POLÍTICAS DE SEGURIDAD DE LA

INFORMACIÓN
Tipo de Documento: Manual Código: DI001

ETAPA DE: CARGO NOMBRE FECHA

Analista de Seguridad de
ELABORACIÓN: la Información y Silvia García Samamé 03/12/2018
Continuidad del Negocio

Gerente de Riesgos Piero Olortegui Celis. 19/12/2018

Gerente de Tecnología y
REVISIÓN: Procesos Ivette Yep Tello 19/12/2018

Danilo Balarezo
Analista de Procesos 19/12/2018
Campos

APROBACIÓN: Directorio 20/12/2018

 Código Tipo de Documento
SI001 POL

1. INTRODUCCIÓN ................................................................................... 3
2. OBJETIVO GENERAL ............................................................................. 3
2.1. Objetivos Específicos ........................................................................................ 4
3. ALCANCE .............................................................................................. 4
4. BASE LEGAL ......................................................................................... 4
5. DEFINICIONES ..................................................................................... 4
6. CUMPLIMIENTO OBLIGATORIO ............................................................ 6
7. DECLARACIÓN DE INTENCIÓN DE LA DIRECCIÓN ................................ 6
8. ROLES Y RESPONSABILIDADES ............................................................ 6
9. SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN ............... 8
9.1. Estructura organizacional ..................................................................................8
10. DOMINIOS DE SEGURIDAD DE LA INFORMACIÓN ................................ 9
11. POLÍTICAS ......................................................................................... 10
11.1. Seguridad de los recursos humanos .................................................................10
11.2. Gestión de Activos .......................................................................................... 10
11.3. Control de acceso............................................................................................. 11
11.4. Seguridad física y ambiental............................................................................12
11.5. Seguridad de las operaciones y comunicaciones ............................................12
11.6. Adquisición, desarrollo y mantenimiento de los Sistemas .............................. 14
11.7. Gestión de incidentes de seguridad de la información ....................................14
11.8. Cumplimiento ..................................................................................................14
12. OBJETIVOS DE CONTROL ................................................................... 15
12.1. Seguridad de los recursos humanos .................................................................15
12.2. Gestión de Activos .......................................................................................... 15
12.3. Control de Acceso ........................................................................................... 15
12.4. Seguridad Física y ambiental...........................................................................15
12.5. Seguridad de las operaciones y comunicaciones .............................................15
12.6. Adquisición, desarrollo y mantenimiento de los Sistemas .............................. 15
12.7. Gestión de incidentes en la seguridad de la información ................................ 16
12.8. Cumplimiento ..................................................................................................16

Versión: 8.0 Página: Página 2 de 17

Fecha Aprobación: 25/03/2010 Directorio: N° 006 - 2010
Fecha Actualización: 20/12/2018 Directorio: N° 014 - 2018
 Código Tipo de Documento
SI001 POL

1. INTRODUCCIÓN
Los requerimientos de seguridad que involucran la tecnología de la información, han cobrado
un gran auge, más aun las que tienen carácter globalizador como Internet y en particular las
relacionadas con el Web; la visión de nuevos horizontes explorando más allá de las fronteras
naturales, ha generado la aparición de nuevas amenazas en los sistemas computarizados.

Esta situación ha determinado que las instituciones desarrollen políticas para normar el
adecuado uso de estas destrezas tecnológicas; además de recomendaciones para aprovechar
estas ventajas, de manera que se evite su uso indebido que puede ocasionar pérdidas
financieras o no financieras dentro de las entidades.

De esta manera, las políticas de seguridad de información en Caja Sipán emergen como un
instrumento para concientizar a sus miembros acerca de la importancia y sensibilidad de la
información y servicios críticos, que permitan superar las deficiencias y debilidades dentro de
estos procesos.

El documento denominado Políticas de Seguridad de la Información de Caja Sipán, se ha

realizado en función al análisis de los procesos que se realizan en la Caja y los recursos
humanos y tecnológicos que intervienen.

La información es el recurso, que como el resto de los activos comerciales, tiene valor y por
consiguiente debe ser debidamente protegida. La información es, como ya se ha indicado un
activo importante para Caja Sipán S.A., cuya pérdida, alteración o divulgación no autorizada
puede ocasionar pérdidas de negocio o incidir negativamente en los objetivos que se
plantean.

La seguridad de la información garantiza la continuidad comercial, minimizando los daños y

maximizando el retorno sobre las inversiones y oportunidades, para lo cual se deben
preservar los siguientes atributos:

 Confidencialidad.- se garantiza que la información es accesible solo a aquellas

personas autorizadas a tener a la misma.

 Integridad.- se salvaguarda la exactitud y totalidad de la información y los métodos

de procesamiento.

 Disponibilidad.- se garantiza que los usuarios autorizados tengan acceso a la

información y a los recursos relacionados con la misma en cuanto esta se la requiera.

