PLAN DE SEGURIDAD INFORMÁTICA PARA UNA ENTIDAD FINANCIERA”

UNIVERSIDAD NACIONAL MAYOR DE SAN MARCOS Fundada en 1551

FACULTAD DE CIENCIAS MATEMÁTICAS E.A.P. DE COMPUTACIÓN

“PLAN DE SEGURIDAD INFORMÁTICA PARA UNA ENTIDAD FINANCIERA”

TRABAJO MONOGRÁFICO Para optar el Título Profesional de: LICENCIADA AUTORA NORMA EDITH CÓRDOVA RODRÍGUEZ

LIMA – PERÚ 2003

DEDICATORIA

E st e t rabajo va dedicado dedicado a la U nive ni vers rsidad idad N acional acional M ayor ayor de San M arcos arcos,, a la que le debo mi formación profesional y los éxitos que he alcanzado.

INDICE

INTRODUCCION CAPITULO I. OBJETIVOS Y ALCANCES 1.1 Objetivos........... Objetivos................ .......... ......... ......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... ........ ...11 CAPITULO II METODOLOGÍA Y PROCEDIMIENTOS UTILIZADO 2.1 Metodología ESA....................................................................................................3 CAPITULO III DIAGNÓSTICO DE LA SITUACIÓN ACTUAL DE LA ADMINISTRACIÓN ADMI NISTRACIÓN DE LA SEGURIDAD DE INFORMACIÓN 3.1 Evaluación .......... ............... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... ........5 ...5 3.2 Alcances .......... ............... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... ........6 ...6 CAPITULO IV SEGURIDAD DE LA INFORMACIÓN – ROLES Y ESTRUCTURA ORGANIZACIONAL 4.1 Situación Situ ación actual..... actual .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... ......8 .8 4.2 4.2 Roles Roles y responsabil responsabilidades idades de la estructura estructura organiz organizaciona acionall de seguridad seguridad de de información.....................................................................................................9 4.3 4.3 Organizaci Organización ón del area de seguridad seguridad informática informática propuesta propuesta .... ...................... 13 CAPITULO V EVALUACIÓN DE RIESGOS, AMENAZAS Y VULNERABILIDADES 5.1 Matriz de uso y estrategia de tecnología ...... ......... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ..... 16 5.2 Matriz de evaluación de amenazas y vulnerabilidades ...... ......... ...... ...... ...... ...... ...... ...... ...... ..... 26 5.3 Matriz de iniciativas del negocio / procesos ...... ......... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ....... 38

CAPITULO VI POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN 6.1 Definición..... Defin ición.......... .......... .......... ......... ......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... ......48 .48 6.2 Cumplimiento Cumplim iento obligatorio obligat orio .......... ............... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... ......... ......... .........49 ....49 6.3 Organización Organizaci ón de la Seguridad Seguri dad .......... ............... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .........49 ....49 6.3. 6.3.11 Estructura organizaciona organizacional.. l................................................................................................................................ 49 6.3. 6.3.22 Acceso por parte de terceros... terceros................................................................................................................... 50 6.3.3 6.3.3 Outsourc Outsourcing ing... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ....... 51 6.4 Evaluacion Evaluaci on de riesgo ......... .............. .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... ......51 .51 6.4.1 6.4.1 Inventario de activos..... activos........ ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...52 52 6.4. 6.4.22 Clasific Clasificaci ación ón del acceso acceso de la informaci información.. ón......................................................................53 53 6.4.3 6.4. 3 Definic Defi nicione iones....................... s........................................... ........................................ ........................................ ......................... ..... 54 6.4.4 Aplicación de controles para la información clasificada... clasificada ...... ...... ...... ....... 54 6.4.5 6.4.5 Análisis de riesgo........ riesgo........... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ....... 57 6.4.6 6.4. 6 Cumplimi Cumpl imiento ento ...................................... .......................................................... ........................................ ............................ ........ 57 6.4.7 6.4 .7 Acepta Ace ptació ciónn de riesgo rie sgo.................. ...................................... ........................................ ................................... ............... 58 6.5 Seguridad Segur idad del personal..... personal .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... ......58 .58 6.5.1 .5.1 Segu Seguri rida dadd en en la la def defini inici ción ón de pues puesto toss de de trab trabajo ajo y rec recur urso soss .... ...... 59 6.5. 6.5.22 Capacitació Capacitaciónn de usuarios usuarios .... .............................................................................................................................. 60 6.5.3 .5.3 Proce Procedi dimie miento ntoss de resp respue uesta sta ante ante incid inciden ente tess de segu segurid ridad. ad... ..... 61 6.5.3.1 6.5. 3.1 Registr Regi stroo de fallas fall as ....................................... ........................................................... ...................................... .................. 62 6.5.3.2 Intercambios Interc ambios de información informa ción y correo electrónico electrón ico..... .......... ......... ......... ........ ... 62 6.5.3.3 Seguridad para media med ia en tránsito ......... .............. .......... .......... .......... .......... .......... .......... .......... .....64 64 6.6 6.6 Seguridad Seguridad física física de las las instalacio instalaciones nes de proces procesamien amiento to de datos datos.........................64 .64 6.6.1 .6.1 Prot Protec ecci ción ón de de las ins insta tala laci cion ones es de de los cen centro tross de dato datos.. s.... ....... ....... ...... 64 6.6. 6.6.22 Control Control de acceso acceso a las instal instalaci acione oness de de cómp cómputo uto .... ........................................65 65 6.6. 6.6.33 Acuerdo Acuerdo con regulac regulacione ioness y leyes. leyes..................................................................................................... 66 6.7 Administración de comunicaciones y operaciones...... operaciones......... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ....66 .66 6.7. 6.7.11 Proce Procedim dimien ientos tos y respo responsa nsabil bilida idades des opera operacio cional nales es .... ....................................66 66 6.7.1.1 6.7.1. 1 Procedimientos Procedimi entos operativos opera tivos documentados........ docume ntados............ ......... .......... ......... ......... ........ ... 66 6.7.1.2 Administración de operaciones realizadas por terceros...... terceros......... ...... ...67 67 6.7.1.3 6.7.1. 3 Control Cont rol de cambios ca mbios operacionales......... operaci onales............. ......... .......... .......... .......... .......... .......... .......... .....67 67 6.7.1.4 6.7.1. 4 Administración Administr ación de incidentes incidente s de seguridad seguri dad..... .......... .......... .......... .......... .......... ........ ... 68 6.7.1.5 Separación de funciones de operaciones y desarrollo... desarrollo ...... ...... ...... ....... 68 6.7.2 6.7.2 Protección Protección contra virus....... virus.......... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...69 69 6.7.3 6.7.3 Copias de respaldo...... respaldo......... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ..... 70 6.8 Control Contr ol de acceso de datos.......... datos............... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .........71 ....71 6.8. 6.8.11 Identifica Identificación ción de usuarios usuarios.................................................................................................................................. 71

6.8.2 6.8.2 Seguridad de contraseñas.... contraseñas....... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...72 72 6.8.2.1 6.8. 2.1 Estructur Estr ucturaa ...................................... .......................................................... ......................................... ................................ ........... 72 6.8.2.2 6.8. 2.2 Vigencia Vige ncia.................. ...................................... ........................................ ........................................ ................................... ............... 73 6.8.2.3 Reutilización Reutiliz ación de contraseñas .......... ............... .......... .......... .......... .......... .......... .......... ......... ......... ........ ... 73 6.8.2.4 Intentos Intento s fallidos falli dos de ingreso.............. ingreso................... .......... .......... .......... .......... .......... .......... ......... ......... ........ ... 73 6.8.2.5 6.8.2. 5 Seguridad Seguri dad de contraseñas contra señas ......... .............. .......... .......... .......... .......... .......... .......... .......... ......... ......... ........ ... 74 6.8.3 6.8.3 Control de transacciones transacciones... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...74 74 6.8. 6.8.44 Control Control de producc producción ión y prueba prueba .... ........................................................................................................ 75 6.8. 6.8.55 Controles Controles de acces accesoo de programas programas................................................................................................ 76 6.8. 6.8.66 Administrac Administración ión de acceso acceso de usuarios... usuarios................................................................................... 76 6.8. 6.8.77 Responsabi Responsabilidade lidadess del usuario.. usuario.............................................................................................................. 78 6.8. 6.8.88 Seguridad Seguridad de computado computadoras ras........................................................................................................................ 79 6.8. 6.8.99 Control de acceso acceso a redes.. redes.............................................................................................................................. 80 6.8.9.1 6.8.9. 1 Conexiones Co nexiones con redes externas externa s .......... ............... .......... .......... .......... .......... .......... ......... ......... ........ ... 80 6.8.9.2 Estándares Estándare s generales ......... .............. .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .....81 81 6.8.9.3 6.8.9. 3 Política Polít ica del uso us o de servicio servi cio de redes re des ......... .............. .......... .......... .......... .......... .......... .......... .....82 82 6.8.9.4 Segmentación Segmentac ión de redes.... redes ......... .......... .......... .......... .......... .......... .......... .......... .......... .......... ......... ......... ........ ... 83 6.8.9.5 6.8.9. 5 Análisis Análisi s de d e riesgo r iesgo de red ......... .............. .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .....83 83 6.8.9.6 Acceso remoto(dial-in) remoto(d ial-in) .......... ............... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... ........ ... 83 6.8.9.7 6.8.9. 7 Encripción Encrip ción de los datos..... datos .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... ......... ......... ........ ... 84 6.8.10 6.8.10 Control Control de acceso acceso al sistema operativ operativoo .... .............................................................................. 84 6.8.10.1 6.8.10. 1 Estándares Estándare s generales .......... ............... .......... .......... .......... .......... .......... .......... .......... .......... ......... ......... ........ ... 84 6.8.10.2 Limitaciones Limitaci ones de horario............. horario.................. .......... .......... .......... .......... .......... .......... .......... ......... ......... ........ ... 84 6.8.10.3 6.8.10 .3 Administr Adm inistración ación de contraseñas cont raseñas ......... .............. .......... .......... .......... .......... .......... ......... ......... ........ ... 85 6.8.10.4 6.8. 10.4 Inactivi Inac tividad dad del sistema.................................. sistema....................................................... ................................ ........... 85 6.8.10.5 6.8.10. 5 Estándares de autenticación autenti cación en los sistemas .......... ............... ......... ......... ........ ... 85 6.8.11 Control de acceso de aplicación.... aplicación....... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ....... 85 6.8.11.1 6.8.11. 1 Restriccione Restr iccioness de acceso acces o a informaci inf ormación. ón...... .......... .......... .......... .......... ......... ......... ........ ... 86 6.8.11.2 6.8.11 .2 Aislamie Ai slamiento nto de sistemas sistem as críticos crí ticos.... ......... .......... .......... .......... .......... .......... .......... .......... .......... .....86 86 6.8.12 6.8.12 Monitoreo Monitoreo del acces accesoo y uso de los los sistemas... sistemas............................................................... 86 6.8.12.1 6.8.1 2.1 Sincroniza Sincr onización ción del reloj.......... reloj............... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .....86 86 6.8.12.2 Responsabilidades Responsabilid ades generales............ generales................. .......... .......... .......... .......... .......... ......... ......... ........ ... 87 6.8.12.3 6.8.12. 3 Registro Regis tro de eventos del sistema si stema ......... .............. .......... .......... .......... .......... .......... .......... .......... .....87 87 6.8.13 Computación Computación móvil y teletrabajo ...... ......... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ....... 87 6.8.13.1 Responsabilidades Responsabilid ades generales............ generales................. .......... .......... .......... .......... .......... ......... ......... ........ ... 87 6.8.13.2 6.8.1 3.2 Acceso remoto remot o ..................................... ......................................................... ......................................... ....................... 88 6.9 Desarrollo y mantenimiento de los sistemas... sistemas ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... .....89 ..89 6.9. 6.9.11 Requerimien Requerimientos tos de seguridad seguridad de sistemas. sistemas....................................................................... 89 6.9.1. 6.9 .1.11 Contro Con troll de cambios camb ios................... ....................................... ........................................ ................................... ............... 89 6.9.1.2 Análisis y especificación de los requerimientos de de seguridad . 90 6.9. 6.9.22 Seguridad Seguridad en sistemas sistemas de aplicación... aplicación....................................................................................... 90 6.9.2.1 6.9.2. 1 Desarrollo Desar rollo y prueba pr ueba de aplicaciones....... aplicaci ones............ .......... .......... .......... .......... .......... .......... ........ ... 90 6.10 Cumplimient Cumpli mientoo normativo normat ivo ........................................ ............................................................ ......................................... .......................9 ..911 6.10.1 6.10.1 Registros ...... ......... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...91 91

6.10 6.10.2 .2 Revisi Revisión ón de la polí polític ticaa de de segu segurid ridad ad y cump cumplim limien iento to técn técnico ico .... ...... 92 6.10.3 6.10.3 Propiedad de los programas... programas ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...92 92 6.10. 6.10.44 Copiado Copiado de software software adquirido adquirido y alquilado.... alquilado.................................................................... 92 6.11 Consideraciones Consider aciones de auditoria de sistemas .......... ............... .......... .......... .......... .......... .......... ......... ......... .........93 ....93 6.11. 6.11.11 Protecció Protecciónn de las herramie herramientas ntas de audito auditoria ria.................................................................. 93 6.11.2 6.11.2 Controles de auditoria de sistemas...... sistemas......... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ..... 93 6.12 Política Polít ica de Comercio Com ercio Electróni El ectrónico co .......... ............... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .........94 ....94 6.12. 6.12.11 Términos Términos e información información de comercio comercio electrónico electrónico.................................................. 95 6.12.1.1 6.12.1. 1 Recolección de información inform ación y privacidad ......... .............. .......... .......... .......... .......... .....95 95 6.12.1. 6.1 2.1.22 Divulga Div ulgación ción ........................................ ............................................................ ........................................ ......................... ..... 95 6.12.2 6.12.2 Transferencia electrónica de fondos..... fondos........ ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...96 96 6.13 Información almacenada en medios digitales y físicos ...... ......... ...... ...... ...... ...... ...... ...... ...... .....97 ..97 6.13.1 6.13.1 Etiquetado de la información... información...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...97 97 6.13.2 6.13.2 Copiado de la información...... información......... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ..... 97 6.13.3 6.13.3 Distribución de la información.... información....... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...98 98 6.13.4 6.13.4 Almacenamiento de la información..... información........ ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ....... 98 6.13.5 6.13.5 Eliminación de la información ...... ......... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ..... 99 CAPITULO VII PLAN DE IMPLEMENTACI I MPLEMENTACIÓN ÓN DE ALTO NIVEL 7.1 Clasificación Clasif icación de información... inform ación........ ......... ......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... ........ ...102 102 7.2 Seguridad Segurid ad de red y comunicaciones...... comunicaci ones........... .......... .......... .......... .......... .......... .......... .......... .......... ......... ......... ....... 103 7.3 Inventario de accesos a los sistemas........ sistemas........... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ......106 ...106 7.4 Adaptación de contratos con proveedores ...... ......... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... .......107 107 7.5 Campaña de concientización concientización de usuarios.... usuarios. ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... .......108 108 7.6 Verificación y adaptación de los sistemas del banco.. banco..... ...... ...... ...... ...... ...... ...... ...... ...... ...... ..... 109 7.7 Estandarización de la configuración del software base...... base......... ...... ...... ...... ...... ...... ...... .......110 110 7.8 7.8 Revisión, Revisión, y adaptació adaptaciónn de procedimiento procedimientoss complementarios complementarios...................................... 111 7.9 Cronograma tentativo de implementación...... implementación......... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ......113 ...113 CONCLUSIONES CONCLUSION ES Y RECOMENDACIONES RECOMENDACI ONES .......... ............... .......... .......... .......... .......... .......... .......... ......... ......... .......114 ..114 ANEXOS A.

Diseño de arquitectura arquitectura de seguridad de red ...... ......... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...118 118

B.

Circula Circularr n° g-105g-105-200 20022 publica publicada da por por la Super Superinte intende ndenci nciaa de Banca Banca y Seguros (SBS) sobre riesgos de tecnología de información.....................121

C.

Detall Detalle: e: Diagn Diagnost ostico ico de de la Situa Situacio cionn Actual Actual de de la Admin Administ istrac ración ión de de los ries riesgos gos de tecnologia de la informacion......................................................................132

BIBLIOGRAFÍA.. ..............................................................................................154

Plan de Seguridad Informática para una Entidad Financiera . Córdova Rodríguez, Norma Edith.

RESUMEN

La liberalización y la globalización de los servicios financieros, junto con la creciente sofisticación de la tecnología financiera, están haciendo cada vez más diversas y complejas las actividades de los bancos en términos de Seguridad. En otros tiempos la seguridad de la información era fácilmente administrable, sólo bastaba con resguardar los documentos más importantes bajo llave y mantener seguros a los empleados que poseen el conocimiento poniendo guardias de seguridad. Hoy en día es más difícil. Los sistemas electrónicos entraron en las oficinas y obligaron a los sistemas de seguridad a evolucionar para mantenerse al día con la tecnología cambiante. Luego, hace unos 5 años, los negocios, aún las empresas más pequeñas, se conectaron a Internet (una amplia red pública con pocas reglas y sin guardianes). De manera similar a otro tipo de crímenes, el cuantificar los gastos y pérdidas en seguridad seguridad de la información o crímenes cibernéticos es muy difícil. Se tiende a minimizar los incidentes por motivos muchas veces justificables. Por otro lado el objetivo fundamental de la seguridad no es proteger los sistemas, sino reducir los riesgos y dar soporte a las operaciones del negocio. La computadora más segura del mundo es aquella que está desconectada de cualquier red, enterrada profundamente en algún oscuro desierto y rodeada de guardias armados, pero es también la más inútil.

Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM


La seguridad es sólo uno de los l os componentes de la administración de riesgos r iesgos – minimizar la exposición de la empresa y dar soporte a su capacidad de lograr su misión. Para ser efectiva, la seguridad debe estar estar integrada a los procesos del negocio y no delegada a algunas aplicaciones técnicas. Los incidentes de seguridad más devastadores tienden más a ser internos que externos. Muchos de estos incidentes involucran a alguien llevando a cabo una actividad autorizada autorizada de un modo no autorizado. autorizado. Aunque la tecnología tiene cierta ingerencia en limitar esta clase de eventos internos, las verificaciones y balances como parte de los procesos del negocio son mucho más efectivos. Las computadoras computadoras no atacan a las empresas, empresas, lo hace la gente. gente. Los empleados bien capacitados tienen mayores oportunidades de detectar y prevenir los incidentes de seguridad antes de que la empresa sufra algún daño. Pero para que los empleados sean activos, se requiere que entiendan como reconocer, responder e informar los problemas – lo cual constituye la piedra angular de la empresa con conciencia de seguridad lo que nosotros llamamos “cultura de seguridad”. El presente trabajo describe como se define un Plan de Seguridad para una entidad financiera, empieza por definir la estructura organizacional (roles y funciones), después pasa a definir las políticas para finalmente concluir con un plan de implementación o adecuación a las políticas anteriormente anteri ormente definidas.



ABSTRACT

The liberalization and globalization of the financial services with the increasing sophistication of the financial technology are facing more complex banking activities in terms of security. Long time ago, security information was easily management, just it was enough guard the more important documents under the keys and placed employees; who has the knowledge; knowledge; safe, just placing bodyguards; bodyguards; nowadays it is harder. The electronics systems got in the office and made systems security evolved to be updated with the technology changes. Then, 5 years ago, the business; even the small companies were connected connected to Internet (a public network with few rules and without security). In a similar way of other kind of crimes, measure security IT expenses and lost or cybernetic crimes are very difficult. People tend to minimize incidents for justifying reasons. By the other hand, the main objective of IT Security is not to protect the systems; it is to reduce risks and to support the business operations. The most secure computer in the world is which is disconnected form the network, placed deeply in any dark desert and be surrounded by armed bodyguards, but it is also the most useless. Security is just just one of the components components of risk management - minimize the exposition of the business and support the capacity of meet his mission. To be effective, security must be integrated through the business process and not delegate to some technical applications. Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM


The more destructive security incidents tend mostly to be internal instead of external. Many of these involve someone taking an authorized activity in a way non-authorized. Although technology has some concern in limit these kind of internal events, the verifications and balances as part of the business process are more effective. Computers does not attack enterprises, people do it. Employees with knowledge have more opportunities to detect and prevent security incidents before the enterprises suffer a damage. But to make employees more concern, we need that they understand, reply and inform security incidents – which is the most important thing inside the enterprise with security concern, which is called “security culture”. The present work describes how you can define a Security Plan for a financial enterprise, begin defining the Organizational structure (roles and responsibilities), then define the policies and finally ends with the Implementation Plan which are the activities to meet the policies before mentioned.



INTRODUCCIÓN

Los eventos mundiales recientes han generado un mayor sentido de urgencia que antes con respecto a la necesidad de tener mayor seguridad - física y de otro tipo. Las empresas pueden haber reforzado las medidas de seguridad, pero nunca se sabe cuándo o cómo puede estar expuesta. A fin de brindar la más completa protección empresarial, se requiere de un sistema exhaustivo de seguridad. Es vital implementar un plan de seguridad. Sin embargo, implementar un plan proactivo que indique cómo sobrevivir a los múltiples escenarios también preparará a las empresas en el manejo de las amenazas inesperadas que podría afrontar en el futuro. La mayoría de las empresas ha invertido tiempo y dinero en la construcción de una infraestructura para la tecnología de la información que soporte su compañía, esa infraestructura de TI podría resultar ser una gran debilidad si se ve comprometida. Para las organizaciones que funcionan en la era de la informática interconectadas y con comunicación electrónica, las políticas de información bien documentadas que se comunican, entienden e implementen en toda la empresa, son herramientas comerciales esenciales en el entorno actual para minimizar los riesgos de seguridad. Imagine lo que sucedería si: •

•

•

La información esencial fuera robada, se perdiera, estuviera en peligro, fuera alterada o borrada. Los sistemas de correo electrónico no funcionaran durante un día o más. ¿Cuánto costaría esta improductividad? Los clientes no pudieran enviar órdenes de compra a través de la red durante un prolongado periodo de tiempo.



Prepararse para múltiples escenarios parece ser la tendencia creciente. En un informe publicado por Giga Information Information Group con respecto a las tendencias de TI estimadas para el año 2002, se espera que los ejecutivos corporativos se interesen cada vez más en la prevención de desastres físicos, ciberterrorismo ciberterr orismo y espionaje de libre competencia. Implementar una política de seguridad completa le da valor intrínseco a su empresa. También mejorará la credibilidad y reputación de la empresa y aumentará la confianza de los accionistas principales, lo que le dará a la empresa una ventaja estratégica.

¿Cómo desarrollar una política de seguridad? •

•

Identifique y evalúe los activos: Qué activos deben protegerse y cómo protegerlos de forma que permitan la prosperidad de la empresa. Identifique las amenazas: ¿Cuáles son las causas de los potenciales

problemas de seguridad? Considere la posibilidad de violaciones a la seguridad y el impacto que tendrían si ocurrieran. Estas amenazas son externas o internas: o

Amenazas externas: Se originan fuera de la organización y son los virus, gusanos, caballos de Troya, intentos de ataques de los

hackers, hackers, retaliaciones retaliacione s de ex-empleados ex-empleados o espionaje industrial. o

Amenazas internas: Son las amenazas que provienen del

interior de la empresa y que pueden ser muy costosas porque el infractor tiene mayor acceso y perspicacia para saber donde reside la información sensible e importante. Las amenazas internas también incluyen el uso indebido del acceso a Internet por parte de los empleados, así como los problemas que podrían



ocasionar los empleados al enviar y revisar el material ofensivo a través de Internet. •

Evalué los riesgos: Éste puede ser uno de los componentes más

desafiantes del desarrollo de una política de seguridad. Debe calcularse la probabilidad de que ocurran ciertos sucesos y determinar cuáles tiene el potencial para causar mucho daño. El costo puede ser más que monetario - se debe asignar un valor a la pérdida de datos, la privacidad, responsabilidad legal, atención pública indeseada, la pérdida de clientes o de la confianza de los inversionistas y los costos asociados con las soluciones para las violaciones a la seguridad. •

Asigne las responsabilidades: responsabilidades: Seleccione un equipo de desarrollo que ayude a identificar las amenazas potenciales en todas las áreas de la

empresa. Sería ideal la participación de un representante por cada departamento de la compañía. Los principales integrantes del equipo serían el administrador de redes, un asesor jurídico, un ejecutivo superior y representantes de los departamentos de Recursos Humanos y Relaciones Públicas. •

Establezca políticas de seguridad: Cree una política que apunte a los

documentos asociados; parámetros y procedimientos, normas, así como los contratos de empleados. Estos documentos deben tener información específica relacionada con las plataformas informáticas, las plataformas tecnológicas, las responsabilidades del usuario y la estructura organizacional. De esta forma, si se hacen cambios futuros, es más fácil cambiar los documentos subyacentes que la política en sí misma. •

Implemente una política en toda la organización: La política que se

escoja debe establecer claramente las responsabilidades en cuanto a la seguridad y reconocer quién es el propietario de los sistemas y datos Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM


específicos. También puede requerir que todos los empleados firmen la declaración; si la firman, debe comunicarse claramente. Éstas son las tres partes esenciales de cumplimiento que debe incluir la política: polí tica: o

Cumplimiento: Indique un procedimiento para garantizar el

cumplimiento y las consecuencias potenciales por incumplimiento. o

Funcionarios de seguridad: Nombre individuos que sean

directamente responsables de la seguridad de la información. Asegúrese de que no es la misma persona que supervisa, implementa o revisa la seguridad para que no haya conflicto de intereses. o

Financiación: Asegúrese de que a cada departamento se le haya asignado los fondos necesarios para poder cumplir

adecuadamente con la política de seguridad de la compañía.

•

Administre el programa de seguridad: Establezca los procedimientos

internos para implementar estos requerimientos y hacer obligatorio su cumplimiento. Consideraciones importantes

A través del proceso de elaboración de una política de seguridad, es importante asegurarse de que la política tenga las siguientes características: caracterí sticas: •

Se pueda implementar y hacer cumplir

•

Sea concisa y fácil de entender

•

Compense la protección con la productividad



Una vez la política se aprueba totalmente, debe hacerse asequible a todos los empleados porque, en ultima instancia, ellos son responsables de su éxito. Las políticas deben actualizarse anualmente (o mejor aún cada seis meses) para reflejar los cambios en la organización o cultura. Se debe mencionar que no debe haber dos políticas de seguridad iguales puesto que cada empresa es diferente y los detalles de la política dependen de las necesidades exclusivas de cada una. Sin embargo, usted puede comenzar con un sistema general de políticas de seguridad y luego personalizarlo de acuerdo con sus requerimientos específicos, limitaciones de financiación e infraestructura existente. Una política completa de seguridad de la información es un recurso valioso que amerita la dedicación de tiempo y esfuerzo. La política que adopte su empresa brinda una base sólida para respaldar el plan general de seguridad. Y una base sólida sirve para respaldar una empresa sólida.

BANCO ABC

En el presente trabajo desarrollaremos el Plan de Seguridad para una entidad financiera a la cual llamaremos el Banco ABC. El Banco ABC es un banco de capital extranjero, tiene 35 agencias a nivel nacional, ofrece todos los productos financieros conocidos, posee presencia en Internet a través de su pagina web, es un banco mediano cuenta con 500 empleados y es regulado por la Superintendencia de Banca y Seguros. A lo largo de todo el desarrollo del trabajo describiremos mas en detalle su estructura interna, evaluaremos los riesgos a los cuales están expuestos, expuestos, para lo cual se realizara un diagnostico objetivo de la situación actual y como se deben contrarrestar, para finalmente terminar diseñando el Plan de Seguridad y



las principales actividades que deben ejecutarse para la implementación de las políticas de seguridad. A continuación describiremos brevemente la situación actual de los aspectos más importantes en la elaboración del Plan de Seguridad; como son la organización, el propio Plan y la adecuación al Plan. A) Organización de seguridad de la información

Actualmente el Banco cuenta con un área de seguridad informática recientemente constituida, los roles y responsabilidades del área no han sido formalizados y las tareas desempeñadas por el área se limitan por ahora al control de accesos de la mayoría de sistemas del Banco. Algunas tareas correspondientes a la administración de seguridad son desarrolladas por el área de sistemas como la administración de red, firewalls y bases de datos, otras tareas son realizadas directamente por las áreas usuarias, y finalmente otras responsabilidades como la elaboración de las políticas y normas de seguridad, concientización de los usuarios, monitoreo de incidentes de seguridad, etc., no han sido asignadas formalmente a ninguna de las áreas. En este sentido, en el presente trabajo detallamos los roles y responsabilidades relacionadas a la administración de seguridad de la información que involucra no solamente a miembros de las áreas de seguridad informática y sistemas como administradores de seguridad de información y custodios de información, sino a los gerentes y jefes de las unidades de negocio como propietarios de información, y a los usuarios en general. B) Diseño del plan de seguridad de la información

Para el diseño del Plan de seguridad de la información se desarrollaran las siguientes etapas: Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM


-

Evaluación de riesgos, amenazas y vulnerabilidades vulnerabilidades

Para la definición del alcance de las l as políticas y estándares y con el propósito de identificar las implicancias de seguridad del uso y estrategia de tecnología, amenazas y vulnerabilidades y nuevas iniciativas del negocio, se desarrollarán un conjunto de entrevistas con las Gerencias del Banco, personal del área de sistemas, auditoria interna y el área de seguridad informática. Producto de la consolidación de la información obtenida en dichas entrevistas se elaborará unas matrices que se presentarán pr esentarán en el capítulo capítul o N° V del presente documento. -

Políticas de seguridad de información.

