UNIVERSIDAD TECNOLGICA DEL PER

FILIAL AREQUIPA

INGENIERA DE SEGURIDAD INDUSTRIAL Y MINERA TRABAJO FINAL

CURSO : SEGURIDAD INFORMATICA

INTEGRANTES : LLERENA MAMANI GERARD

TEMA CICLO TURNO

: POLTICA DE INFORMTICA EN LA EMPRESA CMAC AREQUIPA : VIII : NOCHE

AREQUIPA PER 2013

Poltica de Seguridad Informtica en CMAC Arequipa

INTRODUCCI N La liberalizacin y la globalizacin de los servicios financieros, junto con la creciente sofisticacin de la tecnologa financiera, estn haciendo cada vez ms diversas y complejas las actividades de los bancos en trminos de Seguridad. n otros tiempos la seguridad de la informacin era fcilmente administrable, slo bastaba con resguardar los documentos ms importantes bajo llave y mantener seguros a los empleados !ue poseen el conocimiento poniendo guardias de seguridad. "oy en da es ms difcil. Los sistemas electrnicos entraron en las oficinas y obligaron a los sistemas de seguridad a evolucionar para mantenerse al da con la tecnologa cambiante. Luego, los negocios, a#n las empresas ms pe!ue$as, se conectaron a %nternet &una amplia red p#blica con pocas reglas y sin guardianes'. (e manera similar a otro tipo de crmenes, el cuantificar los gastos y prdidas en seguridad de la informacin o crmenes cibernticos es muy difcil. Se tiende a minimizar los incidentes por motivos muchas veces justificables. )or otro lado el objetivo fundamental de la seguridad no es proteger los sistemas, sino reducir los riesgos y dar soporte a las operaciones del negocio. La computadora ms segura del mundo es a!uella !ue est desconectada de cual!uier red, enterrada profundamente en alg#n oscuro desierto y rodeada de guardias armados, pero es tambin la ms in#til. La seguridad es slo uno de los componentes de la administracin de riesgos * minimizar la e+posicin de la empresa y dar soporte a su capacidad de lograr su misin. )ara ser efectiva, la seguridad debe estar integrada a los procesos del negocio y no delegada a algunas aplicaciones tcnicas. Los incidentes de seguridad ms devastadores tienden ms a ser internos !ue e+ternos. ,uchos de estos incidentes involucran a alguien llevando a cabo una actividad autorizada de un modo no autorizado. -un!ue la tecnologa tiene cierta ingerencia en limitar esta clase de eventos internos, las verificaciones y balances como parte de los procesos del negocio son mucho ms efectivos. Las computadoras no atacan a las empresas, lo hace la gente. Los empleados bien capacitados tienen mayores oportunidades de detectar y prevenir los incidentes de seguridad antes de !ue la empresa sufra alg#n da$o. )ero para !ue los empleados sean activos, se re!uiere !ue entiendan como reconocer, responder e informar los problemas * lo cual constituye la piedra angular de la empresa con conciencia de seguridad lo !ue nosotros llamamos .cultura de seguridad/.

UTP-AQP

Pgina 0

Poltica de Seguridad Informtica en CMAC Arequipa

DATOS GENERALES DE LA EMPRESA La caja municipal de ahorro y crdito de -re!uipa inicio operaciones el 12 de marzo de 1345 como institucin de intermediacin financiera de derecho publico, con autonoma econmica, financiera y adminstrativa. La entidad fue autorizada a funcionar mediante resolucin S6S 78 290:45 y se rige por el decreto supremo 781;<:32 = , la ley general del sistema financiero y la ley general de sociedades. l principal objetivo de la caja es ser lder en el sector de las empresas dedicadas a las microfinanzas del pas. (urante el ejercicio 0210, >,-> -re!uipa , en lnea con un plan estratgico, estuvo inmerso en la apertura de nuevas agencias , cajeros automaticos y corresponsales, otorgndoles una mayor cobertura de mercado. n tal sentido al ?1 de diciembre de 0210, la caja cuenta con 4; agencias a nivel nacional , de las cuales 0; se ubican en -re!uipa y las oficinas restantes en los departamentos de -purimac, -yacucho, >usco, "uanuco,etc . SECTOR DE LA ACTIVIDAD A LA QUE SE DEDICA LA EMPRESA La actividad a la !ue se dedica la empresa >,-> -@ AB%)- es financiero