El presente documento contiene los objetivos, alcance, definiciones utilizadas, dominios de

seguridad de la información con sus respectivas políticas de seguridad y objetivos de control.

2. OBJETIVO GENERAL
Proteger los recursos de información de la institución y la tecnología utilizada para su
procesamiento, frente a amenazas, internas o externas, deliberadas o accidentales, con el fin
de asegurar el cumplimiento de la confidencialidad, integridad, disponibilidad, legalidad y
confiabilidad de la información.

Versión: 8.0 Página: Página 3 de 17

Fecha Aprobación: 25/03/2010 Directorio: N° 006 - 2010
Fecha Actualización: 20/12/2018 Directorio: N° 014 - 2018
 Código Tipo de Documento
SI001 POL

2.1. Objetivos Específicos

 Describir los controles implementados o por implementarse que cubrirán los

requerimientos de seguridad.
 Administrar y controlar la seguridad de la información en sus diferentes aspectos:
Lógico, personal, físico y ambiental.
 Reducir, a un nivel bajo aceptable y a un costo razonable, la pérdida de nuestros
activos y archivos tecnológicos en materia de información, ante un factor de riesgo.
 Cumplir con los principios básicos o elementos claves de la seguridad de la
información y la documentación que le dé soporte.
 Asegurar que la información crítica y confidencial sea accedida solo por personal
autorizado y gestionada de manera segura.
 Asegurar la disponibilidad de los servicios de TI, gestionando las acciones preventivas
y correctivas ante posibles ataques deliberados o de eventos no previstos.
 Asegurar que la información crítica y confidencial no sea modificada o alterada por
personal no autorizado.
 Fortalecer la seguridad de la información con la gestión de los riesgos.
 Desarrollar con el recurso humano la cultura de seguridad de la información en la
institución.

3. ALCANCE
Las Políticas de Seguridad de la Información, son de aplicación al proceso de otorgamiento de
créditos (Incluye seguimiento de créditos y recuperación de créditos) y al proceso de apertura
de cuentas.

4. BASE LEGAL
- Estándar de seguridad de la información ISO 17799 e ISO 27001
- Resolución S.B.S N° 2116-2009: Gestión de Riesgo Operacional.
- Circular SBS N° G-140 – 2009: Gestión de la Seguridad de la Información (SGSI).

5. DEFINICIONES
Para la mejor comprensión de los términos y contenido dela política, se detallan las siguientes
definiciones:

- Evento: Un suceso o serie de sucesos que pueden ser internos o externos a la

empresa, originados por la misma causa, que ocurren durante el mismo periodo de
tiempo.

- Factor de autenticación: Información utilizada para verificar la identidad de una

persona. Pueden clasificarse de la siguiente manera:
Algo que el usuario conoce (por ejemplo: una clave de identificación)
Algo que el usuario posee (por ejemplo: una tarjeta)
Algo que el usuario es (por ejemplo: características biométricas)

- Incidente de seguridad de información: Evento asociado a una posible falla en la

política de seguridad, una falla en los controles, o una situación previamente
desconocida relevante para la seguridad, que tiene una probabilidad significativa de
comprometer las operaciones del negocio y amenazar la seguridad de la información.
Versión: 8.0 Página: Página 4 de 17
Fecha Aprobación: 25/03/2010 Directorio: N° 006 - 2010
Fecha Actualización: 20/12/2018 Directorio: N° 014 - 2018
 Código Tipo de Documento
SI001 POL

- Información: Cualquier forma de registro electrónico, óptico, magnético o en otros

medios similares, susceptible de ser procesada, distribuida y almacenada.

- Ley General: Ley General del Sistema Financiero y del Sistema de Seguros y Orgánica
de la Superintendencia de Banca y Seguros - Ley N° 26702 y sus modificatorias.

- Seguridad de la información: Característica de la información que se logra mediante la

adecuada combinación de políticas, procedimientos, estructura organizacional y
herramientas informáticas especializadas a efectos que dicha información cumpla los
criterios de confidencialidad, integridad y disponibilidad, definidos de la siguiente
manera:

 Confidencialidad: La información debe ser accesible sólo a aquellos que se

encuentren debidamente autorizados.
 Integridad: La información debe ser completa, exacta y válida.
 Disponibilidad: La información debe estar disponible en forma organizada para los
usuarios autorizados cuando sea requerida.

- Subcontratación: Modalidad de gestión mediante la cual una empresa contrata a un

tercero para que éste desarrolle un proceso que podría ser realizado por la empresa
contratante.

- Subcontratación significativa: Aquella subcontratación que, en caso de falla o

suspensión del servicio, puede poner en riesgo importante a la empresa, al afectar sus
ingresos, solvencia, o continuidad operativa.

