Documente Academic
Documente Profesional
Documente Cultură
BORRADO R
PGINA 2 DE 28
CDIGO: PO01.00-PA-04-06
VERSIN: 00
CONTENIDO
I.
INTRODUCCIN ................................................................................................................................ 3
II.
OBJETIVOS ........................................................................................................................................ 3
DEFINICIONES ................................................................................................................................... 4
2.
3.
4.
2.
3.
4.
5.
6.
7.
8.
9.
I.
PGINA 3 DE 28
CDIGO: PO01.00-PA-04-06
VERSIN: 00
INTRODUCCIN
La Junta Directiva y Gerencia General de FDL reconocen la importancia de proteger sus
sistemas informticos y la informacin que en ellos reside, proporcionando los recursos
necesarios para la definicin e implementacin de las polticas descritas en este documento.
La automatizacin de los procesos de negocio del sector financiero y en particular de la
financiera ha propiciado una alta dependencia a sus sistemas aplicativos para la administracin
de informacin, esta informacin debe ser protegida ante cualquier amenaza sobre su
confidencialidad, integridad y disponibilidad.
Este documento describe los lineamientos de seguridad que deben ser implementados para
garantizar la confidencialidad, disponibilidad e integridad de los activos de informacin. Esta
poltica pretende ser el marco de control que debe seguirse para garantizar los adecuados
niveles de seguridad en el uso de la informacin y se ha elaborado tomando en cuenta las
mejores prcticas de la industria.
II. OBJETIVOS
1. Definir una lnea base de controles para proteger los recursos de informacin.
2. Brindar lineamientos para tomar decisiones acertadas para asegurar la seguridad de la
informacin.
III. ALCANCE
Los lineamientos contenidos en este documento deben ser implementados a toda la
institucin sin excepciones.
PGINA 4 DE 28
CDIGO: PO01.00-PA-04-06
VERSIN: 00
V. DEFINICIONES
1. Seguridad de la Informacin: La seguridad de la informacin se define como la
preservacin de la confidencialidad, integridad y disponibilidad de la informacin y los
sistemas computacionales.
2. Confidencialidad: Se refiere a que la informacin sea accesible slo por aquellos usuarios
autorizados a tener acceso.
3. Integridad: Se refiere a que la informacin y los mtodos de procesamiento sean exactos y
completos.
4. Disponibilidad: Se refiere a que los usuarios autorizados tengan acceso a la informacin y
a los recursos asociados cuando lo requieran.
5. Incidente de Seguridad: Cualquier evento que atente contra los principios de
confidencialidad, integridad y disponibilidad.
6. Activos de informacin: Archivos y bases de datos, documentacin del sistema, manuales
de los usuarios, material de formacin, procedimientos operativos o de soporte, planes de
continuidad, documentos de configuracin, etc.
7. reas de seguridad: Localizaciones donde se encuentren equipos informticos requeridos
para el buen funcionamiento de los sistemas de la institucin, por ejemplo; centro de
datos o cuartos de comunicaciones.
8. Elementos de configuracin: Componentes de los servicios TI tales como dispositivos de
hardware, Software o Documentacin. En resumen, todos los componentes que han de
ser gestionados por la organizacin de TI.
9. Sistemas aplicativos: Software adquirido o desarrollado por la institucin para facilitar a
los usuarios un trabajo determinado.
10.Cambio de emergencia: Cambios de urgencia que son realizados en ambientes
productivos para solucionar incidencias que afectan la operacin del banco, estos cambios
no proceden segn el proceso estndar de control de cambios.
PGINA 5 DE 28
CDIGO: PO01.00-PA-04-06
VERSIN: 00
VI. RESPONSABILIDADES
1. Junta Directiva y Gerencia General
1.1. Aprobar los lineamientos, normas, polticas y procedimientos para administrar de
manera adecuada y prudente la seguridad y los riesgos de tecnologa de la
informacin.