Con el objetivo de contar con una guía para la protección de información del Banco, se elaborarán las políticas y estándares de seguridad de la información, tomando en cuenta el estándar de seguridad de información ISO 17799, los requerimientos de la Circular N° G-105-2002 publicada por la Superintendencia de Banca y Seguros (SBS) sobre Riesgos de Tecnología de Información y las normas establecidas internamente por el Banco. -

Diseño de arquitectura de seguridad de red.

Con el objetivo de controlar las conexiones de la red del Banco con entidades externas y monitorear la actividad realizada a través de dichas conexiones, se elaborará una propuesta de arquitectura de red la cual incluye dispositivos de monitoreo de intrusos y herramientas de inspección de contenido.



C) Plan de Implementación

De la identificación de riesgos amenazas amenazas y vulnerabilidades relacionadas con la seguridad de la información del Banco, se lograron identificar las actividades más importantes a ser realizadas por el Banco con el propósito de alinear las medidas de seguridad implementadas para proteger la información del Banco, con las Políticas de seguridad y estándares elaborados. Este plan de alto nivel incluye una descripción de la actividad a ser realizada, las etapas incluidas en su desarrollo y el tiempo estimado de ejecución.

El Autor



Capítulo I OBJETIVOS Y ALCANCES 1.1

Objetivos

El objetivo del presente trabajo es realizar un diagnostico de la situación actual en cuanto a la seguridad de información que el Banco ABC actualmente administra y diseñar un Plan de Seguridad de la Información (PSI) que permita desarrollar operaciones seguras basadas en políticas y estándares claros y conocidos por todo el personal del Banco. Adicionalmente, el presente trabajo contempla la definición de la estrategia y los proyectos más importantes que deben ser llevados a cabo para culminar con el Plan de Implementación Implementación.. La reglamentación que que elaboró elaboró la SBS con con respecto respecto a los riesgos de tecnología forma parte de un proceso de controles que se irán implementando, tal como lo muestra el gráfico siguiente, los primeros controles fueron enfocados hacia los riesgos propios del negocio (financieros y de capital), y él ultima en ser reglamentado es el que nos aboca hoy, que es el diseño de un Plan de Seguridad Informática (PSI) para esta entidad financiera. f inanciera.



Gráfico de Evolución de las regulaciones de la Superintendencia de Banca y Seguros

Riesgos Financieros

• • • • • •

• •

Estructura Rentabilidad Adec. Capital De Crédito De liquidez De Tasa de Interés De Mercado

Riesgos de Negocios

•

• •

•

•

Riesgo de Política Riesgo País Riesgo

Riesgos de Operaciones

• • • •

Procesos Tecnología Personas Eventos

Riesgo Político Riesgo de Crisis Bancarias

1. Plan de Seguridad Informática PSI



Capítulo II METODOLOGÍA Y PROCEDIMIENTOS UTILIZADOS 2.1 Metodología ESA

La estrategia empleada para la planificación y desarrollo del presente trabajo, está basada basada en la metodología Enterprise Security Arquitecture (ESA) para el diseño de un modelo de seguridad, como marco general establece el diseño de políticas, normas y procedimientos de seguridad para el posterior desarrollo de controles sobre la información de la empresa. Visión y Estrategia de Seguridad a i c n e r e a G t l A a l

Amenazas

I n i c ia i a t i v as as & P r o c e s o s de Negocios E s t r at at e g í a d e T e c n ol ol o g í a & U s o

Evaluación de Riesgo & Vulnerabilidad

Política

e o d s i m o r p m o C

Modelo de Seguridad Arquitectura de Seguridad & E s t á n d ar ar e s T e c n i c o s Guías y Procedimientos Adminitrativos y de Usuario Final Procesos de Ejecución

Procesos de Monitoreo

Procesos de Recuperacíon

n ó i c a z i t n e i c n o C o t y n e i m a n e r t n E e a d m a r g o r P

E s t r u c t u r a d e A d mi mi n i s t r a c i ó n d e S e g u r i d a d d e I n f o r m a c i ó n

En el desarrollo del trabajo se utilizaron los siguientes procedimientos de trabajo:



1. Entrevistas para para la identificación identificación de riesgos amenazas amenazas y vulnerabilidades de la organización con el siguiente personal de la empresa: -

-

-

-

-

-

-

-

-

-

-

Gerente de División de Negocios. Gerente de División de Riesgos Gerente de División de Administración y Operaciones Gerente de División de Finanzas Gerente de División de Negocios Internacionales Gerente de Negocios Internacionales Gerente de Asesoría Legal Auditor de Sistemas Gerente de Sistemas Gerente Adjunto de Seguridad Informática Asistente de Seguridad Informática

2. Definición y discusión de la organización del área de seguridad informática. 3. Elaboración de las políticas de seguridad de información del Banco tomando como referencia el estándar para seguridad de información ISO 17799, los requerimientos de la Circular N° G-105-2002 publicada por la Superintendencia de Banca y Seguros (SBS) sobre Riesgos de Tecnología de Información y las normas internas del Banco referidas a la seguridad de información. 4. Evaluación de la arquitectura de red actual y diseño de una propuesta de arquitectura de red.



Capítulo III DIAGNÓSTICO DE LA SITUACIÓN ACTUAL DE LA ADMINISTRACIÓN DE LA SEGURIDAD DE INFORMACIÓN 3.1 Evaluación

Efectuada nuestra revisión de la administración de riesgos de tecnología de información del Banco hemos observado que el Plan de Seguridad de Información (PSI) no ha sido desarrollado. Si bien hemos observado la existencia de normas, procedimientos y controles que cubren distintos aspectos de la seguridad de la información, se carece en general de una metodología, guía o marco de trabajo que ayude a la identificación de riesgos y determinación de controles para mitigar los mismos. Dentro de los distintos aspectos a considerar en la seguridad de la Información, se ha podido observar que se carece de Políticas de seguridad de la Información y de una Clasificación de Seguridad de los activos de Información del Banco. Cabe mencionar que se ha observado la existencia de controles, en el caso de la Seguridad Lógica, sobre los accesos a los sistemas de información así como procedimientos establecidos para el otorgamiento de dichos accesos. De igual manera se ha observado controles establecidos con respecto a la seguridad física y de personal. Sin embargo, estos controles no obedecen a una definición previa de una Política de Seguridad ni de una evaluación de riesgos de seguridad de la información a nivel de todo el Banco. Los controles establecidos a la fecha son producto de evaluaciones particulares efectuadas por las áreas involucradas o bajo cuyo ámbito de responsabilidad recae cierto aspecto de la seguridad.



3.2 Alcances

El alcance del diagnóstico de la situación de administración del riesgo de Tecnología de Información, en adelante TI, comprende la revisión de las siguientes funciones al interior del área de sistemas: sist emas: Administración del área de Tecnología de Información - Estructura Estructura organizacional organiz acional - Función de seguridad a dedicación exclusiva - Políticas y procedimientos para administrar los riesgos de TI - Subcontratación Subcontrataci ón de recursos. Actividades de desarrollo y mantenimiento de sistemas informáticos informáti cos Seguridad de la Información - Administración de la Seguridad de la Información. - Aspectos de la seguridad de la información (lógica, personal y física y ambiental) - Inventario periódico de activos asociados a TI Operaciones computarizadas - Administración de las operaciones y comunicaciones - Procedimientos de respaldo - Planeamiento para la continuidad de negocios - Prueba del plan de continuidad de negocios •

•

•

•

Asimismo, comprende la revisión de los siguientes aspectos: •

•

•

Cumplimiento normativo Privacidad de la información Auditoria de sistemas

El siguiente cuadro muestra el grado de cumplimiento en los aspectos relacionados a la adecuación del Plan de Seguridad:



Aspectos Evaluados 1

Estructura de la seguridad de la Información

2

Plan de seguridad de la Información

2.1.1.

Seguridad Lógica

2.1.2

Seguridad de Personal

2.1.3

Seguridad Física y Ambiental

2.1.4

Clasificación de Seguridad

3

Administración de las operaciones y comunicaciones

4

Desarrollo y mantenimiento de sistemas informáticos

5

Procedimientos de respaldo

6

Plan de continuidad de negocios

6.2 6.3

Cumplimiento

Políticas, estándares y procedimientos de seguridad.

2.1

6.1

Grado de

Planeamiento para la Continuidad de Negocios Criterios para el diseño e implementación del Plan de continuidad de Negocios Prueba del Plan de Continuidad de Negocios

7

Subcontratación

8

Cumplimiento normativo

9

Privacidad de la información

10

Auditoria de Sistemas

Una descripción mas detallada de los aspectos evaluados pueden ser encontrados en el Anexo C. Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM


Capítulo IV SEGURIDAD DE LA INFORMACIÓN – ROLES Y ESTRUCTURA ORGANIZACIONAL

4.1 4.1 Situación actual

La administración de seguridad de información se encuentra distribuida principalmente entre las áreas de sistemas y el área de seguridad informática. En algunos casos, la administración de accesos es realizada por la jefatura o gerencia del área que utiliza la aplicación. Las labores de seguridad realizadas actualmente por el área de seguridad informática son las siguientes: Creación y eliminación de usuarios Verificación y asignación de perfiles en las aplicaciones -

-

Las labores de seguridad realizadas por el área de sistemas son las siguientes: Control de red Administración del del firewall f irewall Administración de accesos a bases de datos -

-

-

Las funciones de desarrollo y mantenimiento de políticas y estándares de seguridad no están definidas dentro de los roles de la organización. Cabe mencionar que el acceso con privilegio administrativo al computador central es restringido, el área de seguridad informática define una contraseña, la cual es enviada a la oficina de seguridad seguri dad (Gerencia de Administración) en un sobre cerrado, en caso de necesitarse acceso con dicho privilegio, la contraseña puede ser obtenida por el gerente de sistemas o el jefe de soporte Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM


técnico y producción, solicitando el sobre a la oficina de seguridad. Luego deben realizar un informe sobre la l a actividad realizada en el computador central. central. 4.2 ROLES Y RESPONSABILIDADES DE LA ESTRUCTURA ORGANIZACIONAL DE SEGURIDAD DE INFORMACIÓN

El área organizacional encargada de la administración de seguridad de información debe soportar los objetivos de seguridad de información del Banco. Dentro de sus responsabilidades se encuentran la gestión del plan de seguridad de información así como la coordinación de esfuerzos entre el personal de sistemas y los empleados de las áreas de negocios, siendo éstos últimos los responsables de la información que utilizan. Asimismo, es responsable de promover la seguridad de información a lo largo de la organización con el fin de incluirla en el planeamiento y ejecución de los objetivos del negocio. Es importante mencionar que las responsabilidades referentes a la seguridad de información son distribuidas dentro de toda la organización y no son de entera responsabilidad del área de seguridad informática, en ese sentido existen roles adicionales que recaen en los propietarios de la información, los custodios de información y el área de auditoria interna. int erna. Los propietarios de la información deben verificar la integridad de su información y velar por que se mantenga la disponibilidad y confidencialidad de la misma. Los custodios de información tienen la responsabilidad de monitorear el cumplimiento de las actividades encargadas y el área de auditoria interna debe monitorear el cumplimiento de la política de seguridad y el cumplimiento adecuado de los procesos definidos para mantener la seguridad de información.



A continuación presentamos los roles y responsabilidades relacionadas a la administración de seguridad de información: Área de Seguridad Informática.

El área organizacional encargada de la administración de seguridad de información tiene como responsabilidades: responsabilidades: Establecer y documentar las responsabilidades de la organización en cuanto a seguridad de información. Mantener la política y estándares de seguridad de información de la organización. Identificar objetivos de seguridad y estándares del Banco (prevención de virus, uso de herramientas de monitoreo, etc.) Definir metodologías y procesos relacionados a la seguridad de información. Comunicar aspectos básicos de seguridad de información a los empleados del Banco. Esto incluye un programa de concientización para comunicar aspectos básicos de seguridad de información y de las políticas del Banco. Desarrollar controles para las tecnologías que utiliza la organización. Esto incluye el monitoreo de vulnerabilidades documentadas documentadas por los proveedores. Monitorear el cumplimiento de la política de seguridad del Banco. •

•

•

•

•

•

•

•

•

•

•

•

Controlar e investigar incidentes de seguridad o violaciones de seguridad. Realizar una evaluación periódica de vulnerabilidades de los sistemas que que conforman la red de datos del Banco. Evaluar aspectos de seguridad de productos de tecnología, sistemas o aplicaciones utilizados en el Banco. Asistir a las gerencias de división en la evaluación de seguridad de las iniciativas del negocio. Verificar que cada activo de información del Banco haya sido asignado a un “propietario” el cual debe definir los requerimientos de seguridad como



políticas de protección, perfiles de acceso, respuesta ante incidentes y sea responsable final del mismo. •

•

•

•

•

•

•

•

Administrar un programa de clasificación de activos de información, incluyendo la identificación de los propietarios de las aplicaciones y datos. Coordinación de todas las funciones relacionadas a seguridad, como seguridad física, seguridad de personal y seguridad de información almacenada en medios no electrónicos. Desarrollar y administrar el presupuesto de seguridad de información. Reportar periódicamente a la gerencia de Administración y Operaciones. Administración de accesos a las principales aplicaciones del Banco. Elaborar y mantener un registro con la relación de los accesos de los usuarios sobre los sistemas y aplicaciones del Banco y realizar revisiones periódicas de la configuración de dichos accesos en los sistemas. Controlar aspectos de seguridad en el intercambio de información con entidades externas. Monitorear la aplicación de los controles de seguridad física de los principales activos de información.

Custodio de Información:

Es el responsable de la administración diaria de la seguridad en los sistemas de información y el monitoreo del cumplimiento de las políticas polí ticas de seguridad en los sistemas que se encuentran bajo su administración. Sus responsabilidades son: Administrar accesos a nivel de red (sistema operativo). Administrar accesos a nivel de bases de datos. Administrar los accesos a archivos físicos de información almacenada en medios magnéticos (diskettes, (diskettes, cintas), ópticos (cd´s) o impresa. impre sa. Implementar controles definidos para los sistemas de información, incluyendo investigación e implementación de actualizaciones de seguridad •

•

•

•



de los sistemas (service packs, fixes, etc.) en coordinación con el área de seguridad informática. •

•

•

•

•

Desarrollar procedimientos de autorización y autenticación. Monitorear el cumplimiento de la política y procedimientos de seguridad en los activos de información que custodia. Investigar brechas e incidentes de seguridad. Entrenar a los empleados en aspectos de seguridad de información en nuevas tecnologías o sistemas implantados bajo su custodia. Asistir y administrar los procedimientos de backup, recuperación y plan de continuidad de sistemas.

Usuario:

Las responsabilidades de los usuarios finales, es decir, aquellas personas que utilizan información del Banco como parte de su trabajo diario están definidas a continuación: Mantener la confidencialidad de las contraseñas de aplicaciones y sistemas. Reportar supuestas violaciones de la seguridad de información. Asegurarse de ingresar información adecuada a los sistemas. Adecuarse a las políticas de seguridad del Banco. Utilizar la información del Banco únicamente para los propósitos •

•

•

•

•

autorizados. Propietario de Información:

Los propietarios de información son los gerentes y jefes de las unidades de negocio, los cuales, son responsables de la información que se genera y se utiliza en las operaciones de su unidad. Las áreas de negocios deben ser conscientes de los riesgos de tal forma que sea posible tomar decisiones para disminuir los mismos. Entre las responsabilidades de los propietarios de información se tienen: ti enen: Asignar los niveles iniciales de clasificación de información. •



•

•

•

•

•

•

•

Revisión periódica de la clasificación de la información con el propósito de verificar que cumpla con los requerimientos del negocio. Asegurar que los controles de seguridad aplicados sean consistentes con la clasificación realizada. Determinar los criterios y niveles de acceso a la información. Revisar periódicamente los niveles de acceso a los sistemas a su cargo. Determinar los requerimientos de copias de respaldo para la información que les pertenece. Tomar las acciones adecuadas en caso de violaciones de seguridad. Verificar periódicamente la integridad y coherencia de la información producto de los procesos de su área.

Auditoria Interna:

El personal de auditoria interna es responsable de monitorear el cumplimiento de los estándares y guías definidas en las políticas internas. Una estrecha relación del área de auditoria interna con el área de seguridad informática es crítica para la protección de los activos de información. Por lo tanto dentro del plan anual de evaluación del área de auditoria interna se debe incluir la evaluación periódica de los controles de seguridad de información definidos por el Banco. Auditoria interna debe colaborar con el área de seguridad informática en la identificación de amenazas y vulnerabilidades referentes a la seguridad de información del Banco. 4.3

ORGANIZACIÓN DEL AREA DE SEGURIDAD INFORMÁTICA PROPUESTA

Dado el volumen de operaciones y la criticidad que presenta la información para el negocio del Banco y tomando en cuenta las mejores prácticas de la industria, es necesaria la existencia de un área organizacional que administre la seguridad informática. Como requisito indispensable, esta área debe ser Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM


independiente de la Gerencia de Sistemas, la cual en muchos casos es la ejecutora de las normas y medidas de seguridad elaboradas. Este proceso de independización de la administración de la seguridad del área de sistemas ya fue iniciado por el Banco al crear el área de seguridad informática, la cual, reporta a la Gerencia de división de Administración y Operaciones. Considerando la falta de recursos con el perfil requerido que puedan ser rápidamente reasignados, el proceso de entendimiento y asimilación de las responsabilidades, los roles definidos correspondientes al área de seguridad informática, y la necesidad de implementar un esquema adecuado de seguridad, proponemos definir una estructura organizacional de seguridad transitoria en la cual se creará un comité de coordinación de seguridad de la información para la definición de los objetivos del del área y el monitoreo de las actividades de la misma. El comité de coordinación de seguridad de la información, estará conformado por las siguientes personas: Gerente de división de Administración y Operaciones (presidente del

•

comité). Jefe del área de seguridad informática (responsable del comité). •

•

•

•

Gerente de Sistemas. Auditor de Sistemas. Jefe del departamento de Riesgo Operativo y Tecnológico.



Comité de Coordinación de Seguridad de la Információn

Gerente de Administración y Operaciones

Seguridad Informática

Sistemas

Contraloría General

Recursos Humanos

Operaciones

Administración

Fig. 1: Estructura organizacional transitoria propuesta para la administración de la seguridad de información.

Gerente de División de Administración y Operaciones (Presidente del Comité)

Gerente de Sistemas

Jefe de Departamente de Riesgo Operativo y Tecnológico

Auditor de Sistemas

Jefe de Seguridad Informática (Responsable)

Fig. 2: Organización del Comité de coordinación de Seguridad de la Información.

Este comité, determinará el gradual traslado de las responsabilidades de seguridad al área de seguridad informática, monitoreará las labores realizadas por el área, colaborando a su vez con el entendimiento de la plataforma tecnológica, los procesos del negocio del Banco y la planificación inicial de actividades que desarrollará el área a corto plazo. Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM


El comité de coordinación deberá reunirse con una frecuencia quincenal, con la posibilidad de convocar reuniones de emergencia en caso de existir alguna necesidad que lo amerite. Es importante resaltar que luego que el área de seguridad informática haya logrado una asimilación de sus funciones, un entendimiento de los procesos del negocio del Banco y una adecuada interrelación con las gerencias de las distintas divisiones del Banco, el jefe de área de seguridad informática debe reportar directamente al Gerente de división de Administración y Operaciones, convirtiéndose el comité de coordinación de seguridad informática, en un ente consultivo, dejando la labor de monitoreo a la gerencia gere ncia de división.



Capítulo V EVALUACIÓN DE RIESGOS, AMENAZAS Y VULNERABILIDADES

Con el propósito de obtener un adecuado entendimiento de la implicancia que tiene el uso de tecnología, las amenazas y vulnerabilidades, así como las iniciativas del negocio sobre la seguridad de la información del Banco, se efectuaron entrevistas, de las cuales se obtuvo las siguientes tres matrices, que nos muestran la implicancia en seguridad que presentan cada uno de los factores mencionados anteriormente, así como el estándar o medida a aplicar para minimizar los riesgos correspondientes. 5.1 Matriz de uso y estrategia de tecnología

Esta matriz muestra la tecnología utilizada actualmente por el Banco y los cambios estratégicos planificados que impactan en ella, las implicancias de seguridad asociadas al uso de tecnología y los estándares o medidas propuestas para minimizar los riesgos generados por la tecnología empleada.

T e c n o lo g í a

Implicancia de seguridad

Estándar o medida de seguridad a aplicar

Actual

Windows NT, Windows 2000

Se debe contar con controles de acceso adecuados a la data y sistemas soportados por el Sistema Operativo.

Estándar de mejores prácticas de seguridad para Windows NT Estándar de mejores prácticas de seguridad para Windows 2000.



T e c n o lo g í a

OS/400

Base de datos SQL Server

Banca electrónica



Se debe contar con controles de acceso adecuados a la data y sistemas soportados por el computador Central. Los controles que posee este servidor deben ser lo más restrictivos posibles pues es el blanco potencial de la mayoría de intentos de acceso no autorizado. Se debe contar con controles

Estándar de mejores prácticas de seguridad para OS/400.

Estándar de mejores

de acceso a información de los prácticas de seguridad para sistemas que soportan el bases de datos SQL Server. Server. negocio de la Compañía. •

a través de Internet.

•

El servidor Web se encuentra en calidad de "hosting" en Telefónica Data, se debe asegurar que el equipo cuente con las medidas de seguridad necesarias, tanto físicas como lógicas. La transmisión de los datos es realizada a través de un medio público (Internet), se debe contar con medidas adecuadas para mantener

•

•

Estándares de encripción de información transmitida. Cláusulas de confidencialidad y delimitación de responsabilidades en contratos con proveedores.

•

Acuerdos de nivel de servicios con proveedores, en los cuales se detalle el



T e c n o lo g í a



•

la confidencialidad de la información (encripción de la data). El servidor Web que es

•

accedido por los clientes puede ser blanco potencial de actividad vandálica con el propósito de afectar la imagen del Banco. •

Banca telefónica

•

independiente de la seguridad del servidor que brinda el servicio, o acreditación de la misma por parte del proveedor.

La disponibilidad del sistema es un factor clave para el éxito del servicio. Transmisión de información por medios públicos sin

•

posibilidad de protección adicional. •

•

porcentaje mínimo de disponibilidad del sistema. Evaluación

Imposibilidad de mantener la confidencialidad de las operaciones con el proveedor del servicio telefónico. Posibilidad de obtención de números de tarjeta y contraseñas del canal de transmisión telefónico.

Establecimiento de límites adecuados a las operaciones realizadas por vía telefónica.

•

•

•

Posibilidad de registrar el número telefónico origen de la llamada. Controles en los sistemas de grabación de llamadas telefónica. Evaluar la posibilidad de notificar al cliente de manera automática e inmediata luego de realizada la operación.



T e c n o lo g í a

Sistema Central Core Bancario


Implicancia de seguridad •

El sistema central es el sistema que soporta gran parte de los procesos del negocio del Banco, por lo tanto, todo acceso no autorizado al servidor representa un riesgo potencial para el negocio.

•

•

•

•

MIS (Management Information System)

Desarrollo de aplicaciones para las unidades de negocio, en periodos muy cortos.

•

•

El acceso a repositorios de información sensible debe ser restringido adecuadamente.

Los proyectos de desarrollo en periodos muy cortos, comprenden un acelerado desarrollo de sistemas; la aplicación de medidas de seguridad, debería encontrarse incluida en el desarrollo del proyecto.

•

•

•

•

•

Estándar de mejores prácticas de seguridad para OS/400. Revisión periódica de los accesos otorgados a los usuarios del sistema. Monitoreo periódico de la actividad realizada en el servidor. Verificación del control dual de aprobación en transacciones sensibles. Estándares de seguridad de Windows 2000, bases de datos. Adecuados controles de acceso y otorgamiento de perfiles a la aplicación. Estándar de mejores prácticas de seguridad para Windows 2000, OS/400. Metodología para el desarrollo de aplicaciones. Procedimientos de



T e c n o lo g í a



El tiempo de pase a producción de un nuevo sistema que soportará un producto estratégico, es muy importante para el éxito del negocio, lo cual puede originar que no se tomen las medidas de seguridad necesarias antes del pase a producción de

control de cambios. •

•

Evaluación de requerimientos de seguridad de los sistemas antes de su pase a producción. Estándar de mejores prácticas de seguridad para aplicaciones distribuidas.

los nuevos sistemas. Computadoras personales.

•

Se debe contar con adecuados controles de

•

acceso a información existente en computadoras personales. •

•

Se requieren adecuados controles de accesos a la información de los sistemas desde las computadoras personales de usuarios. La existencia de diversos sistemas operativos en el parque de computadores computadores personales, tales como, Windows 95, Windows 98, Windows NT, Windows

Concientización y entrenamiento de los usuarios en temas de seguridad de la información.

•

•

Implementación de mayores controles de seguridad para computadoras personales. Finalización del proyecto de migración de la plataforma de computadoras personales al sistema operativo Windows 2000



T e c n o lo g í a

2000 Professional, Windows XP, impide estandarizar la configuración de los sistemas. •

Debe existir un control sobre los dispositivos que pudieran facilitar fuga de información (disqueteras, grabadoras de cd's, impresoras personales, etc.)

•

Correo electrónico



•

•

•

y Windows XP. •

trabajo. •

•

•

Se debe controlar y monitorear las aplicaciones aplicaciones y sistemas instalados en las PC´s Posibilidad de interceptación no autorizada de mensajes de correo electrónico. Riesgo de acceso no autorizado a información del servidor. Posibilidad de utilización de recursos por parte de personas no autorizadas, para enviar correo

Estándares de mejores prácticas de seguridad para estaciones de Actualización periódica de inventarios del software instalado. Monitoreo periódico de carpetas compartidas. Monitoreo de actividad de los usuarios, sistemas de detección de intrusos.

•

•

•

Se debe contar con estándares de encripción para los mensajes de correo electrónico que contengan información confidencial. Estándares de mejores prácticas de seguridad para Windows NT y Lotus Notes. Configuración Configuración de antianti -



T e c n o lo g í a

electrónico a terceros (relay no autorizado). •

Conexión a Internet y redes públicas / Firewall.



•

•

•

•

relay. •

Posibilidad de recepción de correo inservible (SPAM). Riesgos de accesos no autorizados desde Internet y redes externas hacia los sistemas del Banco.

•

•

Adecuado uso del acceso a Internet por parte de los usuarios. Los dispositivos que permiten controlar accesos, tales como, como, firewalls, fir ewalls, servidores servidores proxy, etc. Deben contar con medidas de seguridad adecuadas para evitar su manipulación por personas no autorizadas. Riesgo de acceso no autorizado desde socios de negocios hacia los sistemas de La Compañía.

•

•

•

Implementación de un sistema de seguridad del contenido SMTP. Políticas de seguridad. Estándares de mejores prácticas de seguridad para servidores Windows NT, Windows 2000, correo electrónico, servidores Web y equipos de comunicaciones. Delimitación de responsabilidades referentes a la seguridad de información en contratos con proveedores. Mejores prácticas de seguridad para configuración de Firewalls. Diseño e implementación de una arquitectura de seguridad de



T e c n o lo g í a



•

red.Utilización de sistemas de detección de intrusos. Especificación de acuerdos de nivel de servicio con el proveedor.

•

Controles y filtros para el acceso a Internet.