DEFINICION DEL GIRO ESPECFICO DE LA EMPRESA: 6anca

INDICAR EL NMERO DE EMPLEADOS DE LA EMPRESA -ctividad a la !ue se dedican los empleados 9.1 n actividades adjetivas o de soporte 9.0 n actividades sustantivas &produccin o venta' 9.? n tecnologa de %nformacin 7#mero
11 1; 1?

UTP-AQP

Pgina ?

Poltica de Seguridad Informtica en CMAC Arequipa

PROCESOS DE ALTO NIVEL - la fecha del presente informe, el directorio del >,-> -re!uipa se encuentra conformado por las siguientes personasC Sr. -lberto Dicente -rredondo )olar * )residente del (irectorio , @epresentante de >ofide. Sr.-ntonio victor ,orales Eonzales * Dicepresidente del (irectorio , @epresentante de la ,unicipalidad )rovincial de -re!uipa Sr. >esar -rriaga )acheco * (irector, @epresentante del >lero. Sr. (iego ,u$oz 7ajar @odrigo * (irector , @epresentante de la >amara de >omercio e industria de -re!uipa. Sr. dgardo )aredes 6rice$o * (irector , @epresentante de la ,unicipalidad )rovincial de -re!uipa. Sr. Forge Luis >aceres -rce * (irector * @epresentante de la ,unicipalidad )rovincial de -re!uipa Lic. Leslie >arol >hirinos Eutierrez * (irector , @epresentante de los )e!ue$os >omerciantes o )roductores de la @egion -re!uipa.

Si bien a inicios del 0210 se dieron cambios en el (irectorio, hay miembros !ue permanecen fijos, mientras !ue el se$or -lberto -rredondo, !uien se incorporo a fines de enero de 0210 cuenta con e+periencia como director de la >aja. sto #ltimo mitiga el impacto !ue puede tener la rotacin de los miembros del (irectorio. PLANA GERENCIAL - la fecha del presente informe >,-> -re!uipa cuenta con nueva estructura organizacional , la misma !ue esta vigente desde el 21 de marzo de 021?. (icho cambio se encuentra en lnea con el crecimiento sostenido registrado por la caja a lo largo de los #ltimos ejercicios , siendo necesario mayores niveles de control.

UTP-AQP

Pgina 9

Poltica de Seguridad Informtica en CMAC Arequipa

PROCESOS ! OPERACIONES DE LA EMPRESA Gransacciones @etiros (epsitos >obros )agos )restaciones =inanciamientos

UTP-AQP

Pgina ;

Poltica de Seguridad Informtica en CMAC Arequipa

UTP-AQP

Pgina 5

Poltica de Seguridad Informtica en CMAC Arequipa

DESCRIPCI N LA ORGANI"ACI N DE LA EMPRESA#

DESCRIPCI N DE LAS UBICACIONES GEOGRFICAS EN DONDE TIENE OPERACIONES LA EMPRESA UTP-AQP Pgina <

Poltica de Seguridad Informtica en CMAC Arequipa

La >aja >,-> -re!uipa cuenta con 4; agencias a nivel nacional, de las cuales 0; se ubican en -re!uipa y las oficinas restantes en los departamentos de -purimac , -yacucho , >usco , "uanuco,%ca , Funin, Lima, ,adre de (ios, ,o!uegua, )asco, )uno, Gacna, Bcayali. -dicionalmente el cuarto trimestre de 0210 conto con 1; locales compartidos con el 6anco de la 7acion, 105 cajeros automaticos y ;45 cajeros corresponsales. CULTURA INFORMTICA DE LA EMPRESA %ndicador de cultura informtica 4.1 )>s &no usadas por personal de sistemas' )ersonal >apacitado
0