- Riesgos de tecnología de información: Los riesgos de operación asociados a los

sistemas informáticos y a la tecnología relacionada a dichos sistemas, que pueden
afectar el desarrollo de las operaciones y servicios que realiza la empresa al atentar
contra la confidencialidad, integridad y disponibilidad de la información, entre otros
criterios.

- Seguridad de la información: Característica de la información que se logra mediante la

adecuada combinación de políticas, procedimientos, estructura organizacional y
herramientas informáticas especializadas a efectos que dicha información cumpla los
criterios de confidencialidad, integridad y disponibilidad.

- Gerente de Tecnología y Procesos: Es la persona encargada de coordinar los esfuerzos

de administradores de sistemas, administradores de seguridad y dueños de
información.

- Jefe de Producción y Soporte: Es la persona encargada del sistema y día a día coordina
el correcto funcionamiento de servidores y medios de almacenamiento.

- Dueño de la información (usuarios): Es la persona que se encargada de definir cuáles

son las formas de uso de información y los comportamientos que se esperan de las
personas que tienen acceso a la misma.

- Usuario Final: Persona que recibe y utiliza la información para producir un resultado
esperado o no, tiene acceso tanto a la información como a los sistemas que la
procesan.
Versión: 8.0 Página: Página 5 de 17
Fecha Aprobación: 25/03/2010 Directorio: N° 006 - 2010
Fecha Actualización: 20/12/2018 Directorio: N° 014 - 2018
 Código Tipo de Documento
SI001 POL

- Política de seguridad de TI: Normas aprobadas por el Directorio para establecer la

gestión de seguridad de TI, sus metas y responsabilidades; reglas de seguridad
específicas a sistemas particulares.

- Evaluación de riesgos: Se entiende por evaluación de riesgos a la evaluación de las

amenazas y vulnerabilidades relativas a la información y a las instalaciones de
procesamiento de la misma, la probabilidad de que ocurran y su potencial impacto en
la operatoria de la institución.

- Incidente de Seguridad: Un incidente de seguridad es un evento adverso en un

sistema de computadoras, o red de computadoras, que compromete la
confidencialidad, integridad o disponibilidad, la legalidad y confiabilidad de la
información. Puede ser causado mediante la explotación de alguna vulnerabilidad o un
intento o amenaza de romper los mecanismos de seguridad existentes.

6. CUMPLIMIENTO OBLIGATORIO
El cumplimiento de las políticas y estándares definidos en el presente documento de
Información es obligatorio y debe ser considerado como una condición en los contratos del
personal.

7. DECLARACIÓN DE INTENCIÓN DE LA DIRECCIÓN

La alta dirección debe aprobar las políticas de gestión de la seguridad de la información y
proveer los recursos necesarios para proteger los activos de información de amenazas
internas o externas, deliberadas o accidentales que pudieran poner en riesgo la
confidencialidad, integridad, disponibilidad, legalidad y confiabilidad de la información. En
tanto, las áreas de Negocio y de apoyo, son responsables de la protección y el resguardo de
los activos de información, esto con el fin de poder garantizar la continuidad de los sistemas
de información, minimizar riesgos de daño y asegurar el eficiente cumplimiento de sus
objetivos estratégicos.

8. ROLES Y RESPONSABILIDADES
Todos los Directores, Gerentes, Jefes de Áreas y Unidades Organizativas y personal operativo y
sea cual fuere su nivel jerárquico son responsables de la implementación de esta Política de
Seguridad de la Información dentro de sus áreas, así como del cumplimiento de dicha Política
por parte de su equipo de trabajo.

8.1 Oficial de Seguridad de la Información: Cumplirá funciones de monitoreo y seguimiento

relativas a la seguridad de los sistemas de información de Caja Sipán. Entre sus
responsabilidades especificas están:

- Monitorear los incidentes relativos a la seguridad, que se produzcan en el ámbito de la

institución.
- Actualizar las políticas y estándares de seguridad de la información.
- Monitorear el cumplimiento de políticas de seguridad.
- Monitorear la aplicación de controles de seguridad física de los principales activos de
información.
- Evaluar, seleccionar e implantar herramientas que faciliten la labor de seguridad de la
información.
Versión: 8.0 Página: Página 6 de 17
Fecha Aprobación: 25/03/2010 Directorio: N° 006 - 2010
Fecha Actualización: 20/12/2018 Directorio: N° 014 - 2018
 Código Tipo de Documento
SI001 POL

- Asegurar el cumplimiento de la política de seguridad de información y de la

metodología definida por la empresa.
- Coordinar y monitorear la implementación de los controles de seguridad de
información.
- Desarrollar actividades de concientización y entrenamiento en seguridad de
información.

8.2 Propietario de información: Responsables de clasificar la información de acuerdo con el

grado de sensibilidad y criticidad de la misma, de documentar y mantener actualizada la
clasificación efectuada, y de definir qué usuarios deberán tener permisos de acceso a la
información de acuerdo a sus funciones y competencia.

