Documente Academic
Documente Profesional
Documente Cultură
Captulo VI
6.1 Definicin
Una Poltica de seguridad de informacin es un conjunto de reglas aplicadas a
todas las actividades relacionadas al manejo de la informacin de una entidad,
teniendo el propsito de proteger la informacin, los recursos y la reputacin de
la misma.
Propsito
El propsito de las polticas de seguridad de la informacin es proteger la
informacin y los activos de datos del Banco. Las polticas son guas para
asegurar la proteccin y la integridad de los datos dentro de los sistemas de
aplicacin, redes, instalaciones de cmputo y procedimientos manuales.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informtica para una Entidad Financiera .
Crdova Rodrguez, Norma Edith.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informtica para una Entidad Financiera .
Crdova Rodrguez, Norma Edith.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informtica para una Entidad Financiera .
Crdova Rodrguez, Norma Edith.
6.3.3 Outsourcing
Todos los contratos de Outsourcing deben incluir lo siguiente:
- Acuerdos sobre polticas y controles de seguridad.
- Determinacin de niveles de disponibilidad aceptable.
- El derecho del Banco de auditar los controles de seguridad de
informacin del proveedor.
- Determinacin de los requerimientos legales del Banco.
- Metodologa del proveedor para mantener y probar cclicamente la
seguridad del sistema.
- Que el servicio de procesamiento y la informacin del Banco objeto
de la subcontratacin estn aislados, en todo momento y bajo
cualquier circunstancia.
El proveedor es responsable de inmediatamente informar al responsable
del contrato de cualquier brecha de seguridad que pueda comprometer
informacin del Banco. Cualquier empleado del Banco debe informar de
violaciones a la seguridad de la informacin por parte de proveedores al
rea de seguridad informtica.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informtica para una Entidad Financiera .
Crdova Rodrguez, Norma Edith.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informtica para una Entidad Financiera .
Crdova Rodrguez, Norma Edith.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informtica para una Entidad Financiera .
Crdova Rodrguez, Norma Edith.
6.4.3 Definiciones
Restringida: Informacin con mayor grado de sensibilidad; el acceso a
esta informacin debe de ser autorizado caso por caso.
Confidencial: Informacin sensible que solo debe ser divulgada a
aquellas personas que la necesiten para el cumplimiento de sus
funciones.
Uso Interno: Datos generados para facilitar las operaciones diarias;
deben de ser manejados de una manera discreta, pero no requiere de
medidas elaboradas de seguridad.
General: Informacin que es generada especficamente para su
divulgacin a la poblacin general de usuarios.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informtica para una Entidad Financiera .
Crdova Rodrguez, Norma Edith.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informtica para una Entidad Financiera .
Crdova Rodrguez, Norma Edith.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informtica para una Entidad Financiera .
Crdova Rodrguez, Norma Edith.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informtica para una Entidad Financiera .
Crdova Rodrguez, Norma Edith.
6.4.6 Cumplimiento
El cumplimiento satisfactorio del proceso de evaluacin del riesgo se
caracteriza por:
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informtica para una Entidad Financiera .
Crdova Rodrguez, Norma Edith.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informtica para una Entidad Financiera .
Crdova Rodrguez, Norma Edith.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informtica para una Entidad Financiera .
Crdova Rodrguez, Norma Edith.
Concientizacin peridica
Estudios muestran que la retencin y el conocimiento aplicable se
incrementa considerablemente cuando el tema es sujeto a revisin. Los
usuarios deben de ser informados anualmente sobre la importancia de la
seguridad de la informacin. Un resumen escrito de la informacin bsica
debe de ser entregada nuevamente a cada empleado y una copia firmada
debe de ser guardada en sus archivos.
La capacitacin en seguridad debe de incluir, pero no estar limitado, a los
siguientes aspectos:
- Requerimientos de identificador de usuario y contrasea
- Seguridad de PC, incluyendo proteccin de virus
- Responsabilidades de la organizacin de seguridad de informacin
- Concientizacin de las tcnicas utilizadas por hackers
- Programas de cumplimiento
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informtica para una Entidad Financiera .