En Proyecto

Cambios en la infraestructura de red.

•

•

•

Software de

Los cambios en la infraestructura de red pueden generar nuevas puertas de entrada a intrusos si los cambios no son realizados con una adecuada planificación. Una falla en la configuración de equipos de comunicaciones puede generar falta de disponibilidad de sistemas. Un diseño de red

inadecuado puede facilitar el ingreso no autorizado a la red de datos. Riesgo de acceso no

•

•

•

•

Elaboración de una arquitectura de red con medidas de seguridad adecuadas. Establecer controles de acceso adecuados a la configuración de los equipos de comunicaciones. Plan de migración de infraestructura de red.

Estándar de seguridad



T e c n o lo g í a

administración remota de PC´s y servidores.



autorizado a las consolas de administración y agentes de administración remota.

para Windows NT •

•

•

•

•

Migración de servidores Windows NT Server a Windows 2000 Server.

•

Posibilidad de error en el traslado de los usuarios y permisos de acceso a los directorios de los nuevos servidores.

•

Posibilidad de existencia de vulnerabilidades no conocidas anteriormente.

Estándar de seguridad para Windows 2000 Estándar de seguridad para Windows XP Controles de acceso adecuados a las consolas y agentes de administración remota. Establecimiento de adecuados procedimientos procedimientos para tomar control remoto de PC´s o servidores. Adecuada configuración del registro (log) de actividad realizada mediante administración remota.

•

Estándares de seguridad

•

para Windows 2000. Procedimientos de control de cambios.

•

•

Plan de migración a Windows 2000. Políticas de seguridad.



T e c n o lo g í a

Implantación de Datawarehouse.



Información sensible almacenada en un repositorio centralizado, requiere de controles de

•

•

acceso adecuados. •

La disponibilidad del sistema debe ser alta para no afectar las operaciones que soporta.

•

•

•

Estándares de Seguridad para Windows 2000. Estándar de seguridad en bases de datos SQL. Plan de implantación de Datawarehouse. Procedimientos para otorgamiento de perfiles. Políticas de seguridad.

5.2 5.2 Matriz de Evaluación de Amenazas Amenazas y Vulnerabilidades Vulnerabilidades

En esta matriz se muestra los riesgos y amenazas identificadas, las implicancias de seguridad y los estándares o medidas de seguridad necesarias para mitigar dicha amenaza. Amenaza /

Estándar o medida de

Implicancia de Seguridad

Vulnerabilidad

seguridad a aplicar

Riesgos/ Amenazas

Interés en obtener información estratégica del Banco, por parte

La existencia de información atractiva para competidores de negocio tales como información de clientes e

de competidores de negocio.

información de marketing implica la aplicación de controles adecuados para el

•

•

Estándares de seguridad para servidores Windows 2000, Windows NT y OS/400. Control de acceso a las aplicaciones del Banco. Revisión y depuración



Amenaza / Vulnerabilidad



acceso a información.

periódica de los accesos otorgados. •

Restricciones en el manejo de información enviada por correo electrónico hacia redes externas, extraída en disquetes o cd´s e información impresa.

•

•

Interés en obtener beneficios económicos mediante actividad fraudulenta.

Debido al volumen de dinero que es administrado por es administrado por una entidad financiera, la amenaza de intento de fraude es una posibilidad muy tentadora tanto para personal interno del Banco, así como para personal externo.

•

•

•

•

Verificación de la información impresa en reportes, evitar mostrar información innecesaria en ellos. Políticas de seguridad. Estándares de seguridad para Windows NT, Windows 2000, OS/400 y bases de datos SQL. Controles de accesos a los menús de las aplicaciones. Revisiones periódicas de los niveles de accesos de los usuarios. Evaluación periódica de la integridad de la






información por parte del propietario de la misma. •

•

Revisiones periódicas de los registros (logs) de los sistemas y operaciones realizadas. Mejores prácticas para configuración de firewalls, servidores y equipos de comunicaciones.

Actividad vandálica

•

La actividad desarrollada

•

por “hackers” o “crackers” de sistemas, puede afectar

realizada por “hackers” o “crackers”

la disponibilidad, integridad y confidencialidad de la información del negocio. Estos actos vandálicos pueden ser desarrollados por personal interno o externo al Banco. •

Adicionalmente si dicha actividad es realizada contra equipos que proveen servicios a los clientes (página Web del banco) la imagen y

Estándares de seguridad para servidores Windows 2000.

•

•

Estándares de seguridad para servidores Windows NT. Delimitación de responsabilidades responsabilidades y sanciones en los contratos con proveedores de servicios en calidad de “ hosting”. hosting”.

•

Verificación de evaluaciones periódicas o certificaciones de la seguridad de los






reputación del Banco se podría ver afectada en un grado muy importante.

sistemas en calidad de “hosting”. •

•

Pérdida de información

•

producto de infección por virus

El riesgo de pérdida de información por virus informático es alto si no se administra adecuadamente el sistema Antivirus Antivirus y los

informático.

•

•

usuarios no han sido concientizados en seguridad de información •

Concientización y compromiso formal de los usuarios en temas relacionados a la seguridad de información. Políticas de Seguridad. Adecuada arquitectura e implementación del sistema antivirus. Verificación periódica de la actualización del antivirus de computadoras personales y servidores. Generación periódica de reportes de virus detectados y actualización de antivirus.

Fuga de información a través del personal que ingresa de manera temporal

•

Los accesos otorgados al personal temporal deben ser controlados adecuadamente, asimismo la actividad realizada por

•

•

Control adecuado de los accesos otorgados. Depuración periódica de accesos otorgados a los sistemas.






en sustitución de empleados en vacaciones. •

los mismos en los sistemas debe ser periódicamente monitoreada. El personal temporal podría realizar actividad no autorizada, la cual podría ser detectada cuando haya finalizado sus labores en el Banco.

•

•

Restricciones en acceso a correo electrónico y transferencia de archivos hacia Internet. Adecuada configuración y revisión periódica de los registros (logs) de aplicaciones y sistema operativo.

Vulnerabilidades

No se cuenta con un inventario de perfiles de acceso a las aplicaciones.

El control sobre la actividad de los usuarios en los sistemas es llevado a cabo en muchos casos, mediante perfiles de usuarios controlando así los privilegios de acceso a los sistemas.

Exceso de contraseñas

La necesidad de utilizar contraseñas distintas para

manejadas por los usuarios.

cada sistema o aplicación del Banco, puede afectar la seguridad en la medida que el usuario no sea capaz de

•

•

•

•

Se debe contar con un inventario de los accesos que poseen los usuarios sobre las aplicaciones. Revisiones periódicas de los perfiles y accesos de los usuarios por parte del propietario de la información. Uniformizar dentro de lo posible la estructura de las contraseñas empleadas y sus fechas de renovación. Implementar un sistema






retener en la memoria, la relación de nombres de usuario y contraseñas utilizadas en todos los sistemas. La necesidad de anotar las contraseñas por parte de los usuarios, expone las mismas a acceso por parte de personal no autorizado. Existencia de usuarios del área

El ambiente de producción debe contar con controles de

de desarrollo y personal temporal con acceso al entorno de producción.

acceso adecuados con respecto los usuarios de desarrollo, esto incluye las aplicaciones y bases de datos de las mismas.

de Servicio de directorio, el cual permita al usuario identificarse en él, y mediante un proceso automático, éste lo identifique en los sistemas en los cuales posee acceso. •

•

•

Aplicaciones cuyo

El área de seguridad

acceso no es controlado por el área de seguridad informática.

informática debe participar en el proceso de asignación de accesos a las aplicaciones del Banco y verificar que la solicitud de accesos sea coherente con el cargo del

•

•

Inventario y depuración de perfiles de acceso que poseen los usuarios de desarrollo en el entorno de producción. Adecuada segregación de funciones del personal del área de sistemas. Procedimiento de pase a producción. Formalización de roles y responsabilidades del área de seguridad informática. Traslado de la responsabilidad del control de accesos a




Falta de conciencia en seguridad por parte del personal del Banco.



usuario. El gerente que aprueba la solicitud es el responsable de los accesos que solicita para los usuarios de su área. El personal del Banco es el

aplicaciones al área de seguridad informática.

•

vínculo entre la política de seguridad y su implementación final para aplicar la política de seguridad, se pueden establecer controles y un

•

monitoreo constante, pero la persona es siempre el punto más débil de la cadena de seguridad, este riesgo se puede incrementar si el usuario no recibe una adecuada capacitación y

charlas, videos, presentaciones, presentaciones, afiches, afiches , etc., los cuales recuerden permanentemente al usuario la importancia de la seguridad de información.

orientación en seguridad de información. Falta de personal con conocimientos técnicos de seguridad informática.

Para una adecuada administración de la seguridad informática se requiere personal capacitado que pueda cumplir las labores de elaboración de políticas y administración de seguridad

Programa de capacitación del Banco en temas relacionados a la seguridad de información. Capacitación mediante

•

Capacitación del personal técnico en temas de seguridad de información o inclusión nuevo de personal con conocimientos de seguridad de






Falta de controles

en el área de seguridad informática, así como implementación de controles y configuración de sistemas en el área de sistemas. El acceso hacia Internet por

adecuados para la información que envían los usuarios hacia Internet.

medios como correo electrónico, electrónico, ftp (file (f ile transfer protocol) o incluso web en algunos casos, puede facilitar la fuga de información confidencial del Banco. El Banco ha invertido en la implementación de una herramienta para el filtrado de las páginas páginas web que son so n accedidas por los usuarios, se debe asegurar que dicho control sea adecuadamente aplicado. Vulnerabilidades: No existen controles adecuados sobre el personal autorizado a enviar correo electrónico al exterior. •

información para las áreas de seguridad informática y sistemas.

•

•

Configuración adecuada del servidor Proxy y la herramienta Surf Control. Generación periódica de reportes de la efectividad de los controles aplicados.

•

Implementación de una adecuada arquitectura de red.

•

•

Mejores prácticas para la configuración de Firewalls. Implementación y administración de herramientas para la inspección del contenido de los correos electrónicos enviados.





Implicancia de Seguridad •

•

No existen herramientas de inspección de contenido para correo electrónico. Se pudo observar que usuarios que no se han identificado en el dominio del Banco, pueden acceder al servicio de navegación a través del servidor Proxy.

No existen controles

Existe información almacenada en las

adecuados para la información

computadoras personales de los usuarios que requiere

almacenada en las ciertos niveles de seguridad. computadoras Los usuarios deben contar con personales. procedimientos para realizar copias de respaldo de su información importante. Vulnerabilidades: •

•

El sistema operativo Windows 95/98 no permite otorgar niveles apropiados de seguridad a la información existente en ellas. No existe un procedimiento para verificación periódica

•

Establecimiento de un procedimiento formal que contemple la generación de copia de respaldo de información importante de los usuarios.

•

•

Concluir el proceso de migración del sistema operativo de las computadoras personales a Windows 2000 Professional o Windows XP. Concientización de usuarios en temas relacionados a la seguridad de la






•

de las carpetas compartidas compartidas por los usuarios. El procedimiento para

información.

realizar copias de respaldo de la información importante no es conocido por todos los usuarios. Arquitectura de red inapropiada para controlar accesos desde redes externas.

Posibilidad de acceso no autorizado a sistemas por parte de personal externo al Banco. Vulnerabilidades: •

•

Fuga de información estratégica mediante sustracción de computadores

Existencia de redes externas se conectan con la red del Banco sin la protección de un firewall.

•

•

Adecuada configuración de elementos de control de conexiones

•

Los servidores de acceso público no se encuentran aislados de la red interna.

Es posible obtener la información existente en las computadoras portátiles de los gerentes del banco mediante el robo de las mismas.

Diseño de arquitectura de seguridad de red.

•

(firewalls). Implementación y administración de herramientas de seguridad.

Programas para encripción de la data confidencial existente en los discos duros de las computadoras computadoras portátiles.






portátiles. Acceso no autorizado a través de enlaces

•

inalámbricos.

El riesgo de contar con segmentos de red inalámbricos sin medidas de seguridad específicas para este tipo de enlaces, radica en que cualquier persona podría conectar un equipo externo al Banco incluso desde un edificio cercano.

•

•

•

Posibilidad de acceso no autorizado desde la red interna de datos hacia equipos de terceros en Internet.

•

•

Posibilidad de fuga de información. Posibilidad de realización de actividad ilegal en equipos de terceros a través de Internet.

Separación del segmento de red inalámbrico mediante un Firewall.

•

•

Controles de acceso hacia Internet desde la red interna.

Evaluación del alcance de la red inalámbrica.

•

Verificación periódica de la actividad realizada desde la red inalámbrica. Utilización de encripción . Implementación de una adecuada arquitectura de red.

•

•

•

Configuración adecuada de servidor Proxy. Mejores prácticas para la configuración de Firewalls. Implementación y administración de herramientas para la seguridad del contenido de los correos electrónicos enviados.






Monitoreo periódico de la actividad, mediante el análisis de los registros (logs) de los sistemas.

5.3 5.3 Matriz de Iniciativas del Negocio / Procesos

En esta matriz se muestra las iniciativas y operaciones del negocio que poseen alta implicancia en seguridad y los estándares o medidas de seguridad a ser aplicados para minimizar los riesgos generados por ellas. Iniciativa del


Negocio


Iniciativas del Negocio

Implantación de Datawarehouse.

•

Información sensible almacenada en un repositorio centralizado, requiere de controles de acceso adecuados.

•

La disponibilidad del sistema debe ser alta para no afectar las operaciones que soporta.

•

•

Estándar de mejores prácticas de seguridad para Windows NT Estándar de mejores prácticas de seguridad para Windows

•

•

Plan de implantación de Datawarehouse. Procedimientos para otorgamiento de perfiles.



Iniciativa del Negocio


Estándar o medida de seguridad a aplicar •

Proyecto de tercerización del Call Center

•

Consulta de información

•

existente en los sistemas por parte de terceros. •

Implementación de una arquitectura de red segura. Especificación de responsabilidades responsabilidades y obligaciones referentes a la seguridad de la información del Banco, en los contratos con

Registro de información en los sistemas por parte de terceros.

terceros. •

•

Proyecto de comunicación con Conasev utilizando firmas digitales (Requerimiento de Conasev)

•

El acceso de personal no autorizado a los medios de almacenamiento de llaves de encripción (media, smartcards, impresa) debilita todo el sistema de encripción de la

•

•

Especificación de acuerdos de nivel de servicio. Adecuados controles de acceso a la información registrada en el sistema Estándares de seguridad para la manipulación y revocación de llaves de encripción. Implementación de controles de acceso a






información. •

dispositivos y llaves de encripción.

Para los procesos de firma y encripción de la información se requiere el ingreso de contraseñas, estas contraseñas deben ser mantenidas en forma confidencial.

Digitalización (scanning) de poderes y firmas.

•

La disposición de estos elementos en medios digitales requiere de

•

Aplicación de estándares de seguridad de la

adecuados niveles de protección para evitar su

plataforma que contiene dicha

acceso no autorizado y utilización con fines ilegales.

información. •

•

Encripción de la data digitalizada. Restricción de accesos a los poderes y firmas tanto a nivel de aplicación, como a nivel de sistema operativo.

Tercerización de operaciones de sistemas y Help Desk.

•

La administración de equipos críticos de la red del Banco por parte de terceros representa un

•

Cláusulas de confidencialidad y establecimiento claro de responsabilidades






riesgo en especial por la posibilidad de fuga de información confidencial. confidencial.

de los proveedores en los contratos, especificación de penalidades en caso de incumplimiento. •

Monitoreo periódico de las operaciones realizadas por personal externo, incluyendo la revisión periódica de sus actividades en los registros (logs) de aplicaciones y sistema operativo.

•

Proyecto de interconexión del Sistema Swift a la red de datos del Banco.

•

El sistema SWIFT se encuentra en un segmento

•

Evitar otorgamiento de privilegios administrativos a personal externo, para evitar manipulación de registros. Estándar de mejores prácticas de

aislado de la red de datos del Banco por razones de

seguridad para servidores Windows

seguridad de información.

NT





Al unir el sistema Swift a la red de datos del Banco, dicho sistema se va a encontrar expuesto a


•

intentos de acceso no autorizados por parte de equipos que comprenden la red de datos.

Controles de acceso a la aplicación SWIFT. Estándares de encripción de datos entre el sistema Swift y los terminales que se comunican con él.

Operaciones del Negocio

Almacenamiento de copias de respaldo realizado

•

por Hermes.

Las cintas de backup guardan información confidencial del negocio del banco, adicionalmente deben encontrarse disponibles para ser utilizadas en una emergencia y la información que guardan debe mantenerse íntegra.

•

•

•

El almacenamiento de información por parte de terceros podría representar

Pruebas del tiempo de respuesta del proveedor para transportar las cintas de backup en caso de emergencia.

•

Procesamiento Procesamiento de transacciones de tarjetas de crédito

Acuerdos de confidencialidad y tiempo de respuesta en los contratos con el proveedor.

•

Verificación periódica del estado de las cintas. Acuerdos de confidencialidad y tiempo de respuesta





y débito realizado por Unibanca.

una fuente de divulgación no autorizada de información del Banco y sus clientes. •

Almacenamiento de Documentos realizado por terceros “File Service”

•

•

Impresión y ensobrado de estados de cuenta realizado por Napatek

•


en contratos con el proveedor. •

El acceso a los sistemas por parte de terceros debe ser controlado para evitar la realización de actividad no autorizada. El almacenamiento de información por parte de

Estándares de encripción de información transmitida.

•

Acuerdos de confidencialidad y

terceros podría representar una fuente de divulgación

tiempo de respuesta en contratos con

no autorizada de información del Banco y sus clientes.

proveedores. •

El almacenamiento de información debe realizarse de manera adecuada para mantener la disponibilidad de los documentos y evitar su deterioro. El almacenamiento de información por parte de terceros podría representar una fuente de divulgación no autorizada de

•

Verificación periódica del grado de deterioro de la documentación. documentación.

Acuerdos de confidencialidad en contratos con proveedores.

•

Estándares de






información del Banco y sus clientes. •

El envío de información sensible al proveedor debe

•

ser realizado por un canal de transmisión seguro, o en su defecto debe contar con medidas de encripción, encripción, que impidan su utilización en caso de ser

encripción de datos transmitidos por correo electrónico. Verificación de integridad de la data transmitida.

interceptada. Envío de información sensible a clientes y entidades recaudadoras vía correo electrónico

Almacenamiento físico de información realizada al interior del Banco.

•

Se debe asegurar que la información sensible

•

transmitida a los clientes cuente con medidas de seguridad adecuadas las cuales permitan garantizar el cumplimiento de normas como el secreto bancario. •

El Banco almacena documentos importantes de clientes, muchos de ellos con información confidencial, asimismo existe información en otros medios como discos duros, cintas, etc., que albergan

Estándares de encripción de datos transmitidos.

•

•

Clasificación y etiquetado de la información. Implementación de controles físicos de acceso a la información de acuerdo a su





información importante. Se debe asegurar que dicha información cuente con medidas de seguridad adecuadas que aseguren la integridad, disponibilidad y confidencialidad de la información.

Acceso de

•

personal de Rehder a la red de datos del Banco.

Todo acceso de personal externo a la red de datos


clasificación. •

•

Establecimiento de condiciones apropiadas de almacenamiento almacenamiento para evitar su deterioro. Mantenimiento de un registro de entrada y salida de activos de los archivos.

•

Cláusulas de confidencialidad y

del Banco representa un riesgo potencial de acceso

establecimiento claro de responsabilidades

no autorizado a los sistemas.

de los proveedores en los contratos, especificación de penalidades en caso de incumplimiento. •

Monitoreo de actividad realizada por personal externo.

•

Centro de

•

Los sistemas ubicados en

•

Restricciones de acceso a Internet configurados en el firewall. Especificación de





Contingencia ubicado en el TIC de Telefónica Data.


Telefónica Data deben encontrarse siempre disponibles para ser utilizados en casos de emergencia. •

Se debe asegurar la integridad de la información existente en los sistemas de respaldo y el grado de actualización de la misma

acuerdos de nivel de servicio y penalidades en caso de incumplimiento en contratos con proveedores. •

•

con respecto al sistema en producción.

Atención en Front Office.

•

•

Las aplicaciones y los sistemas de comunicaciones deben encontrarse disponibles en todo momento para no afectar la atención a los clientes. Los periodos de indisponibilidad deben ser medidos.

•

•

Pruebas del centro de contingencia. Verificación periódica de la disponibilidad de los sistemas y grado de actualización de la información. Acuerdos de niveles de servicio en contratos con proveedores de comunicaciones. Verificación periódica de disponibilidad de los sistemas.

•

Implementación de métricas de rendimiento y disponibilidad de los sistemas.




Soporte de IBM al Servidor AS/400.


El servidor AS/400 es el que soporta la mayor cantidad de procesos del negocio del Banco, por lo


tanto se debe asegurar que el proveedor debe ser capaz de restaurar los servicios del servidor en el menor tiempo posible. •

Asimismo dado que el proveedor accede periódicamente al equipo, existe el riesgo de acceso no autorizado a información existente en el mismo.

Cláusulas de confidencialidad y establecimiento claro de responsabilidades de los proveedores en los contratos, especificación de penalidades en caso de incumplimiento.

•

•

Asignación de un usuario distinto al utilizado por personal del Banco con los privilegios mínimos necesarios. Inspección del log de actividades del proveedor luego de realizar mantenimiento al equipo.



Capítulo VI POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN

En este capitulo se elaboraran las políticas de seguridad con el propósito de proteger la información de la empresa, estas servirán de guía para la implementación de medidas de seguridad que contribuirán a mantener la integridad, confidencialidad y disponibilidad de los datos dentro de los sistemas de aplicación, redes, instalaciones de cómputo y procedimientos manuales. El documento de políticas de seguridad ha sido elaborado tomando como base la siguiente documentación: documentación: -

-

-

6.1

Estándar de seguridad de la información ISO 17799 Requerimientos de la Circular N° G-105-2002 de la Superintendencia de Banca y Seguros (SBS) sobre Riesgos de Tecnología de Información. Normas internas del Banco referidas a seguridad de información. Definición

Una Política de seguridad de información es un conjunto de reglas aplicadas a todas las actividades relacionadas al manejo de la información de una entidad, teniendo el propósito de proteger la información, los l os recursos y la reputación de la misma. Propósito

El propósito de las políticas de seguridad de la información es proteger la información y los activos de datos del Banco. Las políticas son guías para asegurar la protección y la integridad de los datos dentro de los sistemas de aplicación, redes, instalaciones de cómputo y procedimientos manuales.



6.2

CUMPLIMIENTO OBLIGATORIO

El cumplimiento de las políticas y estándares de seguridad de la información es obligatorio y debe ser considerado como una condición en los contratos del personal. El Banco puede obviar algunas de las políticas de seguridad definidas en este documento, únicamente cuando se ha demostrado claramente que el cumplimiento de dichas políticas tendría un impacto significativo e inaceptable para el negocio. Toda excepción a las políticas debe ser documentada y aprobada por el área de seguridad informática y el área de auditoria interna, detallando el motivo que justifica el no-cumplimiento de la política. 6.3

ORGANIZACIÓN DE LA SEGURIDAD

En esta política se definen los roles y responsabilidades a lo largo de la organización con respecto a la protección de recursos de información. Esta política se aplica a todos los empleados y otros asociados con el Banco, cada uno de los cuales cumple un rol en la administración de la seguridad de la información. Todos los empleados son responsables de mantener un ambiente seguro, en tanto que el área de seguridad informática debe monitorear monitore ar el cumplimiento de la política de seguridad definida y realizar las actualizaciones que sean necesarias, producto de los cambios en el entorno informático y las necesidades del negocio. 6.3.1 6.3.1 Estructura Estructura Organizacional En la administración de la seguridad de la información participan todos los empleados siguiendo uno o más de los siguientes roles: Área de Seguridad Informática Usuario Custodio de información Propietario de información Auditor interno

-

-

-

-

-



Los roles y funciones de administración de la seguridad de la información de cada uno de estas personas están detalladas en el Capitulo IV. 6.3.2 6.3.2 Acceso por parte de terceros

El Banco debe establecer para terceros al menos las mismas restricciones de acceso a la información que a un usuario interno. Además, el acceso a la información debe limitarse a lo mínimo indispensable para cumplir con el trabajo asignado. Las excepciones deben ser analizadas y aprobadas por el área de seguridad informática. Esto incluye tanto acceso físico como lógico a los recursos de información del Banco. Todo acceso por parte de personal externo debe ser autorizado por un responsable interno, quien asume la responsabilidad por las acciones que pueda realizar el mismo. El personal externo debe firmar un acuerdo de no-divulgación antes de obtener acceso a información del Banco. Proveedores que requieran acceso a los sistemas de información del Banco deben tener acceso únicamente cuando sea necesario. Todas las conexiones que se originan desde redes o equipos externos al Banco, deben limitarse únicamente a los servidores y aplicaciones necesarios. Si es posible, estos servidores destino de las conexiones deben estar físicamente o lógicamente separados de la red interna del Banco. Los contratos relacionados a servicios de tecnologías de información deben ser aprobados por el área legal del Banco, y en el caso de que afecten la seguridad o las redes de la organización deben ser aprobados adicionalmente por el área de seguridad informática. Bajo determinadas condiciones, como en la ejecución de servicios críticos para el negocio, el Banco debe considerar efectuar una revisión independiente de la estructura de control interno del proveedor.



En los contratos de procesamiento de datos externos se debe especificar los requerimientos de seguridad y acciones a tomar en caso de violación de los contratos. Todos los contratos deben incluir una cláusula donde se establezca el derecho del Banco de nombrar a un representante autorizado para evaluar la estructura de control interna int erna del proveedor. 6.3.3 Outsourcing

Todos los contratos de Outsourcing deben incluir lo siguiente: Acuerdos sobre políticas y controles de seguridad. Determinación de niveles de disponibilidad aceptable. El derecho del Banco de auditar los controles de seguridad de información del proveedor. Determinación de los requerimientos legales del Banco. Metodología del proveedor para mantener y probar cíclicamente la seguridad del sistema. Que el servicio de procesamiento y la información del Banco objeto de la subcontratación estén aislados, en todo momento y bajo cualquier circunstancia. El proveedor es responsable de inmediatamente informar al responsable del contrato de cualquier brecha de seguridad que pueda comprometer -

-

-

-

-

-

información del Banco. Cualquier empleado del Banco debe informar de violaciones a la seguridad de la información por parte de proveedores al área de seguridad informática. 6.4 EVALUACION DE RIESGO

El costo de las medidas y controles de seguridad no debe exceder la pérdida que se espera evitar. Para la evaluación del riesgo se deben de seguir los siguientes pasos: - Clasificación del acceso de la información



-

Ejecución del análisis del riesgo identificando áreas vulnerables, pérdida potencial y selección de controles y objetivos de control para mitigar los riesgos, de acuerdo a los siguientes estándares. 6.4.1 6.4.1 Inventario de activos

Los inventarios de activos ayudan a garantizar la vigencia de una protección eficaz de los recursos, y también pueden ser necesarios para otros propósitos de la empresa, como los relacionados con sanidad y seguridad, seguros o finanzas (administración de recursos). El proceso de compilación de un inventario de activos es un aspecto importante de la administración de riesgos. riesgos. Una organización organización debe contar co ntar con la capacidad cap acidad de identificar sus activos y el valor relativo e importancia de los mismos. Sobre la base de esta información, la organización or ganización puede entonces, asignar niveles de protección proporcionales al valor e importancia de los activos. Se debe elaborar y mantener un inventario de los activos importantes asociados a cada sistema de información. Cada activo debe ser claramente identificado y su propietario y clasificación en cuanto a seguridad deben ser acordados y documentados, junto con la ubicación vigente del mismo (importante cuando se emprende una recuperación posterior a una pérdida o daño). Ejemplos de activos asociados a sistemas de información son los siguientes: Recursos de información: bases de datos y archivos, documentación

-

-

-

de sistemas, manuales de usuario, material de capacitación, procedimientos operativos o de soporte, planes de continuidad, disposiciones relativas a sistemas de emergencia para la reposición de información perdida (“fallback”), información archivada; Recursos de software: software de aplicaciones, software de sistemas, herramientas de desarrollo desarrollo y utilitarios; Activos físicos: equipamiento informático (procesadores, monitores, computadoras portátiles, módems), equipos de comunicaciones



(routers, PBXs, máquinas de fax, contestadores automáticos), medios magnéticos (cintas y discos), otros equipos técnicos (suministro de

-

electricidad, unidades de aire acondicionado), mobiliario, lugares de emplazamiento; Servicios: servicios informáticos y de comunicaciones, utilitarios generales, por Ej. calefacción, iluminación, energía eléctrica, aire acondicionado.