8.3 Área de Recursos Humanos: Cumplirá la función de notificar a todo el personal que
ingresa, de sus obligaciones respecto del cumplimiento de la Política de Seguridad de la
Información. Asimismo, tendrá a su cargo la suscripción de los Acuerdos de
Confidencialidad.

8.4 Gerencia de Tecnología y Procesos: Deberá cubrir los requerimientos de seguridad

establecidos para la operación, administración y comunicación de los sistemas y recursos
de tecnología de la Caja. Por otra parte tendrá la función de efectuar las tareas de
desarrollo y mantenimiento de sistemas, siguiendo una metodología de ciclo de vida de
sistemas apropiada, y que contemple la inclusión de medidas de seguridad en los sistemas
en todas las fases.

8.5 La Jefatura de Producción y Soporte: La División de Producción y Soporte se encarga de la

administración diaria de la seguridad en los sistemas de información y el monitoreo del
cumplimiento de las políticas de seguridad en los sistemas que se encuentran bajo su
administración. Sus responsabilidades son:

- Administrar y controlar el Software y Hardware que posee la CAJA SIPAN S.A.

- Ejecutar los planes de respaldo y las recuperaciones de información que se requieran
para garantizar la continuidad operativa de la instalación.
- Inspeccionar los equipos informáticos conectados o no a la red, para los propósitos de
resolución de problemas y/o para supervisar las políticas de seguridad, toda vez que se
necesite y sin previo trámite.
- Administrar accesos a nivel de red (sistema operativo) y a nivel de base de datos.
- Administrar los accesos a información almacenada en medios ópticos o dispositivos
removibles (CD, DVD, dispositivos USB, etc.)
- Implementar controles definidos para los sistemas de la información, incluyendo
investigación e implementación de actualizaciones de seguridad de los sistemas
operativos de red y de sistemas.

8.6 La Jefatura de Desarrollo de Sistemas: Sus responsabilidades son:

- Elaborar el perfil técnico de los proyectos de sistemas de información, definidos en el
portafolio de proyectos informáticos.
- Elaboración y supervisión de las tareas asignadas al personal técnico para atención de
los requerimientos de los usuarios. y llevar un control de las Actas de Aceptación por
parte de los usuarios.
- Administrar y documentar los cambios de los programas fuentes de cada aplicativo.
- Realizar las copias de respaldo de los programas fuentes, cumpliendo los requisitos de
seguridad establecidos por la Caja.
Versión: 8.0 Página: Página 7 de 17
Fecha Aprobación: 25/03/2010 Directorio: N° 006 - 2010
Fecha Actualización: 20/12/2018 Directorio: N° 014 - 2018
 Código Tipo de Documento
SI001 POL

- Mantener la custodia de los programas fuentes, manteniendo en todo momento la

correlación programa fuente / ejecutable.
- Llevar un registro actualizado de todos los programas fuentes en uso, indicando
nombre del programa, analista responsable, versión, fecha de última modificación y
fecha / hora de compilación y estado (en modificación, en producción).

8.7 La Gerencia de Riesgos: Sus responsabilidades son:

- El personal de la Gerencia de Riesgos, a través del Oficial de Seguridad de la
Información, será el responsable de verificar el cumplimiento de los estándares y guías
definidas en las políticas internas en la presente Gestión de la Seguridad de la
Información.
- Asegurar que la gestión de la seguridad de la información de Caja Sipán se realice de
manera consistente de acuerdo a las políticas y procedimientos establecidos para la
gestión de riesgos.
- La Gerencia de Riesgos deberá colaborar con la Gerencia de Tecnología y Procesos en
la identificación de amenazas y vulnerabilidades referentes a la seguridad de
información de la Caja.
- La Gerencia de Tecnología y Procesos, en forma conjunta con la Gerencia de Riesgos,
serán los encargados de implementar las políticas y procedimientos generales para
identificar medir, controlar y reportar apropiadamente los riesgos asociados a la
tecnología de la información.

8.8 Gerencia de Auditoría Interna: Es el responsable de solicitar se practiquen auditorías

periódicas sobre los sistemas y actividades vinculadas con la tecnología de información,
debiendo informar sobre el cumplimiento de las especificaciones y medidas de seguridad
de la información a la Gerencia de Riesgos y la Gerencia de Tecnología y Procesos

9. SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

9.1. Estructura organizacional

En el siguiente organigrama, se muestran las áreas que brindan información para
implementar y mantener un sistema de gestión de seguridad de la información en Caja
Sipan.