7#mero
0 0

4.0 Germinales &no usadas por personal de sistemas' 0 -ctividades soportadas por )>s 4.? >orreo electrnico 4.9 )rocesador de )alabras 4.; "oja electrnica de clculo 4.5 6ase de datos de usuario 4.< (esarrollo de sistemas por usuario CONTE$TO INFORMTICO )roceso 1.1 )laneacin estratgica de sistemas 1.0 (esarrollo de sistemas 1.? volucin o mantenimiento de sistemas 1.9 %ntegracin de pa!uetes de softIare 1.; >apacitacin 1.< -tender re!uerimientos de usuarios 1.4 -dministrar servicios de terceros 1.3 -dministrar proyectos 1.12 >oordinacin con outsourcing 1.11 -dministrar la infraestructura informtica 1.10 %nvestigacin y desarrollo de tecnologa 1.1? -d!uisicin de tecnologa UTP-AQP %nterno S Si S S 7o S S S S S 7o 7o +iste S S S S S

)ersonal >apacitado
Godos Godos
G

Godos Godos Godos

Hutsourcing S S 7o S S S 7o 7o S S S S S Pgina 4

1.5 )roceso de datos en ambientes de trabajo en batch S

Poltica de Seguridad Informtica en CMAC Arequipa CRITERIO DESEADO DE DISTRIBUCI N Gotalmente concentrado en el servidor )resentacin )roceso (atos
J J J

(istribuido parcialmente Gotalmente distribuido en servidor y clientes en clientes

PRINCIPIOS INFORMTICOS RELATIVOS A LOS PROVEEDORES >omponente ?.1 "ardIare ?.0 Sistema operativo ?.? >omputadoras personales ?.9 6ases de datos ?.; SoftIare de aplicacin ?.5 >-S ?.< Office automation ?.4 @edes &L-7' )roveedor 1 )roveedor 0 )roveedor ?
"p Hs Goshiba ,ysAL : : : : LE Linu+ "p ,.-cces : : : : +cel K.seven

)roveedor n

FILOSOFA DE DESARROLLO >omponente 9.1 Sistemas -biertos 9.0 >liente Servidor 9.9 %ngeniera de informacin 9.; (ata Karehouse 9.5 Hrientacin a objetos 9.< >-S S S S S S Bpper

UTILI"ACI N EN PROCESOS INFORMTICOS 0.0.<.1 0.0.<.0 0.0.<.? UTP-AQP )laneacin estratgica de sistemas (esarrollo de sistemas volucin o mantenimiento de sistemas S S S Pgina 3

Poltica de Seguridad Informtica en CMAC Arequipa 0.0.<.9 0.0.<.; 0.0.<.5 0.0.<.< 0.0.<.4 0.0.<.3 %ntegracin de pa!uetes de softIare -dministracin de la infraestructura informtica Soporte a usuarios >apacitacin )roceso de datos en ambientes de trabajo en batch -tencin a re!uerimientos de usuario S S S S : S S

0.0.<.12 >oordinacin de outsourcing

ARQUITECTURA DE COMUNICACIONES DE LA EMPRESA n >,-> -re!uipa se cuenta con redes de area local, pueden compartir informacin, ya !ue todas las computadoras estn conectadas a una red L-7. >uenta con C Servidores de -rchivos C procesadores de te+to, hojas de calculo Servidores de 6ases de (atos C tablas, ndices. Servidores de transacciones C valida y genera Servidores de EroupIareC Seguimiento de operaciones Servidores de HbjetosC videos, imgenes, objetos multimedia Servidores KebC broIser especifico

La empresa tambin posee una red K-7 con la sede central, de cercado con con las otras sedes !ue estn en distintos distritos.

