Documente Academic
Documente Profesional
Documente Cultură
INFORMACIÓN
Tipo de Documento: Manual Código: DI001
Gerente de Tecnología y
REVISIÓN: Procesos Ivette Yep Tello 19/12/2018
Danilo Balarezo
Analista de Procesos 19/12/2018
Campos
1. INTRODUCCIÓN ................................................................................... 3
2. OBJETIVO GENERAL ............................................................................. 3
2.1. Objetivos Específicos ........................................................................................ 4
3. ALCANCE .............................................................................................. 4
4. BASE LEGAL ......................................................................................... 4
5. DEFINICIONES ..................................................................................... 4
6. CUMPLIMIENTO OBLIGATORIO ............................................................ 6
7. DECLARACIÓN DE INTENCIÓN DE LA DIRECCIÓN ................................ 6
8. ROLES Y RESPONSABILIDADES ............................................................ 6
9. SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN ............... 8
9.1. Estructura organizacional ..................................................................................8
10. DOMINIOS DE SEGURIDAD DE LA INFORMACIÓN ................................ 9
11. POLÍTICAS ......................................................................................... 10
11.1. Seguridad de los recursos humanos .................................................................10
11.2. Gestión de Activos .......................................................................................... 10
11.3. Control de acceso............................................................................................. 11
11.4. Seguridad física y ambiental............................................................................12
11.5. Seguridad de las operaciones y comunicaciones ............................................12
11.6. Adquisición, desarrollo y mantenimiento de los Sistemas .............................. 14
11.7. Gestión de incidentes de seguridad de la información ....................................14
11.8. Cumplimiento ..................................................................................................14
12. OBJETIVOS DE CONTROL ................................................................... 15
12.1. Seguridad de los recursos humanos .................................................................15
12.2. Gestión de Activos .......................................................................................... 15
12.3. Control de Acceso ........................................................................................... 15
12.4. Seguridad Física y ambiental...........................................................................15
12.5. Seguridad de las operaciones y comunicaciones .............................................15
12.6. Adquisición, desarrollo y mantenimiento de los Sistemas .............................. 15
12.7. Gestión de incidentes en la seguridad de la información ................................ 16
12.8. Cumplimiento ..................................................................................................16
1. INTRODUCCIÓN
Los requerimientos de seguridad que involucran la tecnología de la información, han cobrado
un gran auge, más aun las que tienen carácter globalizador como Internet y en particular las
relacionadas con el Web; la visión de nuevos horizontes explorando más allá de las fronteras
naturales, ha generado la aparición de nuevas amenazas en los sistemas computarizados.
Esta situación ha determinado que las instituciones desarrollen políticas para normar el
adecuado uso de estas destrezas tecnológicas; además de recomendaciones para aprovechar
estas ventajas, de manera que se evite su uso indebido que puede ocasionar pérdidas
financieras o no financieras dentro de las entidades.
De esta manera, las políticas de seguridad de información en Caja Sipán emergen como un
instrumento para concientizar a sus miembros acerca de la importancia y sensibilidad de la
información y servicios críticos, que permitan superar las deficiencias y debilidades dentro de
estos procesos.
La información es el recurso, que como el resto de los activos comerciales, tiene valor y por
consiguiente debe ser debidamente protegida. La información es, como ya se ha indicado un
activo importante para Caja Sipán S.A., cuya pérdida, alteración o divulgación no autorizada
puede ocasionar pérdidas de negocio o incidir negativamente en los objetivos que se
plantean.
2. OBJETIVO GENERAL
Proteger los recursos de información de la institución y la tecnología utilizada para su
procesamiento, frente a amenazas, internas o externas, deliberadas o accidentales, con el fin
de asegurar el cumplimiento de la confidencialidad, integridad, disponibilidad, legalidad y
confiabilidad de la información.
3. ALCANCE
Las Políticas de Seguridad de la Información, son de aplicación al proceso de otorgamiento de
créditos (Incluye seguimiento de créditos y recuperación de créditos) y al proceso de apertura
de cuentas.
4. BASE LEGAL
- Estándar de seguridad de la información ISO 17799 e ISO 27001
- Resolución S.B.S N° 2116-2009: Gestión de Riesgo Operacional.
- Circular SBS N° G-140 – 2009: Gestión de la Seguridad de la Información (SGSI).
5. DEFINICIONES
Para la mejor comprensión de los términos y contenido dela política, se detallan las siguientes
definiciones:
- Ley General: Ley General del Sistema Financiero y del Sistema de Seguros y Orgánica
de la Superintendencia de Banca y Seguros - Ley N° 26702 y sus modificatorias.
- Jefe de Producción y Soporte: Es la persona encargada del sistema y día a día coordina
el correcto funcionamiento de servidores y medios de almacenamiento.
- Usuario Final: Persona que recibe y utiliza la información para producir un resultado
esperado o no, tiene acceso tanto a la información como a los sistemas que la
procesan.