6.4.2 6.4.2 Clasificación del acceso de la información

Toda la información debe de ser clasificada como Restringida, Confidencial, Uso Interno o General de acuerdo a lo definido defini do en el capitulo 4.2.1. La clasificación de información debe de ser documentada por el Propietario, aprobada por la gerencia responsable y distribuida a los Custodios durante el proceso de desarrollo de sistemas o antes de la distribución de los documentos o datos. La clasificación asignada a un tipo de información, solo puede ser cambiada por el propietario de la información, luego de justificar formalmente el cambio en dicha clasificación. La información que existe en más de un medio (por ejemplo, documento fuente, registro electrónico, reporte o red) debe de tener la misma clasificación sin importar el formato. Frecuentemente, la información deja de ser sensible o crítica después de un cierto período de tiempo, verbigracia, cuando la información se ha hecho pública. Este aspecto debe ser tomado en cuenta por el propietario de la información, información, para realizar realizar una reclasificación de la misma, puesto que la clasificación por exceso (“over- classification”) puede traducirse en gastos adicionales innecesarios para la organización. La información debe de ser examinada para determinar el impacto en el Banco si fuera divulgada o alterada por medios no autorizados. A continuación detallamos algunos ejemplos de información sensible: Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM


q

Datos de interés para la competencia: - Estrategias de marketing marketing

q

q

q

- Listas de clientes - Fechas de renovación renovación de créditos - Tarifaciones - Datos usados en decisiones de inversión Datos que proveen acceso a información o servicios: - Llaves de encripción o autenticación - Contraseñas Datos protegidos por legislación de privacidad privacidad vigente - Registros del personal - Montos de los pasivos de clientes - Datos históricos con 10 años de antigüedad Datos que tienen un alto riesgo de ser blanco de fraude u otra actividad ilícita: - Datos contables utilizados en sistemas - Sistemas que controlan desembolsos de fondos

6.4.3 Definiciones Restringida: Información con mayor grado de sensibilidad; el acceso a

esta información debe de ser autorizado caso por caso. Confidencial: Información sensible que solo debe ser divulgada a aquellas personas que la necesiten para el cumplimiento de sus funciones. Uso Interno: Datos generados para facilitar las operaciones diarias; deben de ser manejados de una manera discreta, pero no requiere de medidas elaboradas de seguridad. General: Información que es generada específicamente para su divulgación a la población general de usuarios.



6.4.4 6.4.4 Aplicación de controles para la información clasificada

Las medidas de seguridad a ser aplicadas a los activos de información inform ación clasificados, incluyen pero no se limitan a las siguientes: 6.4.4.1 6.4.4.1 Información de la Compañía almacenada en formato digital •

•

Todo contenedor de información en medio digital (CD´s, cintas de backup, diskettes, etc.) debe presentar una etiqueta con la clasificación correspondiente. La información en formato digital clasificada como de acceso “General”, puede ser almacenada en cualquier sistema de la Compañía. Sin embargo se deben tomar las medidas necesarias para no mezclar información “General” con información correspondiente a otra clasificación.

•

•

•

•

Todo usuario, antes de transmitir información clasificada como “Restringida” o “Confidencial”, debe asegurarse que el destinatario de la información esté autorizado a recibir dicha información. Todo usuario que requiere acceso a información clasificada como “Restringida” o “Confidencial”, debe ser autorizado por el propietario de la misma. Las autorizaciones de acceso a este tipo de información deben ser documentadas. La clasificación asignada a un tipo de información, solo puede ser cambiada por el propietario de la información, luego de justificar formalmente el cambio en dicha clasificación. Información en formato digital, clasificada como “Restringida”, debe ser encriptada con un método aprobado por los encargados de la administración de seguridad de la información, cuando es almacenada en cualquier medio (disco duro, disquetes, cintas, CDs, etc.). etc.) .



•

•

•

Es recomendable el uso de técnicas de encripción para la información clasificada como “Restringida” o “Confidencial”, transmitida a través tr avés de la red de datos del Banco. Toda transmisión de Información clasificada como “Restringida”, “Confidencial” o de “Uso Interno” realizada hacia o a través de redes externas a la Compañía debe realizarse utilizando un medio de transmisión seguro o utilizando utili zando técnicas de encripción aprobadas. Todo documento en formato digital, debe presentar la clasificación correspondiente en la parte superior (cabecera) e inferior (pié de página) de cada página del documento.

•

Los medios de almacenamiento, incluyendo discos duros de computadoras, que albergan información clasificada como “Restringida”, deben ser ubicados en ambientes cerrados diseñados para el almacenamiento de dicho tipo de información. En lugar de protección física, la información clasificada como “Restringida”, podría ser protegida con técnicas de encripción aprobadas por la Compañía. 6.4.4.2

•

•

•

Información Informaci ón de la Compañía almacenada en formato no digital Todo documento o contenedor de información debe ser etiquetado como “Restringida”, “Confidencial”, de “Uso interno” o de Acceso “General”, dependiendo de la clasificación asignada. Todo documento que presente información clasificada como “Confidencial” o “Restringida”, debe ser etiquetado en la parte superior e inferior de cada página con la clasificación clasifi cación correspondiente. Todo documento clasificado como “Confidencial” o “Restringido” debe contar con una carátula en la cual se muestre la clasificación de la información que contiene.



•

•

•

•

Los activos de información correspondiente a distintos niveles de clasificación, deben ser almacenados en distintos distint os contenedores, de no ser posible dicha distinción, se asignará el nivel más critico de la información identificada a todo el contenedor de información. El ambiente donde se almacena la información clasificada como “Restringida”, debe contar con adecuados controles de acceso y asegurado cuando se encuentre sin vigilancia. El acceso debe ser permitido solo al personal formalmente autorizado. Personal de limpieza debe ingresar al ambiente acompañado por personal autorizado. autori zado. Solo el personal formalmente autorizado debe tener acceso a información clasificada como “Restringida” o “Confidencial” Los usuarios que utilizan documentos con información “Confidencial” o “Restringida” deben asegurarse de: Almacenarlos en lugares adecuados Evitar que usuarios no autorizados accedan a dichos documentos Destruir los documentos si luego de su utilización dejan de ser necesarios -

-

-

6.4.5 6.4.5 Análisis de riesgo

Los Propietarios de la información y custodios son conjuntamente responsables del desarrollo de análisis de riesgos anual de los sistemas a su cargo. Como parte del análisis se debe identificar las aplicaciones de alta criticidad como críticas para la recuperación ante desastres. Es importante identificar: Áreas vulnerables Pérdida potencial Selección de controles y objetivos de control para mitigar los riesgos, indicando las razones para su inclusión o exclusión (Seguridad de -

-

-



datos, Plan de respaldo/recuperación, Procedimientos estándar de operación) Adicionalmente, un análisis de riesgo debe de ser conducido luego de cualquier cambio significativo en los sistemas, en concordancia con el clima cambiante de las operaciones en el negocio del Banco. El análisis de riesgo debe tener un propósito claramente definido y delimitado, existiendo dos posibilidades: cumplimiento con los controles y/o medidas de protección o la aceptación del riesgo. 6.4.6 Cumplimiento

El cumplimiento satisfactorio del proceso de evaluación del riesgo se caracteriza por: -

-

-

Identificación y clasificación correcta de los activos a ser protegidos. Aplicación consistente y continua de los controles y/o medidas para mitigar el riesgo (seguridad efectiva de datos, recuperación ante desastres adecuado) Detección temprana de los riesgos, reporte adecuado de pérdidas, así como una respuesta oportuna y efectiva ante las perdidas ya materializadas.

6.4.7 6.4.7 Aceptación de riesgo

La gerencia responsable puede obviar algún control o requerimiento de protección y aceptar el riesgo identificado solo cuando ha sido claramente demostrado que las opciones disponibles para lograr el cumplimiento han sido identificadas y evaluadas, y que éstas tendrían t endrían un impacto significativo y no aceptable para el negocio. La aceptación de riesgo por falta de cumplimiento de los controles y/o medidas de protección debe ser documentada, revisada por las partes



involucradas, comunicada por escrito y aceptada por las áreas responsables de la administración de la seguridad. 6.5 SEGURIDAD DEL PERSONAL

Los estándares relacionados al personal deben ser aplicados para asegurarse que los empleados sean seleccionados adecuadamente antes de ser contratados, puedan ser fácilmente identificados mientras formen parte del Banco y que el acceso sea revocado oportunamente cuando un empleado es despedido o transferido. Deben desarrollarse estándares adicionales para asegurar que el personal sea consciente de todas sus responsabilidades y acciones apropiadas en el reporte de incidentes. Esta política se aplica a todos los empleados, personal contratado y proveedores. Los empleados son los activos más valiosos del Banco. Sin embargo, un gran número de problemas de seguridad de cómputo pueden ser causados por descuido o desinformación. Se deben de implementar procedimientos para manejar estos riesgos y ayudar al personal del Banco a crear un ambiente de trabajo seguro. Medidas de precaución deben de ser tomadas cuando se contrata, transfiere y despide a los empleados. Deben de establecerse controles para comunicar los cambios del personal y los requerimientos de recursos de cómputo a los responsables de la administración de la seguridad de la información. Es crucial que estos cambios sean atendidos a tiempo. 6.5.1 6.5.1 Seguridad en la definición de de puestos de trabajo y recursos

El departamento de Recursos Humanos debe de notificar al área de seguridad informática, la renuncia o despido de los empleados así como el inicio y fin de los periodos de vacaciones de los mismos. Cuando se notifique un despido o transferencia, el Custodio de información debe de asegurarse que el identificador de usuario sea revocado. Cuando se Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM


notifique una transferencia o despido, el área de seguridad debe de asegurarse que las fichas o placas sean devueltas al Banco. Cualquier ítem entregado al empleado o proveedor como computadoras portátiles, llaves, tarjetas de identificación, software, datos, documentación, manuales, etc. deben de ser entregados a su gerente o al área de Recursos Humanos. La seguridad es responsabilidad de todos los empleados y personas involucradas con el Banco. Por ende, todos los empleados, contratistas, proveedores y personas con acceso a las instalaciones e información del Banco deben de acatar los estándares documentados en la política de seguridad del Banco e incluir la seguridad como una de sus responsabilidades responsabilidades principales. Todos los dispositivos personales de información, como por ejemplo computadoras de propiedad de los empleados o asistentes digitales personales (PDA – Personal Digital Assistant), que interactúen con los sistemas del Banco, deben ser aprobados y autorizados por la gerencia del Banco. 6.5.2 6.5.2 Capacitación Capacitació n de usuarios

Es responsabilidad del área de seguridad informática promover constantemente la importancia de la seguridad a todos los usuarios de los sistemas de información. El programa de concientización en seguridad debe de contener continuas capacitaciones y charlas, adicionalmente se puede emplear diversos métodos como afiches, llaveros, mensajes de log-in, etc., los cuales recuerden permanentemente al usuario el papel importante que cumplen en el mantenimiento de la seguridad de la información.



Orientación para los empleados y/o servicios de terceros nuevos

Cuando se contrate a un empleado nuevo y/o el servicio de algún tercero, se debe de entregar la política de seguridad así como las normas y procedimientos para el uso de las aplicaciones y los sistemas de información del Banco. Asimismo se debe entregar un resumen escrito de las medidas básicas de seguridad de la información. El personal de terceros debe recibir una copia del acuerdo de no divulgación firmado por el Banco y por el proveedor de servicios de terceros así como orientación con respecto a su responsabilidad en la confidencialidad de la información del Banco. Entre otros aspectos se debe considerar: El personal debe de ser comunicado de las implicancias de seguridad en relación a las responsabilidades de su trabajo Una copia firmada de la política de seguridad de información debe de ser guardada en el archivo del empleado

-

-

Concientización periódica

Estudios muestran que la retención y el conocimiento aplicable se incrementa considerablemente cuando el tema es sujeto a revisión. Los usuarios deben de ser informados anualmente sobre la importancia de la seguridad de la información. Un resumen escrito de la información básica debe de ser entregada nuevamente a cada empleado y una copia firmada debe de ser guardada en sus archivos. La capacitación en seguridad debe de incluir, pero no estar limitado, a los siguientes aspectos: Requerimientos de identificador de usuario y contraseña Seguridad de PC, incluyendo protección de virus Responsabilidades de la organización de seguridad de información Concientización de las técnicas utilizadas por “hack “ hackers” ers” Programas de cumplimiento -

-

-

-

-



-

-

-

-

Guías de acceso a Internet Guías de uso del correo electrónico Procesos de monitoreo de seguridad de la información utilizados utili zados Persona de contacto para información adicional

6.5.3 6.5.3 Procedimientos Procedimientos de respuesta ante incidentes de seguridad

El personal encargado de la administración de seguridad debe ser plenamente identificado por todos los empleados del Banco. Si un empleado del Banco detecta o sospecha la ocurrencia de un incidente de seguridad, tiene la obligación de notificarlo al personal de seguridad informática. Si se sospecha la presencia de un virus en un sistema, el usuario debe desconectar el equipo de la red de datos, notificar al área de seguridad informática quien trabajará en coordinación con el área de soporte técnico, para la eliminación del virus antes de restablecer la conexión a la red de datos. Es responsabilidad del usuario (con la apropiada asistencia técnica) asegurarse que el virus haya sido eliminado por completo del sistema antes de conectar nuevamente el equipo a la red de datos. Si un empleado detecta una vulnerabilidad en la seguridad de la información debe notificarlo al personal encargado de la administración de la seguridad, asimismo, está prohibido para el empleado realizar pruebas de dicha vulnerabilidad o aprovechar ésta para propósito alguno. El área de seguridad informática debe documentar todos los reportes de incidentes de seguridad. Cualquier error o falla en los sistemas debe ser notificado a soporte técnico, quién determinará si el error es indicativo de una vulnerabilidad en la seguridad. Las acciones disciplinarias tomadas contra socios de negocio o proveedores por la ocurrencia de una violación de seguridad, deben ser



consistentes con la magnitud de la falta, ellas deben ser coordinadas con el área de Recursos Humanos. 6.5.3.1 6.5.3.1

Registro de fallas

El personal encargado de operar los sistemas de información debe registrar todos lo errores y fallas que ocurren en el procesamiento de información o en los sistemas de comunicaciones. Estos registros deben incluir lo siguiente: Nombre de la persona que reporta la falla Hora y fecha de ocurrencia de la falla Descripción del error o problema Responsable de solucionar el problema Descripción de la respuesta inicial ante el problema Descripción de la solución al problema Hora y fecha en la que se solucionó el problema -

-

-

-

-

-

-

Los registros de fallas deben ser revisados semanalmente. Los registros de errores no solucionados deben permanecer abiertos hasta que se encuentre una solución al problema. Además, estos registros deben ser almacenados para una posterior verificación independiente. 6.5.3.2 6.5.3.2

Intercambios Intercambio s de información y correo electrónico electrónic o

Los mensajes de correo electrónico deben ser considerados de igual manera que un memorándum formal, son considerados como parte de los registros del Banco y están están sujetos a monitoreo y auditoria. Los sistemas de correo electrónico no deben ser utilizados para lo siguiente: Enviar cadenas de mensajes Enviar mensajes relacionados a seguridad, exceptuando al personal encargado de la administración de la seguridad de la información Enviar propaganda de candidatos políticos -

-

-



-

-

Actividades ilegales, no éticas o impropias Actividades no relacionadas con el negocio del Banco

Diseminar direcciones de correo electrónico a listas públicas No deben utilizarse reglas de reenvío automático a direcciones que no pertenecen a la organización. No existe control sobre los mensajes de correo electrónico una vez que estos se encuentran fuera de la red del Banco. Deben establecerse controles sobre el intercambio de información del Banco con terceros para asegurar la confidencialidad e integridad de la información, y que se respete la propiedad intelectual de la misma. Debe tomarse en consideración: Acuerdos para el intercambio de software Seguridad de media en tránsito Controles sobre la transmisión mediante redes Debe establecerse un proceso formal para aprobar la publicación de información del del Banco. El desarrollo desarrollo de páginas Web programabl pro gramables es o inteligentes (utilizando tecnologías como CGI o ASP) debe considerarse como desarrollo de software y debe estar sujeto a los mismos controles. La información contenida en sistemas públicos no debe contener información restringida, confidencial o de uso interno. De igual manera, -

-

-

-

los equipos que brindan servicios Web, correo electrónico, comercio electrónico u otros servicios públicos no deben almacenar información restringida, confidencial o de uso interno. Antes que un empleado del Banco libere información que no sea de uso general debe verificarse la identidad del individuo u organización recipiente utilizando firmas digitales, referencias de terceros, conversaciones telefónicas u otros mecanismos similares. Debe establecerse controles sobre equipos de oficina como teléfonos, faxes e impresoras que procesan información sensible del Banco.



Información restringida o confidencial solo debe imprimirse en equipos específicamente designados para esta tarea. 6.5.3.3 6.5.3.3

Seguridad para media en tránsito

La información a ser transferida en media digital o impresa debe ser etiquetada con la clasificación de información respectiva y detallando claramente el remitente y recipiente del mismo. La información enviada por servicios postales debe ser protegida de accesos no autorizados mediante la utilización de: Paquetes sellados o lacrados Entrega en persona Firmado y sellado de un cargo -

-

-

6.6

SEGURIDAD

FÍSICA

DE

LAS

INSTALACIONES

DE

PROCESAMIENTO DE DATOS

Se deben implementar medidas de seguridad física para asegurar la integridad de las instalaciones y centros de cómputo. Las medidas de protección deben ser consistentes con el nivel de clasificación de los activos y el valor de la información procesada y almacenada en las instalaciones. 6.6.1 6.6.1 Protección de las instalaciones de los centros de datos

Un centro de procesamiento de datos o de cómputo es definido como cualquier edificio o ambiente dentro de un edificio que contenga equipos de almacenamiento, proceso o transmisión de información. Estos incluyen pero no se limitan a los siguientes: Mainframe, servidores, computadoras personales y periféricos Consolas de administración Librerías de cassettes o DASD Equipos de telecomunicaciones telecomunicaciones

-

-

-

-



-

-

Centrales telefónicas, PBX Armarios de alambrado eléctrico o cables

Los controles deben de ser evaluados anualmente para compensar cualquier cambio con relación a los riesgos físicos. Los gerentes que estén planeando o revisando cualquier ambiente automatizado, incluyendo el uso de las computadoras personales, deben contactarse con el personal encargado de la administración de la seguridad de la información para asistencia en el diseño de los controles físicos de seguridad. 6.6.2 6.6.2 Control de acceso a las instalaciones de cómputo

El acceso a cualquier instalación de cómputo debe estar restringido únicamente al personal autorizado. Todas las visitas deben ser identificadas y se debe mantener un registro escrito de las mismas. Estas visitas deben ser en compañía de un empleado durante la permanencia en las instalaciones de computo. Si bien es recomendable que los proveedores de mantenimiento, a quienes se les otorga acceso continuo a las áreas sensibles, estén siempre acompañados por un empleado autorizado de la empresa, puede resultar poco práctico en algunos casos. Todo el personal en las instalaciones de cómputo deben de portar un carné, placa o ficha de identificación. Sistemas automatizados de seguridad para acceso físico deben de ser instalados en centros de cómputo principales. Centros pequeños pueden controlar el acceso físico mediante el uso de candados de combinación o llaves. l laves. Medidas apropiadas como guardias o puertas con alarmas, deben de ser utilizadas para proteger las instalaciones durante las horas no laborables. El retiro de cualquier equipo o medio electrónico de las instalaciones de cómputo debe de ser aprobado por escrito por personal autorizado.



6.6.3 6.6.3 Acuerdo con regulaciones regulacion es y leyes

Los controles de seguridad física deben de estar en acuerdo con las regulaciones existentes de fuego y seguridad, así como con los requerimientos contractuales de los seguros contratados. 6.7 ADMINISTRACIÓN DE COMUNICACIONES Y OPERACIONES

La administración de las comunicaciones y operaciones del Banco, son esenciales para mantener un adecuado nivel de servicio a los clientes. Los requerimientos de seguridad deben ser desarrollados e implementados para mantener el control sobre las l as comunicaciones y las operaciones. Los procedimientos operacionales y las responsabilidades para mantener accesos adecuados a los sistemas, así como el control y la disponibilidad de los mismos, deben ser incluidas en las funciones operativas del Banco. Todas las comunicaciones e intercambios de información, tanto dentro de las instalaciones y sistemas del Banco como externas a ella, deben ser aseguradas, de acuerdo al valor de la información protegida. prot egida. 6.7.1 6.7.1 Procedimientos y Responsabilidades Responsabilid ades Operacionales Operacionale s 6.7.1.1 6.7.1.1

Procedimientos Procedimient os operativos documentados documentad os

Todos los procedimientos de operación de los sistemas deben ser documentados y los cambios realizados a dichos procedimientos deben ser autorizados por la gerencia respectiva. Todos los procedimientos de encendido y apagado de los equipos deben ser documentados; dichos procedimientos deben incluir el detalle de personal clave a ser contactado en caso de fallas no contempladas en el procedimiento regular documentado. Todas las tareas programadas en los sistemas para su realización periódica, deben ser documentadas. Este documento debe incluir tiempo



de inicio, tiempo de duración de la tarea, procedimientos en caso de falla, entre otros. Los procedimientos para resolución de errores err ores deben ser documentados, entre ellos se debe incluir: −

−

−

−

Errores en la ejecución de procesos por lotes Fallas o apagado de los sistemas Códigos de error en la ejecución de procesos por lotes Información de los contactos que podrían colaborar con la resolución de errores. 6.7.1. 6.7.1.22

Administración Administración de operaciones realizadas por terceros

Todos los procesos de operación realizados por terceros deben ser sujetos a una evaluación de riesgos de seguridad y se debe desarrollar procedimientos para administrar estos riesgos. Asignación de responsables para la supervisión de dichas actividades Determinar si se procesará información crítica.

-

-

-

-

-

-

-

Determinar los controles de seguridad a implementar Evaluar el cumplimiento de los estándares de seguridad del Banco. Evaluar la implicancia de dichas tareas en los planes de contingencia del negocio Procedimientos de respuesta ante incidentes de seguridad Evaluar el cumplimiento de los estándares del Banco referentes a contratos con terceros. 6.7.1.3 6.7.1.3

Control de cambios operacionales operacion ales

Todos los cambios realizados en los sistemas del Banco, a excepción de los cambios de emergencia, deben seguir los procedimientos de cambios establecidos.



Solo el personal encargado de la administración de la seguridad puede realizar o aprobar un cambio de emergencia. Dicho cambio debe ser documentado y aprobado en un periodo máximo de 24 horas luego de haberse producido el cambio. Los roles del personal involucrado en la ejecución de los cambios en los sistemas deben encontrarse debidamente especificados. Los cambios deben ser aprobados por la gerencia del área usuaria, el personal encargado de la administración de la seguridad de la información y el encargado del área de sistemas. Todos los requerimientos de cambios deben ser debidamente documentados, siguiendo los procedimientos para cambios existentes en el Banco. Antes de la realización de cualquier cambio a los sistemas se debe generar copias de respaldo de dichos sistemas. 6.7.1.4 6.7.1.4

Administración de incidentes de seguridad

Luego de reportado el incidente de seguridad, éste debe ser investigado por el área de seguridad informática. Se debe identificar la severidad del incidente para la toma de medidas correctivas. El personal encargado de la administración de la seguridad debe realizar la investigación de los incidentes de forma rápida y confidencial. Se debe mantener una documentación de todos los incidentes de seguridad ocurridos en el Banco. Se debe mantener intacta la evidencia que prueba la ocurrencia de una violación de seguridad producida tanto por entes internos o externos, para su posterior utilización en procesos legales en caso de ser necesario.



6.7.1.5 6.7.1.5

Separación de funciones de operaciones operacion es y desarrollo

El ambiente de prueba debe de mantenerse siempre separado del ambiente de producción, debiendo existir controles de acceso adecuados para cada uno de ellos. El ambiente de producción es aquel en el cual residen los programas ejecutables de producción y los datos necesarios para el funcionamiento de los mismos. Solo el personal autorizado a efectuar los cambios en los sistemas debe contar con privilegios de escritura en los mismos. mi smos. Los programas compiladores no deben ser instalados en los sistemas en producción, todo el código debe ser compilado antes de ser transferido al ambiente de producción. Las pruebas deben de realizarse utilizando datos de prueba. Sin embargo, copias de datos de producción pueden ser usadas para las pruebas, siempre y cuando los datos sean autorizados por el propietario y manejados de manera confidencial. El personal de desarrollo puede tener acceso de solo lectura a los datos de producción. La actualización de los permisos de acceso a los datos de producción debe de ser autorizada por el propietario de información y otorgada por un periodo limitado. Se deben utilizar estándares de nombres para distinguir el conjunto de nombres de las tareas y de los datos, del modelo y de los ambientes de producción. Un procedimiento de control de cambio debe de asegurar que todos los cambios del modelo y ambientes de producción hayan sido revisados y aprobados por el (los) gerente(s) apropiados. 6.7.2 6.7.2 Protección contra virus

El área de seguridad informática debe realizar esfuerzos para determinar el origen de la infección por virus informático, para evitar la reinfección de los equipos del Banco. Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM


La posesión de virus o cualquier programa malicioso está prohibida a todos los usuarios. Se tomarán medidas disciplinarias en caso se encuentren dichos programas en computadoras personales de usuarios. Todos los archivos adjuntos recibidos a través del correo electrónico desde Internet deben ser revisados por un antivirus antes de ejecutarlos. Asimismo está prohibido el uso de diskettes y discos compactos provenientes de otra fuente que no sea la del mismo BANCO ABC, a excepción de los provenientes de las interfaces con organismos reguladores, proveedores y clientes, los cuales necesariamente deben pasar por un proceso de verificación y control en el área de Sistemas (Help Desk), antes de ser leídos. El programa antivirus debe encontrarse habilitado en todos las computadoras del Banco y debe ser actualizado periódicamente. En caso de detectar fallas en el funcionamiento de dichos programas éstas deben ser comunicadas al área de soporte técnico. El programa antivirus debe ser configurado para realizar revisiones periódicas para la detección de virus en los medios de almacenamiento de las computadoras del Banco. Debe contarse con un procedimiento para la actualización periódica de los programas antivirus antivirus y el monitoreo de los virus detectados. Es obligación del personal del Banco, emplear sólo los programas cuyas licencias han sido obtenidas por el Banco y forman parte de su plataforma estándar. Asimismo, se debe evitar compartir directorios o archivos con otros usuarios; en caso de ser absolutamente necesario, coordinar con la Gerencia respectiva y habilitar el acceso sólo a nivel de lectura, informando al Departamento de Producción y Soporte Técnico. Todo el personal del Banco debe utilizar los protectores de pantalla y/o papel tapiz autorizados por la Institución; el estándar es: Papel Tapiz: BANCO ABC Protector de Pantalla: BANCO ABC.



6.7.3 6.7.3 Copias de respaldo

Los Custodios de información deben definir un cronograma para la retención y rotación de las copias de respaldo, basado en los requerimientos establecidos por los Propietarios de información, incluyendo el almacenamiento en uno o más ubicaciones distintos a las del centro de cómputo. Los Custodios de información son también responsables de asegurar que se generen copias de respaldo del software de los servidores del Banco, y que las políticas de manipulación de información se ejercen para las copias de respaldo trasladadas o almacenadas fuera de los locales del Banco. Debe formalmente definirse procedimientos para la creación y recuperación de copias de respaldo. Trimestralmente deben efectuarse pruebas para probar la capacidad de restaurar información en caso sea necesario. Estas pruebas deben efectuarse en un ambiente distinto al ambiente de producción. Los usuarios deben generar copias de respaldo de información crítica transfiriendo o duplicando archivos a la carpeta personal establecida para dicho fin por la Gerencia de Sistemas, la cual se encuentra ubicada en uno de los servidores del Banco. Deben generarse copias de respaldo de estos servidores según un cronograma definido por los Custodios de información. Las cintas con copias de respaldo deben ser enviadas a un local remoto periódicamente, basándose en un cronograma determinado por la gerencia del Banco. Los mensajes electrónicos, así como cualquier información considerada importante, deben ser guardados en copias de respaldo y retenidos por dispositivos automáticos.



6.8 CONTROL DE ACCESO DE DATOS

La información manejada por los sistemas de información y las redes asociadas debe estar adecuadamente protegida contra modificaciones no autorizadas, divulgación o destrucción. El uso inteligente de controles de acceso previene errores o negligencias del personal, así como reduce la posibilidad del acceso no autorizado. 6.8.1 6.8.1 Identificación Identificac ión de Usuarios

Cada usuario de un sistema automatizado debe de ser identificado de manera única, y el acceso del usuario así como su actividad en los sistemas debe de ser controlado, monitoreado y revisado. Cada usuario de un sistema debe tener un código de identificación que no sea compartido con otro usuario. Para lograr el acceso a los sistemas automatizados, se requiere que el usuario provea una clave que solo sea conocida por él. Debe establecerse un procedimiento para asegurar que el código de identificación de un usuario sea retirado de todos los sistemas cuando un empleado es despedido o transferido. Los terminales y computadoras personales deben bloquearse luego de quince (15) minutos de inactividad. El usuario tendrá que autenticarse antes de reanudar su actividad. El usuario debe ser instruido en el uso correcto de las características de seguridad del terminal y funciones de todas las plataformas, estaciones de trabajo, terminales, computadoras personales, etc., y debe cerrar la sesión o bloquear la estación de trabajo cuando se encuentre desatendida. Todos los consultores, contratistas, proveedores y personal temporal deben tener los derechos de acceso cuidadosamente controlados. El acceso solo debe ser válido hasta el final del trimestre o incluso antes, dependiendo de la terminación del contrato. Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM


Todos los sistemas deben proveer pistas de auditoria del ingreso a los sistemas y violaciones de los mismos. A partir de estos datos, los custodios de los sistemas deben elaborar reportes periódicos los cuales deben ser revisados por el área de seguridad informática. Estos reportes también deben incluir la identidad del usuario, y la fecha y hora del evento. Si es apropiado, las violaciones deben ser reportadas al gerente del individuo. Violaciones repetitivas o significantes o atentados de accesos deben ser reportados al gerente a cargo de la persona y al área de seguridad de la información. 6.8.2 6.8.2 Seguridad de contraseñas 6.8.2.1 Estructura

Todas las contraseñas deben tener una longitud mínima de ocho (8) caracteres y no deben contener espacios en blanco. Las contraseñas deben ser difíciles de adivinar. Palabras de diccionario, identificadores de usuario y secuencias comunes de caracteres, como por ejemplo “12345678” o “QWERTY”, no deben ser empleadas. Así mismo, detalles personales como los nombres de familiares, número de documento de identidad, número de teléfono o fechas de cumpleaños no deben ser usadas salvo acompañados con otros caracteres adicionales que no tengan relación directa. Las contraseñas deben incluir al menos un carácter no alfanumérico. Las contraseñas deben contener al menos un carácter alfabético en mayúscula y uno en minúscula. 6.8.2.2

Vigencia

Todas las contraseñas deben expirar dentro de un periodo que no exceda los noventa (90) días. Cada gerente debe determinar un máximo periodo de vigencia de las contraseñas, el cual es recomendable no sea menos de (30) días.



6.8.2.3 6.8.2.3

Reutilización Reutilizac ión de contraseñas contrase ñas

No debe permitirse la reutilización de ninguna de las 5 últimas contraseñas. Esto asegura que los usuarios no utilicen las mismas contraseñas en intervalos regulares. Los usuarios no deben poder cambiar sus contraseñas más de una vez al día. A los usuarios con privilegios administrativos, no se les debe permitir la reutilización de las últimas 13 contraseñas. 6.8.2.4 6.8.2.4

Intentos fallidos de ingreso

Todos los sistemas deben estar configurados para deshabilitar los identificadores de los usuarios en caso de ocurrir (3) intentos fallidos de autenticación. En los casos que los sistemas utilizados no soporten controles para las características establecidas establecidas para la estructura, vigencia, vigencia, reutilización reutil ización e intentos fallidos de ingreso, se debe documentar la excepción a la política, detallando la viabilidad de modificar la aplicación para soportar las características establecidas para las contraseñas. 6.8.2. 6.8.2.55

Seguridad de contraseñas

Es importante que todos los empleados protejan sus contraseñas, debiéndose seguir las siguientes regulaciones: Bajo ninguna circunstancia, se debe escribir las contraseñas en

-

-

-

papel, o almacenarlas al macenarlas en medios digitales no encriptados. encriptados. Las contraseñas no deben ser divulgadas a ningún otro usuario salvo bajo el pedido de un gerente, con autorización del área de seguridad informática y auditoria interna. Si se divulga la contraseña, esta debe ser cambiada durante el próximo ingreso. El usuario autorizado es responsable de todas las acciones realizadas por alguna persona a quién se le ha comunicado la contraseña o identificador de usuario.



-

-

-

Los sistemas no deben mostrar la contraseña en pantalla o en impresiones, para prevenir que éstas sean observadas o recuperadas. Las contraseñas deben estar siempre encriptadas cuando se encuentren almacenadas o cuando sean transmitidas a través de redes. El control de acceso a archivos, bases de datos, computadoras y otros sistemas de recursos mediante contraseñas compartidas está prohibido.

6.8.3 6.8.3 Control de transacciones transaccio nes

Los empleados deben tener acceso únicamente al conjunto de transacciones en línea requeridas para ejecutar sus tareas asignadas. Este conjunto de transacciones debe estar claramente definido para prevenir alguna ocurrencia de fraude fr aude y malversación. El conjunto de transacciones debe ser definido durante el proceso de desarrollo de sistemas, revisado periódicamente y mantenido por la gerencia Propietaria. El acceso para la ejecución de transacciones sensibles debe ser controlado mediante una adecuada segregación de tareas. Por ejemplo, los usuarios que tengan permiso para registrar instrucciones de pago no deben poder verificar o aprobar su propio trabajo. Toda operación realizada en los sistemas que afecten información sensible como saldos operativos contables, deben contar con controles duales de aprobación, dichos controles de aprobación deben ser asignados con una adecuada segregación de funciones. Reportes de auditoria de transacciones sensibles o de alto valor deben ser revisadas por la gerencia usuaria responsable en intervalos regulares apropiados. Los reportes deben incluir la identidad del usuario, la fecha y la hora del evento. Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM


6.8.4 6.8.4 Control de producción y prueba

El ambiente de prueba debe mantenerse siempre separado del ambiente de producción, se deben implementar controles de acceso adecuados en ambos ambientes. Las pruebas deben realizarse utilizando datos de prueba. Sin embargo, copias de datos de producción pueden ser usadas para las pruebas, siempre y cuando los datos sean autorizados por el Propietario y manejados de manera confidencial. El personal de desarrollo puede tener acceso de sólo lectura a los datos de producción. La actualización de los permisos de acceso a los datos de producción debe ser autorizada por el propietario y otorgada por un periodo limitado. Estándares de nombres deben ser utilizados para distinguir los datos y programas de desarrollo y producción. Un procedimiento de control de cambios debe asegurar que todos los cambios del modelo y ambientes de producción hayan sido revisados y aprobados por el (los) gerente(s) apropiados, y el personal encargado de la administración de la seguridad de la información. Los programas de producción, sistemas operativos y librerías de documentación deben ser considerados datos confidenciales y ser protegidos. Debe realizarse una adecuada segregación de tareas dentro del área de procesamiento de datos o sistemas. Las tareas del personal de soporte de aplicación, soporte técnico, y operadores del centro de datos deben estar claramente definidas y sus permisos de acceso a los datos deben basarse en los requerimientos específicos de su trabajo. t rabajo. 6.8.5 6.8.5 Controles de acceso de programas

Los controles de acceso de programas deben asegurar que los usuarios no puedan acceder a la información sin autorización. Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM


Los programas deben poder generar una pista de auditoria de todos los accesos y violaciones. Las violaciones de los controles de acceso deben ser registradas y revisadas por el propietario o por el personal del área de sistemas custodio de los datos. Las violaciones de seguridad deben ser reportadas al gerente del empleado y al área responsable de la administración de la seguridad de la información. Se debe tener cuidado particular en todos los ambientes para asegurar que ninguna persona tenga control absoluto. Los operadores de sistemas, por ejemplo, no deben tener acceso ilimitado a los identificadores de superusuario. Dichos identificadores de usuario, son solo necesarios durante una emergencia y deben ser cuidadosamente controlados por la gerencia usuaria, quien debe realizar un monitoreo periódico de su utilización. 6.8.6 6.8.6 Administración Administración de acceso de usuarios

La asignación de identificadores de usuario especiales o privilegiados (como cuentas administrativas y supervisores) debe ser revisada cada 3 meses. Los propietarios de la información son responsables de revisar los privilegios de los sistemas periódicamente y de retirar todos aquellos que ya no sean requeridos por los usuarios. Es recomendable realizar revisiones trimestralmente debido al continuo cambio de los ambientes de trabajo y la importancia de los datos. Es responsabilidad del propietario de la información y de los administradores de sistemas ver que los privilegios de acceso estén alineados con las necesidades del negocio, sean asignados basándose en requerimientos y que se comunique la lista l ista correcta de accesos al área de sistemas de información.



En las situaciones donde los usuarios con accesos a información altamente sensible sean despedidos, los supervisores deben coordinar directamente con el área de seguridad informática para eliminar el acceso de ese usuario. Se debe buscar el desarrollo de soluciones técnicas para evitar el uso de accesos privilegiados innecesarios. Luego del despido o renuncia de algún empleado, es responsabilidad del jefe del empleado revisar cualquier archivo físico o digital elaborado o modificado por el usuario. El gerente debe también asignar la propiedad de dicha información a la persona relevante así como determinar la destrucción de los archivos innecesarios. Todos los usuarios que tienen acceso a las cuentas privilegiadas deben tener sus propias cuentas personales para uso del negocio. Por ende, los administradores de sistemas y empleados con acceso a cuentas privilegiadas deben usar sus cuentas personales para realizar actividades de tipo no privilegiadas. Cuentas de usuario que no son utilizadas por noventa (90) días deben ser automáticamente deshabilitadas. Las cuentas que no han sido utilizadas por un periodo largo demuestran que el acceso de información de ese sistema no es necesario. Los custodios de la información deben informar al propietario de la información la existencia de las cuentas inactivas. Todos los accesos a los sistemas de información deben estar controlados mediante un método de autenticación incluyendo una combinación mínima de identificador de usuario/contraseña. Dicha combinación debe proveer la verificación de la identidad del usuario. Para los usuarios con tareas similares, se debe utilizar grupos o controles de acceso relacionados a roles para asignar permisos y accesos a las cuentas del individuo. Todos los usuarios de los sistemas de información deben de tener un identificador de usuario único que sea válido durante el período laboral del Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM


usuario. Los identificadores de usuarios no deben de ser utilizados por otros individuos incluso luego de que el usuario original haya renunciado o haya sido despedido. Los sistemas no deben permitir que los usuarios puedan tener sesiones múltiples para un mismo sistema, salvo bajo autorización específica del propietario de la información. 6.8.7 6.8.7 Responsabilidades del usuario

Todo equipo de cómputo, alquilado o de propiedad del Banco, así como los servicios compartidos facturados a cada unidad de negocio serán usados solo para actividades relacionadas al negocio del Banco. Los sistemas del Banco no pueden ser usados para desarrollar software para negocios personales o externos al Banco. Los equipos no deben ser usados para preparar documentos para uso externo, salvo bajo la aprobación escrita del gerente gerent e del área usuaria. Se debe implementar protectores de pantallas en todas las computadoras personales y servidores, activándose luego de cinco (5) minutos de inactividad. Toda la actividad realizada utilizando un identificador de usuario determinado, es de responsabilidad del empleado a quién le fue asignado. Por consiguiente, los usuarios no deben compartir la información de su identificador con otros o permitir que otros empleados utilicen su identificador de usuario para realizar cualquier acción. También, los usuarios están prohibidos de realizar cualquier acción utilizando un identificador que no sea el propio. 6.8.8 6.8.8 Seguridad de computadoras

Se debe mantener un inventario actualizado de todo el software y hardware existente en el Banco, la responsabilidad del mantenimiento del Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM


inventario es del jefe de producción de la gerencia de sistemas. Todo traslado o asignación de equipos debe ser requerida por el gerente del área usuaria, es de responsabilidad del jefe de producción de la gerencia de sistemas, la verificación y realización r ealización del requerimiento. Es de responsabilidad del usuario, efectuar un correcto uso del equipo de cómputo que le fue asignado, así como de los programas en él instalados; cualquier cambio y/o traslado deberá ser solicitado con anticipación por su respectiva Gerencia. Asimismo el usuario debe verificar que cualquier cambio y/o traslado del Equipo de Cómputo que le fue asignado, se realice por personal de Soporte Técnico, así como también la instalación o retiro de software. Cualquier microcomputador, computadora personal o portátil / notebook notebook perteneciente al Banco debe ser únicamente utilizada para propósitos de negocios. Estas computadoras pueden ser utilizadas de las siguientes maneras: Como un terminal comunicándose con otra computadora Como una computadora aislada que realice su propio procesamiento sin comunicación con ninguna otra computadora Medidas apropiadas de seguridad de computadoras personales, como los programas de seguridad de computadoras personales o los candados -

-

físicos, deben ser utilizados utilizados en relación con con los datos y aplicaciones en ejecución. Sin importar su uso, las medidas de seguridad deben ser implementadas en todas las microcomputadoras microcomputadoras y computadoras personales: Una vez habilitada la computadora, ésta no debe dejarse desatendida, incluso por un periodo corto. Todo los disquetes, cintas, CD´s y otros dispositivos de almacenamiento de información incluyendo información impresa, que contengan datos sensibles deben ser guardados en un ambiente seguro cuando no sean utilizados. -

-



-

El acceso a los datos almacenados en un microcomputador debe ser limitado a los usuarios apropiados.

Los discos duros no deben contener datos sensibles salvo en las computadoras cuyo acceso físico sea restringido o que tengan instalados un programa de seguridad y que los accesos a la computadora y a sus archivos sean controlados adecuadamente. Los disquetes no deben ser expuestos a temperaturas altas o a elementos altamente magnéticos. Deben generarse copias de respaldo de documentos y datos de manera periódica, asimismo, deben desarrollarse procedimientos para su adecuada restauración en el caso de pérdida. Todos los programas instalados en las computadoras deben ser legales, aprobados y periódicamente inventariados. Solo los programas adquiridos o aprobados por el Banco, serán instalados en las computadoras del Banco. El uso de programas de juegos, de distribución gratuita (freeware o shareware) o de propiedad personal está prohibido, salvo que éste sea aprobado por la gerencia y se haya revisado la ausencia de virus en el mismo. 6.8.9 6.8.9 Control de acceso a redes 6.8.9. 6.8.9.11

Conexiones con redes externas

Los sistemas de red son vulnerables y presentan riesgos inherentes a su naturaleza y complejidad. Los accesos remotos (dial-in ) y conexiones con redes externas, exponen a los sistemas del Banco a niveles mayores de riesgo. Asegurando que todos los enlaces de una red cuenten con adecuados niveles de seguridad, se logra que los activos más valiosos de las unidades de negocio estén protegidos de un ataque directo o indirecto. Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM


Todas las conexiones realizadas entre la red interna del Banco e Internet, deben ser controladas por un firewall para prevenir accesos no autorizados. El área de seguridad de información debe aprobar todas las conexiones con redes o dispositivos externos. El acceso desde Internet hacia la red interna del Banco no debe ser permitido sin un dispositivo de fuerte autenticación o certificado basado en utilización de contraseñas dinámicas. El esquema de direccionamiento interno de la red no debe ser visible desde redes o equipos externos. Esto evita que “hackers” u otras personas pueden obtener fácilmente información sobre la estructura de red del Banco y computadoras internas. Para eliminar las vulnerabilidades inherentes al protocolo TCP/IP, ruteadores y firewalls deben rechazar conexiones externas que parecieran originarias de direcciones internas (ip spoofing). spoofing). 6.8.9.2 6.8.9.2

Estándares Estándare s generales generale s

Los accesos a los recursos de información deben solicitar como mínimo uno de los tres tr es factores de autenticación: Factor de conocimiento: algo que solo el usuario conoce. Por ejemplo: contraseña o PIN. -

-

Factor de posesión: algo que solo el usuario posee. Por ejemplo: smartcard o token.

Factor biométrico: algo propio de las características biológicas del usuario. Por ejemplo: lectores de retina o identificadores de voz. La posibilidad de efectuar encaminamiento y re-direccionamiento de paquetes, debe ser configurada estrictamente en los equipos que necesiten realizar dicha función. Todos los componentes de la red deben mostrar el siguiente mensaje de alerta en el acceso inicial.

-



“Aviso de alerta: Estos sistemas son de uso exclusivo del personal y agentes autorizados del Banco. El uso no autorizado está prohibido y sujeto a penalidades legales”. Todos los componentes de la red de datos deben ser identificados de manera única y su uso restringido. Esto incluye la protección física de todos los puntos vulnerables de una red. Las estaciones de trabajo y computadoras personales deben ser bloqueadas mediante la facilidad del sistema operativo, mientras se encuentren desatendidas. Todos los dispositivos de red, así como el cableado deben ser ubicado de manera segura. Cualquier unidad de control, concentrador, multiplexor o procesador de comunicación ubicado fuera de una área con seguridad física, debe estar protegido de un acceso no autorizado. autor izado. 6.8.9. 6.8.9.33

Política del uso de servicio de redes

Todas las conexiones de red internas y externas deben cumplir con las políticas del Banco sobre servicios de red y control de acceso. Es responsabilidad del área de sistemas de información y seguridad de información determinar lo siguiente: - Elementos de la red que pueden ser accedidos - El procedimiento de autorización para la obtención de acceso - Controles para la protección de la red. r ed. Todos los servicios habilitados en los sistemas deben contar con una justificación coherente con las necesidades del negocio. Los riesgos asociados a los servicios de red deben determinarse y ser resueltos antes de la implementación del servicio. Algunos servicios estrictamente prohibidos incluyen TFTP e IRC/Chat IRC/Chat..



6.8.9.4 6.8.9.4

Segmentación Segmentac ión de redes

La arquitectura de red del Banco debe considerar la separación de redes que requieran distintos niveles de seguridad. Esta separación debe realizarse de acuerdo a la clase de información albergada en los sistemas que constituyen dichas redes. Esto debe incluir equipos de acceso público. 6.8.9.5 6.8.9.5

Análisis de riesgo de red

Cualquier nodo de la red de datos, debe asumir el nivel de sensibilidad de la información o actividad de procesamiento de datos más sensible al que tenga acceso. Se deben implementar controles que compensen los riesgos más altos. 6.8.9.6 6.8.9.6

Acceso remoto(dial-in )

Los usuarios que ingresen a los sistemas del Banco mediante acceso remoto (dial-in ) deben ser identificados antes de obtener acceso a los sistemas. Por lo tanto, dicho acceso debe ser controlado por un equipo que permita la autenticación de los usuarios al conectarse a la red de datos. Técnicas y productos apropiadas para el control de los accesos remotos (dial-in ) incluyen: Técnicas de identificación de usuarios: Técnicas que permitan

-

-

identificar de manera unívoca al usuario que inicia la conexión, es recomendable que la técnica elegida utilice por lo menos 2 de los factores de autenticación definidos anteriormente. Ejemplo: tokens tokens (dispositivos generadores de contraseñas dinámicas). Técnicas de identificación de terminales: Técnicas que permiten identificar unívocamente al terminal remoto que realiza la conexión. Ejemplo: callback (técnica que permite asegurar que el número telefónico fuente de la conexión sea autorizado)



6.8.9.7 6.8.9.7

Encripción de los datos

Los algoritmos de encripción DES, 3DES y RSA son técnicas de encripción aceptables para las necesidades de los negocios de hoy. Estas pueden ser empleadas para satisfacer los requerimientos de encripción de datos del Banco. Las contraseñas, los códigos o números de identificación personal y los identificadores de terminales de acceso remoto deben encontrarse encriptados durante la transmisión y en su medio de almacenamiento. La encripción de datos ofrece protección ante accesos no autorizados a la misma; debe ser utilizada si luego de una evaluación de riesgo se concluye que es necesaria. 6.8.10 Control de acceso al sistema operativo 6.8.10.1 6.8.10.1 Estándares Estándare s generales generale s

Los usuarios que posean privilegios de superusuario, deben utilizar el mismo identificador con el que se autentican normalmente en los sistemas. Los administradores deben otorgarle los privilegios especiales a los identificadores de los usuarios que lo necesiten. Todos los usuarios deben poseer un único identificador. El uso de identificadores de usuario compartidos debe estar sujeto a autorización. Cada cuenta de usuario debe poseer una contraseña asociada, la cual solo debe ser conocida por el dueño del identificador de usuario. Seguridad adicional puede ser añadida al proceso, como identificadores biométricos o generadores de contraseñas dinámicas. 6.8.10.2 6.8.10.2 Limitaciones de horario

Las aplicaciones críticas deben estar sujetas a periodos de acceso restringidos, el acceso a los sistemas en un horario distinto debe ser deshabilitado o suspendido.



6.8.10.3 6.8.10.3 Administración de contraseñas

Los administradores de seguridad deben realizar pruebas mensuales sobre la calidad de las contraseñas que son empleadas por los usuarios, esta actividad puede involucrar el uso de herramientas para obtención de contraseñas. Todas las bases de datos o aplicaciones que almacenen contraseñas deben ser aseguradas, de tal manera, que solo los administradores de los sistemas tengan acceso a ellas. 6.8.10.4 6.8.10.4 Inactividad del sistema

Las sesiones en los sistemas que no se encuentren activas por mas de 30 minutos deben ser concluidas de manera automática. automáti ca. Las computadoras personales, laptops y servidores, deben ser configurados con un protector de pantalla con contraseña, cuando sea aplicable. El periodo de inactividad para la activación del protector de pantalla debe ser de 5 minutos. Los sistemas deben forzar la reautenticación de los usuarios luego de 2 horas de inactividad. 6.8.10.5 6.8.10.5 Estándares Estándare s de autenticación autentica ción en los sistemas

Los sistemas, durante el proceso de autenticación, deben mostrar avisos preventivos sobre los accesos no autorizados a los sistemas. Los identificadores de los usuarios deben ser bloqueados luego de 3 intentos fallidos de autenticación en los sistemas, el desbloqueo de la cuenta debe ser realizado manualmente por el administrador del sistema. Los sistemas deben ser configurados para no mostrar ninguna información que pueda facilitar el acceso a los mismos, luego de intentos fallidos de autenticación.



6.8.11 Control de acceso de aplicación 6.8.11 6.8.11.1 .1 Restricciones de acceso a información

Para la generación de cuentas de usuario en los sistemas así como para la asignación de perfiles, el gerente del área usuaria es el responsable de presentar la ‘Solicitud de Usuarios y/o Perfiles de Acceso a los Sistemas de Cómputo’, al área de Seguridad Informática, quien generará los Usuarios y Contraseñas correspondientes, para luego remitirlas al Departamento de Recursos Humanos, para que éste a su vez los entregue al Usuario Final, con la confidencialidad requerida. Se debe otorgar a los usuarios acceso solamente a la información mínima necesaria para la realización de sus labores. Esta tarea puede ser realizada utilizando una combinación de: Seguridad lógica de la aplicación.

-

-

-

-

-

Ocultar opciones no autorizadas en los sistemas Restringir el acceso a línea de comando Limitar los permisos a los archivos de los sistemas (solo lectura) Controles sobre la información de salida de los sistemas (reportes, consultas en línea, etc.) 6.8.11.2 6.8.11.2 Aislamiento de sistemas críticos

Basados en el tipo de información, las redes pueden requerir separación. Los sistemas que procesan información muy crítica deben ser aislados físicamente de sistemas que procesan información menos crítica. 6.8.12 Monitoreo Monitoreo del acceso y uso de los sistemas 6.8.12.1 6.8.12.1 Sincronización Sincroniz ación del reloj

Los relojes de todos los sistemas deben ser sincronizados para asegurar la consistencia de todos los registros de auditoria. Debe desarrollarse un



procedimiento para el ajuste de cualquier desvío en la sincronización de los sistemas. 6.8.12.2 6.8.12.2 Responsabilidades Responsabili dades generales

Los administradores de los sistemas sistemas deben realizar realizar monitoreo periódico de los sistemas como parte de su rutina diaria de trabajo, este monitoreo no debe estar limitado solamente a la utilización y performance del sistema sino debe incluir el monitoreo del acceso de los usuarios a los sistemas. 6.8.12.3 6.8.12.3 Registro de eventos del sistema

La actividad de los usuarios vinculada al acceso a información clasificada como “confidencial” o “restringida” debe ser registrada para su posterior inspección. El propietario de la información debe revisar dicho registro mensualmente. Todos los eventos de seguridad relevantes de una computadora que alberga información confidencial, confidencial, deben ser ser registrados en un un log de eventos de seguridad. Esto incluye errores en autenticación, modificaciones de datos, utilización de cuentas privilegiadas, cambios en la configuración de acceso a archivos, modificación a los programas o sistema operativo instalados, cambios en los privilegios o permisos de los usuarios o el uso de cualquier función privilegiada del sistema. Los “logs” (bitácoras) de seguridad deben ser almacenados por un periodo mínimo de 3 meses. Acceso a dichos logs debe ser permitido solo a personal autorizado. En la medida de lo posible, los logs deben debe n ser almacenados en medios de “solo lectura”.



6.8.13 Computación móvil y teletrabajo 6.8.13.1 6.8.13.1 Responsabilidades Responsabili dades generales

Los usuarios que realizan trabajo en casa con información del Banco, pueden tener el concepto errado de que la seguridad de información solo es aplicable en el trabajo en oficina, sin tomar en cuenta que algunas amenazas de seguridad son comunes en ambos entornos de trabajo y que incluso existen algunas nuevas amenazas en el trabajo en casa. El personal que realiza trabajo en casa debe tener en cuenta las amenazas de seguridad que existen en dicho entorno laboral y tomar las medidas apropiadas para mantener la seguridad de información. La utilización de programas para el control remoto de equipos como PCAnywhere está prohibida a menos que se cuente con el consentimiento formal del administrador de seguridad. La utilización inapropiada de este tipo de programas puede facilitar el acceso de un intruso a los sistemas de información del Banco. 6.8.13.2 6.8.13.2 Acceso remoto

Medidas de seguridad adicionales deben ser implementadas para proteger la información almacenada en dispositivos móviles. Entre las medidas a tomarse se deben incluir: Encripción de los datos

-

-

-

-

-

Contraseñas de encendido Concientización de usuarios Protección de la data transmitida hacia y desde dispositivos móviles. Ej. VPN, SSL o PGP. Medidas de autenticación adicionales para obtener acceso a la red de datos. Ej. SecureID tokens.



Con el propósito de evitar los problemas relacionados a virus informáticos y propiedad de los datos existentes en computadoras externas, solamente equipos del Banco deben ser utilizados para ser conectados a su red de datos. La única excepción a este punto es la conexión hacia el servidor de correo electrónico para recepción y envío del correo electrónico. Todos los accesos accesos dial-in/dial-out deben contar con autorización autori zación del área de seguridad informática y deben contar con la autorización respectiva que justifique su necesidad para el desenvolvimiento del negocio. 6.9 DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS

El diseño de la infraestructura del Banco, las aplicaciones de negocio y las aplicaciones del usuario final deben soportar los requerimientos generales de seguridad documentados en la política de seguridad del Banco. Estos requerimientos deben ser incorporados en cada paso del ciclo de desarrollo de los sistemas, incluyendo todas las fases de diseño, desarrollo, mantenimiento y producción. Los requerimientos de seguridad y control deben estar: determinados durante cualquier diseño de sistemas, -

-

-

desarrollados dentro de la arquitectura del sistema implementados en la instalación final del sistema.