UTP-AQP

Pgina 12

Poltica de Seguridad Informtica en CMAC Arequipa SEGURIDAD FSICA

1. LSe han adoptado medidas de seguridad en la direccin de informticaM 0. L +iste una persona responsable de la seguridadM ?. LSe ha dividido la responsabilidad para tener un mejor control de la seguridadM 9. L +iste personal de vigilancia en la institucinM ;. LLa vigilancia se contrataC (irectamente S% S% S% S%

5. L +iste una clara definicin de funciones entre los puestos clavesM S% <. LSe investiga a los vigilantes cuando son contratados directamenteM 7H 4. LSe controla el trabajo fuera del horarioM S% 3. LSe registran las acciones de los operadores para evitar !ue realicen alguna !ue pueda da$ar el S% sistemaM 12. L +iste vigilancia en el cuarto de m!uinas las 09 horasM S% 11. L- la entrada del cuarto de m!uina e+isteC a' Digilante &+ ' b' @ecepcionistaM & +' c' Garjeta de control de accesoM &' d' 7adieM &' 10. LSe permite el acceso a los archivos y programas a los programadores, analistas y operadoresM S% 1?. Lse ha instruido a estas personas sobre !u medidas tomar en caso de !ue alguien pretenda S% entrar sin autorizacinM 19. L l edificio donde se encuentra la computadora est situado a salvo deC a' %nundacinM & +' b' GerremotosM &+ ' c' =uegoM &+ ' d' SabotajeM & +' L l centro de cmputo da al e+teriorM S% (escriba brevemente la construccin del centro de cmputo, de preferencia proporcionando planos y material con !ue fue construido y e!uipo &muebles, sillas, etc.' NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN LGiene el cuarto de m!uinas una instalacin de escaparate y, si es as, pueden ser rotos los 7H vidrios con facilidadM 14. L +iste control en el acceso a este cuartoM a' )or identificacin personalM & +' b' )or tarjeta magnticaM & +' c' )or claves verbalesM &' d' HtrasM &' 13. LSon controladas las visitas y demostraciones en el centro de cmputoM S% L>mo son controladasM NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN 02. LSe registra el acceso al cuarto de personas ajenas a la direccin de informticaM S% 01. LSe vigilan la moral y el comportamiento del personal de la direccin de informtica con el fin S% de mantener una buena imagen y evitar un posible fraudeM L +iste alarma para a' (etectar fuego Ocalor o humo' en forma automticaM &' b' -visar en forma manual la presencia del fuegoM &' c' (etectar una fuga de aguaM &'

UTP-AQP

Pgina 11

Poltica de Seguridad Informtica en CMAC Arequipa

d' (etectar magnetosM &' e' 7o e+isteM & +' 0?. L stas alarmas estn a' n el cuarto de m!uinasM &' b' n la cintoteca y discotecaM &' 09. L +iste alarma para detectar condiciones anormales del ambienteM a' n el cuarto de m!uinasM &' b' n la cintoteca y discotecaM &' c' n otros ladosM &' L>ulesM NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN 0;. LLa alarma es perfectamente audibleM S% 05. L sta alarma tambin est conectadaM a' -l puesto de guardiasM &' b' - la estacin de bomberosM &' c' - ning#n otro ladoM &' Htro &' 0<. +isten e+tintores de fuegoM a' ,anualesM & +' b' -utomticosM & +' c' 7o e+istenM &'

