentes a su
naturaleza y complejidad. Los accesos remotos (dial-in) y conexiones
con redes externas, exponen a los sistemas del Banco a niveles
mayores de riesgo. Asegurando que todos los enlaces de una red
cuenten con adecuados niveles de seguridad, se logra que los activos
más valiosos de las unidades de negocio estén protegidos de un ataque
directo o indirecto.
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
Todas las conexiones realizadas entre la red interna del Banco e
Internet, deben ser controladas por un firewall para prevenir accesos no
autorizados. El área de seguridad de información debe aprobar todas las
conexiones con redes o dispositivos externos.
El acceso desde Internet hacia la red interna del Banco no debe ser
permitido sin un dispositivo de fuerte autenticación o certificado basado
en utilización de contraseñas dinámicas.
El esquema de direccionamiento interno de la red no debe ser visible
desde redes o equipos externos. Esto evita que “hackers” u otras
personas pueden obtener fácilmente información sobre la estructura de
red del Banco y computadoras internas.
Para eliminar las vulnerabilidades inherentes al protocolo TCP/IP,
ruteadores y firewalls deben rechazar conexiones externas que
parecieran originarias de direcciones internas (ip spoofing).
6.8.9.2 Estándares generales
Los accesos a los recursos de información deben solicitar como mínimo
uno de los tres factores de autenticación:
- Factor de conocimiento: algo que solo el usuario conoce. Por
ejemplo: contraseña o PIN.
- Factor de posesión: algo que solo el usuario posee. Por ejemplo:
smartcard o token.
- Factor biométrico: algo propio de las características biológicas del
usuario. Por ejemplo: lectores de retina o identificadores de voz.
La posibilidad de efectuar encaminamiento y re-direccionamiento de
paquetes, debe ser configurada estrictamente en los equipos que
necesiten realizar dicha función.
Todos los componentes de la red deben mostrar el siguiente mensaje
de alerta en el acceso inicial.
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
“Aviso de alerta: Estos sistemas son de uso exclusivo del personal y
agentes autorizados del Banco. El uso no autorizado está prohibido y
sujeto a penalidades legales”.
Todos los componentes de la red de datos deben ser identificados de
manera única y su uso restringido. Esto incluye la protección física de
todos los puntos vulnerables de una red.
Las estaciones de trabajo y computadoras personales deben ser
bloqueadas mediante la facilidad del sistema operativo, mientras se
encuentren desatendidas.
Todos los dispositivos de red, así como el cableado deben ser ubicado
de manera segura.
Cualquier unidad de control, concentrador, multiplexor o procesador de
comunicación ubicado fuera de una área con seguridad física, debe
estar protegido de un acceso no autorizado.
6.8.9.3 Política del uso de servicio de redes
Todas las conexiones de red internas y externas deben cumplir con las
políticas del Banco sobre servicios de red y control de acceso. Es
responsabilidad del área de sistemas de información y seguridad de
información determinar lo siguiente:
- Elementos de la red que pueden ser accedidos
- El procedimiento de autorización para la obtención de acceso
- Controles para la protección de la red.
Todos los servicios habilitados en los sistemas deben contar con una
justificación coherente con las necesidades del negocio. Los riesgos
asociados a los servicios de red deben determinarse y ser resueltos
antes de la implementación del servicio. Algunos servicios estrictamente
prohibidos incluyen TFTP e IRC/Chat.
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
6.8.9.4 Segmentación de redes
La arquitectura de red del Banco debe considerar la separación de redes
que requieran distintos niveles de seguridad. Esta separación debe
realizarse de acuerdo a la clase de información albergada en los
sistemas que constituyen dichas redes. Esto debe incluir equipos de
acceso público.
6.8.9.5 Análisis de riesgo de red
Cualquier nodo de la red de datos, debe asumir el nivel de sensibilidad
de la información o actividad de procesamiento de datos más sensible al
que tenga acceso. Se deben implementar controles que compensen los
riesgos más altos.
6.8.9.6 Acceso remoto(dial-in)
Los usuarios que ingresen a los sistemas del Banco mediante acceso
remoto (dial-in) deben ser identificados antes de obtener acceso a los
sistemas. Por lo tanto, dicho acceso debe ser controlado por un equipo
que permita la autenticación de los usuarios al conectarse a la red de
datos.
Técnicas y productos apropiadas para el control de los accesos remotos
(dial-in) incluyen:
- Técnicas de identificación de usuarios: Técnicas que permitan
identificar de manera unívoca al usuario que inicia la conexión, es
recomendable que la técnica elegida utilice por lo menos 2 de los
factores de autenticación definidos anteriormente. Ejemplo: tokens
(dispositivos generadores de contraseñas dinámicas).
- Técnicas de identificación de terminales: Técnicas que permiten
identificar unívocamente al terminal remoto que realiza la conexión.
Ejemplo: callback (técnica que permite asegurar que el número
telefónico fuente de la conexión sea autorizado)
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
6.8.9.7 Encripción de los datos
Los algoritmos de encripción DES, 3DES y RSA son técnicas de
encripción aceptables para las necesidades de los negocios de hoy.
Estas pueden ser empleadas para satisfacer los requerimientos de
encripción de datos del Banco.
Las contraseñas, los códigos o números de identificación personal y los
identificadores de terminales de acceso remoto deben encontrarse
encriptados durante la transmisión y en su medio de almacenamiento. La
encripción de datos ofrece protección ante accesos no autorizados a la
misma; debe ser utilizada si luego de una evaluación de riesgo se
concluye que es necesaria.
6.8.10 Control de acceso al sistema operativo
6.8.10.1 Estándares generales
Los usuarios que posean privilegios de superusuario, deben utilizar el
mismo identificador con el que se autentican normalmente en los
sistemas. Los administradores deben otorgarle los privilegios especiales
a los identificadores de los usuarios que lo necesiten.
Todos los usuarios deben poseer un único identificador. El uso de
identificadores de usuario compartidos debe estar sujeto a autorización.
Cada cuenta de usuario debe poseer una contraseña asociada, la cual
solo debe ser conocida por el dueño del identificador de usuario.
Seguridad adicional puede ser añadida al proceso, como identificadores
biométricos o generadores de contraseñas dinámicas.
6.8.10.2 Limitaciones de horario
Las aplicaciones críticas deben estar sujetas a periodos de acceso
restringidos, el acceso a los sistemas en un horario distinto debe ser
deshabilitado o suspendido.
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
6.8.10.3 Administración de contraseñas
Los administradores de seguridad deben realizar pruebas mensuales
sobre la calidad de las contraseñas que son empleadas por los usuarios,
esta actividad puede involucrar el uso de herramientas para obtención
de contraseñas.
Todas las bases de datos o aplicaciones que almacenen contraseñas
deben ser aseguradas, de tal manera, que solo los administradores de
los sistemas tengan acceso a ellas.
6.8.10.4 Inactividad del sistema
Las sesiones en los sistemas que no se encuentren activas por mas de
30 minutos deben ser concluidas de manera automática.
Las computadoras personales, laptops y servidores, deben ser
configurados con un protector de pantalla con contraseña, cuando sea
aplicable. El periodo de inactividad para la activación del protector de
pantalla debe ser de 5 minutos.
Los sistemas deben forzar la reautenticación de los usuarios luego de 2
horas de inactividad.
6.8.10.5 Estándares de autenticación en los sistemas
Los sistemas, durante el proceso de autenticación, deben mostrar avisos
preventivos sobre los accesos no autorizados a los sistemas.
Los identificadores de los usuarios deben ser bloqueados luego de 3
intentos fallidos de autenticación en los sistemas, el desbloqueo de la
cuenta debe ser realizado manualmente por el administrador del
sistema.
Los sistemas deben ser configurados para no mostrar ninguna
información que pueda facilitar el acceso a los mismos, luego de intentos
fallidos de autenticación.
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
6.8.11 Control de acceso de aplicación
6.8.11.1 Restricciones de acceso a información
Para la generación de cuentas de usuario en los sistemas así como para
la asignación de perfiles, el gerente del área usuaria es el responsable
de presentar la ‘Solicitud de Usuarios y/o Perfiles de Acceso a los
Sistemas de Cómputo’, al área de Seguridad Informática, quien generará
los Usuarios y Contraseñas correspondientes, para luego remitirlas al
Departamento de Recursos Humanos, para que éste a su vez los
entregue al Usuario Final, con la confidencialidad requerida.
Se debe otorgar a los usuarios acceso solamente a la información
mínima necesaria para la realización de sus labores.
Esta tarea puede ser realizada utilizando una combinación de:
- Seguridad lógica de la aplicación.
- Ocultar opciones no autorizadas en los sistemas
- Restringir el acceso a línea de comando
- Limitar los permisos a los archivos de los sistemas (solo lectura)
- Controles sobre la información de salida de los sistemas (reportes,
consultas en línea, etc.)
6.8.11.2 Aislamiento de sistemas críticos
Basados en el tipo de información, las redes pueden requerir separación.
Los sistemas que procesan información muy crítica deben ser aislados
físicamente de sistemas que procesan información menos crítica.
6.8.12 Monitoreo del acceso y uso de los sistemas
6.8.12.1 Sincronización del reloj
Los relojes de todos los sistemas deben ser sincronizados para asegurar
la consistencia de todos los registros de auditoria. Debe desarrollarse un
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
procedimiento para el ajuste de cualquier desvío en la sincronización de
los sistemas.
6.8.12.2 Responsabilidades generales
Los administradores de los sistemas deben realizar monitoreo periódico
de los sistemas como parte de su rutina diaria de trabajo, este monitoreo
no debe estar limitado solamente a la utilización y performance del
sistema sino debe incluir el monitoreo del acceso de los usuarios a los
sistemas.
6.8.12.3 Registro de eventos del sistema
La actividad de los usuarios vinculada al acceso a información
clasificada como “confidencial” o “restringida” debe ser registrada para
su posterior inspección. El propietario de la información debe revisar
dicho registro mensualmente.
Todos los eventos de seguridad relevantes de una computadora que
alberga información confidencial, deben ser registrados en un log de
eventos de seguridad. Esto incluye errores en autenticación,
modificaciones de datos, utilización de cuentas privilegiadas, cambios en
la configuración de acceso a archivos, modificación a los programas o
sistema operativo instalados, cambios en los privilegios o permisos de
los usuarios o el uso de cualquier función privilegiada del sistema.
Los “logs” (bitácoras) de seguridad deben ser almacenados por un
periodo mínimo de 3 meses. Acceso a dichos logs debe ser permitido
solo a personal autorizado. En la medida de lo posible, los logs deben
ser almacenados en medios de “solo lectura”.
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
6.8.13 Computación móvil y teletrabajo
6.8.13.1 Responsabilidades generales
Los usuarios que realizan trabajo en casa con información del Banco,
pueden tener el concepto errado de que la seguridad de información solo
es aplicable en el trabajo en oficina, sin tomar en cuenta que algunas
amenazas de seguridad son comunes en ambos entornos de trabajo y
que incluso existen algunas nuevas amenazas en el trabajo en casa. El
personal que realiza trabajo en casa debe tener en cuenta las amenazas
de seguridad que existen en dicho entorno laboral y tomar las medidas
apropiadas para mantener la seguridad de información.
La utilización de programas para el control remoto de equipos como PC-
Anywhere está prohibida a menos que se cuente con el consentimiento
formal del administrador de seguridad. La utilización inapropiada de este
tipo de programas puede facilitar el acceso de un intruso a los sistemas
de información del Banco.
6.8.13.2 Acceso remoto
Medidas de seguridad adicionales deben ser implementadas para
proteger la información almacenada en dispositivos móviles. Entre las
medidas a tomarse se deben incluir:
- Encripción de los datos
- Contraseñas de encendido
- Concientización de usuarios
- Protección de la data transmitida hacia y desde dispositivos móviles.
Ej. VPN, SSL o PGP.
- Medidas de autenticación adicionales para obtener acceso a la red de
datos. Ej. SecureID tokens.
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
Con el propósito de evitar los problemas relacionados a virus
informáticos y propiedad de los datos existentes en computadoras
externas, solamente equipos del Banco deben ser utilizados para ser
conectados a su red de datos. La única excepción a este punto es la
conexión hacia el servidor de correo electrónico para recepción y envío
del correo electrónico.
Todos los accesos dial-in/dial-out deben contar con autorización del área
de seguridad informática y deben contar con la autorización respectiva
que justifique su necesidad para el desenvolvimiento del negocio.
6.9 DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS
El diseño de la infraestructura del Banco, las aplicaciones de negocio y las
aplicaciones del usuario final deben soportar los requerimientos generales de
seguridad documentados en la política de seguridad del Banco. Estos
requerimientos deben ser incorporados en cada paso del ciclo de desarrollo de
los sistemas, incluyendo todas las fases de diseño, desarrollo, mantenimiento y
producción.