1.2. Revisar y actualizar los documentos antes referidos al menos con una frecuencia
anual.
1.3. Establecer mecanismos que aseguren la implementacin de sistemas de informacin
que cumplan criterios de confidencialidad, integridad y disponibilidad de la
informacin.
1.4. Estar informado acerca de los resultados del proceso de gestin de seguridad de la
informacin.
2. Gerencia de Operaciones y Sistemas
2.1. Implementar y proponer actualizacin de la poltica de Seguridad de la Informacin
para garantizar adecuados niveles de seguridad.
2.2. Evaluar, adquirir e implementar soluciones de seguridad informtica.
2.3. Realizar actividades e implementar procedimientos necesarios para garantizar un
ambiente informtico seguro.
2.4. Llevar a cabo el trabajo requerido para asegurar el cumplimiento de los lineamientos
dictados en esta poltica.
2.5. Identificar, analizar y reportar incidentes relevantes de seguridad de la informacin.
2.6. Monitorear el cumplimiento de marco legal y regulatorio
3. Usuarios y colaboradores.
3.1. Cumplir y hacer cumplir los lineamientos establecidos en esta poltica.
PGINA 6 DE 28
CDIGO: PO01.00-PA-04-06
VERSIN: 00
4. Auditora Interna.
4.1. Realizar evaluaciones independientes a la implementacin de esta poltica.
VII. POLTICAS
1. Organizacin para gestionar la seguridad de la informacin
1.1. Se establecer un comit ejecutivo para dirigir y administrar las iniciativas de
seguridad.
1.2. El comit ejecutivo ser conformado por cargos de gerencia de diferentes reas, de
tal forma que facilite la implementacin de controles a la seguridad de la
informacin.
1.3. Deber existir un coordinador de seguridad de TI, esta funcin tendr a cargo la
gestin de todas las actividades orientadas a la proteccin de los activos informticos
y de los activos de informacin que estos contengan.
1.4. Las responsabilidades del personal de TI en materia de seguridad debern estar
listadas en sus descriptores de puestos.
1.5. Cuando sea necesario, se facilitar el acceso a la institucin a consultores o asesores
especializados en materia de seguridad de la informacin.
1.6. Las prcticas internas de seguridad debern ser evaluadas por personal externo a la
institucin al menos una vez al ao para identificar exposiciones relevantes de riesgo
que deban ser subsanadas.
2. Clasificacin y proteccin de activos de informacin
2.1. Se establecern las siguientes categoras a los activos de informacin para identificar
su grado de sensibilidad y criticidad:
2.1.1. Pblica: Informacin de carcter pblico cuyo acceso no afecta de forma
significativa a la Institucin.
2.1.2. De uso interno: Informacin cuyo acceso es restringido al pblico, destinado
a grupos de personas particulares identificados por el propietario.
PGINA 7 DE 28
CDIGO: PO01.00-PA-04-06
VERSIN: 00
PGINA 8 DE 28
CDIGO: PO01.00-PA-04-06
VERSIN: 00
3.4. Los contratos con terceros debern reflejar todos los requisitos sobre seguridad y los
controles internos requeridos de acuerdo al tipo de servicio recibido, entre ellos
confidencialidad en la informacin y/o clusulas de no divulgacin.
3.5. La informacin transferida a terceras partes ser limitada en su contenido a los temas
que involucren el proyecto o la relacin de negocios.
3.6. Los contratos establecidos con terceros debern asegurar que no existan malos
entendidos entre las partes con respecto a las responsabilidades de cada uno.
3.7. Segn el caso, los trminos de contrato debern considerar lo siguiente:
PGINA 9 DE 28
CDIGO: PO01.00-PA-04-06
VERSIN: 00
3.10.Todo servicio de TI obtenido de terceras partes deber ser supervisado por una
contraparte tcnica designada por la institucin quien ser responsable del buen
resultado del trabajo efectuado.
3.11.Todo cambio en elementos de configuracin deber ser realizado de acuerdo a los
procedimientos internos de control de cambios.