7H

04. LSe ha adiestrado el personal en el manejo de los e+tintoresM 03. LLos e+tintores, manuales o automticos a base de G%)H S% 7H a' -guaM & +' &' b' EasM &+ ' &' c' HtrosM &+ ' &' ?2. LSe revisa de acuerdo con el proveedor el funcionamiento de los e+tintoresM 7otaC Derifi!ue el n#mero de e+tintores y sus estado. ?1. Si es !ue e+isten e+tintores automticos, Lson activados por los detectores automticos de fuegoM ?0. Si los e+tintores automticos son a base de agua, Lse han tomado medidas para evitar !ue el agua cause ms da$o !ue el fuegoM ??. Si los e+tintores automticos son a base de gas, Lse han tomado medidas para evitar !ue el gas cause ms da$o !ue el fuegoM ?9. L +iste un lapso de tiempo suficiente, antes de !ue funcionen los e+tintores automticos, para !ue el personal a' >orte la accin de los e+tintores por tratarse de falsas alarmasM S% &+ ' 7H & ' b' )ueda cortar la energa elctricaM S% &+ ' 7H & ' c' )ueda abandonar el local sin peligro de into+icacinM S% &+ ' 7H & ' d' s inmediata su accinM S% &+ ' 7H & ' ?;. LLos interruptores de energa estn debidamente protegidos, eti!uetados y sin obstculos para alcanzarlosM ?5. LSaben !u hacer los operadores del cuarto de m!uinas en caso de !ue ocurra una emergencia

S%

S% S% S% S%

S% S%

UTP-AQP

Pgina 10

Poltica de Seguridad Informtica en CMAC Arequipa

ocasionada por fuegoM ?<. L l personal ajeno a operacin sabe !u hacer en el caso de una emergencia &incendio'M S% ?4. L +iste salida de emergenciaM S% ?3. L sta puerta slo es posible abrirlaC a' (esde el interiorM & +' b' (esde el e+teriorM &' c' -mbos lados &' 92. LSe revisa frecuentemente !ue no est abierta o descompuesta la cerradura de esta puerta y de S% las ventanas, si es !ue e+istenM 91. LSe ha adiestrado a todo el personal en la forma en !ue se deben desalojar las instalaciones en S% caso de emergenciaM 90. LSe han tomado medidas para minimizar la posibilidad de fuegoC a' vitando artculos inflamables &' en el cuarto de m!uinasM b' )rohibiendo fumar a los operadores &+ ' en el interiorM c' Digilando y manteniendo el &' Sistema elctricoM d' 7o se ha previstoM &' 9?. LSe ha prohibido a los operadores el consumo de alimentos y bebidas en el interior del cuarto de S% m!uinas para evitar da$os al e!uipoM 99. LSe limpia con frecuencia el polvo acumulado debajo del piso falsoM S% 9;. LSe controla el acceso y prstamo en laC a' (iscotecaM &' b' >intotecaM &' c' )rogramotecaM &' 95. +pli!ue la forma como se ha clasificado la informacin vital, esencial, no esencial, etc. 9<. LSe cuenta con copias de los archivos en lugar distinto al de la computadoraM S% 94. +pli!ue la forma en !ue estn protegidas fsicamente estas copias &bveda, cajas de seguridad, etc.' !ue garantice su integridad en caso de incendio, inundacin, terremoto, etc. 93. LSe tienen establecidos procedimientos de actualizacin a estas copiasM ;2. %ndi!ue el n#mero de copias !ue se mantienen, de acuerdo con la forma en !ue se clasifi!ue la informacin. ? ;1. L +iste departamento de auditora interna en la institucinM S% ;0. L ste departamento de auditora interna conoce todos los aspectos de los sistemasM ;?. LAu tipos de controles ha propuestoM NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN ;9. LSe cumplenM S% ;;. LSe auditan los sistemas en operacinM S% ;5. L>on !ue frecuenciaM a' >ada seis meses &+ ' b' >ada a$o &' c' Htra &especifi!ue' &'

si

7H

UTP-AQP

Pgina 1?

Poltica de Seguridad Informtica en CMAC Arequipa DESARROLLO DE LA POLTICA DE SEGURIDAD I%&'()*)+,+)-' ! E.,/0,+)1' D& L-2 A+().-2 Au activos deben protegerse y cmo protegerlos de forma !ue permitan la prosperidad de la empresa. I%&'()*)+,+)1' %& /,2 ,3&',4,2 L>ules son las causas de los potenciales problemas de seguridadM >onsidere la posibilidad de violaciones a la seguridad y el impacto !ue tendran si ocurrieran. stas amenazas son e+ternas o internasC A3&',4,2 &5(&6',2: Se originan fuera de la organizacin y son los virus, gusanos, caballos de Groya, intentos de ata!ues de los hacPers, retaliaciones de e+:empleados o espionaje industrial. A3&',4,2 )'(&6',2: Son las amenazas !ue provienen del interior de la empresa y !ue pueden ser muy costosas por!ue el infractor tiene mayor acceso y perspicacia para saber donde reside la informacin sensible e importante. Las amenazas internas tambin incluyen el uso indebido del acceso a %nternet por parte de los empleados, as como los problemas !ue podran