Adicionalmente, todo los procesos de desarrollo y soporte a estos sistemas deben seguir los requerimientos de seguridad incluidos en esta política de seguridad. 6.9.1 6.9.1 Requerimientos de seguridad de sistemas 6.9.1.1 6.9.1.1

Control de cambios

El área responsable de la administración de cambios debe retener todos los formularios de solicitud de cambio, planes de cambio de programa y Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM


resultados de pruebas de acuerdo con los estándares de retención de registros del Banco. Los gerentes técnicos de las áreas son responsables de retener una copia de la documentación de solicitud de cambio pertinente a su respectiva área. Los procedimientos de prueba deben estar documentados en los formularios de solicitud de cambio. Si se notara problemas durante el proceso de prueba, el proveedor debe documentar el problema, realizar las modificaciones apropiadas en el ambiente de desarrollo y entregarlo para que se vuelva a probar. 6.9.1.2 6.9.1.2

Análisis y especificación especific ación de los requerimientos requerimien tos de seguridad

Para todos los sistemas desarrollados por o para el Banco, se debe determinar los requerimientos de seguridad antes de comenzar la fase de desarrollo de la aplicación. Durante la fase de diseño del sistema, los propietarios de la información, el área de sistemas y el área de seguridad de la información deben determinar un control adecuado para el ambiente de la aplicación. Estos requerimientos deben incluir, pero no están limitadas a: -

-

-

-

-

-

Control de acceso Autorización Criticidad del sistema Clasificación de la información Niveles de disponibilidad requeridos Confidencialidad e integridad de la información



6.9.2 6.9.2 Seguridad en sistemas de aplicación 6.9.2.1 6.9.2.1 Desarrollo Desarroll o y prueba de aplicaciones aplicaci ones

Los procedimientos de prueba deben estar adecuadamente documentados en los formularios de solicitud de cambio. El gerente del desarrollador debe efectuar una revisión independiente de los resultados de la unidad de prueba. Como resultado, se debe evidenciar una aprobación formal por parte del del gerente del desarrollador en el formulario formular io de solicitud de cambio. Durante la prueba de integración, restricciones de acceso lógico deben asegurar que los desarrolladores no tengan accesos de actualización y que el código siendo probado no sea modificado sin consentimiento del usuario. Copias de los datos de producción o conjuntos prediseñados de datos de prueba deben ser usados para propósitos de prueba. Todas las modificaciones significativas, mejoras grandes y sistemas nuevos deben ser probados por los usuarios del sistema antes de la instalación del software en el ambiente de producción. El plan de aceptación del usuario debe incluir pruebas de todas las funciones principales, procesos y sistemas de interfaces. Los procedimientos de prueba deben ser adecuadamente documentados en los formularios de solicitud de cambio. Durante las pruebas de aceptación, restricciones lógicas de acceso deben asegurar que los desarrolladores no tengan acceso de actualización y que el código fuente siendo probado no pueda ser modificado sin consentimiento escrito por el usuario. Si se notara problemas, el usuario debe documentar el problema, el desarrollador debe realizar las modificaciones apropiadas en el ambiente de desarrollo y lo entregará para volver a probarlo. Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM


6.10 CUMPLIMIENTO NORMATIVO

Toda ley, norma, regulación o acuerdo contractual debe ser documentado y revisado por el área legal del Banco. Requerimientos específicos para controles y otras actividades relacionadas a estas regulaciones legales deben ser delegados al área organizacional respectiva, la cual es responsable por el cumplimiento de la norma en cuestión. Los recursos informáticos del Banco deben ser empleados exclusivamente para tareas vinculadas al negocio. 6.10.1 Registros

Deben desarrollarse estándares de retención, almacenamiento, manejo y eliminación de registros que son requeridos por normas legales u otras regulaciones. Debe definirse un cronograma de retención para estos registros que debe incluir: Tipo de información Regulaciones o leyes aplicables Fuentes de este tipo de información Tiempos de retención requeridos Requerimientos de traslado y almacenamiento almacenamiento Procedimientos de eliminación -

-

-

-

-

-

Requerimientos de control específicos estipulados en la norma relacionada

-

6.10.2 6.10.2 Revisión de la política de seguridad y cumplimiento técnico

Los gerentes y jefes deben asegurarse que las responsabilidades de seguridad sean cumplidas y las funciones relacionadas se ejecuten apropiadamente. Es responsabilidad del personal encargado de la administración de la seguridad y de auditoria interna verificar el cumplimiento de las políticas



de seguridad. Las excepciones deben ser reportadas a la gerencia apropiada. 6.10.3 6.10.3 Propiedad de los programas

Cualquier programa escrito por algún empleado del Banco dentro del alcance de su trabajo así como aquellos adquiridos por el Banco son de propiedad del Banco. Los contratos para desarrollo externo deben acordarse por escrito y deben señalar claramente el propietario de los derechos del programa. En la mayoría de circunstancias, el Banco debería ser propietaria de todos los programas de cómputo desarrollados, debiendo pagar los costos de desarrollo. Cada programa elaborado por desarrolladores propios del Banco o por desarrolladores externos contratados por el Banco, debe contener la información de derecho de autor correspondiente. Generalmente, el aviso debe aparecer en cuando el usuario inicie la aplicación. Un aviso legible también debe estar anexado a las copias de los programas almacenados en dispositivos como cartuchos, cassettes, discos o disquetes. 6.10.4 6.10.4 Copiado de software adquirido y alquilado

Los contratos con proveedores y paquetes propietarios de software deben definir claramente los límites de su uso. Los empleados están prohibidos de copiar o utilizar dicho software de manera contraria a la provisión del contrato. Toda infracción de los derechos de autor del software constituye robo. Los productos adquiridos o alquilados para ejecutarse en una unidad de procesamiento o en un sitio particular no deben ser copiados y ejecutados en procesadores adicionales sin algún acuerdo por parte del proveedor.



Los programas no pueden ser copiados salvo dentro del límite acordado con el proveedor (por ejemplo, copias de respaldo para protección). Los empleados o contratistas que realicen copias adicionales para evitar el costo de adquisición de otro paquete serán hechos responsables de sus acciones. 6.11 CONSIDERACIONES DE AUDITORIA DE SISTEMAS 6.11.1 Protección de las herramientas de auditoria

Todas las herramientas, incluyendo programas, aplicaciones, documentación y papeles de trabajo, requeridos para la auditoria de sistemas deben protegerse de amenazas posibles como se indica en esta política de seguridad. 6.11.2 Controles de auditoria de sistemas

Todas las actividades de auditoria deben ser revisadas para el planeamiento y la ejecución correcta de la auditoria. Esto incluye, pero no se limita a lo siguiente: minimizar cualquier interrupción de las operaciones del negocio acuerdo de todas las actividades y objetivos de auditoria con la gerencia -

-

-

-

-

límite del alcance de la evaluación de un ambiente controlado, asegurando que no se brinde accesos impropios para la realización de las tareas de auditoria identificación de los recursos y habilidades necesarias para cualquier tarea técnica registro de todas las actividades y desarrollo de la documentación de las tareas realizadas, procedimientos de auditoria, hallazgos y recomendaciones.



6.12 POLÍTICA DE COMERCIO ELECTRÓNICO

El propósito de esta política es presentar un esquema para el comportamiento aceptable cuando se realizan actividades de comercio electrónico (e-commerce). Los controles definidos, tienen el propósito de proteger el comercio electrónico de numerosas amenazas de red que puedan resultar en actividad fraudulenta y divulgación o modificación de la información. Esta política se aplica a todos los empleados del Banco involucrados con comercio electrónico y a los socios de comercio electrónico del Banco. Los socios de comercio electrónico del Banco incluyen las unidades de negocio de la organización, los clientes, socios comerciales y otros terceros. El Banco debe asegurar la claridad de toda la información documentada y divulgar la información necesaria para asegurar el uso apropiado del comercio electrónico. El Banco y los socios de comercio electrónico deben de someterse a la legislación nacional sobre el uso de la información de clientes y las estadísticas derivadas. Los documentos y transacciones electrónicas usadas en el comercio electrónico deben ser legalmente admisibles. Las unidades de negocio afiliadas del Banco deben demostrar que sus sistemas de cómputo funcionan adecuadamente para establecer la autenticación de los documentos y transacciones legales. Los sistemas de información usados deben estar de acuerdo con los estándares de seguridad corporativos antes de estar disponibles en producción. Los sistemas de comercio electrónico deben publicar sus términos de negocios a los clientes. El uso de autoridades de certificación y archivos



confiables de terceros deben estar documentados, de acuerdo con la política de seguridad de información del Banco. Actividades de roles y responsabilidades entre el Banco y los socios de comercio electrónico deben de establecerse, documentarse y ser soportadas por un acuerdo documentado que comprometa a ambos al acuerdo de los términos de transacciones. 6.12.1 6.12.1 Términos e información de comercio electrónico 6.12.1.1 6.12.1.1 Recolección de información y privacidad privaci dad

El Banco debe utilizar niveles apropiados de seguridad según el tipo de información recolectada, mantenida y transferida a terceros debiendo asegurarse de: Aplicar estándares corporativos de encripción y autenticación para la transferencia de información sensible. Aplicar controles corporativos técnicos de seguridad para proteger los datos mantenidos por computadoras; y Considerar la necesidad de que los terceros involucrados en las transacciones de clientes, también mantengan niveles apropiados de seguridad. -

-

-

El Banco debe adoptar prácticas de información que

manejen

cuidadosamente la información personal de los clientes. Todos los sistemas de comercio electrónico del Banco deben seguir una política de privacidad basada en principios de información, deben tomar medidas apropiadas para proveer seguridad adecuada y respetar las preferencias de los clientes con respecto al envío de mensajes de correo electrónico no solicitados.



6.12.1.2 Divulgación

El Banco debe proveer suficiente información sobre la propia transacción en línea, para permitir que los clientes tomen una decisión informada sobre si ejecutar las transacciones tr ansacciones en línea. Información divulgada debe incluir, pero no estar limitada a: Términos de transacción; Disponibilidad de producto e información de envío; y Precios y costos. El Banco debe también brindar al cliente las opciones de: Revisión y aprobación de la transacción; y Recepción de una confirmación. -

-

-

-

-

6.12.2 6.12.2 Transferencia electrónica de fondos

Transacciones de valor, sobre redes de telecomunicación, que resulten de movimientos de fondos, deben estar protegidas con medidas que sean proporcionales a la pérdida potencial debido a error o fraude. En sistemas donde el valor promedio de transacción excede los $50,000 o en los cuales transacciones sobre los $100,000 sean frecuentes, se debe verificar el origen de la transacción así como el contenido de la misma de acuerdo a los estándares definidos por el Banco. Para todos los casos en que un mensaje de transferencia electrónica de fondos sea enviado sobre un circuito por lo menos se debe verificar el origen del mensaje mediante un método apropiado considerando el riesgo involucrado. Algunas circunstancias requieren de la verificación de la ubicación física del terminal que origina la transacción, mientras que en otras una adecuada técnica usada para identificar el usuario del terminal es suficiente. Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM


Los sistemas que utilicen soluciones de encripción o autenticación deben usar los estándares de ANSI aceptados. La encripción de la información transmitida es necesaria cuando el origen y el destino se encuentran conectados por un enlace físico de comunicación que pueda ser accedido por un tercero. Las soluciones de punto a punto son preferibles preferibl es para redes multi-nodos. Los datos de identificación personal como PIN’s, PIC’s y contraseñas no deben ser transmitidas o almacenadas sin protección en cualquier medio. Los sistemas nuevos que involucren el movimiento de fondos o transacciones de valor sobre redes de telecomunicaciones debe incorporar estos controles en su diseño. Cualquier cambio en los sistemas o redes existentes, deben respetar dichos controles. 6.13 INFORMACIÓN ALMACENADA EN MEDIOS DIGITALES Y FÍSICOS

Toda información almacenada en cualquier dispositivo o medio del Banco, incluyendo disquetes, reportes, códigos fuentes de programas de computadora, correo electrónico y datos confidenciales de los clientes, es propiedad del Banco. Las prácticas de seguridad de datos deben ser consistentes para ser efectivas. Los datos sensibles deben ser protegidos, sin importar la forma en que sean almacenados. 6.13.1 Etiquetado de la información

Toda información impresa o almacenada en medios físicos fí sicos transportables (cintas de backup, cd´s, etc.) que sean confidenciales o restringidas,



deben estar claramente etiquetadas como tal, con letras grandes que sean legibles sin la necesidad de un lector especial. Todo documento o contenedor de información debe ser etiquetado como “Restringida”, “Confidencial”, de “Uso interno” o de Acceso “General”, dependiendo de la clasificación asignada. Todo documento en formato digital o impreso, debe presentar una etiqueta en la parte superior e inferior de cada página, con la clasificación correspondiente. Todo documento clasificado como “Confidencial” o “Restringido” debe contar con una carátula en la cual se muestre la clasificación de la información que contiene. 6.13.2 Copiado de la información

Reportes confidenciales y restringidos no deben ser copiados sin la autorización del propietario de la información. Reportes confidenciales pueden ser copiados sólo para los individuos autorizados a conocer su contenido. Los gerentes son los responsables de determinar dicha necesidad, para cada persona a la cual le sea distribuido dicho reporte. Los reportes restringidos deben ser controlados por un solo custodio, quién es responsable de registrar los individuos autorizados que soliciten el documento. El copiado de cualquier dato restringido o confidencial almacenado en un medio magnético debe ser aprobado por el propietario y clasificado al igual que el original. 6.13.3 Distribución de la información

La información confidencial y restringida debe ser controlada cuando es trasmitida por correo electrónico interno, externo o por courier. Si el



servicio de courier o correo externo es usado, se debe solicitar una confirmación de entrega al receptor. Los reportes confidenciales y otros documentos sensibles deben usarse en conjunto con sobres confidenciales y estos últimos también ser sellados. Materiales restringidos de alta sensibilidad deben enviarse con un sobre etiquetado ‘Solo a ser abierto por el destinatario’. La entrega personal es requisito para la información i nformación extremadamente sensible. Los datos sensibles de la empresa que sean transportados a otra instalación deben ser transportados en contenedores apropiados. Todo usuario, antes de transmitir información clasificada como “Restringida” o “Confidencial”, debe asegurarse que el destinatario de la información esté autorizado a recibir dicha información. La transmisión de información clasificada como “Restringida” o “Confidencial”, transmitida desde o hacia el Banco a través de redes externas, debe realizarse utilizando un medio de transmisión seguro, es recomendable el uso de técnicas de encripción para la información transmitida. 6.13.4 Almacenamiento de la información

Los activos de información correspondiente a distintos niveles de clasificación, deben ser almacenados en distintos contenedores. La información etiquetada como “de uso interno” debe ser guardada de manera que sea inaccesible a personas ajenas a la empresa. La información “Confidencial o “Restringida” debe ser asegurada para que esté sólo disponible a los individuos específicamente autorizados para acceder a ella. El ambiente donde se almacena la información clasificada como “Restringida”, debe contar con adecuados controles de acceso y asegurado cuando se encuentre sin vigilancia. El acceso debe ser Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM


permitido solo al personal formalmente autorizado. Personal de limpieza debe ingresar al ambiente acompañado por personal autorizado. autori zado. La información en formato digital clasificada como de acceso “General”, puede ser almacenada en cualquier sistema del Banco. Sin embargo se deben tomar las medidas necesarias para no mezclar información “General” con información correspondiente a otra clasificación. Información en Formato digital, clasificada como “Restringida”, debe ser encriptada con un método aprobado por el área de seguridad informática, cuando es almacenada en cualquier medio (disco duro, disquetes, cintas, CD´s, etc.). Los medios de almacenamiento, incluyendo discos duros de computadoras, que albergan información clasificada como “Restringida”, deben ser ubicados en ambientes cerrados diseñados para el almacenamiento de dicho tipo de información. Cuando información clasificada como “de uso Interno”, Confidencial o Restringida se guarde fuera del Banco, debe ser almacenada en instalaciones que cuenten con adecuados controles de acceso. El envío y recepción de medios magnéticos para ser almacenados en instalaciones alternas debe ser autorizado por el personal responsable de los mismos y registrado en bitácoras apropiadas. 6.13.5 Eliminación de la información

La eliminación de documentos y otras formas de información deben asegurar la confidencialidad de la información de las unidades de negocio.



Se debe borrar los datos de los medios magnéticos, como cassettes, disquetes, discos duros, DASD, que se dejen de usar en el Banco debido a daño u obsolencia, antes de que estos sean eliminados. En el caso de los equipos dañados, la empresa de reparación o destrucción del equipo debe certificar que los datos hayan sido destruidos o borrados.



Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL

Luego de la identificación de riesgos amenazas y vulnerabilidades se pudo determinar el conjunto de actividades más importantes a ser realizadas por el Banco, las cuales permitan alinear las medidas de seguridad existentes con las exigidas por las Políticas de Seguridad elaboradas. Estas actividades han sido agrupadas en un plan de implementación, el cual contiene los objetivos de cada actividad, el tiempo estimado de ejecución y las etapas a ser cubiertas en cada actividad identificada. Las actividades a ser realizadas por el Banco son las siguientes: Clasificación de la Información Seguridad de red y comunicaciones Inventario de accesos a los sistemas Adaptación de contratos con proveedores Campaña de concientización de usuarios

-

-

-

-

-

-

Verificación y adaptación de los sistemas del Banco Estandarización de la configuración del software base

-

Revisión y adaptación de procedimientos complementarios.

-

Para cada actividad se ha elaborado una breve descripción (objetivo), las tareas a ser desarrolladas (etapas), la relación de precedencia que presenta con otras actividades actividades y un tiempo estimado de duración. El tiempo estimado para el desarrollo de cada etapa debe ser revisado antes de iniciar la misma y puede sufrir variaciones de acuerdo a dicha evaluación final.



7.1 Clasificación de Información Dependencia Tiempo estimado Objetivo

Ninguna 16 – 22 semanas Con el objetivo de proteger los activos de información de manera adecuada, se debe realizar un proyecto para la clasificación de la información utilizada por las distintas unidades de negocio, mediante la cual se podrán definir los recursos apropiados y necesarios para proteger los activos de información. El objetivo de la clasificación es priorizar la utilización de recursos para aquella información que requiere de mayores niveles de protección. Los criterios a ser empleados para la clasificación de la información son los siguientes: Información Restringida (R): Información con mayor grado de sensibilidad; el acceso a esta -

-

información debe de ser autorizado caso por caso. Información Confidencial (C): Información

sensible que solo debe ser divulgada a aquellas personas que la necesiten para el cumplimiento de sus funciones. Información de Uso Interno (I): Datos generados para facilitar las operaciones diarias; diari as; deben de ser manejados de una manera discreta, pero no requiere de medidas elaboradas de seguridad. - Información General (G): Información que es -

generada específicamente para su divulgación al público en general.



Etapas

-

-

-

-

-

Elaboración de un inventario de activos de información incluyendo información almacenada en medios digitales e información impresa. Definición de responsables por activos identificados Clasificación de la información por parte de los responsables definidos. Consolidación de los activos de información clasificados. Determinación de las medidas de seguridad a ser aplicados para cada activo clasificado.

- Implementación de las medidas de seguridad determinadas previamente.

7.2 7.2 Seguridad de red y comunicaciones Dependencia Tiempo

Ninguna 11 – 17 semanas

estimado Objetivo

Etapas

Para evitar manipulación de los equipos de comunicaciones por personal no autorizado y garantizar que la configuración que poseen brinde mayor seguridad y eficiencia a las comunicaciones, se requiere que los equipos que soportan dicho servicio, se encuentren adecuadamente configurados. A. Adaptación de sistemas de comunicaciones comunicaciones a políticas políticas -

de seguridad. (Tiempo estimado: 3-5 semanas) Elaboración de un inventario de equipos comunicaciones comunicaciones (routers, (routers, switches, firewalls, etc)

de



-

-

-

Elaboración de estándares de configuración para los equipos de comunicaciones (basarse en la política de seguridad definida, documentación de proveedores, etc.) Evaluación de equipos identificados. Adaptación de los equipos a la política de seguridad. segurida d.

B. Adaptación a la arquitectura de red propuesta. (Tiempo estimado: 6-8 semanas) B.1. Creación de la Extranet: Controlar mediante un firewall la comunicación entre la red del Banco y redes externas como Banca Red y Reuters, para evitar actividad no autorizada desde dichas redes hacia los equipos de la red del Banco. B.2. Implementar una red DMZ para evitar el ingreso de conexiones desde Internet hacia la red interna de datos. Adicionalmente implementar un sistema de inspección de contenido con el propósito de monitorear la información que es transmitida vía correo electrónico entre el Banco e Internet. En la red DMZ se debe ubicar un servidor de inspección de contenido, el cual trabajaría de la siguiente manera: a) Ingreso de correo electrónico: El servidor de inspección de contenido, recibirá todos los correos enviados desde Internet, revisará su contenido y



los enviará al servidor Lotus Notes, quién los entregará a su destinatario final. b) Salida de correo electrónico: electrónico: El Servidor Servidor Lotus Notes enviará el correo electrónico al servidor de inspección de contenido, quién revisará el contenido del mensaje, para transmitirlo a través de Internet a su destino final. Esta nueva red DMZ puede ser empleada para ubicar nuevos equipos que brindarán servicios a través de Internet en el futuro tales como FTP, Web, etc. B.3. Implementar un sistema de Antivirus para servicios de Internet (SMTP, FTP, HTTP). Implementar un gateway antivirus de servicios de Internet, a través del cual pasarán las comunicaciones establecidas entre la red interna del Banco e Internet. (duración aproximada: 1 semana) B.4. Implementar un sistema de Alta Disponibilidad de firewalls en las conexiones donde fluye información crítica y se requiera una alta disponibilidad de las comunicaciones. (duración aproximada: 2 semanas) B.5. Implementar un sistema de monitoreo de Intrusos para detectar los intentos de intrusión o ataque desde redes externas hacia la red de datos del Banco. Asimismo se recomienda la



implementación del sistema en la red interna del Banco donde se ubican servidores críticos para detectar intentos de intrusión o ataque realizados desde la red interna del Banco hacia los servidores. (duración aproximada: 2 semanas) C. Proyectos complementarios complementarios (tiempo estimado 2-4 semanas) Evaluación de seguridad de la red inalámbrica y aplicación de controles de ser necesarios. -

-

-

-

-

Verificación de la configuración de: Servidor Proxy, Surf Control Firewall Servidor de correo electrónico

7.3 Inventario de accesos a los sistemas

Dependencia Tiempo

Ninguna 9 - 12 semanas

estimado Objetivo

Etapas

Con el propósito de obtener un control adecuado sobre el acceso de los usuarios a los sistemas del Banco, se debe realizar un inventario de todos los accesos que poseen ellos sobre cada uno de los sistemas. Este inventario debe ser actualizado al modificar el perfil de acceso de algún usuario y será utilizado para realizar revisiones periódicas de los accesos otorgados en los sistemas. Elaboración de un inventario de las aplicaciones y -



-

-

-

-

-

sistemas del Banco Elaboración de un inventario de los perfiles de acceso de cada sistema Verificación de los perfiles definidos en los sistemas para cada usuario Revisión y aprobación de los accesos por parte de las gerencias respectivas Depurar los perfiles accesos de los usuarios a los sistemas. Mantenimiento periódico del inventario.

7.4 7.4 Adaptación de contratos con proveedores Dependencia Tiempo

Ninguna 24 semanas (tiempo parcial)

estimado Objetivo

Etapas

Con el objetivo de asegurar el cumplimiento de las políticas de seguridad del Banco en el servicio brindado bri ndado por los proveedores, proveedores, es necesario realizar una revisión de los mismos y su grado de cumplimiento respecto a las políticas de seguridad definidas, de ser necesario dichos contratos deben ser modificados para el cumplimiento de la política de seguridad del Banco. Elaboración de cláusulas estándar referidas a seguridad de información, para ser incluidas en los contratos con proveedores Elaboración de un inventario de los contratos existentes -

-

-

con proveedores Revisión de los contratos y analizar el grado de



cumplimiento de la política de seguridad. - Negociar con los proveedores para la inclusión de las cláusulas en los contratos.

7.5 7.5 Campaña de concientización de usuarios. Dependencia

Tiempo estimado Objetivo

Etapas

Ninguna 5-7 semanas Con el ob objetivo de lograr un un compromiso iso y conc oncient ientiz izac ació iónn de los usuarios en temas referentes a seguridad de información del Banco, se debe realizar una campaña de concientización del personal la cual esté orientada a todo el personal como conceptos básicos de seguridad y a grupos específicos con temas correspondientes a sus responsabilidades en la organización. Definición de del me mensaje a transmitir y material a ser empleado para los distintos grupos de usuarios, entre ellos: Personal en general: información general sobre seguridad, políticas y estándares incluyendo protección de virus, contraseñas, seguridad física, sanciones, correo electrónico y uso de Internet. Personal de Sistemas: Políticas de seguridad, estándares y controles específicos para la tecnología y aplicaciones utilizadas. Gerencias y jefaturas: Monitoreo de seguridad, responsabilidades de supervisión, políticas de sanción. Identificación del personal de cada departamento que se encargará de actualizar a su propio grupo en temas de seguridad. Establecimiento de un cronograma de capacitación, el cual debe incluir, empleados nuevos, requerimientos anuales de capacitación, actualizaciones. Desarrollo el cronograma de presentaciones. - Realizar la campaña según el cronograma elaborado, asegurándose de mantener un registro actualizado de la capacitación de cada usuario.



7.6 7.6 Verificación y adaptación de los sistemas del Banco. Dependencia Tiempo

Actividad A. 20 – 30 semanas

estimado bjetivo

Etapas

Con el objetivo de asegurar el cumplimiento de la política de seguridad en los controles existentes, se debe verificar el grado de cumplimiento de las políticas de seguridad en los sistemas del Banco y adaptarlos en caso de verificar su incumplimiento. Elaboración de un inventario de las aplicaciones -

-

-

-

-

existentes, incluyendo los servicios brindados a clientes como banca electrónica y banca telefónica. Elaboración de un resumen de los requisitos que deben cumplir las aplicaciones según la política y estándares de seguridad. Evaluación del grado de cumplimiento de la política de seguridad para cada una de las aplicaciones existentes y la viabilidad de su modificación para cumplir con la política de seguridad, elaborando la relación de cambios que deben ser realizados en cada aplicación. Adaptación de los sistemas a la política de seguridad (diseño, desarrollo, pruebas, actualización de la documentación, etc.) Estandarización de controles para contraseñas de los sistemas.

Los sistemas no requerirán modificaciones si su adaptación no es viable. - Pase a producción de sistemas adaptados. -



7.7 7.7 Estandarización de la configuración del software base Dependencia Tiempo

Ninguna 12 semanas

estimado Objetivo

Etapas

Con el objetivo de proteger adecuadamente la información existente en servidores y computadores personales, se debe realizar una adecuada configuración de los parámetros de seguridad del software base que soporta las aplicaciones del Banco. Finalización el proceso de migración migraci ón de computadores computadores personales a Windows XP o Windows 2000 Professional. Elaboración de un inventario de sistema operativo de servidores y computadores personales. Elaboración de estándares de configuración para Windows XP Professional, Windows 2000 Professional, Windows Windows NT Server, SQL Server Server y OS/400. Elaboración de un inventario de bases de datos existentes. Evaluación de los de sistemas identificados. - Adaptación del software base a la política de seguridad. -

-

-

-

-

7.8 7.8 Revisión, y adaptación de procedimientos complementarios complementarios Dependencia Tiempo

Actividad B. 8 semanas

estimado



Objetivo

Etapas

Adaptar los procedimientos y controles complementarios del Banco de acuerdo a lo estipulado en las l as políticas de seguridad. Revisión y adaptación de controles y estándares para desarrollo de sistemas Elaboración de procedimientos de monitoreo, incluyendo procedimientos para verificación periódica de carpetas compartidas, generación de copias de respaldo de información de usuarios, aplicación de controles de seguridad para información en computadores portátiles, etc. Elaboración de procedimientos de monitoreo monitoreo y reporte sobre la administración de los sistemas y herramientas -

-

-

de seguridad, entre ellas: antivirus, servidores de seguridad del contenido, servidor Proxy, servidor firewall, sistema de detección de intrusos. -

-

-

Establecimiento de controles para la información transmitida a clientes y proveedores. Revisión y establecimiento de controles para el almacenamiento físico de información. Revisión y establecimiento de controles para personal externo que realiza labores utilizando activos de información del Banco para el Banco (Soporte Técnico, Rehder, proveedores, etc.)


7.9 Cronograma tentativo de implementación implementación Los proyectos antes mencionados deben ser liderados por el área de seguridad informática y sus responsables deben ser definidos individualmente para cada uno de ellos. A continuación se presenta un cronograma sugerido para la realización de las actividades correspondientes al presente plan de implementación: implementación: ACTIVIDAD

Mes Mes Mes Mes Mes Mes Mes Mes Mes Mes 1 2 3 4 5 6 7 8 9 10

Clasificación de Información Seguridad de red y comunicaciones Inventario de Accesos a los sistemas Adaptación de contratos con proveedores Campaña de concientización de usuarios. Verificación y adaptación de los sistemas del Banco. Estandarización de la configuración del software base Revisión y adaptación de procedimientos complementarios Nota: La duración de los proyectos está sujeta a variaciones dependientes a la situación existente y el análisis realizado previo a cada actividad


CONCLUSIONES Y RECOMENDACIONES

Dentro de las principales conclusiones y recomendaciones más importantes tenemos: •

Para nadie es un secreto la importancia de implementar un programa completo de seguridad de la información. Sin embargo, crear un programa de seguridad con componentes "bloqueadores de cookies" rara vez produce resultados efectivos. Lo más efectivo es utilizar una metodología comprobada que diseñe el programa de seguridad con base en las necesidades de su empresa, recuerde cada empresa es diferente.

•

La clave para desarrollar con éxito un programa efectivo de seguridad de la información consiste en recordar que las políticas, estándares y procedimientos de seguridad de la información son un grupo de documentos interrelacionados. La relación de los documentos es lo que dificulta su desarrollo, aunque es muy poderosa cuando se pone en práctica. Muchas organizaciones ignoran esta interrelación en un esfuerzo por simplificar el proceso de desarrollo. Sin embargo, estas mismas relaciones son las que permiten que las organizaciones exijan y cumplan los requerimientos de seguridad.

•

¿Por qué las organizaciones necesitan una Política de Seguridad de

la

Información?

Por lo general se argumenta que las organizaciones requieren una Política de Seguridad de la Información para cumplir con sus "requerimientos de seguridad de la información". Ciertamente, muchas organizaciones no tienen requerimientos de seguridad de la información Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM


como tal, sino que tienen necesidades empresariales que deben desarrollar e implementar. Las empresas, especialmente las compañías cotizadas en bolsa y las l as organizaciones gubernamentales, están sujetas a las reglamentaciones operacionales de los gobiernos estatales y locales, así como de los organismos que reglamentan la industria. En el caso de las compañías cotizadas en bolsa, los funcionarios corporativos deben ser diligentes en sus operaciones y tener responsabilidad fiduciaria ante los accionistas - estas estipulaciones jurídicas requieren efectivamente que la organización proteja la información que utiliza, a la que tiene acceso o que crea para que la compañía opere con eficiencia y rentabilidad. Entonces surge la necesidad de proteger la información la necesidad no es académica, ni es creada por los "genios técnicos" que buscan justificar su existencia en la organización. •

¿La seguridad de la información siempre requiere inversión adicional?

Las empresas podrían o no necesitar más recursos, esto depende del enfoque adoptado por la organización para el desarrollo de las políticas. Una Política de Seguridad de la Información generalmente exige que todos en la organización protejan la información para que la empresa pueda cumplir con sus responsabilidades reglamentarias, jurídicas y fiduciarias. Se usa mal y con frecuencia las palabras "generalmente" y "proteger" para justificar mayor inversión cuando no es necesaria. Esto puede parecer contrario a la intuición, pero la inversión adicional para proteger la información no siempre garantiza el éxito. Pero si es recomendable tener un presupuesto asignado para cumplir con estos fines. Para evaluar las necesidades de inversión, debe consultar estas "reglas" en orden secuencial:



Regla Regl a Nº 1: 1: Saber qué información tiene y donde se encuentra. Regla Nº 2: Saber el valor de la información que se tiene y la dificultad

de volverla a crear si se daña o pierde. Regla Nº 3: Saber quiénes están autorizados para acceder a la información y que pueden hacer con ella. Regla Regl a Nº 4: 4: Saber la velocidad con que puede acceder a la información si no está disponible por alguna razón (por pérdida, modificación no autorizada, etc.) Estas cuatro reglas son aparentemente simples. Sin embargo, las respuestas permitirán el diseño e implementación de un programa de protección a la información puesto que las respuestas pueden ser muy difíciles. No toda la información tiene el mismo valor y por lo tanto no requiere el mismo nivel de protección (con el costo que implica). •

Es clave entender por qué se necesita proteger la información,

desde un punto de vista comercial es clave determinar la necesidad de tener una Política de Seguridad de la Información. Para ello, se necesitara saber cuál es la información y en donde se encuentra para que pueda proceder a definir los controles que se necesitan para protegerla. •

Características principales de una Política de Seguridad de la Información: ü

Debe estar escrita en lenguaje simple, pero jurídicamente viable

ü

Debe basarse en las razones que tiene la empresa para proteger la información

ü

Debe ser consistente con las demás políticas polít icas organizacionales



ü

Debe hacerse cumplir - se exige y mide el cumplimiento

ü

Debe tener en cuenta los aportes hechos por las personas afectadas por la política

ü

Debe definir el papel y responsabilidades de las personas, departamentos y organizaciones para los que aplica la política

ü

No debe violar las políticas locales, estatales

ü

Debe definir las consecuencias en caso de incumplimiento de la política

ü

Debe estar respaldada por documentos "palpables", como los estándares y procedimientos para la seguridad de la información, que se adapten a los cambios en las operaciones de las empresas, las necesidades, los requerimientos jurídicos y los cambios tecnológicos.

ü

•

Debe ser aprobada y firmada por el gerente general de la organización. No obtener este compromiso significa que el cumplimiento de la política es opcional - situación que hará que fracase las políticas de protección de la información.

Redactar una política para la seguridad de la información puede ser sencillo comparado con su implementación y viabilidad. La política organizacional y las presiones por lo general aseguran que habrá dificultad y consumo de tiempo para crear y adoptar una Política de Seguridad de la Información, a menos que un "líder fuerte" dirija el programa de políticas. Esta persona generalmente es un "político", una persona influyente, un facilitador y sobretodo una persona que sepa



escuchar, para que pueda articular y aclarar las inquietudes y temores de las personas respecto a la introducción de una nueva política.



ANEXOS A. DISEÑO DE ARQUITECTURA DE SEGURIDAD DE RED ARQUITECTURA DE SEGURIDAD DE RED

Con el propósito de incrementar la seguridad de la plataforma tecnológica del Banco, se realizó un análisis de su actual arquitectura de red principalmente en el control de conexiones con redes externas. Producto de dicho análisis se diseño una nueva arquitectura de red, la cual posee controles de acceso para las conexiones y la ubicación recomendada para los detectores de intrusos a ser implementados por el Banco. A continuación se muestra el diagrama con la arquitectura de red propuesta.

Fig 1: Arquitectura de red propuesta.



Para lograr implementar esta arquitectura de red, se deben realizar un conjunto de cambios los cuales se detallan a continuación: 1. Creación de la Extranet: Controlar mediante un firewall la comunicación entre la red del Banco y redes externas como Banca Red y Reuters, para evitar actividad no autorizada desde dichas redes hacia los equipos de la red del Banco. 2. Implementar una red DMZ para evitar el ingreso de conexiones desde Internet hacia la red interna de datos. Adicionalmente implementar un sistema de inspección de contenido con el propósito de monitorear la información que es transmitida vía correo electrónico entre el Banco e Internet. En la red DMZ se debe ubicar un servidor de inspección de contenido, el cual trabajaría de la siguiente manera: a. Ingreso de correo electrónico: El servidor de inspección inspección de contenido, recibirá todos los los correos enviados enviados desde desde Internet, revisará su contenido y los enviará al servidor Lotus Notes, quién los entregará a su destinatario final. b. Salida de correo correo electrónico: El Servidor Lotus Notes enviará el correo electrónico al servidor de inspección de contenido, quién revisará el contenido del mensaje, para transmitirlo a través de Internet a su destino final. Esta nueva red DMZ puede ser empleada para ubicar nuevos equipos que brindarán servicios a través de Internet en el futuro tales como FTP, Web, etc. 3. Para controlar el ingreso de virus informáticos desde desde Internet, así como para prevenir el envío de mensajes electrónicos conteniendo virus informático, se recomienda implementar un primer nivel de protección Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM


antivirus mediante un sistema de inspección de servicios de Internet. Este sistema inspeccionará la información recibida desde Internet, así como la información enviada hacia otras entidades vía Internet Este sistema debe inspeccionar la navegación de los usuarios (HTTP HyperText Transfer Protocol), la transferencia de archivos (FTP – File Transfer Protocol) y el intercambio de corroe electrónico (SMTP – Simple mail Transfer Protocol). Protocol) . 4. Luego de implementados los cambios previamente detallados, el Firewall se torna en un punto crítico para las comunicaciones del Banco, por lo cual se requiere implementar un sistema de Alta Disponibilidad de Firewalls, el cual permita garantizar que el canal de comunicación permanezca disponible en caso de falla de uno de los Firewalls. Firewall s. 5. Con el propósito de prevenir la realización de actividad no autorizada desde redes externas hacia la red del Banco y desde la red interna del Banco hacia los servidores y hacia Internet, se debe implementar un sistema de detección de intrusos que inspeccione el tráfico que circula por segmentos de red estratégicos tales como: -

-

-

-

Internet, para detectar la actividad sospechosa proveniente desde Internet. Red DMZ, para detectar la actividad dirigida contra los servidores públicos que logró atravesar el Firewall. Extranet, para detectar actividad realizada desde las redes externas con las que se posee conexión. Puntos estratégicos de la red interna, los cuales permitan detectar la actividad realizada contra los equipos críticos del Banco.



B. CIRCULAR N° G-105-2002 PUBLICADA POR LA SUPERINTENDENCIA DE BANCA Y SEGUROS (SBS) SOBRE RIESGOS DE TECNOLOGÍA DE INFORMACIÓN

Lima, 22 de febrero de 2002 CIRCULAR CIRCULAR Nº Nº G - 105 1 05 - 2002 2 002 ----------------------------------------------Ref.: Riesgos de tecnología de información -----------------------------------------------

Señor Gerente General

Sírvase tomar nota que, en uso de las atribuciones conferidas por el numeral 7 del artículo 349º de la Ley General del Sistema Financiero y del Sistema de Seguros Orgánica de la Superintendencia de Banca y Seguros - Ley Nº 26702 y sus modificatorias, en adelante Ley General, y por la Resolución SBS N° 1028-2001 del 27 de diciembre de 2001, con la finalidad de establecer criterios mínimos para la identificación y administración de los riesgos asociados a la tecnología de información, a que se refiere el artículo 10º del Reglamento para la Administración de los Riesgos de Operación, aprobado mediante la Resolución SBS Nº 006-2002 del 4 de enero de 2002, esta Superintendencia ha considerado conveniente establecer las siguientes disposiciones: Alcance

Artículo 1º.- Las disposiciones de la presente norma son aplicables a las empresas señaladas en los artículos 16° y 17° de la Ley General, al Banco Agropecuario, a Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y Biblioteca Central UNMSM


la Corporación Financiera de Desarrollo S.A. (COFIDE), al Banco de la Nación, a la Fundación Fondo de Garantía para Préstamos a la Pequeña Industria (FOGAPI) y a las derramas y cajas de beneficios que se encuentren bajo la supervisión de esta Superintendencia, en adelante empresas. Definiciones

Artículo 2º .- Para efectos de la presente norma, serán de aplicación las siguientes definiciones: a. Información: Información: Cualquier forma de registro electrónico, óptico, magnético o en otros medios similares, susceptible de ser procesada, distribuida y almacenada. b. Ley General: Ley N° 26702, Ley General del Sistema Financiero y del Sistema de Seguros y Orgánica de la Superintendencia de Banca y Seguros. c. Proceso crítico: Proceso considerado considerado indispensable para para la continuidad de de las operaciones y servicios de la empresa, y cuya falta o ejecución deficiente puede tener un impacto financiero significativo para la empresa. d. Reglamento: Reglamento para la Administración de los Riesgos de Operación aprobado por Resolución SBS N° 006-2002 del 4 de enero de 2002. e. Riesgos de operación: Entiéndase por riesgos de operación operación a la posibilidad de ocurrencia de pérdidas financieras por deficiencias o fallas en los procesos internos, en la tecnología de información, en las personas o por ocurrencia de eventos externos adversos. f. Riesgos de tecnología de información: Los riesgos de operación asociados a los sistemas informáticos y a la tecnología relacionada a dichos sistemas,



que pueden afectar el desarrollo de las operaciones y servicios que realiza la empresa al atentar contra la confidencialidad, integridad y disponibilidad de la información, entre otros criterios. g. Seguridad de la información: Característica de la información que se logra mediante la adecuada combinación de políticas, procedimientos, estructura organizacional y herramientas informáticas especializadas a efectos que dicha información cumpla los criterios de confidencialidad, integridad y disponibilidad. h. Objetivo de control: Una declaración del propósito o resultado deseado mediante la implementación de controles apropiados en una actividad de tecnología de información particular.

Responsabilidad Responsabilidad de la empresa

Artículo 3°.- Las empresas deben establecer e implementar las políticas y procedimientos necesarios para administrar de manera adecuada y prudente los riesgos de tecnología de información, incidiendo en los procesos críticos asociados a dicho riesgo, considerando las disposiciones contenidas en la presente norma, en el Reglamento, y en el Reglamento del Sistema de Control Interno aprobado mediante la Resolución SBS Nº 1040-99 del 26 de noviembre de 1999. La administración de dicho riesgo debe permitir el adecuado cumplimiento de los siguientes criterios de control interno: i.

Eficacia . La información debe ser relevante y pertinente para los objetivos

de negocio y ser entregada en una forma adecuada y oportuna conforme las necesidades de los diferentes niveles de decisión y operación de la empresa.



ii. ii .

Eficiencia. La información debe ser producida y entregada de forma

productiva y económica. iii.

Confidencialidad. La información debe ser accesible sólo a aquellos que

se encuentren debidamente autorizados. iv. iv.

Integridad. La información debe ser completa, exacta y válida.

v.

Disponibilidad. La información debe estar disponible en forma organizada

para los usuarios autorizados cuando sea requerida. vi.

Cumplimiento normativo. La información debe cumplir con los criterios

estándares internos de la empresa, las regulaciones definidas externamente por el marco legal aplicable y las correspondientes entidades reguladoras, así como los contenidos de los contratos pertinentes. Estructura Estructura organizacional y procedimientos procedimientos

Artículo 4°.- Las empresas deben definir y mantener una estructura organizacional y procedimientos que les permita administrar adecuadamente los riesgos asociados a la tecnología de información, consistente con su tamaño y naturaleza, así como con la complejidad de las operaciones que realizan. Administración de la seguridad de información

Artículo 5º.- Las empresas deberán establecer, mantener y documentar un sistema de administración de la seguridad de la información, en adelante "Plan de Seguridad de la información - (PSI)". El PSI debe incluir los activos de tecnología que deben ser protegidos, la metodología usada, los objetivos de control y controles, así como el grado de seguridad requerido. Las actividades mínimas que deben desarrollarse para implementar el PSI, son las siguientes:



a. Definición de una política de seguridad. b. Evaluación de riesgos de seguridad a los que está expuesta la información c. Selección de controles y objetivos objetivos de control para reducir, eliminar o evitar los riesgos identificados, indicando las razones de su inclusión i nclusión o exclusión. d. Plan de implementación de los controles y procedimientos de revisión periódicos. e. Mantenimiento de registros adecuados que permitan verificar el cumplimiento de las normas, estándares, políticas, procedimientos y otros definidos por la empresa, así como mantener pistas adecuadas de auditoria. Las empresas bancarias y las empresas de operaciones múltiples que accedan al módulo 3 de operaciones a que se refiere el artículo 290º de la Ley General deberán contar con una función de seguridad a dedicación exclusiva. Subcontratación Subcontratación (outsourcing)

Artículo 6º.- La empresa es responsable y debe verificar que se mantengan las características de seguridad de la información contempladas en la presente norma, incluso cuando ciertas funciones o procesos críticos puedan ser objeto de una subcontratación. Para ello se tendrá en cuenta lo dispuesto en la Primera Disposición Final y Transitoria del Reglamento. Asimismo, la empresa debe asegurarse y verificar que el proveedor del servicio sea capaz de aislar el procesamiento y la información objeto de la subcontratación, en todo momento bajo cualquier circunstancia. En caso que las empresas deseen realizar su procesamiento principal en el exterior, requerirán de la autorización previa y expresa de esta Superintendencia.



Las empresas que a la fecha de vigencia de la presente norma se encontrasen en la situación antes señalada, deberán solicitar la autorización correspondiente. Para la evaluación de estas autorizaciones, las empresas deberán presentar documentación que sustente lo siguiente: a) La forma en que la empresa asegurará el cumplimiento de la presente circular y la Primera Disposición Final y Transitoria del Reglamento. b) La empresa, así como los representantes de de quienes brindarán el servicio de procesamiento en el exterior, deberán asegurar adecuado acceso a la información con fines de supervisión, en tiempos razonables y a solo requerimiento. Aspectos de la seguridad de información

Artículo 7°.- Para la administración de la seguridad de la información, las empresas deberán tomar en consideración los siguientes aspectos: 7.1 Seguridad lógica Las empresas deben definir una política para el control contr ol de accesos, que incluya los criterios para la concesión y administración de los accesos a los sistemas de información, redes y sistemas operativos, así como los derechos y atributos atr ibutos que se confieren. Entre otros aspectos, debe contemplarse lo siguiente: a) Procedimientos formales para la concesión, administración de derechos perfiles, así como la revocación de usuarios. Revisiones periódicas deben efectuarse sobre los derechos concedidos a los usuarios. b) Los usuarios deben contar contar con una identificación para su uso uso personal, de tal manera que las posibles responsabilidades puedan ser seguidas e identificadas. c) Controles especiales sobre utilidades del sistema y herramientas de auditoria.



d) Seguimiento sobre el acceso acceso y uso de los sistemas y otras instalaciones físicas, para detectar actividades no autorizadas. e) Usuarios remotos y computación móvil. 7.2 Seguridad de personal Las empresas deben definir procedimientos para reducir los riesgos asociados al error humano , robo, fraude o mal uso de activos, vinculados al riesgo de tecnología de información. Al establecer estos procedimientos, deberá tomarse en consideración, entre otros aspectos, la definición de roles y responsabilidades establecidos sobre la seguridad de información, verificación de antecedentes, políticas de rotación y vacaciones, y entrenamiento. 7.3 Seguridad física y ambiental Las empresas deben definir controles físicos al acceso, daño o interceptación de información. El alcance incluirá las instalaciones físicas, áreas de trabajo, equipamiento, cableado, entre otros bienes físicos susceptibles a riesgos de seguridad. Se definirán medidas adicionales para las áreas de trabajo con necesidades especiales de seguridad, como los centros de procesamiento, entre otras zonas en que se maneje información que requiera de alto nivel de protección. 7.4 Clasificación de seguridad Las empresas deben realizar un inventario periódico de activos asociados a la tecnología de información que tenga por objetivo proveer la base para una posterior clasificación de seguridad de dichos activos. Esta clasificación debe indicar el nivel de riesgo existente para la empresa en caso de falla sobre la seguridad, así como las medidas apropiadas de control que deben asociarse a las clasificaciones.



Administración Administración de las operaciones y comunicaciones comunicaciones

Artículo 8º.- Las empresas deben establecer medidas de administración de las operaciones y comunicaciones que entre otros aspectos contendrán lo siguiente: Control sobre los cambios en el ambiente operativo, que incluye cambios en los sistemas de información, las instalaciones de procesamiento y los procedimientos. - Control sobre los cambios del ambiente de desarrollo al de producción. - Separación de funciones para reducir el riesgo de error o fraude. - Separación del ambiente de producción y el de desarrollo. -

-

-

- Controles preventivos y de detección sobre el uso de software de procedencia dudosa, dudosa, virus y otros similares. Seguridad sobre las redes, medios de almacenamiento y documentación de sistemas. - Seguridad sobre correo electrónico. Seguridad sobre banca electrónica.

Desarrollo y mantenimiento de sistemas informáticos - Requerimientos de seguridad

Artículo 9º.- Para la administración de la seguridad en el desarrollo y mantenimiento de sistemas informáticos, se debe tomar en cuenta, entre otros, los siguientes criterios: a) Incluir en el análisis de requerimientos para nuevos sistemas sistemas o mejoras a los sistemas actuales, controles sobre el ingreso de información, el procesamiento y la información de salida. b) Aplicar técnicas de encriptación sobre la información crítica que debe ser protegida. c) Definir controles sobre la implementación de aplicaciones aplicaciones antes del ingreso a producción. d) Controlar el acceso a las librerías de programas fuente.



e) Mantener un estricto y formal control de cambios, que será debidamente debidamente apoyado por sistemas informáticos en el caso de ambientes complejos o con alto número de cambios. Procedimientos de respaldo

Artículo 10º.- Las empresas deben establecer procedimientos de respaldo regulares y periódicamente validados. Estos procedimientos deben incluir las medidas necesarias para asegurar que la información esencial pueda ser recuperada en caso de falla en los medios o luego de un desastre. Estas medidas serán coherentes con lo requerido en el Plan de Continuidad. La empresa debe conservar la información de respaldo y los procedimientos de restauración en una ubicación remota, a suficiente distancia para no verse comprometida ante un daño en el centro principal de procesamiento. Planeamiento para la continuidad de negocios

Artículo 11º.- Las empresas, bajo responsabilidad de la Gerencia y el Directorio, deben desarrollar y mantener un "Plan de Continuidad de Negocios" (PCN), que tendrá como objetivo asegurar un nivel aceptable de operatividad de los procesos críticos, ante fallas mayores internas o externas. Criterios para el diseño e implementación del Plan de Continuidad de Negocios

Artículo 12º.- Para el desarrollo del PCN se debe realizar previamente una evaluación de riesgos asociados a la seguridad de la información. Culminada la evaluación, se desarrollarán sub-planes específicos para mantener o recuperar los procesos críticos de negocios ante fallas en sus activos, causadas por eventos internos (virus, errores no esperados en la implementación, otros), o externos (falla en las comunicaciones o energía, incendio, terremoto, proveedores, otros).



Prueba del Plan de Continuidad de Negocios

Artículo 13º.- La prueba del PCN es una herramienta de la dirección para controlar los riesgos sobre la continuidad de operación y sobre la disponibilidad de la información, por lo que la secuencia, frecuencia y profundidad de la prueba del PCN, deberá responder a la evaluación formal y prudente que sobre dicho riesgo realice cada empresa. En todos los casos, mediante una única prueba o una secuencia de ellas, según lo considere adecuado cada empresa de acuerdo a su evaluación de riesgos, los principales aspectos del PCN deberán ser probados cuando menos cada dos años. Anualmente, dentro del primer mes del ejercicio, se enviará a la Superintendencia el programa de pruebas correspondiente, en que se indicará las actividades realizar durante el ciclo de 2 años y una descripción de los objetivos a alcanzar en el año que se inicia. Cumplimiento formativo

Artículo 14º.- La empresa deberá asegurar que los requerimientos legales, contractuales, o de regulación sean cumplidos, y cuando corresponda, incorporados en la lógica interna de las aplicaciones informáticas. Privacidad de la información

Artículo 15º .- Las empresas deben adoptar medidas que aseguren razonablemente la privacidad de la información que reciben de sus clientes y usuarios de servicios, conforme la normatividad vigente sobre la materia. Auditoria Interna y Externa

Artículo 16º.- La Unidad de Auditoria Interna deberá incorporar en su Plan Anual de Trabajo la evaluación del cumplimiento de lo dispuesto en la presente norma. Asimismo, las Sociedades de Auditoria Externa deberán incluir en su informe



sobre el sistema de control interno comentarios dirigidos a indicar si la entidad cuenta con políticas y procedimientos para la administración de los riesgos de tecnología de información, considerando asimismo, el cumplimiento de lo dispuesto en la presente norma. Auditoria de sistemas

Artículo 17º.- Las empresas bancarias y aquellas empresas autorizadas a operar en el Módulo 3 conforme lo señalado en el artículo 290° de la Ley General, deberán contar con un servicio permanente de auditoria de sistemas, que colaborará con la Auditoria interna en la verificación del cumplimiento de los criterios de control interno para las tecnologías de información, así como en el desarrollo del Plan de Auditoria. El citado servicio de auditoria de sistemas tomará en cuenta, cuando parte del procesamiento u otras funciones sean realizadas por terceros, que es necesario conducir su revisión con los mismos estándares exigidos a la empresa, por lo que tomará en cuenta las disposiciones indicadas en la Primera Disposición Final Transitoria del Reglamento. Las empresas autorizadas para operar en otros módulos, para la verificación del cumplimiento antes señalado, deberán asegurar una combinación apropiada de auditoria interna y/o externa, compatible con el nivel de complejidad y perfil de riesgo de la empresa. La Superintendencia dispondrá un tratamiento similar a las empresas pertenecientes al módulo 3, cuando a su criterio la complejidad de sus sistemas informáticos y su perfil de riesgo así lo amerite. Información a la Superintendencia

Artículo 18°.- El informe anual que las empresas deben presentar a la Superintendencia, según lo dispuesto en el Artículo 13° del Reglamento, deberá



incluir los riesgos de operación asociados a la tecnología de información, como parte integral de dicha evaluación, para lo cual se sujetará a lo dispuesto en dicho Reglamento y a lo establecido en la presente norma. Sanciones

Artículo 19°.- En caso de incumplimiento de las disposiciones contenidas en la presente norma, la Superintendencia aplicará las sanciones correspondientes de conformidad con lo establecido en el Reglamento de Sanciones. Plan de adecuación

Artículo 20°.- En el Plan de Adecuación señalado en el segundo párrafo de la Cuarta Disposición Final y Transitoria del Reglamento, las empresas deberán incluir un sub-plan para la adecuación a las disposiciones contenidas en la presente norma. Plazo de adecuación

Artículo 21°.- Las empresas contarán con un plazo de adecuación a las disposiciones de la presente norma que vence el 30 de junio j unio de 2003

Atentamente,

SOCORRO HEYSEN ZEGARRA Superintendente de Banca y Seguros (e)



C. DETALLE: DIAGNOSTICO DE LA SITUACION ACTUAL DE LA ADMINISTRACIÓN DE LOS RIESGOS DE TECNOLOGIA TECNOLOGI A DE LA INFORMACION

La siguiente matriz muestra puntos específicos de la l a situación actual en cuanto a la administración de seguridad y los compara contra los requerimientos de la Circular G-105-2002 de la Superintendencia, contempla los siguientes aspectos: 1. Estructura de la organización de seguridad de la información 1.1 Roles y responsabilidades 2. Plan de seguridad de la información 2.1 Políticas, estándares y procedimientos de seguridad 2.2 Seguridad lógica 2.3 Seguridad de personal 2.4 Seguridad física y ambiental 2.5 Clasificación de seguridad 3. Administración de las operaciones y comunicaciones. 4. Desarrollo y mantenimiento de sistemas informáticos. 5. Procedimientos de respaldo. 6. Subcontratación (Relación y status de los contratos con terceros en temas críticos) 7. Cumplimiento normativo 8. Privacidad de la información 9. Auditoria interna y externa El detalle de la evaluación de las áreas mencionadas se muestra en una matriz cuyo contenido es el siguiente:



- Situación Actual: Muestra un resumen de la situación encontrada en el Banco a partir de la información relevada durante las entrevistas y de los documentos entregados.

- Mejores Practicas: Muestra un resumen de las mejores prácticas en el sector y los requerimientos mencionadas en la Circular G105-2002 de la SBS uno de los motivos del presente trabajo.

- Análisis de Brecha: Muestra de manera gráfica la brecha existente entre la situación actual y los requerimientos de la SBS y las mejores prácticas del sector. Análisis S i t u a c i ó n Ac t u a l

SB S , M e j o r e s P r á c t i c a s

De Brecha

1 ESTRUCTURA ORGANIZACIONAL PARA LA ADMINISTRACIÓN DE RIESGOS DE T ECNOLOGÍA D E INFORMACIÓN 1.

El Banco cuenta con las siguientes unidades:

Se

debería

contemplar

los

siguientes aspectos: División de Riesgo: Órgano dependiente de la

-

Definición y mantenimiento de

Gerencia General, encargado de medir y controlar

una estructura organizacional

la calidad y capacidad de endeudamiento de los

que

clientes, con el objeto de mantener adecuados

adecuadamente

niveles de riesgo crediticio, crediticio , tanto para aquellos aquell os

asociados a la tecnología de

que se encuentren en evaluación, como aquellos

información.

que ya han sido utilizados y se encuentran en pleno proceso de cumplimiento de reembolsos. Asimismo,

los

riesgos

-

por la seguridad de las instalaciones del Banco, así como del personal y Clientes que se

riesgos

La unidad de riesgo deberá

TI.