4. Seguridad respecto al personal
4.1. El rea de gestin humana ser la encargada de verificar la idoneidad del personal
contratado.
4.2. Todo el personal deber firmar acuerdos de confidencialidad de la informacin.
4.3. La implementacin de servicios tecnolgicos deber tomar en cuenta los requisitos
para reducir los riesgos por error humano, robos, fraudes o mal uso de las
instalaciones y lo recursos de la institucin.
4.4. Los contratos laborales incluirn dentro de sus trminos las responsabilidades y
obligaciones legales, tales como respeto a las leyes de propiedad intelectual o de
proteccin de datos.
4.5. Durante el proceso de induccin de nuevos colaboradores se darn a conocer las
polticas de seguridad de la informacin y los procedimientos relacionados.
4.6. Se darn charlas de actualizacin al personal sobre el contenido de las polticas de
seguridad as como de buenas prcticas en el uso de los recursos y servicios
tecnolgicos, al menos una (1) vez al ao.
4.7. El rea de gestin humana definir las medidas disciplinarias a tomar con
colaboradores que cometan infracciones a las polticas de seguridad.
4.8. El usuario deber firmar un documento en el cual acepte haber ledo y entendido los
compromisos de seguridad asumidos, no podr alegar desconocimiento de las
mismas para ser eximido de las responsabilidades y sanciones de las cuales se haga
acreedor.
4.9. La seguridad de los sistemas no debe verse comprometida por la ausencia ocasional o
vacaciones del personal del rea de Sistemas.
PGINA 10 DE 28
CDIGO: PO01.00-PA-04-06
VERSIN: 00
4.10.Se har uso de las normativas laborales para promover la rotacin de personal en
ciertas funciones crticas para el funcionamiento normal de la institucin.
4.11.Al finalizar la relacin laboral con un colaborador se debern remover sus activos
informticos tanto fsicos como lgicos, es decir el empleado deber hacer entrega
formal de sus activos fijos as como de elementos de acceso a sistemas que le hayan
sido otorgados.
4.12.En caso de que la persona con la que se finalice la relacin laboral tenga
conocimiento
importante para la institucin, dicha informacin debe ser
documentada y transferida a la organizacin.
5. Seguridad fsica y del entorno
5.1. Los recursos informticos para gestionar la informacin requerida por los procesos de
la institucin debern ser resguardados en reas seguras internas o de terceros.
5.2. Las reas seguras debern:
Ser discretas y proveer indicaciones mnimas de su propsito.
5.2.2. Contar con las barreras y controles de seguridad fsica apropiados de acuerdo
al nivel de riesgo de cada localizacin.
5.2.3. Estar aisladas del acceso pblico.
5.2.1.
5.3. Las instalaciones con reas seguras contarn con personal de seguridad que ser
utilizado como medida para disuadir el intento de acceso a personal no autorizado.
5.4. Los controles de seguridad fsica implementados debern considerar lo siguiente:
PGINA 11 DE 28
CDIGO: PO01.00-PA-04-06
VERSIN: 00
5.6. Las visitas a las reas seguras sern supervisadas, registrando propsito, fechas y
horas de entrada y salida. Los visitantes slo tendrn acceso para propsitos
especficos y autorizados, proporcionndoles instrucciones sobre los requisitos de
seguridad del rea y los procedimientos de emergencia.
5.7. En general las reas de seguridad debern tener controles para minimizar los riesgos
de posibles amenazas como:
Robos.
Incendio.
Explosivos.
Humo.
Agua o excesos de humedad.
Polvo.
Vibraciones.
Agentes qumicos.
Interferencias en el suministro elctrico.
Radiaciones electromagnticas.
PGINA 12 DE 28
CDIGO: PO01.00-PA-04-06
VERSIN: 00
5.15.Se debern indicar las prohibiciones sobre fumar, comer o beber en reas de
seguridad.