Los requerimientos de seguridad y control deben estar:
- determinados durante cualquier diseño de sistemas,
- desarrollados dentro de la arquitectura del sistema
- implementados en la instalación final del sistema.
Adicionalmente, todo los procesos de desarrollo y soporte a estos sistemas
deben seguir los requerimientos de seguridad incluidos en esta política de
seguridad.
6.9.1 Requerimientos de seguridad de sistemas
6.9.1.1 Control de cambios
El área responsable de la administración de cambios debe retener todos
los formularios de solicitud de cambio, planes de cambio de programa y
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
resultados de pruebas de acuerdo con los estándares de retención de
registros del Banco. Los gerentes técnicos de las áreas son
responsables de retener una copia de la documentación de solicitud de
cambio pertinente a su respectiva área.
Los procedimientos de prueba deben estar documentados en los
formularios de solicitud de cambio. Si se notara problemas durante el
proceso de prueba, el proveedor debe documentar el problema, realizar
las modificaciones apropiadas en el ambiente de desarrollo y entregarlo
para que se vuelva a probar.
6.9.1.2 Análisis y especificación de los requerimientos de
seguridad
Para todos los sistemas desarrollados por o para el Banco, se debe
determinar los requerimientos de seguridad antes de comenzar la fase
de desarrollo de la aplicación. Durante la fase de diseño del sistema, los
propietarios de la información, el área de sistemas y el área de
seguridad de la información deben determinar un control adecuado para
el ambiente de la aplicación. Estos requerimientos deben incluir, pero no
están limitadas a:
- Control de acceso
- Autorización
- Criticidad del sistema
- Clasificación de la información
- Niveles de disponibilidad requeridos
- Confidencialidad e integridad de la información
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
6.9.2 Seguridad en sistemas de aplicación
6.9.2.1 Desarrollo y prueba de aplicaciones
Los procedimientos de prueba deben estar adecuadamente
documentados en los formularios de solicitud de cambio. El gerente del
desarrollador debe efectuar una revisión independiente de los resultados
de la unidad de prueba. Como resultado, se debe evidenciar una
aprobación formal por parte del gerente del desarrollador en el formulario
de solicitud de cambio.
Durante la prueba de integración, restricciones de acceso lógico deben
asegurar que los desarrolladores no tengan accesos de actualización y
que el código siendo probado no sea modificado sin consentimiento del
usuario. Copias de los datos de producción o conjuntos prediseñados de
datos de prueba deben ser usados para propósitos de prueba.
Todas las modificaciones significativas, mejoras grandes y sistemas
nuevos deben ser probados por los usuarios del sistema antes de la
instalación del software en el ambiente de producción. El plan de
aceptación del usuario debe incluir pruebas de todas las funciones
principales, procesos y sistemas de interfaces. Los procedimientos de
prueba deben ser adecuadamente documentados en los formularios de
solicitud de cambio.
Durante las pruebas de aceptación, restricciones lógicas de acceso
deben asegurar que los desarrolladores no tengan acceso de
actualización y que el código fuente siendo probado no pueda ser
modificado sin consentimiento escrito por el usuario. Si se notara
problemas, el usuario debe documentar el problema, el desarrollador
debe realizar las modificaciones apropiadas en el ambiente de desarrollo
y lo entregará para volver a probarlo.
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
6.10 CUMPLIMIENTO NORMATIVO
Toda ley, norma, regulación o acuerdo contractual debe ser documentado y
revisado por el área legal del Banco. Requerimientos específicos para
controles y otras actividades relacionadas a estas regulaciones legales
deben ser delegados al área organizacional respectiva, la cual es
responsable por el cumplimiento de la norma en cuestión.
Los recursos informáticos del Banco deben ser empleados exclusivamente
para tareas vinculadas al negocio.
6.10.1 Registros
Deben desarrollarse estándares de retención, almacenamiento, manejo y
eliminación de registros que son requeridos por normas legales u otras
regulaciones. Debe definirse un cronograma de retención para estos
registros que debe incluir:
- Tipo de información
- Regulaciones o leyes aplicables
- Fuentes de este tipo de información
- Tiempos de retención requeridos
- Requerimientos de traslado y almacenamiento
- Procedimientos de eliminación
- Requerimientos de control específicos estipulados en la norma
relacionada
6.10.2 Revisión de la política de seguridad y cumplimiento técnico
Los gerentes y jefes deben asegurarse que las responsabilidades de
seguridad sean cumplidas y las funciones relacionadas se ejecuten
apropiadamente.
Es responsabilidad del personal encargado de la administración de la
seguridad y de auditoria interna verificar el cumplimiento de las políticas
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
de seguridad. Las excepciones deben ser reportadas a la gerencia
apropiada.
6.10.3 Propiedad de los programas
Cualquier programa escrito por algún empleado del Banco dentro del
alcance de su trabajo así como aquellos adquiridos por el Banco son de
propiedad del Banco.
Los contratos para desarrollo externo deben acordarse por escrito y
deben señalar claramente el propietario de los derechos del programa. En
la mayoría de circunstancias, el Banco debería ser propietaria de todos
los programas de cómputo desarrollados, debiendo pagar los costos de
desarrollo.
Cada programa elaborado por desarrolladores propios del Banco o por
desarrolladores externos contratados por el Banco, debe contener la
información de derecho de autor correspondiente. Generalmente, el aviso
debe aparecer en cuando el usuario inicie la aplicación. Un aviso legible
también debe estar anexado a las copias de los programas almacenados
en dispositivos como cartuchos, cassettes, discos o disquetes.
6.10.4 Copiado de software adquirido y alquilado
Los contratos con proveedores y paquetes propietarios de software deben
definir claramente los límites de su uso. Los empleados están prohibidos
de copiar o utilizar dicho software de manera contraria a la provisión del
contrato. Toda infracción de los derechos de autor del software constituye
robo.
Los productos adquiridos o alquilados para ejecutarse en una unidad de
procesamiento o en un sitio particular no deben ser copiados y ejecutados
en procesadores adicionales sin algún acuerdo por parte del proveedor.
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
Los programas no pueden ser copiados salvo dentro del límite acordado
con el proveedor (por ejemplo, copias de respaldo para protección). Los
empleados o contratistas que realicen copias adicionales para evitar el
costo de adquisición de otro paquete serán hechos responsables de sus
acciones.
6.11 CONSIDERACIONES DE AUDITORIA DE SISTEMAS
6.11.1 Protección de las herramientas de auditoria
Todas las herramientas, incluyendo programas, aplicaciones,
documentación y papeles de trabajo, requeridos para la auditoria de
sistemas deben protegerse de amenazas posibles como se indica en esta
política de seguridad.
6.11.2 Controles de auditoria de sistemas
Todas las actividades de auditoria deben ser revisadas para el
planeamiento y la ejecución correcta de la auditoria. Esto incluye, pero no
se limita a lo siguiente:
- minimizar cualquier interrupción de las operaciones del negocio
- acuerdo de todas las actividades y objetivos de auditoria con la
gerencia
- límite del alcance de la evaluación de un ambiente controlado,
asegurando que no se brinde accesos impropios para la realización de
las tareas de auditoria
- identificación de los recursos y habilidades necesarias para cualquier
tarea técnica
- registro de todas las actividades y desarrollo de la documentación de
las tareas realizadas, procedimientos de auditoria, hallazgos y
recomendaciones.
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
6.12 POLÍTICA DE COMERCIO ELECTRÓNICO
El propósito de esta política es presentar un esquema para el
comportamiento aceptable cuando se realizan actividades de comercio
electrónico (e-commerce). Los controles definidos, tienen el propósito de
proteger el comercio electrónico de numerosas amenazas de red que
puedan resultar en actividad fraudulenta y divulgación o modificación de la
información.
Esta política se aplica a todos los empleados del Banco involucrados con
comercio electrónico y a los socios de comercio electrónico del Banco. Los
socios de comercio electrónico del Banco incluyen las unidades de negocio
de la organización, los clientes, socios comerciales y otros terceros.
El Banco debe asegurar la claridad de toda la información documentada y
divulgar la información necesaria para asegurar el uso apropiado del
comercio electrónico. El Banco y los socios de comercio electrónico deben
de someterse a la legislación nacional sobre el uso de la información de
clientes y las estadísticas derivadas.
Los documentos y transacciones electrónicas usadas en el comercio
electrónico deben ser legalmente admisibles. Las unidades de negocio
afiliadas del Banco deben demostrar que sus sistemas de cómputo
funcionan adecuadamente para establecer la autenticación de los
documentos y transacciones legales. Los sistemas de información usados
deben estar de acuerdo con los estándares de seguridad corporativos
antes de estar disponibles en producción.
Los sistemas de comercio electrónico deben publicar sus términos de
negocios a los clientes. El uso de autoridades de certificación y archivos
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
confiables de terceros deben estar documentados, de acuerdo con la
política de seguridad de información del Banco.
Actividades de roles y responsabilidades entre el Banco y los socios de
comercio electrónico deben de establecerse, documentarse y ser
soportadas por un acuerdo documentado que comprometa a ambos al
acuerdo de los términos de transacciones.
6.12.1 Términos e información de comercio electrónico
6.12.1.1 Recolección de información y privacidad
El Banco debe utilizar niveles apropiados de seguridad según el tipo de
información recolectada, mantenida y transferida a terceros debiendo
asegurarse de:
- Aplicar estándares corporativos de encripción y autenticación para la
transferencia de información sensible.
- Aplicar controles corporativos técnicos de seguridad para proteger los
datos mantenidos por computadoras; y
- Considerar la necesidad de que los terceros involucrados en las
transacciones de clientes, también mantengan niveles apropiados de
seguridad.
El Banco debe adoptar prácticas de información que manejen
cuidadosamente la información personal de los clientes. Todos los
sistemas de comercio electrónico del Banco deben seguir una política de
privacidad basada en principios de información, deben tomar medidas
apropiadas para proveer seguridad adecuada y respetar las preferencias
de los clientes con respecto al envío de mensajes de correo electrónico
no solicitados.
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
6.12.1.2 Divulgación
El Banco debe proveer suficiente información sobre la propia transacción
en línea, para permitir que los clientes tomen una decisión informada
sobre si ejecutar las transacciones en línea.
Información divulgada debe incluir, pero no estar limitada a:
- Términos de transacción;
- Disponibilidad de producto e información de envío; y
- Precios y costos.
El Banco debe también brindar al cliente las opciones de:
- Revisión y aprobación de la transacción; y
- Recepción de una confirmación.
6.12.2 Transferencia electrónica de fondos
Transacciones de valor, sobre redes de telecomunicación, que resulten de
movimientos de fondos, deben estar protegidas con medidas que sean
proporcionales a la pérdida potencial debido a error o fraude. En sistemas
donde el valor promedio de transacción excede los $50,000 o en los
cuales transacciones sobre los $100,000 sean frecuentes, se debe
verificar el origen de la transacción así como el contenido de la misma de
acuerdo a los estándares definidos por el Banco.
Para todos los casos en que un mensaje de transferencia electrónica de
fondos sea enviado sobre un circuito por lo menos se debe verificar el
origen del mensaje mediante un método apropiado considerando el riesgo
involucrado.
Algunas circunstancias requieren de la verificación de la ubicación física
del terminal que origina la transacción, mientras que en otras una
adecuada técnica usada para identificar el usuario del terminal es
suficiente.
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
Los sistemas que utilicen soluciones de encripción o autenticación deben
usar los estándares de ANSI aceptados.
La encripción de la información transmitida es necesaria cuando el origen
y el destino se encuentran conectados por un enlace físico de
comunicación que pueda ser accedido por un tercero. Las soluciones de
punto a punto son preferibles para redes multi-nodos.
Los datos de identificación personal como PIN’s, PIC’s y contraseñas no
deben ser transmitidas o almacenadas sin protección en cualquier medio.
Los sistemas nuevos que involucren el movimiento de fondos o
transacciones de valor sobre redes de telecomunicaciones debe
incorporar estos controles en su diseño.
Cualquier cambio en los sistemas o redes existentes, deben respetar
dichos controles.
6.13 INFORMACIÓN ALMACENADA EN MEDIOS DIGITALES Y
FÍSICOS
Toda información almacenada en cualquier dispositivo o medio del Banco,
incluyendo disquetes, reportes, códigos fuentes de programas de
computadora, correo electrónico y datos confidenciales de los clientes, es
propiedad del Banco.
Las prácticas de seguridad de datos deben ser consistentes para ser
efectivas. Los datos sensibles deben ser protegidos, sin importar la forma
en que sean almacenados.