Versión: 8.0 Página: Página 5 de 17
Fecha Aprobación: 25/03/2010 Directorio: N° 006 - 2010
Fecha Actualización: 20/12/2018 Directorio: N° 014 - 2018
Código Tipo de Documento
SI001 POL
6. CUMPLIMIENTO OBLIGATORIO
El cumplimiento de las políticas y estándares definidos en el presente documento de
Información es obligatorio y debe ser considerado como una condición en los contratos del
personal.
8. ROLES Y RESPONSABILIDADES
Todos los Directores, Gerentes, Jefes de Áreas y Unidades Organizativas y personal operativo y
sea cual fuere su nivel jerárquico son responsables de la implementación de esta Política de
Seguridad de la Información dentro de sus áreas, así como del cumplimiento de dicha Política
por parte de su equipo de trabajo.
8.3 Área de Recursos Humanos: Cumplirá la función de notificar a todo el personal que
ingresa, de sus obligaciones respecto del cumplimiento de la Política de Seguridad de la
Información. Asimismo, tendrá a su cargo la suscripción de los Acuerdos de
Confidencialidad.
Gestión de Activos
Destinado a la protección adecuada de los activos de la Caja. En todo momento los
activos deben ser inventariados y controlados por un responsable que se encargue de
manipularlos correctamente.
Control de Acceso
Su objetivo es asegurar el acceso al personal autorizado a los sistemas de información.
Es necesario realizar diversas acciones como la creación de procedimientos formales
para controlar el acceso, la implementación de políticas que eviten accesos no
autorizados.
Cumplimiento
Destinado a impedir infracciones y violaciones de las leyes del derecho civil y penal; de
las obligaciones establecidas por leyes, estatutos, normas, reglamentos o contratos; y
de los requisitos de seguridad.
11. POLÍTICAS
Durante el empleo
La gerencia general debe requerir a todo el personal y terceros que brinden servicios
a la Caja, aplicar la seguridad de la información en concordancia con las políticas y
procedimientos establecidos por la organización.
Formalizar un proceso disciplinario para tomar acción contra el personal que haya
cometido una infracción a la seguridad de la información.
Todos los empleados y usuarios externos deben retornar todos los activos de la Caja
en su procesión a la conclusión de su empleo, contrato o acuerdo.
Clasificación de la Información
Cada activo de información de la Caja, debe estar clasificado con sus respectivos
propietarios, ubicación, sensibilidad, requisitos legales y criticidad que tienen para la
institución ante una posible contingencia.
Adoptar controles de seguridad para gestionar los riesgos introducidos por usuarios
remotos o el uso de dispositivos móviles.
Versión: 8.0 Página: Página 11 de 17
Fecha Aprobación: 25/03/2010 Directorio: N° 006 - 2010
Fecha Actualización: 20/12/2018 Directorio: N° 014 - 2018
Código Tipo de Documento
SI001 POL
Áreas seguras
Las áreas que contienen información sensible o crítica e instalaciones de
procesamiento de información, deben ser protegidas mediante la utilización de
perímetros de seguridad.
Las áreas protegidas se resguardarán mediante controles de acceso físico, los que
serán determinados por la Gerencia de Administración y Finanzas, en conjunto con el
Asistente de Logística y Servicios Generales a fin de permitir el acceso sólo al
personal autorizado.
Equipos
Los equipos deben ser protegidos contra fallas de electricidad y otras alteraciones
causadas por fallas de servicios de suministro.
Se debe contar con una política de escritorio limpio y pantalla limpia para evitar el
acceso no autorizado de los mismos.
Respaldo
Se deben establecer procedimientos de copias de respaldo de la información
aprobadas por el Jefe de Producción y Soporte.
Registros y monitoreo
La Caja realizará un monitoreo permanente de la red a través de los diferentes logs
establecidos y configurados a conveniencia de la entidad. Estos logs serán revisados
y analizados de acuerdo a las tareas programadas dentro de la Gerencia de
Tecnología y Procesos.
La Gerencia de Tecnología y Procesos debe reportar las fallas, controlar los accesos
locales y remotos de la red, los eventos del sistema operativo, problemas del
software base instalado y las alertas de fallas en programas o dispositivos de
hardware.
Transferencia de información
Se deben aplicar políticas, procedimientos y controles de transferencia formales
para proteger la transferencia de información a través del uso de todo tipo de
instalaciones de comunicación.
Los cambios a los sistemas dentro del ciclo de vida del desarrollo deben ser
controlados por medio del uso de procedimientos formales de control de cambios
para asegurar que no haya impacto adverso en las operaciones o en la seguridad de
la organización.
Datos de prueba
Revisar que los datos utilizados para fines de prueba, corresponde a información
despersonalizada antes de su uso.
11.8. Cumplimiento
2. Proteger los intereses de la Caja como parte del proceso de cambio o terminación
del empleo.
10. Generar copias de respaldo de la información y registrar los eventos que atenten
contra su seguridad.
12.8. Cumplimiento
16. Asegurar que la seguridad de la información esta implementada y es operada de
acuerdo con las políticas y procedimientos organizativos.
Fecha de
Versión Descripción del Cambio
Aprobación