Crdova Rodrguez, Norma Edith.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informtica para una Entidad Financiera .
Crdova Rodrguez, Norma Edith.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informtica para una Entidad Financiera .
Crdova Rodrguez, Norma Edith.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informtica para una Entidad Financiera .
Crdova Rodrguez, Norma Edith.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informtica para una Entidad Financiera .
Crdova Rodrguez, Norma Edith.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informtica para una Entidad Financiera .
Crdova Rodrguez, Norma Edith.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informtica para una Entidad Financiera .
Crdova Rodrguez, Norma Edith.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informtica para una Entidad Financiera .
Crdova Rodrguez, Norma Edith.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informtica para una Entidad Financiera .
Crdova Rodrguez, Norma Edith.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informtica para una Entidad Financiera .
Crdova Rodrguez, Norma Edith.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informtica para una Entidad Financiera .
Crdova Rodrguez, Norma Edith.
Las cintas con copias de respaldo deben ser enviadas a un local remoto
peridicamente, basndose en un cronograma determinado por la
gerencia del Banco.
Los mensajes electrnicos, as como cualquier informacin considerada
importante, deben ser guardados en copias de respaldo y retenidos por
dispositivos automticos.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informtica para una Entidad Financiera .
Crdova Rodrguez, Norma Edith.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informtica para una Entidad Financiera .
Crdova Rodrguez, Norma Edith.
Todos los sistemas deben proveer pistas de auditoria del ingreso a los
sistemas y violaciones de los mismos. A partir de estos datos, los
custodios de los sistemas deben elaborar reportes peridicos los cuales
deben ser revisados por el rea de seguridad informtica. Estos reportes
tambin deben incluir la identidad del usuario, y la fecha y hora del
evento. Si es apropiado, las violaciones deben ser reportadas al gerente
del individuo. Violaciones repetitivas o significantes o atentados de
accesos deben ser reportados al gerente a cargo de la persona y al rea
de seguridad de la informacin.
6.8.2.2 Vigencia
Todas las contraseas deben expirar dentro de un periodo que no
exceda los noventa (90) das. Cada gerente debe determinar un mximo
periodo de vigencia de las contraseas, el cual es recomendable no sea
menos de (30) das.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informtica para una Entidad Financiera .
Crdova Rodrguez, Norma Edith.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informtica para una Entidad Financiera .
Crdova Rodrguez, Norma Edith.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informtica para una Entidad Financiera .
Crdova Rodrguez, Norma Edith.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informtica para una Entidad Financiera .
Crdova Rodrguez, Norma Edith.
Los programas deben poder generar una pista de auditoria de todos los
accesos y violaciones.
Las violaciones de los controles de acceso deben ser registradas y
revisadas por el propietario o por el personal del rea de sistemas
custodio de los datos. Las violaciones de seguridad deben ser reportadas
al gerente del empleado y al rea responsable de la administracin de la
seguridad de la informacin.
Se debe tener cuidado particular en todos los ambientes para asegurar
que ninguna persona tenga control absoluto. Los operadores de sistemas,
por ejemplo, no deben tener acceso ilimitado a los identificadores de
superusuario. Dichos identificadores de usuario, son solo necesarios
durante una emergencia y deben ser cuidadosamente controlados por la
gerencia usuaria, quien debe realizar un monitoreo peridico de su
utilizacin.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informtica para una Entidad Financiera .
Crdova Rodrguez, Norma Edith.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informtica para una Entidad Financiera .
Crdova Rodrguez, Norma Edith.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informtica para una Entidad Financiera .
Crdova Rodrguez, Norma Edith.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informtica para una Entidad Financiera .
Crdova Rodrguez, Norma Edith.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informtica para una Entidad Financiera .
Crdova Rodrguez, Norma Edith.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informtica para una Entidad Financiera .
Crdova Rodrguez, Norma Edith.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informtica para una Entidad Financiera .
Crdova Rodrguez, Norma Edith.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informtica para una Entidad Financiera .