6.13.1 Etiquetado de la información
Toda información impresa o almacenada en medios físicos transportables
(cintas de backup, cd´s, etc.) que sean confidenciales o restringidas,
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
deben estar claramente etiquetadas como tal, con letras grandes que
sean legibles sin la necesidad de un lector especial.
Todo documento o contenedor de información debe ser etiquetado como
“Restringida”, “Confidencial”, de “Uso interno” o de Acceso “General”,
dependiendo de la clasificación asignada.
Todo documento en formato digital o impreso, debe presentar una
etiqueta en la parte superior e inferior de cada página, con la clasificación
correspondiente.
Todo documento clasificado como “Confidencial” o “Restringido” debe
contar con una carátula en la cual se muestre la clasificación de la
información que contiene.
6.13.2 Copiado de la información
Reportes confidenciales y restringidos no deben ser copiados sin la
autorización del propietario de la información.
Reportes confidenciales pueden ser copiados sólo para los individuos
autorizados a conocer su contenido. Los gerentes son los responsables
de determinar dicha necesidad, para cada persona a la cual le sea
distribuido dicho reporte.
Los reportes restringidos deben ser controlados por un solo custodio,
quién es responsable de registrar los individuos autorizados que soliciten
el documento.
El copiado de cualquier dato restringido o confidencial almacenado en un
medio magnético debe ser aprobado por el propietario y clasificado al
igual que el original.
6.13.3 Distribución de la información
La información confidencial y restringida debe ser controlada cuando es
trasmitida por correo electrónico interno, externo o por courier. Si el
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
servicio de courier o correo externo es usado, se debe solicitar una
confirmación de entrega al receptor.
Los reportes confidenciales y otros documentos sensibles deben usarse
en conjunto con sobres confidenciales y estos últimos también ser
sellados. Materiales restringidos de alta sensibilidad deben enviarse con
un sobre etiquetado ‘Solo a ser abierto por el destinatario’. La entrega
personal es requisito para la información extremadamente sensible.
Los datos sensibles de la empresa que sean transportados a otra
instalación deben ser transportados en contenedores apropiados.
Todo usuario, antes de transmitir información clasificada como
“Restringida” o “Confidencial”, debe asegurarse que el destinatario de la
información esté autorizado a recibir dicha información.
La transmisión de información clasificada como “Restringida” o
“Confidencial”, transmitida desde o hacia el Banco a través de redes
externas, debe realizarse utilizando un medio de transmisión seguro, es
recomendable el uso de técnicas de encripción para la información
transmitida.
6.13.4 Almacenamiento de la información
Los activos de información correspondiente a distintos niveles de
clasificación, deben ser almacenados en distintos contenedores.
La información etiquetada como “de uso interno” debe ser guardada de
manera que sea inaccesible a personas ajenas a la empresa. La
información “Confidencial o “Restringida” debe ser asegurada para que
esté sólo disponible a los individuos específicamente autorizados para
acceder a ella.
El ambiente donde se almacena la información clasificada como
“Restringida”, debe contar con adecuados controles de acceso y
asegurado cuando se encuentre sin vigilancia. El acceso debe ser
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
permitido solo al personal formalmente autorizado. Personal de limpieza
debe ingresar al ambiente acompañado por personal autorizado.
La información en formato digital clasificada como de acceso “General”,
puede ser almacenada en cualquier sistema del Banco. Sin embargo se
deben tomar las medidas necesarias para no mezclar información
“General” con información correspondiente a otra clasificación.
Información en Formato digital, clasificada como “Restringida”, debe ser
encriptada con un método aprobado por el área de seguridad informática,
cuando es almacenada en cualquier medio (disco duro, disquetes, cintas,
CD´s, etc.).
Los medios de almacenamiento, incluyendo discos duros de
computadoras, que albergan información clasificada como “Restringida”,
deben ser ubicados en ambientes cerrados diseñados para el
almacenamiento de dicho tipo de información.
Cuando información clasificada como “de uso Interno”, Confidencial o
Restringida se guarde fuera del Banco, debe ser almacenada en
instalaciones que cuenten con adecuados controles de acceso.
El envío y recepción de medios magnéticos para ser almacenados en
instalaciones alternas debe ser autorizado por el personal responsable de
los mismos y registrado en bitácoras apropiadas.
6.13.5 Eliminación de la información
La eliminación de documentos y otras formas de información deben
asegurar la confidencialidad de la información de las unidades de
negocio.
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
Se debe borrar los datos de los medios magnéticos, como cassettes,
disquetes, discos duros, DASD, que se dejen de usar en el Banco debido
a daño u obsolencia, antes de que estos sean eliminados.
En el caso de los equipos dañados, la empresa de reparación o
destrucción del equipo debe certificar que los datos hayan sido destruidos
o borrados.
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
Capítulo VII
PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL
Luego de la identificación de riesgos amenazas y vulnerabilidades se pudo
determinar el conjunto de actividades más importantes a ser realizadas por el
Banco, las cuales permitan alinear las medidas de seguridad existentes con las
exigidas por las Políticas de Seguridad elaboradas.
Estas actividades han sido agrupadas en un plan de implementación, el cual
contiene los objetivos de cada actividad, el tiempo estimado de ejecución y las
etapas a ser cubiertas en cada actividad identificada.
Las actividades a ser realizadas por el Banco son las siguientes:
- Clasificación de la Información
- Seguridad de red y comunicaciones
- Inventario de accesos a los sistemas
- Adaptación de contratos con proveedores
- Campaña de concientización de usuarios
- Verificación y adaptación de los sistemas del Banco
- Estandarización de la configuración del software base
- Revisión y adaptación de procedimientos complementarios.
Para cada actividad se ha elaborado una breve descripción (objetivo), las
tareas a ser desarrolladas (etapas), la relación de precedencia que presenta
con otras actividades y un tiempo estimado de duración. El tiempo estimado
para el desarrollo de cada etapa debe ser revisado antes de iniciar la misma y
puede sufrir variaciones de acuerdo a dicha evaluación final.
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
7.1 Clasificación de Información
Dependencia Ninguna
Tiempo estimado 16 – 22 semanas
Objetivo Con el objetivo de proteger los activos de información
de manera adecuada, se debe realizar un proyecto
para la clasificación de la información utilizada por las
distintas unidades de negocio, mediante la cual se
podrán definir los recursos apropiados y necesarios
para proteger los activos de información. El objetivo de
la clasificación es priorizar la utilización de recursos
para aquella información que requiere de mayores
niveles de protección.
Los criterios a ser empleados para la clasificación de
la información son los siguientes:
- Información Restringida (R): Información con
mayor grado de sensibilidad; el acceso a esta
información debe de ser autorizado caso por caso.
- Información Confidencial (C): Información
sensible que solo debe ser divulgada a aquellas
personas que la necesiten para el cumplimiento de
sus funciones.
- Información de Uso Interno (I): Datos generados
para facilitar las operaciones diarias; deben de ser
manejados de una manera discreta, pero no
requiere de medidas elaboradas de seguridad.
- Información General (G): Información que es
generada específicamente para su divulgación al
público en general.
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
Etapas - Elaboración de un inventario de activos de
información incluyendo información almacenada en
medios digitales e información impresa.
- Definición de responsables por activos identificados
- Clasificación de la información por parte de los
responsables definidos.
- Consolidación de los activos de información
clasificados.
- Determinación de las medidas de seguridad a ser
aplicados para cada activo clasificado.
- Implementación de las medidas de seguridad
determinadas previamente.
7.2 Seguridad de red y comunicaciones
Dependencia Ninguna
Tiempo
estimado
11 – 17 semanas
Objetivo Para evitar manipulación de los equipos de
comunicaciones por personal no autorizado y garantizar
que la configuración que poseen brinde mayor seguridad y
eficiencia a las comunicaciones, se requiere que los
equipos que soportan dicho servicio, se encuentren
adecuadamente configurados.
Etapas A. Adaptación de sistemas de comunicaciones a políticas
de seguridad. (Tiempo estimado: 3-5 semanas)
- Elaboración de un inventario de equipos de
comunicaciones (routers, switches, firewalls, etc)
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
- Elaboración de estándares de configuración para los
equipos de comunicaciones (basarse en la política de
seguridad definida, documentación de proveedores,
etc.)
- Evaluación de equipos identificados.
- Adaptación de los equipos a la política de seguridad.
B. Adaptación a la arquitectura de red propuesta. (Tiempo
estimado: 6-8 semanas)
B.1. Creación de la Extranet: Controlar mediante un
firewall la comunicación entre la red del Banco y redes
externas como Banca Red y Reuters, para evitar
actividad no autorizada desde dichas redes hacia los
equipos de la red del Banco.
B.2. Implementar una red DMZ para evitar el ingreso
de conexiones desde Internet hacia la red interna de
datos. Adicionalmente implementar un sistema de
inspección de contenido con el propósito de monitorear
la información que es transmitida vía correo electrónico
entre el Banco e Internet.
En la red DMZ se debe ubicar un servidor de
inspección de contenido, el cual trabajaría de la
siguiente manera:
a) Ingreso de correo electrónico: El servidor de
inspección de contenido, recibirá todos los correos
enviados desde Internet, revisará su contenido y
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
los enviará al servidor Lotus Notes, quién los
entregará a su destinatario final.
b) Salida de correo electrónico: El Servidor Lotus
Notes enviará el correo electrónico al servidor de
inspección de contenido, quién revisará el
contenido del mensaje, para transmitirlo a través de
Internet a su destino final.
Esta nueva red DMZ puede ser empleada para ubicar
nuevos equipos que brindarán servicios a través de
Internet en el futuro tales como FTP, Web, etc.
B.3. Implementar un sistema de Antivirus para
servicios de Internet (SMTP, FTP, HTTP).
Implementar un gateway antivirus de servicios de
Internet, a través del cual pasarán las
comunicaciones establecidas entre la red interna
del Banco e Internet. (duración aproximada: 1
semana)
B.4. Implementar un sistema de Alta Disponibilidad de
firewalls en las conexiones donde fluye
información crítica y se requiera una alta
disponibilidad de las comunicaciones. (duración
aproximada: 2 semanas)
B.5. Implementar un sistema de monitoreo de Intrusos
para detectar los intentos de intrusión o ataque
desde redes externas hacia la red de datos del
Banco. Asimismo se recomienda la
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
implementación del sistema en la red interna del
Banco donde se ubican servidores críticos para
detectar intentos de intrusión o ataque realizados
desde la red interna del Banco hacia los
servidores. (duración aproximada: 2 semanas)
C. Proyectos complementarios (tiempo estimado 2-4
semanas)
- Evaluación de seguridad de la red inalámbrica y
aplicación de controles de ser necesarios.
- Verificación de la configuración de:
- Servidor Proxy, Surf Control
- Firewall
- Servidor de correo electrónico
7.3 Inventario de accesos a los sistemas
Dependencia Ninguna
Tiempo
estimado
9 - 12 semanas
Objetivo Con el propósito de obtener un control adecuado sobre el
acceso de los usuarios a los sistemas del Banco, se debe
realizar un inventario de todos los accesos que poseen ellos
sobre cada uno de los sistemas. Este inventario debe ser
actualizado al modificar el perfil de acceso de algún usuario
y será utilizado para realizar revisiones periódicas de los
accesos otorgados en los sistemas.
Etapas - Elaboración de un inventario de las aplicaciones y
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
sistemas del Banco
- Elaboración de un inventario de los perfiles de acceso
de cada sistema
- Verificación de los perfiles definidos en los sistemas
para cada usuario
- Revisión y aprobación de los accesos por parte de las
gerencias respectivas
- Depurar los perfiles accesos de los usuarios a los
sistemas.
- Mantenimiento periódico del inventario.
7.4 Adaptación de contratos con proveedores
Dependencia Ninguna
Tiempo
estimado
24 semanas (tiempo parcial)
Objetivo Con el objetivo de asegurar el cumplimiento de las políticas
de seguridad del Banco en el servicio brindado por los
proveedores, es necesario realizar una revisión de los
mismos y su grado de cumplimiento respecto a las políticas
de seguridad definidas, de ser necesario dichos contratos
deben ser modificados para el cumplimiento de la política de
seguridad del Banco.
Etapas - Elaboración de cláusulas estándar referidas a
seguridad de información, para ser incluidas en los
contratos con proveedores
- Elaboración de un inventario de los contratos existentes
con proveedores
- Revisión de los contratos y analizar el grado de
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
cumplimiento de la política de seguridad.
- Negociar con los proveedores para la inclusión de las
cláusulas en los contratos.
7.5 Campaña de concientización de usuarios.
Dependencia Ninguna
Tiempoestimado
5-7 semanas
Objetivo Con el objetivo de lograr un compromiso y concientizaciónde los usuarios en temas referentes a seguridad deinformación del Banco, se debe realizar una campaña deconcientización del personal la cual esté orientada a todo elpersonal como conceptos básicos de seguridad y a gruposespecíficos con temas correspondientes a susresponsabilidades en la organización.