-

La

responsabilidad

de

la

seguridad de la Información

Pacheco. Area de Seguridad: Seguridad: Órgano encargado de velar

los

la administración del riesgo de

genéricamente Riesgos de Mercado. Cuenta con Tecnológicos a cargo de la Srta. Patricia

administrar

contar con un responsable de

denominados

un departamento de Riesgos Operativos y

permita

debería ser ejercida de forma exclusiva.

-

El Departamento de Riesgos Operativos

y

Tecnológicos



Análisis S i t u a c i ó n Ac t u a l


De Brecha

encuentran y transitan en ellas.

debería

contar

con

estructura

acorde

Area de Seguridad Informática Informática:: Enfocada a los

riesgos

de

aspectos de accesos a los aplicativos y sistemas.

evaluados para Banco y definir

Área que originalmente formo parte de Soporte

indicadores

Técnico (Agosto 2001). No considera en sus

monitorear los mismos.

funciones las referentes a seguridad de la plataforma y de la información.

-

funciones son las de:

-

Efectuar

periódicas

de

la

a

y

Tecnológicos

definir

los

mencionados indicadores en conjunto

evaluaciones

ayuden

El Departamento de Riesgos Operativos

Sistemas: Entre otras, sus

de

los

tecnología

que

debería Auditoria

con

una

con

el

área

de

sistemas del Banco.

capacidad y apropiada utilización de los recursos de cómputo.

-

Verificar el cumplimiento de las normas y procedimientos referidos a las Áreas de Desarrollo

de

Sistemas

y

Soporte

Tecnológico, participando junto con estas instancias y los usuarios directos durante el ciclo de desarrollo de sistemas para la implantación de adecuados controles internos y pistas de auditoria, incluyendo su posterior evaluación y seguimiento. Se ha observado que la documentación existente con respecto a las distintas áreas se encuentra desactualizada. No

existe

dentro

de

la

estructura

roles

equivalentes al de Oficial de Seguridad. 2 PLAN DE S EGURIDAD DE LA INFORMACIÓN





De Brecha

2

El Banco no cuenta con un plan de Seguridad de

Se

deberían

contemplar

los

la Información formalmente documentado que siguientes aspectos: guíe las distintas normas con que cuenta el

-

Banco referentes a los riesgos y seguridad de la Tecnología de Información.

Definición de una política de seguridad.

-

Evaluación

de

riesgos

de

seguridad a los que está expuesta la información.

-

Inventario

de

riesgos

de

seguridad de la información.

-

Selección objetivos

de de

controles control

y

para

reducir, eliminar y evitar los riesgos identificados, indicando las razones de su inclusión o exclusión

-

Plan de implementación de los controles y procedimientos de revisión periódicos.

-

Mantenimiento

de

adecuados

registros

que

permitan

verificar el cumplimiento de las normas, estándares, políticas, procedimientos

y

otros

definidos por la empresa, así como

mantener

pistas

de

auditoria. 2.1 POLÍTICAS , ESTÁNDARES Y P ROCEDIMIENTOS DE S EGURIDAD 2.1

El Banco no cuenta con políticas de seguridad La definición de una política de formalmente documentadas que indiquen los

seguridad debería contemplar:

procedimientos de seguridad a ser adoptados

-

Declaración

escrita

de

la





De Brecha

para salvaguardar la información de posibles pérdidas en la integridad, disponibilidad y

política.

-

confidencialidad.

Definición de la propiedad de la Política.

Sin embargo, se ha observado la existencia de controles específicos en distintos aspectos de la seguridad de la Información, que detallamos a continuación.

-

Políticas

debidamente

comunicadas.

-

Autoridad definida para realizar cambios en la Política.

-

Aprobación por el área legal. Alineamiento de la política con la organización.

-

Definición de responsabilidades responsabilidades de la seguridad.

-

Confirmación de usuarios de conocimiento de la política. política.

2.2 SEGURIDAD LÓGICA 2.2

Hemos observado la existencia, entre otros

La

aspectos, de:

contemplar los siguientes aspectos:

-

-

Procedimientos definidos en el área de

debería

Definición de procedimientos formales para la administración

de perfiles y accesos a usuarios, incluyendo

de perfiles y usuarios.

-

mismos.

Identificación

única

de

usuarios.

Accesos a los sistemas de información del

-

Controles sobre el uso de

Banco controlados al nivel de red de datos y

herramientas de auditoria y

aplicación, para lo cual cada usuario cuenta

utilidades

con IDs y contraseñas de uso estrictamente

sistema.

personal

y

de

responsabilidad

de

los

usuarios.

-

Lógica

sistemas para la concesión y administración la revocación y revisiones periódicas de los

-

Seguridad

Controles de acceso a herramientas de

-

sensibles

del

Controles sobre el acceso y uso de los sistemas y otras instalaciones físicas.





De Brecha

-

auditoria en los sistemas de información.

-

Controles de acceso parciales a utilidades

-

sobre

usuarios

remotos y computación móvil.

-

sensibles del sistema.

Controles

Administración restringida de

Generación parcial de pistas de auditoria en

los equipos de acceso remoto y

los sistemas de información.

configuración de seguridad del mismo.

Hemos observado que no cuenta con:

-

Controles de acceso a utilidades sensibles del sistema sobre estaciones de trabajo Win98/95.

-

Habilitación de opciones de auditoria en los sistemas operativos de red.

-

Procedimientos de revisión de pistas de auditoria que contemplen no solo los registros del computador central.

2.3 SEGURIDAD DE P ERSONAL Hemos observado que el Banco se encuentra en

Se debería considerar:

un proceso de normalización llevado a cabo por el

-

Procedimientos de revisión de

área de RRHH RRHH y la de OyM el cual incluye i ncluye entre

datos

otros aspectos:

selección de personal previo a

-

Formalización de normas y procedimientos procedimientos de

su

las distintas áreas del Banco.

Referencias

de

carácter,

Identificación de información relevante a

verificación

de

estudios,

entregar a los nuevos trabajadores por área

revisión de crédito –si aplica- y

de trabajo.

revisión

-

Normalización

de

entrega

de

dicha

información a los actuales trabajadores

en

el

proceso

contratación

de (Ex.

independiente

de

identidad)

-

Entrega formal de las políticas

incluyendo documento de confirmación de

de

manejo

conocimiento.

confidencial

de a

información los

nuevos





De Brecha

integrantes del Banco. Adicionalmente hemos observado que RRHH

-

Definición

apropiada

de

considera dentro del proceso de evaluación de

responsabilidad

personal nuevo, la verificación de distintos

seguridad es parte de los

aspectos de personales a modo de preselección o

términos y condiciones de la

filtro de personal idóneo para el Banco.

aceptación del empleo (ex.

sobre

la

Términos en el contrato).

-

Difusión de las políticas con respecto

al

actividades

monitoreo en

la

de

red

y

sistemas de información, antes entregar IDs a usuarios. 2.4 SEGURIDAD FÍSICA Y AMBIENTAL Hemos observado la existencia, entre otros

Se

aspectos, de:

siguientes aspectos:

-

Controles ambientales así como medidas Existen procedimientos definidos para el deshecho de papeles de trabajo.

-

Las copias de respaldo son almacenadas de manera segura.

-

-

Monitoreo constante de las instalaciones del

preventivas y correctivas ante incendios.

-

Áreas seguras

Procedimientos de reubicación de sensibles establecidos y en proceso de empleados

Banco.

-

los

Normas de control de acceso físico a áreas mejora en el caso de la oficina principal.

-

considerar

Controles de acceso adecuados a sus activos físicos e instalaciones

-

debería

Controles de áreas de carga y descarga.

-

Controles físicos de entrada. Seguridad del perímetro físico de las instalaciones.

-

Procedimientos de Remoción o reubicación de activos.

-

Aseguramiento

de

oficinas,

áreas de trabajo y facilidades.

Generadores de respaldo y UPS para red de





De Brecha

datos .

Seguridad de Equipos Aseguramiento de Cableado

Sin embargo encontramos deficiencias en los siguientes aspectos:

-

-

mantenimiento de equipos

Las medidas de seguridad existentes no se extienden a la Información como activo de valor del Banco y no existen normas

Acciones y planes de

Protección de equipos

adecuadas con respecto al resguardo de la Normas de seguridad para laptops. misma cuando se trata de

activos físicos

(equipos o elementos de almacenamiento de información, documentos impresos, etc.).

-

-

equipos de manera segura

para el usuario con respecto al cuidado

-

Procedimientos de eliminación o uso reiterado seguro de

No existe un programa de concientización necesario para con la información.

Fuentes de poder redundantes.

Controles generales

No existe una norma en uso sobre “mesas y pantallas limpias”.

-

Política de “mesa limpia” Política de “pantallas limpias”

El programa de mantenimiento preventivo de los equipos del Banco se encuentra incompleto al considerar únicamente únicamente al computador central. 2.5 CLASIFICACIÓN DE SEGURIDAD El Banco cuenta con inventarios de software, licencias

y

hardware

embargo

carece

de

debería

considerar

los

razonablemente siguientes aspectos:

actualizados Sin

Se

inventarios

de

Un catálogo de todos los activos

físicos

de

la

información, servicios y proveedores así como de

organización, indicando tipo de

una clasificación de los elementos mencionados

activo,

con respecto a su nivel de riesgo dentro del

responsable

Banco.

criticidad.

-

ubicación y

física, nivel

de

Un catálogo de todos los activos de software tales como





De Brecha

herramientas

de

desarrollo,

aplicaciones, etc. Debe indicar entre

otros,

ubicación

vendedor,

lógica

y

física,

responsable, nivel de criticidad, clasificación de la información, etc.

-

Un catálogo o descripción de alto nivel de todos los activos de

información

mas

importantes de la organización. Debe indicar información como tipo de data, ubicación lógica o física, responsable o dueño de la información, clasificación de la

información

y

nivel

de

criticidad.

-

Un

listado

de

servicios

todos

tales

los como

comunicaciones,

cómputo,

servicios generales, etc. y documentar

la

información

relativa a los proveedores del servicio. Debería incluir entre otros, persona de contacto con el proveedor, procedimientos de servicios de emergencia, criticidad negocio

y

unidades

afectadas

por

de el

servicio.

-

Clasificación de los sistemas de información y/o grupos de





De Brecha

data según su criticidad y sus características

de

confidencialidad, integridad y disponibilidad.

-

Asignación

de

la

responsabilidad de clasificación

-

Procedimientos

de

mantenimiento

de

la

clasificación 3 ADMINISTRACIÓN DE OPERACIONES Y COMUNICACIONES El Banco cuenta con:

Se

deberían

considerar

los

siguientes aspectos: Procedimientos

y

responsabilidades

de

operación.

Procedimientos

-

Documentación no formalizada relativa a los

responsabilidades de operación.

procedimientos

-

de

operaciones

en

los

sistemas de información

-

Procesos

de

revisión

Documentación formal de todos los

y

reporte

procedimientos

operación

de

y

así

de como

operaciones.

procedimientos y niveles de

Controles establecidos relativos a cambios en

autorización definidos para su

los sistemas de información.

mantenimiento.

conformidad

de

dichas

-

Programación de trabajos o

Control en cambios operacionales.

procesos

-

Adecuada separación de las facilidades de

correctamente

los ambientes de producción y las de

así como el resultado de dichas

desarrollo.

ejecuciones.

-

Un Sistema a través del cual se administran las actividades de:

- Cambios a los programas; - Pase a producción; y

debe

Administración

ser

documentada,

de

facilidades

externas.

-

Todo procesos realizado en o por

un

tercero,

debe

ser





De Brecha

-

evaluado con respecto a los

Administración de versiones

riesgos

Adecuada segregación de funciones en

desarrollar procedimientos que

labores de pase a producción de sistemas.

-

Control

Controles de protección contra virus y

-

periódica

del

cumplimiento

o

definidos

-

y

adecuadamente

Roles

y

responsabilidades

deben ser claramente definidos mencionadas

y las funciones adecuadamente

se

mantienen independientes. Sin embargo, cabe mencionar que el actual Auditor de Sistemas del Banco perteneció al equipo de soporte del área de sistemas y mantiene

-

o

registrados.

Segregación de funciones funciones

cableado

seguir procedimientos formales

auditor de sistemas.

las

software,

equipos de comunicación debe

parte del área de sistemas como por parte del

Todas

incluyendo

dispositivos,

efectividad de dichos controles, tanto por

-

cambios

Todo cambio en la red de datos,

software malicioso y procedimientos de revisión

en

operacionales.

Protección contra software malicioso.

-

mitiguen dichos riesgos.

Limitación de operadores a través de menús de acceso.

y seguridad para

segregadas.

-

Los

cambios

deben

adecuadamente aprobados.

-

Los resultados de todo cambio

acceso a datos de producción y desarrollo.

deben

Posee acceso también a la línea de

documentados.

comandos de ambos entornos.

responsabilidades

en

actividades

pase

Asimismo, eventualmente usuarios finales

control formal sobre estas actividades.

ser

producción

tienen acceso a la línea de comandos; restringida a tareas puntuales. No existe

ser

correctamente Roles

de

y las a

correctamente

definidos y segregados.

-

Adecuada

separación

de

ambientes de producción y desarrollo.

Operaciones de verificación

-

Estándar de administración de





De Brecha

-

Procedimientos

de

generación

cambios definido, incluyendo

y

cambios de emergencia.

almacenamiento de copias de contingencia definidos.

-

-

Control de accesos a escritura sobre sistemas en producción.

Se usan formatos de reporte de las actividades de operación y generación de copias de respaldo.

Administración de incidentes de seguridad.

Administración de Red

-

Definición de procedimientos y equipos de respuesta ante

-

incidentes de seguridad.

Se cuenta con un sistema Proxy y un filtro de paquetes como elementos de protección de red. No se cuenta con una DMZ ni con una

Segregación de funciones.

arquitectura de seguridad red apropiada con

-

respecto a la Internet.

Las actividades de desarrollo, migración

y

operación

de

sistemas, así como las de Manipulación y seguridad de dispositivos de

administración de aplicaciones,

almacenamiento de información.

helpdesk, administración de red y

-

de

IT

deben

ser

correctamente segregadas.

Las copias de respaldo se encuentran en una localidad distinta y son aseguradas por un

-

tercero.

Planeamiento de sistemas.

No existen políticas con respecto al manejo

-

Procedimientos

formales

de otros dispositivos de almacenamiento de

definidos de planeamiento de

información en el área de sistemas.

recursos.

Intercambio de información y seguridad

Protección

-

malicioso.

Controles y restricciones establecidas, no documentadas ni formalizados, respecto al uso del correo electrónico.

-

Controles

contra

software

preventivos

y

detección sobre el uso de software

de

procedencia

dudosa, virus, etc.).





De Brecha

Operaciones de verificación

-

Adecuado registro de fallas. Adecuados procedimientos de generación

de

copias

de

respaldo.

-

Registros adecuados de todas las actividades de operación.

Administración de Red

-

Adecuados

controles

de

operación

de

red

implementados.

-

Protección

de

comunicaciones dispositivos accesos,

de

la

red

y

usando control

procedimientos

de y

sistemas de monitoreo de red (Detección

de

intrusos)

y

procedimientos de reporte. Manipulación y seguridad de dispositivos de almacenamiento de información.

-

Aseguramiento sobre medios de

almacenamiento

y

documentación de sistemas. Intercambio

de

información

(Correo electrónico y otros) y seguridad





De Brecha

-

Controles de seguridad en el Correo electrónico y cualquier otro medio de transferencia de información

(Ex.

Normas,

filtros, sistemas de protección contra virus, etc.).

-

Seguridad

en

la

Banca

Electrónica. 4 D ESARROLLO Y MANTENIMIENTO El Banco cuenta con:

Se debería considerar lo siguiente:

-

-

Metodología de Desarrollo y Mantenimiento

Contar con metodologías y

de Aplicaciones que especifica las siguientes

estándares

actividades como tareas dentro de un

desarrollo y mantenimiento de

proyecto:

sistemas.

-

formales

de

§

Definiciones

§

Perfil

definidos antes de la fase de

§

Definiciones funcionales

diseño y se debe determinar un

§

Especificaciones Especificaciones funcionales

apropiado ambiente de control

§

Diagrama de procesos

para

§

Prototipo

requerimientos deben incluir:

§

Plan de Trabajo

§

Definiciones técnicas

§

Diagrama de Contexto

§

Diagrama de flujo de datos

§

Modelo de datos

§

Cartilla técnica

§

Cartilla de operador

§

Cartilla de usuario

§

Pruebas y capacitación

§

Acta de conformidad de pruebas

Los requerimientos deben ser

la

aplicación,

estos

§

Control de acceso

§

Autorización

§

Criticidad

del

sistema §

Clasificación de la información

§

Disponibilidad

del

sistema §

Integridad confidencialidad

y de





De Brecha

§

-

Pase a producción

la información.

Las aplicaciones cuentan con controles de

tener rutinas de validación de

totales, cuadres, etc. Estos son generalmente

data.

usuarias y se deja documentado dichos

detectar inexactitud, cambios

requerimientos de control.

no autorizados e integridad de

Procesos

en

lote

("batch")

iniciales

que

mantienen validan

la

a

fin

de

la información.

-

Se deben definir controles para

información a procesar. Asimismo, para el

prevenir que la data se vea

caso específico de Lotes Contables, se valida

afectada

la información inicial a procesar durante el

procesamiento.

por dicha actividad.

-

por

un

mal

Se deben definir controles que permitan

revisar

toda

Rutinas de consistencia de información que

información obtenida por un

se remite a otras entidades como COFIDE y

sistema

SBS, realizadas a través de un sistema

asegurando que sea completa,

llamado SUCAVE.

correcta y solo disponible para

Librerías de rutinas ya estandarizadas y

personal autorizado.

revisadas para controles de fechas, campos

-

numéricos y cadenas de caracteres, totales numéricos, cálculo de intereses, entre otros. Sin embargo, cabe señalar que en algunos casos

estas

rutinas

se

mantienen

independientes en cada programa y no en una librería de rutinas que invoca todo programa que lo necesite.

-

Toda la data debe ser revisada periódicamente,

día, para evitar se retrase el procesamiento

-

-

proyecto por los responsables de las áreas

actividades

-

Todas las aplicaciones deberán

edición y cuando se requiere de controles en definidos en las etapas de definición del

-

-

Técnicas de encriptación para intercambio de información con Unibanca, con la Cámara de Compensación Electrónica y SUNAD

Uso

de

de

información,

técnicas

de

encriptación estándar.

-

Controles para el acceso a las librerías de programa fuentes.

-

Mantener un estricto y formal control de cambios, que sea debidamente

apoyado

por

sistemas informáticos en el caso de ambientes complejos o con alto número de cambios.





De Brecha

-

Entornos independientes de desarrollo y

-

producción.

-

La

Procedimientos

formales

y

adecuados para las pruebas y

metodología

de

desarrollo

reportes de las mismas.

y

mantenimiento de aplicaciones indica la necesidad de una actividad de prueba de los cambios y/o nuevos requerimientos; sin embargo,

no

existe

procedimientos

específicos definidos para la documentación de las pruebas realizadas ni para la conformidad de las mismas. Cabe señalar que se mantiene versiones de los programas fuente y compilados en los entornos de Desarrollo y Producción. El sistema Fenix administra los cambios y versiones del entorno de desarrollo y la actualización en el entorno de producción se encuentra a cargo del Jefe de Soporte Técnico. Los estándares de mantenimiento y desarrollo no se encuentran completos. 5 PROCEDIMIENTOS DE R ESPALDO Se cuenta con un procedimiento formalizado para

Los procedimientos de generación

el respaldo de información del computador central de copias de respaldo deberían y de usuario final, este procedimiento establece:

contar con los siguientes controles

-

Para archivo de datos, se realiza con una

clave:

frecuencia

-

-

diaria,

dos

copias

y

tres

Aseguramiento

de

el

generación

de

generaciones.

proceso

Para software base, se realiza con una

copias

frecuencia

culminado exitosamente.

diaria,

generaciones.

dos

copias

y

tres

-

de

que

de

respaldo

Procedimientos

haya que





De Brecha

-

Para los programas fuente, se realiza de

contemplen pruebas periódicas

forma diaria, una copia en tres generaciones.

de las copias de respaldo.

Para la información de usuarios finales, se

-

El tiempo de almacenamiento

realiza de forma diaria, una copia en tres

de las copias de respaldo debe

generaciones.

estar en concordancia con los requisitos legales y normativos vigentes.

Todas las copias se guardan en la bóveda central del Banco y de forma mensual se remiten a almacenar en la empresa PROSEGUR. Se encuentra en proceso de definición un procedimiento de verificación de cintas, por la antigüedad de las mismas. Se mantiene información histórica desde el inicio de actividades del Banco.

-


-

Generación

de

Contingencias

Plan

que

de

abarque

todos los procesos críticos del Banco y que se ha desarrollado siguiendo

una

metodología

formal.

-

Procedimientos

revisión

periódica del plan.

-

Creación de un equipo para implementar el plan en el que todos los miembros conocen





De Brecha

sus responsabilidades y cómo deben cumplir con las tareas asignadas.

-

Existencia

de

preparativos

adecuados para asegurarse de la

continuidad

del

procesamiento computadorizado (existe centro de procesamiento alterno).

-

Una

copia

del

plan

de

contingencias se almacena en una sede remota y será de fácil acceso

en

caso

de

que

ocurriere cualquier forma de desastre.

-

Preparativos de contingencia para el hardware y software de comunicaciones y redes.

-

Realización periódica un backup de los archivos de datos críticos, bibliotecas

los

sistemas de

y

programas

almacenándolo en una sede remota cuyo tiempo de acceso sea adecuado.

-

Identificación del equipamiento requerido por los especialistas y se hicieron los preparativos para su reemplazo.

-

Se debería considerar lo siguiente:





De Brecha

-

Revisión del impacto sobre el negocio, previo al diseño del Plan

de

negocios,

continuidad

de

identificando

las

partes más expuestas a riesgo. -

Realizar revisión del impacto en el negocio, estableciendo los procedimientos a seguirse en el caso de que ocurriera un desastre (por ej. Explosión, incendio, daño por tormenta, pérdida de personal clave) en cualquiera de las dependencias dependencias operativas de la organización.

-

Deberían

existir planes

de

contingencia para cada recurso computadorizado. -

El

plan

de

debería

contingencias

contemplar

necesidades

de

departamentos términos

las los

usuarios

de

en

traslados,

ubicación y operación. -

El

plan

debería

de

contingencias

asegurar

que

se

observen normas de seguridad de información en caso de que ocurriera un desastre. -

El

cronograma

recuperación

de

cada

para

la

función

debería ser revisado asegurando





De Brecha

que sea adecuado.

El plan de contingencias debería probarse

periódicamente

para

asegurarse de que aún es viable y efectivo. 6 SUBCONTRATACIÓN Encontramos que el Banco tiene principalmente,

El plan de contingencias debe

los siguientes servicios contratados: contratados:

incluir la pérdida del servicio

-

prestado por terceros.

UNIBANCA: Procesamiento de transacciones de tarjetas (diario)

-

HERMES: HERMES: Distribución de tarjetas de crédito y débito. Información necesaria y tarjetas recibidas de UNIBANCA. (diario)

-

NAPATEK: Impresión de estados de cuenta y

Los contratos de servicios con terceros deberían incluir entre otros aspectos, los siguientes:

-

las acciones que se tomarán de

“ensobrado”. Recibe información vía una transferencia electrónica de archivos - "File Transfer" (mensual).

-

no cumplirse el contrato.

-

Rehder: Se transmite información de monto

datos de respaldo. Entrará en operatividad el PROSEGUR: Almacenamiento de copias de respaldo. No se obtuvo información (contratos) relativa a los servicios prestados por UNIBANCA.

controles

de

seguridad

y

políticas

a

de

los

requerimientos.

-

Determinación de los niveles de servicio requeridos (Service

31 de Mayo.

-

de

cumplimiento

seguro de desgravamenes (mensual). TELEFONICA: Centro de procesamiento de

Acuerdos

aplicarse para garantizar el

facturado por cada cliente (e-mail) para el

-

Requerimientos de seguridad y

Level Agreements o SLA).

-

El derecho de la entidad, y la Superintendencia de Banca y Seguros, o las personas que ellos designen, de auditar el ambiente de la empresa que





De Brecha

El Banco no cuenta con un procedimiento definido

brinda el servicio, para verificar

para la inclusión de cláusulas relativas a la

los controles de seguridad

confidencialidad, niveles de servicio, etc., en los

aplicados a la data y los

contratos de servicios prestados por terceros al

sistemas.

-

Banco.

Documentación

sobre

los

controles físicos y lógicos, empleados por la empresa que brinda el servicio, para proteger la confidencialidad, integridad y disponibilidad de la información y equipos de la entidad.

-

Determinación

de

requerimientos incluyendo

los legales,

privacidad

y

protección de la data.

-

Procedimiento

que

asegure

que la empresa que brinda el servicio

realizará

pruebas

periódicas para mantener la seguridad de la data y los sistemas.

-

Cláusula sobre exclusividad de equipos

que

procesan

información del Banco. 7 CUMPLIMIENTO NORMATIVO El Banco ha implementado

controles para el Se debería contar con:

cumplimiento normativo relativo al uso de

-

Definición de responsable del

software licenciado, tales como:

cumplimiento de las normas

-

Controles manuales periódicos por parte del

emitidas

área de sistemas y el área de auditoria de

Superintendencia.

por

la

sistemas.





De Brecha

-

Compromiso

firmado

por

los

usuarios

-

Procedimientos

de

referente al software autorizado, tipificando el

establecidos

para

incumplimiento como falta grave.

cumplimiento de las normas

Evaluación de software para auditorías de

emitidas

software de forma automática.

Superintendencia.

La información, tanto física como digital es

-

control el

por

la

Control de cumplimiento de

almacenada según períodos determinados

normas sobre la propiedad

por ley.

intelectual (licenciamiento de software).

Existe un procedimiento de comunicación de las normas legales emitidas aplicables a las distintas áreas del Banco y el área de auditoria interna realiza labores de control con respecto a la implementación implementaci ón de dichas d ichas normas.

Sin embargo:

-

No existe un responsable definido en la estructura del Banco encargado de mantener actualizada sobre las normas emitidas por organismos reguladores.

8 PRIVACIDAD DE LA INFORMACIÓN El Banco no cuenta con:

Se debería contar con:

-

-

Un responsable asignado para la salvaguarda de la privacidad de la información.

Definición de responsabilidades responsabilidades con respecto a la aplicación del secreto

Si bien durante las diversas charlas realizadas en los Comités se tocan temas referentes al secreto

bancario

y

de

la

privicidad de la Información.

-

Restricciones de acceso a

bancario, no se han implementado controles

información en salvaguarda de

específicos en todas las áreas del Banco con el

su privacidad y del secreto

fin de evitar la exposición de información sensible

bancario.





De Brecha

de los clientes y del Banco así como limitar el

-

acceso del personal a dicha información.

Existencia de autorizaciones internas para la entrega y transferencia de información.

En el área de sistemas se han implementado controles respecto a la limitación de acceso a información de clientes y se ha registrado evidencia de incidentes y acciones tomadas por auditoria interna, dicha situación no se replica en las distintas áreas del Banco. 9 AUDITORIA INTERNA Y EXTERNA El Banco no cuenta con:


-

-

Un área de auditoria interna que esta

La Unidad de Auditoria Interna

incluyendo en su plan de auditoria el

deberá incorporar en su Plan

cumplimiento de lo dispuesto en la norma G-

Anual de Trabajo la evaluación

105-2002 de la Superintendencia.

del

cumplimiento

de

lo

dispuesto en la norma G-1052002 de la Superintendencia.

-

Las sociedades de Auditoria Externa deberán incluir en su informe sobre el sistema de control

interno

comentarios

dirigidos a indicar si la entidad cuenta

con

procedimientos

políticas

y

para

la

administración de los riesgos de tecnología de información. El Banco deberá contar con un servicio permanente de auditoria de sistemas.



BIBLIOGRAFÍA

1.

Information Technology Security for Managers Managers - Workshop sobre temas de Seguridad – IBM Global Service. http://www.ibm.com http://www.ibm.com /services/securite /services/securite

2.

ISO /IEC 17799:2000 http://www.iso1799.com

3.

British Standard 7799

4.

INFOSEC’S WORST NIGHTMARES http://www.infosecuritymag.com/2002/nov/nightmares.shtml

5.

¿Como elaborar politicas de Seguridad efectivas? http://www.symantec.com/region/mx/enterprisesecurity


PLAN DE SEGURIDAD INFORMÁTICA PARA UNA ENTIDAD FINANCIERA”

Recommend Documents