Crdova Rodrguez, Norma Edith.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informtica para una Entidad Financiera .
Crdova Rodrguez, Norma Edith.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informtica para una Entidad Financiera .
Crdova Rodrguez, Norma Edith.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informtica para una Entidad Financiera .
Crdova Rodrguez, Norma Edith.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informtica para una Entidad Financiera .
Crdova Rodrguez, Norma Edith.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informtica para una Entidad Financiera .
Crdova Rodrguez, Norma Edith.
Todos los accesos dial-in/dial-out deben contar con autorizacin del rea
de seguridad informtica y deben contar con la autorizacin respectiva
que justifique su necesidad para el desenvolvimiento del negocio.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informtica para una Entidad Financiera .
Crdova Rodrguez, Norma Edith.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informtica para una Entidad Financiera .
Crdova Rodrguez, Norma Edith.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informtica para una Entidad Financiera .
Crdova Rodrguez, Norma Edith.
6.10.1 Registros
Deben desarrollarse estndares de retencin, almacenamiento, manejo y
eliminacin de registros que son requeridos por normas legales u otras
regulaciones. Debe definirse un cronograma de retencin para estos
registros que debe incluir:
- Tipo de informacin
- Regulaciones o leyes aplicables
- Fuentes de este tipo de informacin
- Tiempos de retencin requeridos
- Requerimientos de traslado y almacenamiento
- Procedimientos de eliminacin
- Requerimientos de control especficos estipulados en la norma
relacionada
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informtica para una Entidad Financiera .
Crdova Rodrguez, Norma Edith.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informtica para una Entidad Financiera .
Crdova Rodrguez, Norma Edith.
Los programas no pueden ser copiados salvo dentro del lmite acordado
con el proveedor (por ejemplo, copias de respaldo para proteccin). Los
empleados o contratistas que realicen copias adicionales para evitar el
costo de adquisicin de otro paquete sern hechos responsables de sus
acciones.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informtica para una Entidad Financiera .
Crdova Rodrguez, Norma Edith.
Esta poltica se aplica a todos los empleados del Banco involucrados con
comercio electrnico y a los socios de comercio electrnico del Banco. Los
socios de comercio electrnico del Banco incluyen las unidades de negocio
de la organizacin, los clientes, socios comerciales y otros terceros.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informtica para una Entidad Financiera .
Crdova Rodrguez, Norma Edith.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informtica para una Entidad Financiera .
Crdova Rodrguez, Norma Edith.
6.12.1.2 Divulgacin
El Banco debe proveer suficiente informacin sobre la propia transaccin
en lnea, para permitir que los clientes tomen una decisin informada
sobre si ejecutar las transacciones en lnea.
Informacin divulgada debe incluir, pero no estar limitada a:
- Trminos de transaccin;
- Disponibilidad de producto e informacin de envo; y
- Precios y costos.
El Banco debe tambin brindar al cliente las opciones de:
- Revisin y aprobacin de la transaccin; y
- Recepcin de una confirmacin.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informtica para una Entidad Financiera .
Crdova Rodrguez, Norma Edith.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informtica para una Entidad Financiera .
Crdova Rodrguez, Norma Edith.
deben estar claramente etiquetadas como tal, con letras grandes que
sean legibles sin la necesidad de un lector especial.
Todo documento o contenedor de informacin debe ser etiquetado como
Restringida, Confidencial, de Uso interno o de Acceso General,
dependiendo de la clasificacin asignada.
Todo documento en formato digital o impreso, debe presentar una
etiqueta en la parte superior e inferior de cada pgina, con la clasificacin
correspondiente.
Todo documento clasificado como Confidencial o Restringido debe
contar con una cartula en la cual se muestre la clasificacin de la
informacin que contiene.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informtica para una Entidad Financiera .
Crdova Rodrguez, Norma Edith.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informtica para una Entidad Financiera .
Crdova Rodrguez, Norma Edith.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informtica para una Entidad Financiera .
Crdova Rodrguez, Norma Edith.
Elaboracin y diseo en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM