Documente Academic
Documente Profesional
Documente Cultură
1. INTRODUCCIÓN
Proteger los activos de información es vital para garantizar la continuidad del negocio y
mantener o mejorar la percepción de los usuarios internos y externos del Banco
Central. Dada la importancia de dichos activos es importante adoptar buenas prácticas,
establecer políticas que permitan reducir los riesgos en el manejo de cualquier tipo de
información e implementar un Sistema de Gestión de la Seguridad de la Información
(SGSI) según las necesidades del negocio, basado según ISO 27001: 2005, así como
consulta las normas ISO 27001:2015 y 27002:2015, Con todos los insumos teóricos
antes mencionados se analizó el estado actual de la dirección respecto a la seguridad de
la información, por medio de elementos cuantitativos y se procedió a la planeación del
SGSI. Se incluyen mapas de procesos, organigrama del Departamento de Seguridad de
la Información y otros elementos resultantes de cada uno de los pasos seguidos.
Visión: Ser una institución referente del nuevo rol de Banca Central, innovadora en la
gestión de liquidez de la economía ecuatoriana, incluyente en la prestación de servicios
financieros y reconocidos por sus aportes al desarrollo del país.
Las pruebas con el usuario se realizan con información financiera sensible del banco,
existen algunas medidas de seguridad previamente establecidas según los
requerimientos de cada dirección y algunas normas de desarrollo de software.
Los soportes técnicos se hacen de forma remota, usando control remoto o en sitio y
utilizando datos reales de usuario y contraseña, debido a que solo se dispone de un
directorio activo el de producción, para realizar las pruebas funcionales en el ambiente
de desarrollo y control de calidad QA.
4.3 Alcance
Esta política aplica a toda la empresa, desde los Directores, Gerentes, Jefes y empleados
en general, incluyendo consultores y pasantes en el Banco Central del Ecuador. La
política no modificará de ninguna manera los lineamientos de seguridad interna, como
de la funcionalidad del negocio.
Límite
6. ORGANIZACIÓN DE LA SEGURIDAD DE LA
ORGANIZATIVOS (O) TÉCNICOS (T)
INFORMACIÓN NORMATIVOS (N)
políticas caducidad hardware
6.1 Organización interna
Se requiere un
6.1.1 Asignación de responsabilidades para la SI: Se Se requiere que la
documento normativo
deberían definir y asignar claramente todas las organización establezca las
que lo establezca las
responsabilidades para la seguridad de la información. responsabilidades.
responsabilidades.
Con el fin de
6.1.2 Segregación de tareas: Se deberían segregar tareas reducir las
y las áreas de responsabilidad ante posibles conflictos de oportunidades de
interés con el fin de reducir las oportunidades de una modificación debe
modificación no autorizada o no intencionada, o el de un mal existir un documento
uso de los activos de la organización. que establezca la
segregación de tareas.
Se debe establecer
6.1.3 Contacto con las autoridades: Se deberían organizativamente cuales
mantener los contactos apropiados con las autoridades son las autoridades con las
pertinentes. que se debe mantener
contacto.
Diseñar e
implementar
6.2.1 Política de uso de dispositivos para movilidad: Se controles de
debería establecer una política formal y se deberían adoptar computación
las medidas de seguridad adecuadas para la protección móvil, acompañada
contra los riesgos derivados del uso de los recursos de del
informática móvil y las telecomunicaciones. procedimiento
adecuado
para estos equipos.
implementar
políticas de
seguridad para proteger
una política y medidas de seguridad de apoyo para proteger a
las información
la información accedida, procesada o almacenada en
accedida en ubicaciones
ubicaciones destinadas al teletrabajo.
destinadas como
teletrabajo: Ejemplo
políticas de VPN.
8. GESTIÓN DE ACTIVOS
ACTIVOS
NORMATIVOS (N) ORGANIZATIVOS (O) TÉCNICOS (T)
Responsabilidad sobre los activos
8.1 Actividades de control del riesgo
8.1.2 Propiedad de los activos: Toda la información y Debe existir a nivel Área técnica de
activos del inventario asociados a los recursos para el organizativo un área inventarios será la
encargada de inventario
de la organización. Esta
encargada del
tratamiento de la información deberían pertenecer a una responsabilidad no
levantamiento de
parte designada de la Organización. debería de recaer en los
inventario por áreas.
empleados del área de
soporte TI
Se requiere un
8.1.3 Uso aceptable de los activos: Se deberían
documento normativo
identificar, documentar e implantar regulaciones para el uso
que lo establezca que
adecuado de la información y los activos asociados a recursos
regule el uso de la
de tratamiento de la información.
información.
8.1.4 Devolución de activos: Todos los empleados y Deben existir actas El grupo de
usuarios de terceras partes deberían devolver todos los de devolución de c, con inventarios de la
activos de la organización que estén en su el fin de establecer un organización debe velar
posesión/responsabilidad una vez finalizado el acuerdo, paz y salvo con la porque los activos sean
contrato de prestación de servicios o actividades relacionadas organización y el devueltos a la
con su contrato de empleo. empelado. organización.
Clasificación de la información
8.2 Actividades de control del riesgo
un esquema de
debería desarrollar e implantar un conjunto apropiado de clasificación de la
procedimientos para el etiquetado y tratamiento de la información. De esta
información, de acuerdo con el esquema de clasificación forma se establece
adoptado por la organización. quienes tienen acceso a
la información.
La organización debe
8.2.3 Manipulación de activos: Se deberían desarrollar e Implantar contar con sistema de
implantar procedimientos para la manipulación de los procedimientos para la manipulación de activos.
activos acordes con el esquema de clasificación de la manipulación de De esta forma controlar la
información adoptado por la organización. activos. manipulación de los
mismos
misma.
Se deben
8.3.2 Eliminación de soportes: Se deberían eliminar los establecer normativas
medios de forma segura y sin riesgo cuando ya no sean para la eliminación de
requeridos, utilizando procedimientos formales. soportes, cuando estos
ya no sean requeridos.
Establecer pólizas
La organización debe
con la empresa
contar con un sistema de
encargada de manipular
8.3.3 Soportes físicos en tránsito: Se deberían proteger mensajería que se
los medios que
los medios que contienen información contra acceso no encargue de proteger los
contienen información
autorizado, mal uso o corrupción durante el transporte fuera medios que contienen
sensible de la empresa
de los límites físicos de la organización. información fuera de los
fuera de los límites
límites físicos de la
físicos de la
organización.
organización.
9. CONTROL DE ACCESO
NORMATIVOS (N) ORGANIZATIVOS (O) TÉCNICOS (T)
9.1 Requisitos de negocio para el control de acceso
seguridad informática.
Únicamente se debería
Los técnicos debe
proporcionar a los
controlar estos accesos
usuarios a las redes y a
de una manera
9.1.2 Acceso a las redes y a los servicios de red los servicios en red,
específica mediante el
para cuyo uso hayan
uso de herramientas
sido específicamente
tecnológicas.
autorizados.
Debería
implantarse un
procedimiento formal Los técnicos encargados del
9.2.1 Registro y baja de usuario de registro y retirada de manejo de registros y baja de
usuarios que haga usuarios.
posible la asignación de
los derechos de acceso.
Debería
implantarse un
procedimiento formal
Los técnicos encargados del
para asignar o revocar
9.2.2 Provisión de acceso de usuario manejo de asignaciones y
los derechos de acceso revocaciones de usuarios.
para todos los tipos de
usuarios de todos los
sistemas y servicios.
La asignación y el uso
de privilegios de acceso
9.2.3 Gestión de privilegios de acceso debería estar
restringida y
controlada.
La asignación de la
información secreta de
9.2.4 Gestión de la información secreta de autenticación autenticación debería Todo el personal de
de los usuarios ser controlada a través la institución.
de un proceso formal de
gestión.
Los propietarios
Revisar de manera
de los activos deberían
periódica los acceso de
9.2.5 Revisión de los derechos de acceso de usuario revisar los derechos de
los usuarios a los
acceso de usuario a
sistemas.
intervalos regulares.
9.2.6 Retirada o reasignación de los derechos de acceso Los derechos de Realizar los accesos a
acceso de los todos los los empleados que
empleados y terceras retiran de la
partes, a la información institución.
y a los recursos de
tratamiento de la
información debería ser
retirados a la
finalización del empleo,
Se debería requerí
a los usuarios que sigan
las prácticas de la
9.3.1 Uso de la información secreta de autenticación organización en el uso
de la información
secreta de
autenticación.
Se debería
restringir el acceso a la
información y a las Restringir el acceso a
funciones de alas los usuarios
9.4.1 Restricción del acceso a la información
aplicaciones, de dependiendo de sus
acuerdo con la política funciones.
de control de acceso
definida.
El acceso a los
sistemas y aplicaciones
Crear aplicaciones
se debería controlar por
9.4.2 Procedimientos seguros de inicio de sesión seguras y robustas de
medio de un
logeo de usuarios.
procedimiento seguro
de inicio de sesión.
Se debería
restringir y controlar el Manejar controles de
uso de utilidades que contraseñas mediante
9.4.4 Uso de utilidades con privilegios del sistema puedan ser capaces de perfiles de usuarios,
invalidar los controles como también de
de sistema y de administrador.
aplicación.
Tener implementado
Se debería
control de versiones,
9.4.5 Control de acceso al código fuente de los restringir el acceso al
mediante
programadores código fuente de
herramientas como el
programas.
subversión.