5.16.Se debern implementar medidas de seguridad en relacin a los riesgos adyacentes a
las reas seguras, es decir a su localizacin y entorno.
5.17.Equipos y medios de respaldo debern estar a distancias de seguridad convenientes
para evitar dao en caso de un desastre en reas principales.
6. Seguridad de los equipos informticos
6.1. El rea de Sistemas:
6.1.1. Ser la encargada de proporcionar los equipos requeridos por cada puesto de
PGINA 13 DE 28
CDIGO: PO01.00-PA-04-06
VERSIN: 00
6.5. Los equipos de cmputo no sern ubicados de forma que se encuentren expuestos a
humedad, cadas y otros riesgos de dao.
6.6. Se dar mantenimiento a los equipos con la frecuencia y condiciones definidas por la
Vicegerencia de Tecnologa.
6.7. El mantenimiento de los equipos solamente ser brindado por personal autorizado.
6.8. El traslado lejano de equipos de cmputo de TI independientemente de su razn
deber efectuarse en condiciones de seguridad, se sugiere:
6.9. Todos los equipos debern tener instalado software antivirus y firewalls.
6.10.Deber existir pista de auditora de todos los fallos ocurridos en los equipos, as como
de los mantenimientos preventivos y correctivos.
7. Seguridad de dispositivos mviles
7.1. Salvo excepciones claramente documentadas, no se permitir el uso de dispositivos
mviles personales para hacer uso de servicios tecnolgicos de la institucin.
7.2. El rea de Sistemas deber gestionar la configuracin de seguridad de los dispositivos
mviles.
7.3. Los dispositivos mviles debern contar con los mecanismos de proteccin
dispuestos a otras terminales de trabajo:
Gestin de vulnerabilidades,
Antivirus,
Estndar de configuracin
Medidas ante robo de informacin, etc.
PGINA 14 DE 28
CDIGO: PO01.00-PA-04-06
VERSIN: 00
7.5. Los dispositivos mviles debern restringir acceso por medio de contrasea y
cumpliendo con las polticas de control de acceso definidas en este documento.
7.6. No se permitir la instalacin de programas sin autorizacin.
7.7. El rea de Sistemas autorizar la instalacin de programas efectuando un anlisis de
riesgo de la aplicacin.
7.8. Se debern crear un plan de capacitacin usuarios de dispositivos a fin de garantizar
el uso adecuado de estos equipos.
7.9. Una vez que el dispositivo personal de un usuario no requiera hacer uso de los
servicios de tecnologa, se requerir el dispositivo al usuario para restaurar su
configuracin de fbrica o estado al momento de la compra.
7.10.Bajo ninguna circunstancia se permitir a los usuarios copiar o conservar informacin
o software de la institucin una vez finalizada su relacin laboral.
8. Seguridad en los procesos operativos de tecnologa
8.1. Los procesos de administracin de la plataforma tecnolgica debern ser claramente
documentados y estar a disposicin de los usuarios cuando sea requerido.
8.2. Se deber implementar un repositorio de informacin que contenga documentacin
tcnica de los equipos y sistemas gestionados por el rea de Sistemas.
8.3. Los equipos informticos de los cuales depende la seguridad de los sistemas e
informacin de la institucin debern ser propiedad de la institucin y administrados
por su personal, no se delegarn responsabilidades de seguridad a terceros salvo que
existan definidos acuerdos de niveles de servicio previamente formalizados.
8.4. Los recursos para desarrollo, prueba y produccin debern estar separados para
evitar riesgos de acceso no autorizado o de cambios no controlados.
8.5. Se gestionarn vulnerabilidades en toda la plataforma tecnolgica, incluyendo
equipos que no sean productivos.
PGINA 15 DE 28
CDIGO: PO01.00-PA-04-06
VERSIN: 00
8.6. Todo cambio sobre las aplicaciones, infraestructura o los datos deber ser realizado
bajo autorizacin del rea de Sistemas o el rea propietaria de la informacin cuando
corresponda.
8.7. Los cambios significativos a equipos o sistemas crticos debern programarse
previamente.
8.8. Siempre que sea posible el rea de Sistemas deber implementar los procedimientos
de control de cambio, estos procedimientos debern considerar los siguientes
controles:
PGINA 16 DE 28
CDIGO: PO01.00-PA-04-06
VERSIN: 00
PGINA 17 DE 28
CDIGO: PO01.00-PA-04-06
VERSIN: 00
PGINA 18 DE 28
CDIGO: PO01.00-PA-04-06
VERSIN: 00
usuarios.
9.14.Se podr otorgar acceso a Internet a personal externo a solicitud de las reas usuarias
de la institucin y con la autorizacin del rea de Sistemas. El rea solicitante deber
indicar el tiempo de vigencia de estos permisos.
9.15.No se permitirn las descargas de cualquier material que pueda estar protegido por
las leyes de derecho de autor.
9.16.Se prohibir el uso de transmisin de video o voz de cualquier tipo va Internet salvo
que el negocio requiera hacer uso de estos medios.
9.17.En caso de requerir comunicaciones va Internet, el rea de Sistemas deber
proporcionar los medios requeridos para lograrlo.
9.18.Salvo excepciones documentadas por el rea de tecnologa, no se permitir el uso de
conexiones a internet no proporcionadas por la institucin.
9.19.En caso de conexiones a internet externas a la institucin, se debern implementar
medidas para que se haga buen uso de este servicio estableciendo restricciones en el
equipo.
9.20.El servicio de Internet no podr ser usado de cualquier forma en que pueda ser
percibida como un impacto negativo en la productividad, reputacin o imagen de la
institucin.
10.Seguridad del servicio de correo electrnico
10.1.El rea de Sistemas deber tomar medidas para evitar la entrada de correo masivo o
SPAM.
PGINA 19 DE 28
CDIGO: PO01.00-PA-04-06
VERSIN: 00
10.2.El acceso a correo electrnico ser otorgado por puesto con autorizacin de cada
gerente de rea, en casos excepcionales ser otorgado el permiso a colaboradores en
particular.
10.3.No se permitir el acceso a correos personales o web mails.
10.4.El servicio de correo ser proporcionado a los usuarios en dos modalidades de
acuerdo a lo indicado por sus jefes de rea:
10.5.El rea de Sistemas har uso de herramientas de seguridad para analizar el correo
entrante y saliente, con el fin de identificar robo de informacin o amenazas
relacionadas con cdigo malicioso.
10.6.Los correos electrnicos entrantes debern ser analizados en bsqueda de amenazas
a la plataforma tecnolgica de la institucin.
10.7.Todo correo electrnico enviado fuera de la institucin deber contener una
declaracin de privacidad de la informacin que contiene.
10.8.No se permitir el envo de correo con:
10.8.1. Archivos binarios y otros ejecutables.
10.8.2. Tamaos mayores a 10 MB.
PGINA 20 DE 28
CDIGO: PO01.00-PA-04-06
VERSIN: 00
11.3.Los accesos otorgados a cada colaborador debern corresponder con sus funciones y
basados en principios de necesidad de uso.
11.4.Los usuarios tendrn un identificador nico en los sistemas a los que tengan acceso,
de esta forma se vincular al usuario para atribuirle las responsabilidades por las
acciones realizadas.
11.5.El acceso a los sistemas de informacin ser definido conformando perfiles que
correspondan a cada puesto de trabajo.
11.6.Nunca se otorgarn accesos privilegiados a personas ajenas a la institucin.
11.7.Los permisos a cada perfil de acceso debern ser documentados en una Matriz de
Accesos estndar.
11.8.La administracin de permisos se har gestionando identidades de grupos de
colaboradores cuando sea posible.
11.9.Los cambios a permisos en sistemas de informacin debern ser autorizados por los
jefes de rea.
11.10. Los accesos otorgados a cada usuario y los permisos de cada rol debern ser
revisados al menos semestralmente, en el caso de accesos con privilegios especiales
debern ser revisados con una periodicidad trimestral.
11.11. Se considerarn prohibidos todos aquellos permisos que no estn explcitamente
permitidos.
11.12. Debern existir registro y comunicacin oportuna de las altas y bajas de usuarios.
11.13. Las cuentas de usuario tendrn vigencia nicamente mientras exista una relacin
legal de trabajo o de servicio entre la institucin y la persona.
11.14. Siempre que sea posible, la vigencia de las cuentas de usuario tendr una
temporalidad definida, una vez finalizada las cuentas debern inactivarse
automticamente.
11.15. Siempre que el sistema lo permita, las cuentas
automticamente, una vez transcurridos 30 das sin uso.
debern
inactivarse
PGINA 21 DE 28
CDIGO: PO01.00-PA-04-06
VERSIN: 00
PGINA 22 DE 28
CDIGO: PO01.00-PA-04-06
VERSIN: 00
12.6.Toda contrasea por defecto en los equipos adquiridos deber ser cambiada al iniciar
su funcionamiento.
PGINA 23 DE 28
CDIGO: PO01.00-PA-04-06
VERSIN: 00
PGINA 24 DE 28
CDIGO: PO01.00-PA-04-06
VERSIN: 00
13.6.Se debern establecer los mecanismos para verificar que el procesamiento de los
sistemas de informacin funciona correctamente y acorde con lo que el negocio
requiere.
13.7.El diseo de las aplicaciones informticas deber minimizar la probabilidad de
prdida de datos o prdida de integridad de la informacin.
13.8.Se debern evaluar las funciones del sistema de mayor riesgo, por ejemplo aquellas
que realicen actualizaciones, inserciones o eliminacin de registros en bases de
datos.
13.9.Se deber cerciorar la aplicacin de procesos en el orden correcto, estos procesos
debern suspender su ejecucin en caso de error o finalizarla dejando registro de los
casos con inconsistencias.
13.10. Se har uso de recuperacin o correccin de fallas para asegurar el proceso correcto
de los datos.
13.11. Los controles a implementar en cada aplicacin estarn acorde con la naturaleza del
sistema y del posible impacto en caso de fallas. Algunos controles aplicables se
describen a continuacin:
Controles de sesin o procesamientos por lote, para conciliar cuadre de archivos
posterior a actualizacin de transacciones.
Controles para comprobar cuadres de apertura versus cuadres previos a cierres.
Validaciones de los datos generados por el sistema.
Comprobaciones de la integridad de los datos.
Totales de comprobacin de registros y de archivos.
Comprobaciones que aseguren la ejecucin correcta de aplicaciones.
PGINA 25 DE 28
CDIGO: PO01.00-PA-04-06
VERSIN: 00
13.12. Siempre que sea posible sern implementadas interfaces automticas para hacer
intercambio de informacin entre mdulos o sistemas, se evitar en la medida de lo
posible intervencin humana o procesamiento de informacin de manera manual.
13.13. Se validarn los datos de salida de los sistemas de aplicacin para garantizar que el
proceso de la informacin ha sido correcto y apropiado.
13.14. Las operaciones importantes para la institucin que sean ejecutadas va sistemas de
informacin debern requerir de niveles de autorizacin segn sea el caso. Por
ejemplo:
Apertura de cajas.
Reverso de cargos.
Aplicacin de tarifas especiales o diferenciadas.
Desembolsos de crdito.
Excepciones a polticas de crdito.
Excepciones a polticas de niveles de autorizacin.
PGINA 26 DE 28
CDIGO: PO01.00-PA-04-06
VERSIN: 00
PGINA 27 DE 28
CDIGO: PO01.00-PA-04-06
VERSIN: 00
PGINA 28 DE 28
CDIGO: PO01.00-PA-04-06
VERSIN: 00