Versión: 8.0 Página: Página 8 de 17

Fecha Aprobación: 25/03/2010 Directorio: N° 006 - 2010
Fecha Actualización: 20/12/2018 Directorio: N° 014 - 2018
 Código Tipo de Documento
SI001 POL

10. DOMINIOS DE SEGURIDAD DE LA INFORMACIÓN

Como parte de su sistema de gestión de seguridad de la información, Caja Sipan debe
considerar los dominios establecidos por la ISO 27001, con el fin de ser aplicados en los
procesos de la organización. A continuación, el detalle de cada uno de ellos:

 Seguridad de los recursos humanos

Tiene como objetivo el establecimiento de las medidas necesarias para controlar y
vigilar la seguridad de la información que es manejada por los recursos humanos de la
Caja.

 Gestión de Activos
Destinado a la protección adecuada de los activos de la Caja. En todo momento los
activos deben ser inventariados y controlados por un responsable que se encargue de
manipularlos correctamente.

 Control de Acceso
Su objetivo es asegurar el acceso al personal autorizado a los sistemas de información.
Es necesario realizar diversas acciones como la creación de procedimientos formales
para controlar el acceso, la implementación de políticas que eviten accesos no
autorizados.

 Seguridad Física y ambiental

Destinada a proteger las instalaciones de la Caja y la información sensible que
manejan. Es necesario establecer diferentes barreras de seguridad y controles de
acceso.

 Seguridad de las operaciones y comunicaciones

El objetivo es determinar los procedimientos y responsabilidades de las operaciones
que lleva a cabo la Caja, para garantizar que los procesos vinculados a la información
se ejecutan correctamente.

 Adquisición, desarrollo y mantenimiento de los Sistemas

Orientado a garantizar la incorporación de medidas de seguridad en los sistemas de
información desde su desarrollo y/o implementación y durante su mantenimiento.

 Gestión de incidentes en la seguridad de la información

El objetivo es aplicar un proceso de mejora continua para la gestión de incidentes de
seguridad de la información, incluyendo eventos de seguridad y debilidades.

 Cumplimiento
Destinado a impedir infracciones y violaciones de las leyes del derecho civil y penal; de
las obligaciones establecidas por leyes, estatutos, normas, reglamentos o contratos; y
de los requisitos de seguridad.

El Oficial de Seguridad de la Información revisará anualmente la presente Política, a

efectos de mantenerla actualizada. Asimismo, efectuará toda modificación que sea
necesaria en función a posibles cambios que puedan afectar su definición, como ser,
cambios tecnológicos, variación en la definición de controles, impacto de los incidentes de
seguridad, entre otros.

Versión: 8.0 Página: Página 9 de 17

Fecha Aprobación: 25/03/2010 Directorio: N° 006 - 2010
Fecha Actualización: 20/12/2018 Directorio: N° 014 - 2018
 Código Tipo de Documento
SI001 POL

11. POLÍTICAS

11.1. Seguridad de los recursos humanos

Antes del empleo

 Verificar que los antecedentes de los candidatos a ser empleados, estén en
concordancia con las leyes, regulaciones y ética relevantes; y deben ser proporcional
a los requisitos del negocio, la clasificación de la información a la que se tendrá
acceso y los riesgos percibidos.

 Los términos y condiciones del empleo y el acuerdo de consentimiento para el

tratamiento de información personal, deben ser firmados por el personal contratado
y terceros, dentro del cuales se establecen las obligaciones en cuanto seguridad de la
información. Del mismo modo, se establecen compromisos de confidencialidad de la
información con todo el personal y personal ajeno que brinda servicios a la Caja.

Durante el empleo
 La gerencia general debe requerir a todo el personal y terceros que brinden servicios
a la Caja, aplicar la seguridad de la información en concordancia con las políticas y
procedimientos establecidos por la organización.

 Todo el personal de la Caja y, cuando fuera necesario, los contratados externos

deben recibir capacitación sobre la seguridad de la información, las actualizaciones
regulares sobre políticas y procedimientos de la Caja, según sea relevante para la
función del trabajo que cumplen.

 Formalizar un proceso disciplinario para tomar acción contra el personal que haya
cometido una infracción a la seguridad de la información.

 Monitorear las operaciones que realiza el Administrador en el SIIF, a fin de detectar

actividades no autorizadas.

Terminación y cambio de empleo

 La Caja debe revocar los derechos de accesos al personal y/o proveedor de servicio
que le corresponda descanso vacacional o haya presentado su carta de dimisión, con
el fin de prevenir la pérdida de información confidencial.

 Monitorear la desvinculación oportuna de acceso al SIIF, del personal que ya no

forma parte de la institución o que sale de vacaciones y/o licencia.

11.2. Gestión de Activos

Responsabilidad sobre los activos

 La Caja mantendrá todos sus activos de información referenciados e inventariados,
los cuales deben ser actualizados constantemente para registrar el ingreso de nuevos
activos y establecer medidas de resguardo y protección.

 Cada activo de información tiene designado un propietario que se hace responsable

de la confidencialidad, integridad y disponibilidad de la información del activo en
cuestión. Los usuarios tendrán derecho a la confidencialidad de su información, con

Versión: 8.0 Página: Página 10 de 17

Fecha Aprobación: 25/03/2010 Directorio: N° 006 - 2010
Fecha Actualización: 20/12/2018 Directorio: N° 014 - 2018
 Código Tipo de Documento
SI001 POL

la salvedad de aquellos casos en que se detecten acciones que se pongan en riesgo

la seguridad de la red de datos y/o fuga de información.

 Todos los empleados y usuarios externos deben retornar todos los activos de la Caja
en su procesión a la conclusión de su empleo, contrato o acuerdo.

Clasificación de la Información
 Cada activo de información de la Caja, debe estar clasificado con sus respectivos
propietarios, ubicación, sensibilidad, requisitos legales y criticidad que tienen para la
institución ante una posible contingencia.

 Toda la información utilizada por la Caja y su personal, debe ser clasificada,

administrada y etiquetada en concordancia con el esquema de clasificación de la
información adoptado por la organización. (Según lo establecido en el documento
políticas y procedimientos para la clasificación de la información)

Manejo de los medios

 Los medios que contiene información deben ser protegidos mediante procesos
formales contra el acceso no autorizado, el mal uso o la corrupción durante el
transporte.

11.3. Control de acceso

Gestión de accesos usuarios

 Se debe implementar un proceso formal para el registro, ajuste según el cambio o
baja de usuarios, que permita la asignación de derechos de acceso a todos los
sistemas y servicios.

 Se deben implementar y documentar procedimientos formales para controlar la

asignación de derechos de acceso privilegiados a los sistemas de información, bases
de datos y servicios de información.

 Monitorear la asignación de perfiles y accesos concedidos a los usuarios y realizar

seguimientos sobre su uso para detectar actividades no autorizadas.

 La asignación de contraseñas debe ser controlada a través de un proceso de gestión

formal.

Control de acceso a los sistemas y aplicaciones

 El acceso a la información y al uso de programas utilitarios debe ser restringido y
controlado estrictamente.

 Monitorear el control de accesos a los códigos fuente del ambiente de desarrollo de

sistemas.

 Monitorear el control de acceso a la base de datos de producción y control de

accesos duales por parte del Administrador de la BD.

 Adoptar controles de seguridad para gestionar los riesgos introducidos por usuarios
remotos o el uso de dispositivos móviles.
Versión: 8.0 Página: Página 11 de 17
Fecha Aprobación: 25/03/2010 Directorio: N° 006 - 2010
Fecha Actualización: 20/12/2018 Directorio: N° 014 - 2018
 Código Tipo de Documento
SI001 POL

11.4. Seguridad física y ambiental

Áreas seguras
 Las áreas que contienen información sensible o crítica e instalaciones de
procesamiento de información, deben ser protegidas mediante la utilización de
perímetros de seguridad.

 Las áreas protegidas se resguardarán mediante controles de acceso físico, los que
serán determinados por la Gerencia de Administración y Finanzas, en conjunto con el
Asistente de Logística y Servicios Generales a fin de permitir el acceso sólo al
personal autorizado.

 Se debe implementar, aplicar y supervisar la protección física contra desastres

naturales, accidentes y procedimientos para el trabajo en áreas seguras.

Equipos
 Los equipos deben ser protegidos contra fallas de electricidad y otras alteraciones
causadas por fallas de servicios de suministro.

 El cableado de energía y telecomunicaciones que llevan datos o servicios de

información de soporte debe ser protegido de la interceptación, interferencia o
daño.

 La Caja debe realizar acciones necesarias para asegurar la continua disponibilidad e

integridad de los equipos, incluyendo aquellos que son movilizados para trabajar
fuera de las instalaciones de la organización.

 Se debe contar con una política de escritorio limpio y pantalla limpia para evitar el
acceso no autorizado de los mismos.

11.5. Seguridad de las operaciones y comunicaciones

Procedimientos y responsabilidades operativas

 Los procedimientos operativos de la Caja deben ser documentados y puestos a
disposición de todos los usuarios que los necesiten.

 Mediante un procedimiento de control de cambio se debe asegurar que todos los

cambios de la Caja, procesos de negocio, instalaciones de procesamiento de la
información y sistemas que afectan la seguridad de la información deben ser
revisados y aprobados por los gerentes apropiados.

 Los ambientes de desarrollo de sistemas, pruebas y producción deben permanecer

separados para su adecuada administración, operación, control y seguridad.

 Los programas que se encuentren en el ambiente de producción de la Caja, se

modificarán únicamente por personal autorizado, de acuerdo con los
procedimientos internos establecidos.

Protección contra el código malicioso

 Implementar controles que permitan detectar, prevenir y corregir ingresos o
intentos de ingresos no autorizados.
Versión: 8.0 Página: Página 12 de 17
Fecha Aprobación: 25/03/2010 Directorio: N° 006 - 2010
Fecha Actualización: 20/12/2018 Directorio: N° 014 - 2018
 Código Tipo de Documento
SI001 POL

 Proteger la integridad del software y de la información, mediante el escaneo

continuo del Antivirus.

Respaldo
 Se deben establecer procedimientos de copias de respaldo de la información
aprobadas por el Jefe de Producción y Soporte.

Registros y monitoreo
 La Caja realizará un monitoreo permanente de la red a través de los diferentes logs
establecidos y configurados a conveniencia de la entidad. Estos logs serán revisados
y analizados de acuerdo a las tareas programadas dentro de la Gerencia de
Tecnología y Procesos.

Gestión de la seguridad de las redes

 La Gerencia de Tecnología y Procesos debe evaluar, proponer e implementar
soluciones tecnológicas necesarias para mejorar la seguridad y administración de la
red.

 Implementar procedimientos para controlar la instalación de software en sistema

operacionales.

 La Gerencia de Tecnología y Procesos debe reportar las fallas, controlar los accesos
locales y remotos de la red, los eventos del sistema operativo, problemas del
software base instalado y las alertas de fallas en programas o dispositivos de
hardware.

 Sobre los servicios contratados a terceros, se deberá contemplar la posibilidad de

auditar las características técnicas acordadas. Este control deberá ser realizado por
la División de Producción y Soporte de la Gerencia de Tecnología y Procesos, para lo
cual deberá contar con las herramientas (hardware y software) necesarias.

 La Gerencia de Tecnología y Procesos, inspeccionará todos los equipos informáticos

conectados o no a la red, para los propósitos de resolución de problemas y/o para
supervisar las políticas de seguridad, toda vez que se necesite y sin previo trámite. El
libre acceso debe preverse especialmente en periodos de acceso parcial de la
actividad laboral y cuando se crea conveniente por razones de mantenimiento
correctivo y/o preventivo, incluyendo las actualizaciones de librerías.

Transferencia de información
 Se deben aplicar políticas, procedimientos y controles de transferencia formales
para proteger la transferencia de información a través del uso de todo tipo de
instalaciones de comunicación.

 Los requisitos para los acuerdos de confidencialidad o no divulgación que reflejan

las necesidades de la organización para la protección de la información deben ser
identificados, revisados regularmente y documentados.

Versión: 8.0 Página: Página 13 de 17

Fecha Aprobación: 25/03/2010 Directorio: N° 006 - 2010
Fecha Actualización: 20/12/2018 Directorio: N° 014 - 2018
 Código Tipo de Documento
SI001 POL

11.6. Adquisición, desarrollo y mantenimiento de los Sistemas

Requisitos de seguridad de los sistemas de información

 Se deben incorporar requisitos de seguridad mínimos para asegurar la
confidencialidad, integridad y disponibilidad de los nuevos sistemas de información
o mejoras a los sistemas de información existentes.

Seguridad en los procesos de desarrollo y soporte

 Se deben establecer y aplicar reglas para el desarrollo de software dentro de la
organización.

 Los cambios a los sistemas dentro del ciclo de vida del desarrollo deben ser
controlados por medio del uso de procedimientos formales de control de cambios
para asegurar que no haya impacto adverso en las operaciones o en la seguridad de
la organización.

 Se deben establecer programas de pruebas de aceptación para nuevos sistemas de

información, actualizaciones y nuevas versiones.

Datos de prueba
 Revisar que los datos utilizados para fines de prueba, corresponde a información
despersonalizada antes de su uso.

11.7. Gestión de incidentes de seguridad de la información

Gestión de incidentes de seguridad de la información y mejoras

 Todo el personal de la Caja debe reportar lo antes posible al Oficial de Seguridad de
la Información cualquier incidente de seguridad que detecte, de acuerdo con los
procedimientos documentados.

 Todos estos incidentes y eventos de seguridad serán monitoreados y cuantificados a

través del Sistema de Gestión de la Seguridad de la Información (SGSI), logrando que
el sistema mejore constantemente, implementando controles más avanzados o
adicionales, y así limitar la frecuencia, daño y costos de ocurrencias futuras.

11.8. Cumplimiento

Cumplimiento de requisitos legales y contractuales

 Todos los requisitos legislativos, estatutarios, regulatorios y contractuales
relevantes, así como el enfoque de la organización para cumplir con estos requisitos
deben ser identificados, documentados y actualizados para cada sistema de
información y para la organización.

 Los registros de información, la privacidad y la protección de datos personales

deben ser protegidos de cualquier pérdida, destrucción, falsificación, acceso no
autorizado y divulgación no autorizada, de acuerdo con los requisitos legislativos,
regulatorios, contractuales y del negocio.