Etapas Definición del mensaje a transmitir y material a serempleado para los distintos grupos de usuarios, entre ellos:Personal en general: información general sobre seguridad,políticas y estándares incluyendo protección de virus,contraseñas, seguridad física, sanciones, correo electrónicoy uso de Internet.Personal de Sistemas: Políticas de seguridad, estándares ycontroles específicos para la tecnología y aplicacionesutilizadas.Gerencias y jefaturas: Monitoreo de seguridad,responsabilidades de supervisión, políticas de sanción.Identificación del personal de cada departamento que seencargará de actualizar a su propio grupo en temas deseguridad.Establecimiento de un cronograma de capacitación, el cualdebe incluir, empleados nuevos, requerimientos anuales decapacitación, actualizaciones.Desarrollo el cronograma de presentaciones.- Realizar la campaña según el cronograma elaborado,asegurándose de mantener un registro actualizado de lacapacitación de cada usuario.
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
7.6 Verificación y adaptación de los sistemas del Banco.
Dependencia Actividad A.
Tiempo
estimado
20 – 30 semanas
bjetivo Con el objetivo de asegurar el cumplimiento de la política de
seguridad en los controles existentes, se debe verificar el
grado de cumplimiento de las políticas de seguridad en los
sistemas del Banco y adaptarlos en caso de verificar su
incumplimiento.
Etapas - Elaboración de un inventario de las aplicaciones
existentes, incluyendo los servicios brindados a clientes
como banca electrónica y banca telefónica.
- Elaboración de un resumen de los requisitos que deben
cumplir las aplicaciones según la política y estándares
de seguridad.
- Evaluación del grado de cumplimiento de la política de
seguridad para cada una de las aplicaciones existentes
y la viabilidad de su modificación para cumplir con la
política de seguridad, elaborando la relación de cambios
que deben ser realizados en cada aplicación.
- Adaptación de los sistemas a la política de seguridad
(diseño, desarrollo, pruebas, actualización de la
documentación, etc.)
- Estandarización de controles para contraseñas de los
sistemas.
- Los sistemas no requerirán modificaciones si su
adaptación no es viable.
- Pase a producción de sistemas adaptados.
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
7.7 Estandarización de la configuración del software base
Dependencia Ninguna
Tiempo
estimado
12 semanas
Objetivo Con el objetivo de proteger adecuadamente la información
existente en servidores y computadores personales, se debe
realizar una adecuada configuración de los parámetros de
seguridad del software base que soporta las aplicaciones
del Banco.
Etapas - Finalización el proceso de migración de computadores
personales a Windows XP o Windows 2000
Professional.
- Elaboración de un inventario de sistema operativo de
servidores y computadores personales.
- Elaboración de estándares de configuración para
Windows XP Professional, Windows 2000 Professional,
Windows NT Server, SQL Server y OS/400.
- Elaboración de un inventario de bases de datos
existentes.
- Evaluación de los de sistemas identificados.
- Adaptación del software base a la política de seguridad.
7.8 Revisión, y adaptación de procedimientos complementarios
Dependencia Actividad B.
Tiempo
estimado
8 semanas
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
Objetivo Adaptar los procedimientos y controles complementarios del
Banco de acuerdo a lo estipulado en las políticas de
seguridad.
Etapas - Revisión y adaptación de controles y estándares para
desarrollo de sistemas
- Elaboración de procedimientos de monitoreo,
incluyendo procedimientos para verificación periódica
de carpetas compartidas, generación de copias de
respaldo de información de usuarios, aplicación de
controles de seguridad para información en
computadores portátiles, etc.
- Elaboración de procedimientos de monitoreo y reporte
sobre la administración de los sistemas y herramientas
de seguridad, entre ellas: antivirus, servidores de
seguridad del contenido, servidor Proxy, servidor
firewall, sistema de detección de intrusos.
- Establecimiento de controles para la información
transmitida a clientes y proveedores.
- Revisión y establecimiento de controles para el
almacenamiento físico de información.
- Revisión y establecimiento de controles para personal
externo que realiza labores utilizando activos de
información del Banco para el Banco (Soporte Técnico,
Rehder, proveedores, etc.)
7.9 Cronograma tentativo de implementación
Los proyectos antes mencionados deben ser liderados por el área de seguridad informática y sus responsables deben
ser definidos individualmente para cada uno de ellos. A continuación se presenta un cronograma sugerido para la
realización de las actividades correspondientes al presente plan de implementación:
ACTIVIDAD Mes1
Mes2
Mes3
Mes4
Mes5
Mes6
Mes7
Mes8
Mes9
Mes10
Clasificación de Información
Seguridad de red y comunicaciones
Inventario de Accesos a los sistemas
Adaptación de contratos con proveedores
Campaña de concientización de usuarios.
Verificación y adaptación de los sistemas delBanco.
Estandarización de la configuración del softwarebase
Revisión y adaptación de procedimientoscomplementarios
Nota: La duración de los proyectos está sujeta a variaciones dependientes a la situación existente y el análisis realizadoprevio a cada actividad
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
CONCLUSIONES Y RECOMENDACIONES
Dentro de las principales conclusiones y recomendaciones más importantes
tenemos:
• Para nadie es un secreto la importancia de implementar un programa
completo de seguridad de la información. Sin embargo, crear un
programa de seguridad con componentes "bloqueadores de cookies"
rara vez produce resultados efectivos. Lo más efectivo es utilizar una
metodología comprobada que diseñe el programa de seguridad con
base en las necesidades de su empresa, recuerde cada empresa es
diferente.
• La clave para desarrollar con éxito un programa efectivo de seguridad
de la información consiste en recordar que las políticas, estándares y
procedimientos de seguridad de la información son un grupo de
documentos interrelacionados. La relación de los documentos es lo que
dificulta su desarrollo, aunque es muy poderosa cuando se pone en
práctica. Muchas organizaciones ignoran esta interrelación en un
esfuerzo por simplificar el proceso de desarrollo. Sin embargo, estas
mismas relaciones son las que permiten que las organizaciones exijan y
cumplan los requerimientos de seguridad.
• ¿Por qué las organizaciones necesitan una Política de Seguridad
de la Información?
Por lo general se argumenta que las organizaciones requieren una
Política de Seguridad de la Información para cumplir con sus
"requerimientos de seguridad de la información". Ciertamente, muchas
organizaciones no tienen requerimientos de seguridad de la información
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
como tal, sino que tienen necesidades empresariales que deben
desarrollar e implementar. Las empresas, especialmente las compañías
cotizadas en bolsa y las organizaciones gubernamentales, están sujetas
a las reglamentaciones operacionales de los gobiernos estatales y
locales, así como de los organismos que reglamentan la industria. En el
caso de las compañías cotizadas en bolsa, los funcionarios corporativos
deben ser diligentes en sus operaciones y tener responsabilidad
fiduciaria ante los accionistas - estas estipulaciones jurídicas requieren
efectivamente que la organización proteja la información que utiliza, a la
que tiene acceso o que crea para que la compañía opere con eficiencia
y rentabilidad. Entonces surge la necesidad de proteger la información
la necesidad no es académica, ni es creada por los "genios técnicos"
que buscan justificar su existencia en la organización.
• ¿La seguridad de la información siempre requiere inversión
adicional?
Las empresas podrían o no necesitar más recursos, esto depende del
enfoque adoptado por la organización para el desarrollo de las políticas.
Una Política de Seguridad de la Información generalmente exige que
todos en la organización protejan la información para que la empresa
pueda cumplir con sus responsabilidades reglamentarias, jurídicas y
fiduciarias. Se usa mal y con frecuencia las palabras "generalmente" y
"proteger" para justificar mayor inversión cuando no es necesaria. Esto
puede parecer contrario a la intuición, pero la inversión adicional para
proteger la información no siempre garantiza el éxito. Pero si es
recomendable tener un presupuesto asignado para cumplir con estos
fines. Para evaluar las necesidades de inversión, debe consultar estas
"reglas" en orden secuencial:
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
Regla Nº 1: Saber qué información tiene y donde se encuentra.
Regla Nº 2: Saber el valor de la información que se tiene y la dificultad
de volverla a crear si se daña o pierde.
Regla Nº 3: Saber quiénes están autorizados para acceder a la
información y que pueden hacer con ella.
Regla Nº 4: Saber la velocidad con que puede acceder a la información
si no está disponible por alguna razón (por pérdida, modificación no
autorizada, etc.)
Estas cuatro reglas son aparentemente simples. Sin embargo, las
respuestas permitirán el diseño e implementación de un programa de
protección a la información puesto que las respuestas pueden ser muy
difíciles. No toda la información tiene el mismo valor y por lo tanto no
requiere el mismo nivel de protección (con el costo que implica).
• Es clave entender por qué se necesita proteger la información,
desde un punto de vista comercial es clave determinar la necesidad de
tener una Política de Seguridad de la Información. Para ello, se
necesitara saber cuál es la información y en donde se encuentra para
que pueda proceder a definir los controles que se necesitan para
protegerla.
• Características principales de una Política de Seguridad de la
Información:
ü Debe estar escrita en lenguaje simple, pero jurídicamente viable
ü Debe basarse en las razones que tiene la empresa para proteger
la información
ü Debe ser consistente con las demás políticas organizacionales
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
ü Debe hacerse cumplir - se exige y mide el cumplimiento
ü Debe tener en cuenta los aportes hechos por las personas
afectadas por la política
ü Debe definir el papel y responsabilidades de las personas,
departamentos y organizaciones para los que aplica la política
ü No debe violar las políticas locales, estatales
ü Debe definir las consecuencias en caso de incumplimiento de la
política
ü Debe estar respaldada por documentos "palpables", como los
estándares y procedimientos para la seguridad de la información,
que se adapten a los cambios en las operaciones de las
empresas, las necesidades, los requerimientos jurídicos y los
cambios tecnológicos.
ü Debe ser aprobada y firmada por el gerente general de la
organización. No obtener este compromiso significa que el
cumplimiento de la política es opcional - situación que hará que
fracase las políticas de protección de la información.
• Redactar una política para la seguridad de la información puede ser
sencillo comparado con su implementación y viabilidad. La política
organizacional y las presiones por lo general aseguran que habrá
dificultad y consumo de tiempo para crear y adoptar una Política de
Seguridad de la Información, a menos que un "líder fuerte" dirija el
programa de políticas. Esta persona generalmente es un "político", una
persona influyente, un facilitador y sobretodo una persona que sepa
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
escuchar, para que pueda articular y aclarar las inquietudes y temores
de las personas respecto a la introducción de una nueva política.
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
ANEXOS
A. DISEÑO DE ARQUITECTURA DE SEGURIDAD DE RED
ARQUITECTURA DE SEGURIDAD DE RED
Con el propósito de incrementar la seguridad de la plataforma tecnológica del
Banco, se realizó un análisis de su actual arquitectura de red principalmente en
el control de conexiones con redes externas. Producto de dicho análisis se
diseño una nueva arquitectura de red, la cual posee controles de acceso para
las conexiones y la ubicación recomendada para los detectores de intrusos a
ser implementados por el Banco.
A continuación se muestra el diagrama con la arquitectura de red propuesta.
Fig 1: Arquitectura de red propuesta.
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
Para lograr implementar esta arquitectura de red, se deben realizar un conjunto
de cambios los cuales se detallan a continuación:
1. Creación de la Extranet: Controlar mediante un firewall la comunicación
entre la red del Banco y redes externas como Banca Red y Reuters,
para evitar actividad no autorizada desde dichas redes hacia los equipos
de la red del Banco.
2. Implementar una red DMZ para evitar el ingreso de conexiones desde
Internet hacia la red interna de datos. Adicionalmente implementar un
sistema de inspección de contenido con el propósito de monitorear la
información que es transmitida vía correo electrónico entre el Banco e
Internet.
En la red DMZ se debe ubicar un servidor de inspección de contenido, el
cual trabajaría de la siguiente manera:
a. Ingreso de correo electrónico: El servidor de inspección de
contenido, recibirá todos los correos enviados desde Internet,
revisará su contenido y los enviará al servidor Lotus Notes,
quién los entregará a su destinatario final.
b. Salida de correo electrónico: El Servidor Lotus Notes enviará
el correo electrónico al servidor de inspección de contenido,
quién revisará el contenido del mensaje, para transmitirlo a
través de Internet a su destino final.
Esta nueva red DMZ puede ser empleada para ubicar nuevos equipos
que brindarán servicios a través de Internet en el futuro tales como FTP,
Web, etc.
3. Para controlar el ingreso de virus informáticos desde Internet, así como
para prevenir el envío de mensajes electrónicos conteniendo virus
informático, se recomienda implementar un primer nivel de protección
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
antivirus mediante un sistema de inspección de servicios de Internet.
Este sistema inspeccionará la información recibida desde Internet, así
como la información enviada hacia otras entidades vía Internet Este
sistema debe inspeccionar la navegación de los usuarios (HTTP -
HyperText Transfer Protocol), la transferencia de archivos (FTP – File
Transfer Protocol) y el intercambio de corroe electrónico (SMTP –
Simple mail Transfer Protocol).
4. Luego de implementados los cambios previamente detallados, el
Firewall se torna en un punto crítico para las comunicaciones del Banco,
por lo cual se requiere implementar un sistema de Alta Disponibilidad de
Firewalls, el cual permita garantizar que el canal de comunicación
permanezca disponible en caso de falla de uno de los Firewalls.
5. Con el propósito de prevenir la realización de actividad no autorizada
desde redes externas hacia la red del Banco y desde la red interna del
Banco hacia los servidores y hacia Internet, se debe implementar un
sistema de detección de intrusos que inspeccione el tráfico que circula
por segmentos de red estratégicos tales como:
- Internet, para detectar la actividad sospechosa proveniente desde
Internet.
- Red DMZ, para detectar la actividad dirigida contra los servidores
públicos que logró atravesar el Firewall.
- Extranet, para detectar actividad realizada desde las redes externas
con las que se posee conexión.
- Puntos estratégicos de la red interna, los cuales permitan detectar la
actividad realizada contra los equipos críticos del Banco.
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
B. CIRCULAR N° G-105-2002 PUBLICADA POR LA SUPERINTENDENCIA
DE BANCA Y SEGUROS (SBS) SOBRE RIESGOS DE TECNOLOGÍA DE
INFORMACIÓN
Lima, 22 de febrero de 2002
CIRCULAR Nº G - 105 - 2002
-----------------------------------------------
Ref.: Riesgos de tecnología de
información
-----------------------------------------------
Señor
Gerente General
Sírvase tomar nota que, en uso de las atribuciones conferidas por el numeral 7 del
artículo 349º de la Ley General del Sistema Financiero y del Sistema de Seguros y
Orgánica de la Superintendencia de Banca y Seguros - Ley Nº 26702 y sus
modificatorias, en adelante Ley General, y por la Resolución SBS N° 1028-2001
del 27 de diciembre de 2001, con la finalidad de establecer criterios mínimos para
la identificación y administración de los riesgos asociados a la tecnología de
información, a que se refiere el artículo 10º del Reglamento para la Administración
de los Riesgos de Operación, aprobado mediante la Resolución SBS Nº 006-2002
del 4 de enero de 2002, esta Superintendencia ha considerado conveniente
establecer las siguientes disposiciones:
Alcance
Artículo 1º.- Las disposiciones de la presente norma son aplicables a las empresas
señaladas en los artículos 16° y 17° de la Ley General, al Banco Agropecuario, a
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
la Corporación Financiera de Desarrollo S.A. (COFIDE), al Banco de la Nación, a
la Fundación Fondo de Garantía para Préstamos a la Pequeña Industria (FOGAPI)
y a las derramas y cajas de beneficios que se encuentren bajo la supervisión de
esta Superintendencia, en adelante empresas.
Definiciones
Artículo 2º .- Para efectos de la presente norma, serán de aplicación las siguientes
definiciones:
a. Información: Cualquier forma de registro electrónico, óptico, magnético o en
otros medios similares, susceptible de ser procesada, distribuida y
almacenada.
b. Ley General: Ley N° 26702, Ley General del Sistema Financiero y del
Sistema de Seguros y Orgánica de la Superintendencia de Banca y
Seguros.
c. Proceso crítico: Proceso considerado indispensable para la continuidad de
las operaciones y servicios de la empresa, y cuya falta o ejecución
deficiente puede tener un impacto financiero significativo para la empresa.
d. Reglamento: Reglamento para la Administración de los Riesgos de
Operación aprobado por Resolución SBS N° 006-2002 del 4 de enero de
2002.
e. Riesgos de operación: Entiéndase por riesgos de operación a la posibilidad
de ocurrencia de pérdidas financieras por deficiencias o fallas en los
procesos internos, en la tecnología de información, en las personas o por
ocurrencia de eventos externos adversos.
f. Riesgos de tecnología de información: Los riesgos de operación asociados
a los sistemas informáticos y a la tecnología relacionada a dichos sistemas,
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
que pueden afectar el desarrollo de las operaciones y servicios que realiza
la empresa al atentar contra la confidencialidad, integridad y disponibilidad
de la información, entre otros criterios.
g. Seguridad de la información: Característica de la información que se logra
mediante la adecuada combinación de políticas, procedimientos, estructura
organizacional y herramientas informáticas especializadas a efectos que
dicha información cumpla los criterios de confidencialidad, integridad y
disponibilidad.
h. Objetivo de control: Una declaración del propósito o resultado deseado
mediante la implementación de controles apropiados en una actividad de
tecnología de información particular.
Responsabilidad de la empresa
Artículo 3°.- Las empresas deben establecer e implementar las políticas y
procedimientos necesarios para administrar de manera adecuada y prudente los
riesgos de tecnología de información, incidiendo en los procesos críticos
asociados a dicho riesgo, considerando las disposiciones contenidas en la
presente norma, en el Reglamento, y en el Reglamento del Sistema de Control
Interno aprobado mediante la Resolución SBS Nº 1040-99 del 26 de noviembre de
1999.
La administración de dicho riesgo debe permitir el adecuado cumplimiento de los
siguientes criterios de control interno:
i. Eficacia. La información debe ser relevante y pertinente para los objetivos
de negocio y ser entregada en una forma adecuada y oportuna conforme
las necesidades de los diferentes niveles de decisión y operación de la
empresa.
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
ii. Eficiencia. La información debe ser producida y entregada de forma
productiva y económica.
iii. Confidencialidad. La información debe ser accesible sólo a aquellos que
se encuentren debidamente autorizados.
iv. Integridad. La información debe ser completa, exacta y válida.
v. Disponibilidad. La información debe estar disponible en forma organizada
para los usuarios autorizados cuando sea requerida.
vi. Cumplimiento normativo. La información debe cumplir con los criterios y
estándares internos de la empresa, las regulaciones definidas externamente
por el marco legal aplicable y las correspondientes entidades reguladoras,
así como los contenidos de los contratos pertinentes.
Estructura organizacional y procedimientos
Artículo 4°.- Las empresas deben definir y mantener una estructura organizacional
y procedimientos que les permita administrar adecuadamente los riesgos
asociados a la tecnología de información, consistente con su tamaño y naturaleza,
así como con la complejidad de las operaciones que realizan.
Administración de la seguridad de información
Artículo 5º.- Las empresas deberán establecer, mantener y documentar un sistema
de administración de la seguridad de la información, en adelante "Plan de
Seguridad de la información - (PSI)". El PSI debe incluir los activos de tecnología
que deben ser protegidos, la metodología usada, los objetivos de control y
controles, así como el grado de seguridad requerido.
Las actividades mínimas que deben desarrollarse para implementar el PSI, son las
siguientes:
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
a. Definición de una política de seguridad.
b. Evaluación de riesgos de seguridad a los que está expuesta la información
c. Selección de controles y objetivos de control para reducir, eliminar o evitar
los riesgos identificados, indicando las razones de su inclusión o exclusión.
d. Plan de implementación de los controles y procedimientos de revisión
periódicos.
e. Mantenimiento de registros adecuados que permitan verificar el
cumplimiento de las normas, estándares, políticas, procedimientos y otros
definidos por la empresa, así como mantener pistas adecuadas de
auditoria.
Las empresas bancarias y las empresas de operaciones múltiples que accedan al
módulo 3 de operaciones a que se refiere el artículo 290º de la Ley General
deberán contar con una función de seguridad a dedicación exclusiva.
Subcontratación (outsourcing)
Artículo 6º.- La empresa es responsable y debe verificar que se mantengan las
características de seguridad de la información contempladas en la presente
norma, incluso cuando ciertas funciones o procesos críticos puedan ser objeto de
una subcontratación. Para ello se tendrá en cuenta lo dispuesto en la Primera
Disposición Final y Transitoria del Reglamento. Asimismo, la empresa debe
asegurarse y verificar que el proveedor del servicio sea capaz de aislar el
procesamiento y la información objeto de la subcontratación, en todo momento y
bajo cualquier circunstancia.
En caso que las empresas deseen realizar su procesamiento principal en el
exterior, requerirán de la autorización previa y expresa de esta Superintendencia.
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
Las empresas que a la fecha de vigencia de la presente norma se encontrasen en
la situación antes señalada, deberán solicitar la autorización correspondiente. Para
la evaluación de estas autorizaciones, las empresas deberán presentar
documentación que sustente lo siguiente:
a) La forma en que la empresa asegurará el cumplimiento de la presente
circular y la Primera Disposición Final y Transitoria del Reglamento.
b) La empresa, así como los representantes de quienes brindarán el servicio
de procesamiento en el exterior, deberán asegurar adecuado acceso a la
información con fines de supervisión, en tiempos razonables y a solo
requerimiento.
Aspectos de la seguridad de información
Artículo 7°.- Para la administración de la seguridad de la información, las
empresas deberán tomar en consideración los siguientes aspectos:
7.1 Seguridad lógica
Las empresas deben definir una política para el control de accesos, que incluya los
criterios para la concesión y administración de los accesos a los sistemas de
información, redes y sistemas operativos, así como los derechos y atributos que se
confieren.
Entre otros aspectos, debe contemplarse lo siguiente:
a) Procedimientos formales para la concesión, administración de derechos y
perfiles, así como la revocación de usuarios. Revisiones periódicas deben
efectuarse sobre los derechos concedidos a los usuarios.
b) Los usuarios deben contar con una identificación para su uso personal, de
tal manera que las posibles responsabilidades puedan ser seguidas e
identificadas.
c) Controles especiales sobre utilidades del sistema y herramientas de
auditoria.
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
d) Seguimiento sobre el acceso y uso de los sistemas y otras instalaciones
físicas, para detectar actividades no autorizadas.
e) Usuarios remotos y computación móvil.
7.2 Seguridad de personal
Las empresas deben definir procedimientos para reducir los riesgos asociados al
error humano , robo, fraude o mal uso de activos, vinculados al riesgo de
tecnología de información. Al establecer estos procedimientos, deberá tomarse en
consideración, entre otros aspectos, la definición de roles y responsabilidades
establecidos sobre la seguridad de información, verificación de antecedentes,
políticas de rotación y vacaciones, y entrenamiento.
7.3 Seguridad física y ambiental
Las empresas deben definir controles físicos al acceso, daño o interceptación de
información. El alcance incluirá las instalaciones físicas, áreas de trabajo,
equipamiento, cableado, entre otros bienes físicos susceptibles a riesgos de
seguridad.
Se definirán medidas adicionales para las áreas de trabajo con necesidades
especiales de seguridad, como los centros de procesamiento, entre otras zonas en
que se maneje información que requiera de alto nivel de protección.
7.4 Clasificación de seguridad
Las empresas deben realizar un inventario periódico de activos asociados a la
tecnología de información que tenga por objetivo proveer la base para una
posterior clasificación de seguridad de dichos activos. Esta clasificación debe
indicar el nivel de riesgo existente para la empresa en caso de falla sobre la
seguridad, así como las medidas apropiadas de control que deben asociarse a las
clasificaciones.
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
Administración de las operaciones y comunicaciones
Artículo 8º.- Las empresas deben establecer medidas de administración de las
operaciones y comunicaciones que entre otros aspectos contendrán lo siguiente:
- Control sobre los cambios en el ambiente operativo, que incluye cambios en
los sistemas de información, las instalaciones de procesamiento y los
procedimientos.
- Control sobre los cambios del ambiente de desarrollo al de producción.
- Separación de funciones para reducir el riesgo de error o fraude.
- Separación del ambiente de producción y el de desarrollo.
- Controles preventivos y de detección sobre el uso de software de
procedencia dudosa, virus y otros similares.
- Seguridad sobre las redes, medios de almacenamiento y documentación de
sistemas.
- Seguridad sobre correo electrónico.
- Seguridad sobre banca electrónica.
Desarrollo y mantenimiento de sistemas informáticos - Requerimientos de
seguridad
Artículo 9º.- Para la administración de la seguridad en el desarrollo y
mantenimiento de sistemas informáticos, se debe tomar en cuenta, entre otros, los
siguientes criterios:
a) Incluir en el análisis de requerimientos para nuevos sistemas o mejoras a
los sistemas actuales, controles sobre el ingreso de información, el
procesamiento y la información de salida.
b) Aplicar técnicas de encriptación sobre la información crítica que debe ser
protegida.
c) Definir controles sobre la implementación de aplicaciones antes del ingreso
a producción.
d) Controlar el acceso a las librerías de programas fuente.
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
e) Mantener un estricto y formal control de cambios, que será debidamente
apoyado por sistemas informáticos en el caso de ambientes complejos o
con alto número de cambios.
Procedimientos de respaldo
Artículo 10º.- Las empresas deben establecer procedimientos de respaldo
regulares y periódicamente validados. Estos procedimientos deben incluir las
medidas necesarias para asegurar que la información esencial pueda ser
recuperada en caso de falla en los medios o luego de un desastre. Estas medidas
serán coherentes con lo requerido en el Plan de Continuidad.
La empresa debe conservar la información de respaldo y los procedimientos de
restauración en una ubicación remota, a suficiente distancia para no verse
comprometida ante un daño en el centro principal de procesamiento.
Planeamiento para la continuidad de negocios
Artículo 11º.- Las empresas, bajo responsabilidad de la Gerencia y el Directorio,
deben desarrollar y mantener un "Plan de Continuidad de Negocios" (PCN), que
tendrá como objetivo asegurar un nivel aceptable de operatividad de los procesos
críticos, ante fallas mayores internas o externas.
Criterios para el diseño e implementación del Plan de Continuidad de
Negocios
Artículo 12º.- Para el desarrollo del PCN se debe realizar previamente una
evaluación de riesgos asociados a la seguridad de la información. Culminada la
evaluación, se desarrollarán sub-planes específicos para mantener o recuperar los
procesos críticos de negocios ante fallas en sus activos, causadas por eventos
internos (virus, errores no esperados en la implementación, otros), o externos (falla
en las comunicaciones o energía, incendio, terremoto, proveedores, otros).
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
Prueba del Plan de Continuidad de Negocios
Artículo 13º.- La prueba del PCN es una herramienta de la dirección para controlar
los riesgos sobre la continuidad de operación y sobre la disponibilidad de la
información, por lo que la secuencia, frecuencia y profundidad de la prueba del
PCN, deberá responder a la evaluación formal y prudente que sobre dicho riesgo
realice cada empresa.
En todos los casos, mediante una única prueba o una secuencia de ellas, según lo
considere adecuado cada empresa de acuerdo a su evaluación de riesgos, los
principales aspectos del PCN deberán ser probados cuando menos cada dos
años.
Anualmente, dentro del primer mes del ejercicio, se enviará a la Superintendencia
el programa de pruebas correspondiente, en que se indicará las actividades a
realizar durante el ciclo de 2 años y una descripción de los objetivos a alcanzar en
el año que se inicia.
Cumplimiento formativo
Artículo 14º.- La empresa deberá asegurar que los requerimientos legales,
contractuales, o de regulación sean cumplidos, y cuando corresponda,
incorporados en la lógica interna de las aplicaciones informáticas.
Privacidad de la información
Artículo 15º .- Las empresas deben adoptar medidas que aseguren
razonablemente la privacidad de la información que reciben de sus clientes y
usuarios de servicios, conforme la normatividad vigente sobre la materia.
Auditoria Interna y Externa
Artículo 16º.- La Unidad de Auditoria Interna deberá incorporar en su Plan Anual
de Trabajo la evaluación del cumplimiento de lo dispuesto en la presente norma.
Asimismo, las Sociedades de Auditoria Externa deberán incluir en su informe
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
sobre el sistema de control interno comentarios dirigidos a indicar si la entidad
cuenta con políticas y procedimientos para la administración de los riesgos de
tecnología de información, considerando asimismo, el cumplimiento de lo
dispuesto en la presente norma.
Auditoria de sistemas
Artículo 17º.- Las empresas bancarias y aquellas empresas autorizadas a operar
en el Módulo 3 conforme lo señalado en el artículo 290° de la Ley General,
deberán contar con un servicio permanente de auditoria de sistemas, que
colaborará con la Auditoria interna en la verificación del cumplimiento de los
criterios de control interno para las tecnologías de información, así como en el
desarrollo del Plan de Auditoria.
El citado servicio de auditoria de sistemas tomará en cuenta, cuando parte del
procesamiento u otras funciones sean realizadas por terceros, que es necesario
conducir su revisión con los mismos estándares exigidos a la empresa, por lo que
tomará en cuenta las disposiciones indicadas en la Primera Disposición Final y
Transitoria del Reglamento.
Las empresas autorizadas para operar en otros módulos, para la verificación del
cumplimiento antes señalado, deberán asegurar una combinación apropiada de
auditoria interna y/o externa, compatible con el nivel de complejidad y perfil de
riesgo de la empresa. La Superintendencia dispondrá un tratamiento similar a las
empresas pertenecientes al módulo 3, cuando a su criterio la complejidad de sus
sistemas informáticos y su perfil de riesgo así lo amerite.
Información a la Superintendencia
Artículo 18°.- El informe anual que las empresas deben presentar a la
Superintendencia, según lo dispuesto en el Artículo 13° del Reglamento, deberá
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
incluir los riesgos de operación asociados a la tecnología de información, como
parte integral de dicha evaluación, para lo cual se sujetará a lo dispuesto en dicho
Reglamento y a lo establecido en la presente norma.
Sanciones
Artículo 19°.- En caso de incumplimiento de las disposiciones contenidas en la
presente norma, la Superintendencia aplicará las sanciones correspondientes de
conformidad con lo establecido en el Reglamento de Sanciones.
Plan de adecuación
Artículo 20°.- En el Plan de Adecuación señalado en el segundo párrafo de la
Cuarta Disposición Final y Transitoria del Reglamento, las empresas deberán
incluir un sub-plan para la adecuación a las disposiciones contenidas en la
presente norma.
Plazo de adecuación
Artículo 21°.- Las empresas contarán con un plazo de adecuación a las
disposiciones de la presente norma que vence el 30 de junio de 2003
Atentamente,
SOCORRO HEYSEN ZEGARRA
Superintendente de Banca y Seguros (e)
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
C. DETALLE: DIAGNOSTICO DE LA SITUACION ACTUAL DE LA
ADMINISTRACIÓN DE LOS RIESGOS DE TECNOLOGIA DE LA
INFORMACION
La siguiente matriz muestra puntos específicos de la situación actual en cuanto
a la administración de seguridad y los compara contra los requerimientos de la
Circular G-105-2002 de la Superintendencia, contempla los siguientes
aspectos:
1. Estructura de la organización de seguridad de la información
1.1 Roles y responsabilidades
2. Plan de seguridad de la información
2.1 Políticas, estándares y procedimientos de seguridad
2.2 Seguridad lógica
2.3 Seguridad de personal
2.4 Seguridad física y ambiental
2.5 Clasificación de seguridad
3. Administración de las operaciones y comunicaciones.
4. Desarrollo y mantenimiento de sistemas informáticos.
5. Procedimientos de respaldo.
6. Subcontratación (Relación y status de los contratos con terceros en
temas críticos)
7. Cumplimiento normativo
8. Privacidad de la información
9. Auditoria interna y externa
El detalle de la evaluación de las áreas mencionadas se muestra en una matriz
cuyo contenido es el siguiente:
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
- Situación Actual: Muestra un resumen de la situación encontrada en el
Banco a partir de la información relevada durante las entrevistas y de los
documentos entregados.
- Mejores Practicas: Muestra un resumen de las mejores prácticas en el
sector y los requerimientos mencionadas en la Circular G105-2002 de la
SBS uno de los motivos del presente trabajo.
- Análisis de Brecha: Muestra de manera gráfica la brecha existente entre la
situación actual y los requerimientos de la SBS y las mejores prácticas del
sector.
Situación Actual SBS, Mejores Prácticas
Análisis
De
Brecha
1 ESTRUCTURA ORGANIZACIONAL PARA LA ADMINISTRACIÓN DE RIESGOS DE TECNOLOGÍA DE INFORMACIÓN
1. El Banco cuenta con las siguientes unidades:
División de Riesgo: Órgano dependiente de la
Gerencia General, encargado de medir y controlar
la calidad y capacidad de endeudamiento de los
clientes, con el objeto de mantener adecuados
niveles de riesgo crediticio, tanto para aquellos
que se encuentren en evaluación, como aquellos
que ya han sido utilizados y se encuentran en
pleno proceso de cumplimiento de reembolsos.
Asimismo, los riesgos denominados
genéricamente Riesgos de Mercado. Cuenta con
un departamento de Riesgos Operativos y
Tecnológicos a cargo de la Srta. Patricia
Pacheco.
Area de Seguridad: Órgano encargado de velar
por la seguridad de las instalaciones del Banco,
así como del personal y Clientes que se
Se debería contemplar los
siguientes aspectos:
- Definición y mantenimiento de
una estructura organizacional
que permita administrar
adecuadamente los riesgos
asociados a la tecnología de
información.
- La unidad de riesgo deberá
contar con un responsable de
la administración del riesgo de
TI.
- La responsabilidad de la
seguridad de la Información
debería ser ejercida de forma
exclusiva.
- El Departamento de Riesgos
Operativos y Tecnológicos
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
Situación Actual SBS, Mejores Prácticas
Análisis
De
Brecha
encuentran y transitan en ellas.
Area de Seguridad Informática : Enfocada a los
aspectos de accesos a los aplicativos y sistemas.
Área que originalmente formo parte de Soporte
Técnico (Agosto 2001). No considera en sus
funciones las referentes a seguridad de la
plataforma y de la información.
Auditoria de Sistemas: Entre otras, sus
funciones son las de:
- Efectuar evaluaciones periódicas de la
capacidad y apropiada utilización de los
recursos de cómputo.
- Verificar el cumplimiento de las normas y
procedimientos referidos a las Áreas de
Desarrollo de Sistemas y Soporte
Tecnológico, participando junto con estas
instancias y los usuarios directos durante el
ciclo de desarrollo de sistemas para la
implantación de adecuados controles internos
y pistas de auditoria, incluyendo su posterior
evaluación y seguimiento.
Se ha observado que la documentación existente
con respecto a las distintas áreas se encuentra
desactualizada.
No existe dentro de la estructura roles
equivalentes al de Oficial de Seguridad.
debería contar con una
estructura acorde con los
riesgos de tecnología
evaluados para Banco y definir
indicadores que ayuden a
monitorear los mismos.
- El Departamento de Riesgos
Operativos y Tecnológicos
debería definir los
mencionados indicadores en
conjunto con el área de
sistemas del Banco.
2 PLAN DE SEGURIDAD DE LA INFORMACIÓN
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
Situación Actual SBS, Mejores Prácticas
Análisis
De
Brecha
2 El Banco no cuenta con un plan de Seguridad de
la Información formalmente documentado que
guíe las distintas normas con que cuenta el
Banco referentes a los riesgos y seguridad de la
Tecnología de Información.
Se deberían contemplar los
siguientes aspectos:
- Definición de una política de
seguridad.
- Evaluación de riesgos de
seguridad a los que está
expuesta la información.
- Inventario de riesgos de
seguridad de la información.
- Selección de controles y
objetivos de control para
reducir, eliminar y evitar los
riesgos identificados, indicando
las razones de su inclusión o
exclusión
- Plan de implementación de los
controles y procedimientos de
revisión periódicos.
- Mantenimiento de registros
adecuados que permitan
verificar el cumplimiento de las
normas, estándares, políticas,
procedimientos y otros
definidos por la empresa, así
como mantener pistas de
auditoria.
2.1 POLÍTICAS, ESTÁNDARES Y PROCEDIMIENTOS DE SEGURIDAD
2.1 El Banco no cuenta con políticas de seguridad
formalmente documentadas que indiquen los
procedimientos de seguridad a ser adoptados
La definición de una política de
seguridad debería contemplar:
- Declaración escrita de la
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
Situación Actual SBS, Mejores Prácticas
Análisis
De
Brecha
para salvaguardar la información de posibles
pérdidas en la integridad, disponibilidad y
confidencialidad.
Sin embargo, se ha observado la existencia de
controles específicos en distintos aspectos de la
seguridad de la Información, que detallamos a
continuación.
política.
- Definición de la propiedad de la
Política.
- Políticas debidamente
comunicadas.
- Autoridad definida para realizar
cambios en la Política.
- Aprobación por el área legal.
- Alineamiento de la política con
la organización.
- Definición de responsabilidades
de la seguridad.
- Confirmación de usuarios de
conocimiento de la política.
2.2 SEGURIDAD LÓGICA
2.2 Hemos observado la existencia, entre otros
aspectos, de:
- Procedimientos definidos en el área de
sistemas para la concesión y administración
de perfiles y accesos a usuarios, incluyendo
la revocación y revisiones periódicas de los
mismos.
- Accesos a los sistemas de información del
Banco controlados al nivel de red de datos y
aplicación, para lo cual cada usuario cuenta
con IDs y contraseñas de uso estrictamente
personal y de responsabilidad de los
usuarios.
- Controles de acceso a herramientas de
La Seguridad Lógica debería
contemplar los siguientes aspectos:
- Definición de procedimientos
formales para la administración
de perfiles y usuarios.
- Identificación única de
usuarios.
- Controles sobre el uso de
herramientas de auditoria y
utilidades sensibles del
sistema.
- Controles sobre el acceso y
uso de los sistemas y otras
instalaciones físicas.
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
Situación Actual SBS, Mejores Prácticas
Análisis
De
Brecha
auditoria en los sistemas de información.
- Controles de acceso parciales a utilidades
sensibles del sistema.
- Generación parcial de pistas de auditoria en
los sistemas de información.
Hemos observado que no cuenta con:
- Controles de acceso a utilidades sensibles
del sistema sobre estaciones de trabajo
Win98/95.
- Habilitación de opciones de auditoria en los
sistemas operativos de red.
- Procedimientos de revisión de pistas de
auditoria que contemplen no solo los registros
del computador central.
- Controles sobre usuarios
remotos y computación móvil.
- Administración restringida de
los equipos de acceso remoto y
configuración de seguridad del
mismo.
2.3 SEGURIDAD DE PERSONAL
Hemos observado que el Banco se encuentra en
un proceso de normalización llevado a cabo por el
área de RRHH y la de OyM el cual incluye entre
otros aspectos:
- Formalización de normas y procedimientos de
las distintas áreas del Banco.
- Identificación de información relevante a
entregar a los nuevos trabajadores por área
de trabajo.
- Normalización de entrega de dicha
información a los actuales trabajadores
incluyendo documento de confirmación de
conocimiento.
Se debería considerar:
- Procedimientos de revisión de
datos en el proceso de
selección de personal previo a
su contratación (Ex.
Referencias de carácter,
verificación de estudios,
revisión de crédito –si aplica- y
revisión independiente de
identidad)
- Entrega formal de las políticas
de manejo de información
confidencial a los nuevos
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
Situación Actual SBS, Mejores Prácticas
Análisis
De
Brecha
Adicionalmente hemos observado que RRHH
considera dentro del proceso de evaluación de
personal nuevo, la verificación de distintos
aspectos de personales a modo de preselección o
filtro de personal idóneo para el Banco.
integrantes del Banco.
- Definición apropiada de
responsabilidad sobre la
seguridad es parte de los
términos y condiciones de la
aceptación del empleo (ex.
Términos en el contrato).
- Difusión de las políticas con
respecto al monitoreo de
actividades en la red y
sistemas de información, antes
entregar IDs a usuarios.
2.4 SEGURIDAD FÍSICA Y AMBIENTAL
Hemos observado la existencia, entre otros
aspectos, de:
- Controles de acceso adecuados a sus activos
físicos e instalaciones
- Normas de control de acceso físico a áreas
sensibles establecidos y en proceso de
mejora en el caso de la oficina principal.
- Monitoreo constante de las instalaciones del
Banco.
- Controles ambientales así como medidas
preventivas y correctivas ante incendios.
- Existen procedimientos definidos para el
deshecho de papeles de trabajo.
- Las copias de respaldo son almacenadas de
manera segura.
- Generadores de respaldo y UPS para red de
Se debería considerar los
siguientes aspectos:
Áreas seguras
Procedimientos de reubicación de
empleados
- Controles de áreas de carga y
descarga.
- Controles físicos de entrada.
- Seguridad del perímetro físico
de las instalaciones.
- Procedimientos de Remoción o
reubicación de activos.
- Aseguramiento de oficinas,
áreas de trabajo y facilidades.
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
Situación Actual SBS, Mejores Prácticas
Análisis
De
Brecha
datos .
Sin embargo encontramos deficiencias en los
siguientes aspectos:
- Las medidas de seguridad existentes no se
extienden a la Información como activo de
valor del Banco y no existen normas
adecuadas con respecto al resguardo de la
misma cuando se trata de activos físicos
(equipos o elementos de almacenamiento de
información, documentos impresos, etc.).
- No existe un programa de concientización
para el usuario con respecto al cuidado
necesario para con la información.
- No existe una norma en uso sobre “mesas y
pantallas limpias”.
El programa de mantenimiento preventivo de los
equipos del Banco se encuentra incompleto al
considerar únicamente al computador central.
Seguridad de Equipos
Aseguramiento de Cableado
- Acciones y planes de
mantenimiento de equipos
Protección de equipos
Normas de seguridad para laptops.
- Fuentes de poder redundantes.
- Procedimientos de eliminación
o uso reiterado seguro de
equipos de manera segura
Controles generales
- Política de “mesa limpia”
- Política de “pantallas limpias”
2.5 CLASIFICACIÓN DE SEGURIDAD
El Banco cuenta con inventarios de software,
licencias y hardware razonablemente
actualizados
Sin embargo carece de inventarios de
información, servicios y proveedores así como de
una clasificación de los elementos mencionados
con respecto a su nivel de riesgo dentro del
Banco.
Se debería considerar los
siguientes aspectos:
- Un catálogo de todos los
activos físicos de la
organización, indicando tipo de
activo, ubicación física,
responsable y nivel de
criticidad.
- Un catálogo de todos los
activos de software tales como
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
Situación Actual SBS, Mejores Prácticas
Análisis
De
Brecha
herramientas de desarrollo,
aplicaciones, etc. Debe indicar
entre otros, vendedor,
ubicación lógica y física,
responsable, nivel de criticidad,
clasificación de la información,
etc.
- Un catálogo o descripción de
alto nivel de todos los activos
de información mas
importantes de la organización.
Debe indicar información como
tipo de data, ubicación lógica o
física, responsable o dueño de
la información, clasificación de
la información y nivel de
criticidad.
- Un listado de todos los
servicios tales como
comunicaciones, cómputo,
servicios generales, etc. y
documentar la información
relativa a los proveedores del
servicio. Debería incluir entre
otros, persona de contacto con
el proveedor, procedimientos
de servicios de emergencia,
criticidad y unidades de
negocio afectadas por el
servicio.
- Clasificación de los sistemas
de información y/o grupos de
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
Situación Actual SBS, Mejores Prácticas
Análisis
De
Brecha
data según su criticidad y sus
características de
confidencialidad, integridad y
disponibilidad.
- Asignación de la
responsabilidad de clasificación
- Procedimientos de
mantenimiento de la
clasificación
3 ADMINISTRACIÓN DE OPERACIONES Y COMUNICACIONES
El Banco cuenta con:
Procedimientos y responsabilidades de
operación.
- Documentación no formalizada relativa a los
procedimientos de operaciones en los
sistemas de información
- Procesos de revisión y reporte de
conformidad de dichas operaciones.
Controles establecidos relativos a cambios en
los sistemas de información.
Control en cambios operacionales.
- Adecuada separación de las facilidades de
los ambientes de producción y las de
desarrollo.
- Un Sistema a través del cual se administran
las actividades de:
- Cambios a los programas;
- Pase a producción; y
Se deberían considerar los
siguientes aspectos:
Procedimientos y
responsabilidades de operación.
- Documentación formal de todos
los procedimientos de
operación así como
procedimientos y niveles de
autorización definidos para su
mantenimiento.
- Programación de trabajos o
procesos debe ser
correctamente documentada,
así como el resultado de dichas
ejecuciones.
Administración de facilidades
externas.
- Todo procesos realizado en o
por un tercero, debe ser
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
Situación Actual SBS, Mejores Prácticas
Análisis
De
Brecha
- Administración de versiones
- Adecuada segregación de funciones en
labores de pase a producción de sistemas.
- Limitación de operadores a través de menús
de acceso.
Protección contra software malicioso.
- Controles de protección contra virus y
software malicioso y procedimientos de
revisión periódica del cumplimiento o
efectividad de dichos controles, tanto por
parte del área de sistemas como por parte del
auditor de sistemas.
Segregación de funciones
- Todas las funciones mencionadas se
mantienen independientes. Sin embargo,
cabe mencionar que el actual Auditor de
Sistemas del Banco perteneció al equipo de
soporte del área de sistemas y mantiene
acceso a datos de producción y desarrollo.
Posee acceso también a la línea de
comandos de ambos entornos.
- Asimismo, eventualmente usuarios finales
tienen acceso a la línea de comandos;
restringida a tareas puntuales. No existe
control formal sobre estas actividades.
Operaciones de verificación
evaluado con respecto a los
riesgos y seguridad para
desarrollar procedimientos que
mitiguen dichos riesgos.
Control en cambios
operacionales.
- Todo cambio en la red de
datos, incluyendo software,
dispositivos, cableado o
equipos de comunicación debe
seguir procedimientos formales
definidos y adecuadamente
registrados.
- Roles y responsabilidades
deben ser claramente definidos
y las funciones adecuadamente
segregadas.
- Los cambios deben ser
adecuadamente aprobados.
- Los resultados de todo cambio
deben ser correctamente
documentados. Roles y
responsabilidades en las
actividades de pase a
producción correctamente
definidos y segregados.
- Adecuada separación de
ambientes de producción y
desarrollo.
- Estándar de administración de
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
Situación Actual SBS, Mejores Prácticas
Análisis
De
Brecha
- Procedimientos de generación y
almacenamiento de copias de contingencia
definidos.
- Se usan formatos de reporte de las
actividades de operación y generación de
copias de respaldo.
Administración de Red
- Se cuenta con un sistema Proxy y un filtro de
paquetes como elementos de protección de
red. No se cuenta con una DMZ ni con una
arquitectura de seguridad red apropiada con
respecto a la Internet.
Manipulación y seguridad de dispositivos de
almacenamiento de información.
- Las copias de respaldo se encuentran en una
localidad distinta y son aseguradas por un
tercero.
- No existen políticas con respecto al manejo
de otros dispositivos de almacenamiento de
información en el área de sistemas.
Intercambio de información y seguridad
- Controles y restricciones establecidas, no
documentadas ni formalizados, respecto al
uso del correo electrónico.
cambios definido, incluyendo
cambios de emergencia.
- Control de accesos a escritura
sobre sistemas en producción.
Administración de incidentes de
seguridad.
- Definición de procedimientos y
equipos de respuesta ante
incidentes de seguridad.
Segregación de funciones.
- Las actividades de desarrollo,
migración y operación de
sistemas, así como las de
administración de aplicaciones,
helpdesk, administración de red
y de IT deben ser
correctamente segregadas.
Planeamiento de sistemas.
- Procedimientos formales
definidos de planeamiento de
recursos.
Protección contra software
malicioso.
- Controles preventivos y
detección sobre el uso de
software de procedencia
dudosa, virus, etc.).
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
Situación Actual SBS, Mejores Prácticas
Análisis
De
Brecha
Operaciones de verificación
- Adecuado registro de fallas.
- Adecuados procedimientos de
generación de copias de
respaldo.
- Registros adecuados de todas
las actividades de operación.
Administración de Red
- Adecuados controles de
operación de red
implementados.
- Protección de la red y
comunicaciones usando
dispositivos de control de
accesos, procedimientos y
sistemas de monitoreo de red
(Detección de intrusos) y
procedimientos de reporte.
Manipulación y seguridad de
dispositivos de almacenamiento
de información.
- Aseguramiento sobre medios
de almacenamiento y
documentación de sistemas.
Intercambio de información
(Correo electrónico y otros) y
seguridad
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
Situación Actual SBS, Mejores Prácticas
Análisis
De
Brecha
- Controles de seguridad en el
Correo electrónico y cualquier
otro medio de transferencia de
información (Ex. Normas,
filtros, sistemas de protección
contra virus, etc.).
- Seguridad en la Banca
Electrónica.
4 DESARROLLO Y MANTENIMIENTO
El Banco cuenta con:
- Metodología de Desarrollo y Mantenimiento
de Aplicaciones que especifica las siguientes
actividades como tareas dentro de un
proyecto:
§ Definiciones
§ Perfil
§ Definiciones funcionales
§ Especificaciones funcionales
§ Diagrama de procesos
§ Prototipo
§ Plan de Trabajo
§ Definiciones técnicas
§ Diagrama de Contexto
§ Diagrama de flujo de datos
§ Modelo de datos
§ Cartilla técnica
§ Cartilla de operador
§ Cartilla de usuario
§ Pruebas y capacitación
§ Acta de conformidad de pruebas
Se debería considerar lo siguiente:
- Contar con metodologías y
estándares formales de
desarrollo y mantenimiento de
sistemas.
- Los requerimientos deben ser
definidos antes de la fase de
diseño y se debe determinar un
apropiado ambiente de control
para la aplicación, estos
requerimientos deben incluir:
§ Control de acceso
§ Autorización
§ Criticidad del
sistema
§ Clasificación de la
información
§ Disponibilidad del
sistema
§ Integridad y
confidencialidad de
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
Situación Actual SBS, Mejores Prácticas
Análisis
De
Brecha
§ Pase a producción
- Las aplicaciones cuentan con controles de
edición y cuando se requiere de controles en
totales, cuadres, etc. Estos son generalmente
definidos en las etapas de definición del
proyecto por los responsables de las áreas
usuarias y se deja documentado dichos
requerimientos de control.
- Procesos en lote ("batch") mantienen
actividades iniciales que validan la
información a procesar. Asimismo, para el
caso específico de Lotes Contables, se valida
la información inicial a procesar durante el
día, para evitar se retrase el procesamiento
por dicha actividad.
- Rutinas de consistencia de información que
se remite a otras entidades como COFIDE y
SBS, realizadas a través de un sistema
llamado SUCAVE.
- Librerías de rutinas ya estandarizadas y
revisadas para controles de fechas, campos
numéricos y cadenas de caracteres, totales
numéricos, cálculo de intereses, entre otros.
Sin embargo, cabe señalar que en algunos
casos estas rutinas se mantienen
independientes en cada programa y no en
una librería de rutinas que invoca todo
programa que lo necesite.
- Técnicas de encriptación para intercambio de
información con Unibanca, con la Cámara de
Compensación Electrónica y SUNAD
la información.
- Todas las aplicaciones deberán
tener rutinas de validación de
data.
- Toda la data debe ser revisada
periódicamente, a fin de
detectar inexactitud, cambios
no autorizados e integridad de
la información.
- Se deben definir controles para
prevenir que la data se vea
afectada por un mal
procesamiento.
- Se deben definir controles que
permitan revisar toda
información obtenida por un
sistema de información,
asegurando que sea completa,
correcta y solo disponible para
personal autorizado.
- Uso de técnicas de
encriptación estándar.
- Controles para el acceso a las
librerías de programa fuentes.
- Mantener un estricto y formal
control de cambios, que sea
debidamente apoyado por
sistemas informáticos en el
caso de ambientes complejos o
con alto número de cambios.
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
Situación Actual SBS, Mejores Prácticas
Análisis
De
Brecha
- Entornos independientes de desarrollo y
producción.
- La metodología de desarrollo y
mantenimiento de aplicaciones indica la
necesidad de una actividad de prueba de los
cambios y/o nuevos requerimientos; sin
embargo, no existe procedimientos
específicos definidos para la documentación
de las pruebas realizadas ni para la
conformidad de las mismas.
Cabe señalar que se mantiene versiones de los
programas fuente y compilados en los entornos
de Desarrollo y Producción. El sistema Fenix
administra los cambios y versiones del entorno de
desarrollo y la actualización en el entorno de
producción se encuentra a cargo del Jefe de
Soporte Técnico.
Los estándares de mantenimiento y desarrollo no
se encuentran completos.
- Procedimientos formales y
adecuados para las pruebas y
reportes de las mismas.
5 PROCEDIMIENTOS DE RESPALDO
Se cuenta con un procedimiento formalizado para
el respaldo de información del computador central
y de usuario final, este procedimiento establece:
- Para archivo de datos, se realiza con una
frecuencia diaria, dos copias y tres
generaciones.
- Para software base, se realiza con una
frecuencia diaria, dos copias y tres
generaciones.
Los procedimientos de generación
de copias de respaldo deberían
contar con los siguientes controles
clave:
- Aseguramiento de que el
proceso de generación de
copias de respaldo haya
culminado exitosamente.
- Procedimientos que
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
Situación Actual SBS, Mejores Prácticas
Análisis
De
Brecha
- Para los programas fuente, se realiza de
forma diaria, una copia en tres generaciones.
- Para la información de usuarios finales, se
realiza de forma diaria, una copia en tres
generaciones.
Todas las copias se guardan en la bóveda central
del Banco y de forma mensual se remiten a
almacenar en la empresa PROSEGUR.
Se encuentra en proceso de definición un
procedimiento de verificación de cintas, por la
antigüedad de las mismas.
Se mantiene información histórica desde el inicio
de actividades del Banco.
contemplen pruebas periódicas
de las copias de respaldo.
- El tiempo de almacenamiento
de las copias de respaldo debe
estar en concordancia con los
requisitos legales y normativos
vigentes.
- Se debería considerar:
- Generación de Plan de
Contingencias que abarque
todos los procesos críticos del
Banco y que se ha desarrollado
siguiendo una metodología
formal.
- Procedimientos revisión
periódica del plan.
- Creación de un equipo para
implementar el plan en el que
todos los miembros conocen
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
Situación Actual SBS, Mejores Prácticas
Análisis
De
Brecha
sus responsabilidades y cómo
deben cumplir con las tareas
asignadas.
- Existencia de preparativos
adecuados para asegurarse de
la continuidad del
procesamiento
computadorizado (existe centro
de procesamiento alterno).
- Una copia del plan de
contingencias se almacena en
una sede remota y será de fácil
acceso en caso de que
ocurriere cualquier forma de
desastre.
- Preparativos de contingencia
para el hardware y software de
comunicaciones y redes.
- Realización periódica un back-
up de los archivos de datos
críticos, los sistemas y
bibliotecas de programas
almacenándolo en una sede
remota cuyo tiempo de acceso
sea adecuado.
- Identificación del equipamiento
requerido por los especialistas
y se hicieron los preparativos
para su reemplazo.
- Se debería considerar lo siguiente:
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
Situación Actual SBS, Mejores Prácticas
Análisis
De
Brecha
- Revisión del impacto sobre el
negocio, previo al diseño del
Plan de continuidad de
negocios, identificando las
partes más expuestas a riesgo.
- Realizar revisión del impacto
en el negocio, estableciendo
los procedimientos a seguirse
en el caso de que ocurriera un
desastre (por ej. Explosión,
incendio, daño por tormenta,
pérdida de personal clave) en
cualquiera de las dependencias
operativas de la organización.
- Deberían existir planes de
contingencia para cada recurso
computadorizado.
- El plan de contingencias
debería contemplar las
necesidades de los
departamentos usuarios en
términos de traslados,
ubicación y operación.
- El plan de contingencias
debería asegurar que se
observen normas de seguridad
de información en caso de que
ocurriera un desastre.
- El cronograma para la
recuperación de cada función
debería ser revisado asegurando
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
Situación Actual SBS, Mejores Prácticas
Análisis
De
Brecha
que sea adecuado.
El plan de contingencias debería
probarse periódicamente para
asegurarse de que aún es viable y
efectivo.
6 SUBCONTRATACIÓN
Encontramos que el Banco tiene principalmente,
los siguientes servicios contratados:
- UNIBANCA: Procesamiento de transacciones
de tarjetas (diario)
- HERMES: Distribución de tarjetas de crédito y
débito. Información necesaria y tarjetas
recibidas de UNIBANCA. (diario)
- NAPATEK: Impresión de estados de cuenta y
“ensobrado”. Recibe información vía una
transferencia electrónica de archivos - "File
Transfer" (mensual).
- Rehder: Se transmite información de monto
facturado por cada cliente (e-mail) para el
seguro de desgravamenes (mensual).
- TELEFONICA: Centro de procesamiento de
datos de respaldo. Entrará en operatividad el
31 de Mayo.
- PROSEGUR: Almacenamiento de copias de
respaldo.
No se obtuvo información (contratos) relativa a los
servicios prestados por UNIBANCA.
El plan de contingencias debe
incluir la pérdida del servicio
prestado por terceros.
Los contratos de servicios con
terceros deberían incluir entre otros
aspectos, los siguientes:
- Requerimientos de seguridad y
las acciones que se tomarán de
no cumplirse el contrato.
- Acuerdos de controles de
seguridad y políticas a
aplicarse para garantizar el
cumplimiento de los
requerimientos.
- Determinación de los niveles
de servicio requeridos (Service
Level Agreements o SLA).
- El derecho de la entidad, y la
Superintendencia de Banca y
Seguros, o las personas que
ellos designen, de auditar el
ambiente de la empresa que
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
Situación Actual SBS, Mejores Prácticas
Análisis
De
Brecha
El Banco no cuenta con un procedimiento definido
para la inclusión de cláusulas relativas a la
confidencialidad, niveles de servicio, etc., en los
contratos de servicios prestados por terceros al
Banco.
brinda el servicio, para verificar
los controles de seguridad
aplicados a la data y los
sistemas.
- Documentación sobre los
controles físicos y lógicos,
empleados por la empresa que
brinda el servicio, para proteger
la confidencialidad, integridad y
disponibilidad de la información
y equipos de la entidad.
- Determinación de los
requerimientos legales,
incluyendo privacidad y
protección de la data.
- Procedimiento que asegure
que la empresa que brinda el
servicio realizará pruebas
periódicas para mantener la
seguridad de la data y los
sistemas.
- Cláusula sobre exclusividad de
equipos que procesan
información del Banco.
7 CUMPLIMIENTO NORMATIVO
El Banco ha implementado controles para el
cumplimiento normativo relativo al uso de
software licenciado, tales como:
- Controles manuales periódicos por parte del
área de sistemas y el área de auditoria de
sistemas.
Se debería contar con:
- Definición de responsable del
cumplimiento de las normas
emitidas por la
Superintendencia.
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
Situación Actual SBS, Mejores Prácticas
Análisis
De
Brecha
- Compromiso firmado por los usuarios
referente al software autorizado, tipificando el
incumplimiento como falta grave.
- Evaluación de software para auditorías de
software de forma automática.
- La información, tanto física como digital es
almacenada según períodos determinados
por ley.
- Existe un procedimiento de comunicación de
las normas legales emitidas aplicables a las
distintas áreas del Banco y el área de
auditoria interna realiza labores de control
con respecto a la implementación de dichas
normas.
Sin embargo:
- No existe un responsable definido en la
estructura del Banco encargado de mantener
actualizada sobre las normas emitidas por
organismos reguladores.
- Procedimientos de control
establecidos para el
cumplimiento de las normas
emitidas por la
Superintendencia.
- Control de cumplimiento de
normas sobre la propiedad
intelectual (licenciamiento de
software).
8 PRIVACIDAD DE LA INFORMACIÓN
El Banco no cuenta con:
- Un responsable asignado para la salvaguarda
de la privacidad de la información.
Si bien durante las diversas charlas realizadas en
los Comités se tocan temas referentes al secreto
bancario, no se han implementado controles
específicos en todas las áreas del Banco con el
fin de evitar la exposición de información sensible
Se debería contar con:
- Definición de responsabilidades
con respecto a la aplicación del
secreto bancario y de la
privicidad de la Información.
- Restricciones de acceso a
información en salvaguarda de
su privacidad y del secreto
bancario.
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
Situación Actual SBS, Mejores Prácticas
Análisis
De
Brecha
de los clientes y del Banco así como limitar el
acceso del personal a dicha información.
En el área de sistemas se han implementado
controles respecto a la limitación de acceso a
información de clientes y se ha registrado
evidencia de incidentes y acciones tomadas por
auditoria interna, dicha situación no se replica en
las distintas áreas del Banco.
- Existencia de autorizaciones
internas para la entrega y
transferencia de información.
9 AUDITORIA INTERNA Y EXTERNA
El Banco no cuenta con:
- Un área de auditoria interna que esta
incluyendo en su plan de auditoria el
cumplimiento de lo dispuesto en la norma G-
105-2002 de la Superintendencia.
Se debería considerar:
- La Unidad de Auditoria Interna
deberá incorporar en su Plan
Anual de Trabajo la evaluación
del cumplimiento de lo
dispuesto en la norma G-105-
2002 de la Superintendencia.
- Las sociedades de Auditoria
Externa deberán incluir en su
informe sobre el sistema de
control interno comentarios
dirigidos a indicar si la entidad
cuenta con políticas y
procedimientos para la
administración de los riesgos
de tecnología de información.
El Banco deberá contar con un
servicio permanente de auditoria de
sistemas.
Plan de Seguridad Informática para una Entidad Financiera.Córdova Rodríguez, Norma Edith.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas yBiblioteca Central UNMSM
BIBLIOGRAFÍA
1. Information Technology Security for Managers - Workshop sobre temas de
Seguridad – IBM Global Service. http://www.ibm.com/services/securite
2. ISO /IEC 17799:2000 http://www.iso1799.com
3. British Standard 7799
4. INFOSEC’S WORST NIGHTMARES
http://www.infosecuritymag.com/2002/nov/nightmares.shtml
5. ¿Como elaborar politicas de Seguridad efectivas?
http://www.symantec.com/region/mx/enterprisesecurity