 Los gerentes deben revisar regularmente el cumplimiento del procesamiento de la

información y de los procedimientos dentro de su área de responsabilidad con las
políticas, normas y otros requisitos de seguridad.
Versión: 8.0 Página: Página 14 de 17
Fecha Aprobación: 25/03/2010 Directorio: N° 006 - 2010
Fecha Actualización: 20/12/2018 Directorio: N° 014 - 2018
 Código Tipo de Documento
SI001 POL

12. OBJETIVOS DE CONTROL

12.1. Seguridad de los recursos humanos

1. Asegurar que los empleados y contratistas entiendan sus roles para los que se les
considera y cumplan con sus responsabilidades de seguridad de la información.

2. Proteger los intereses de la Caja como parte del proceso de cambio o terminación
del empleo.

12.2. Gestión de Activos

3. Identificar los activos de la Caja y definir las responsabilidades de protección
apropiadas.

4. Asegurar que la información recibe un nivel apropiado de protección en

concordancia con su importancia para la organización.

5. Prevenir la divulgación, modificación o destrucción no autorizada de la información

almacenada en medios.

12.3. Control de Acceso

6. Asegurar el acceso de usurarios autorizados y prevenir el acceso no autorizado a
las instalaciones de sistemas y servicios de la Caja.

12.4. Seguridad Física y ambiental

7. Impedir el acceso físico no autorizado, daño e interferencia a la información y a las
instalaciones de procesamiento de la información de la Caja.

8. Prevenir la perdida, daño, robo o compromiso de activos e interrupción de las

operaciones de la caja.

12.5. Seguridad de las operaciones y comunicaciones

9. Asegurar que las operaciones e instalaciones de procesamiento de la información
sean correctas, seguras y estén protegidas contra códigos maliciosos.

10. Generar copias de respaldo de la información y registrar los eventos que atenten
contra su seguridad.

11. Asegurar la integridad de los sistemas operacionales.

12. Asegurar la protección de la información en las redes y sus instalaciones de

procesamiento de la información.

12.6. Adquisición, desarrollo y mantenimiento de los Sistemas

13. Garantizar que la seguridad de la información sea una parte integral durante todo
el ciclo de vida de los sistemas de información y durante el desarrollo y soporte de
software.

14. Asegurar la protección de datos utilizados para las pruebas.

Versión: 8.0 Página: Página 15 de 17
Fecha Aprobación: 25/03/2010 Directorio: N° 006 - 2010
Fecha Actualización: 20/12/2018 Directorio: N° 014 - 2018
 Código Tipo de Documento
SI001 POL

12.7. Gestión de incidentes en la seguridad de la información

15. Asegurar un enfoque consistente y efectivo a la gestión de incidentes de seguridad
de la información, incluyendo la comunicación sobre eventos de seguridad y
debilidades.

12.8. Cumplimiento
16. Asegurar que la seguridad de la información esta implementada y es operada de
acuerdo con las políticas y procedimientos organizativos.

17. Evitar sanciones de las obligaciones legales, regulatorias o contractuales

relacionadas a la seguridad de la información y a cualquier requisito de seguridad.

Versión: 8.0 Página: Página 16 de 17

Fecha Aprobación: 25/03/2010 Directorio: N° 006 - 2010
Fecha Actualización: 20/12/2018 Directorio: N° 014 - 2018
 Código Tipo de Documento
SI001 POL

13. CONTROL DE CAMBIOS

Fecha de
Versión Descripción del Cambio
Aprobación

25/03/2010 1.00  Creación del documento

 Actualización del documento normativo debido a observaciones de

auditoria interna en lo que estipula la actualización de los nombres de los
puestos de las áreas involucradas.
 Actualización del documento normativo debido a observaciones de
auditoría interna en lo que estipula completar las funciones del Oficial de
28/06/2017 7.00
Seguridad de Información en base a la funciones definidas de la Circular N°
G-140-2009
 Actualización del documento normativo debido a observaciones de
auditoría interna en lo que estipula eliminar el ítem 3 “Los custodios de la
Información”

 Actualización del documento normativo en el ítem 6 “Cumplimiento

obligatorio” según el Artículo 10° de la CIRCULAR Nº G- 140 -2009, estipula
que en caso de incumplimiento de las disposiciones contenidas en la
presente norma, la Superintendencia aplicará las sanciones
correspondientes de conformidad con lo establecido en el Reglamento de
Sanciones.
03/12/2018 8.00
 Actualización del documento normativo según el Artículo 4° de la
CIRCULAR Nº G- 140 -2009, en lo que estipula contar con una estructura
organizacional.
 Actualización del documento normativo debido a observaciones de
auditoría interna en lo que estipula alinear políticas de seguridad y
objetivos de control.

Versión: 8.0 Página: Página 17 de 17

Fecha Aprobación: 25/03/2010 Directorio: N° 006 - 2010
Fecha Actualización: 20/12/2018 Directorio: N° 014 - 2018