E.,/0,+)1' %& /-2 6)&27-2 Qste puede ser uno de los componentes ms desafiantes del desarrollo de una poltica de seguridad. (ebe calcularse la probabilidad de !ue ocurran ciertos sucesos y determinar cules tiene el potencial para causar mucho da$o. l costo puede ser ms !ue monetario : se debe asignar un valor a la prdida de datos, la privacidad, responsabilidad legal, atencin p#blica indeseada, la prdida de clientes o de la confianza de los inversionistas y los costos asociados con las soluciones para las violaciones a la seguridad. E2(,8/&+&6 9-/:()+,2 %& 2&706)%,% >reando una poltica !ue apunte a los documentos asociadosR parmetros y procedimientos, normas, as como los contratos de empleados. stos documentos deben tener informacin especfica relacionada con las plataformas informticas, las plataformas tecnolgicas, las responsabilidades del usuario y la estructura organizacional. (e esta forma, si se hacen cambios futuros, es ms fcil cambiar los documentos subyacentes !ue la poltica en s misma. I39/&3&'(,+)1' 0', 9-/:()+, &' (-%, /, -67,')4,+)1' La poltica !ue se escoja debe establecer claramente las responsabilidades en cuanto a la seguridad y reconocer !uin es el propietario de los sistemas y datos especficos. Gambin puede re!uerir !ue todos los empleados firmen la declaracinR si la firman, debe comunicarse claramente.

UTP-AQP

Pgina 19

Poltica de Seguridad Informtica en CMAC Arequipa Qstas son las tres partes esenciales de cumplimiento !ue debe incluir la polticaC C039/)3)&'(%ndi!ue un procedimiento para garantizar el cumplimiento y las consecuencias potenciales por incumplimiento. F)','+),+)1' -seg#rese de !ue a cada departamento se le haya asignado los fondos necesarios para poder cumplir adecuadamente con la poltica de seguridad de la compa$a. CMAC AREQUIPA n el presente trabajo desarrollaremos el )lan de Seguridad para la entidad financiera >,-> -@ AB%)-. l 6anco >,-> -@ AB%)- es un banco de capital local , ofrece todos los productos financieros conocidos, posee presencia en %nternet a travs de su pagina Ieb, es un banco mediano. - lo largo de todo el desarrollo del trabajo describiremos mas en detalle su estructura interna, evaluaremos los riesgos a los cuales estn e+puestos, para lo cual se realizara un diagnostico objetivo de la situacin actual y como se deben contrarrestar, para finalmente terminar dise$ando el )lan de Seguridad y las principales actividades !ue deben ejecutarse para la implementacin de las polticas de seguridad. OBJETIVOS l objetivo del presente trabajo es realizar un diagnostico de la situacin actual en cuanto a la seguridad de informacin !ue >,-> -re!uipa actualmente administra y dise$ar un )lan de Seguridad de la %nformacin &)S%' !ue permita desarrollar operaciones seguras basadas en polticas y estndares claros y conocidos por todo el personal de la >aja.

UTP-AQP

Pgina 1;

Poltica de Seguridad Informtica en CMAC Arequipa GRAFICO DE EVOLUCI N DE LAS REGULACIONES SUPERINTENDENCIA DE BANCA ! SEGUROS DE LA

DIAGNOSTICO DE LA SITUACION ACTUAL DE LA ADMINISTRACI N DE LA SEGURIDAD DE INFORMACI N E.,/0,+)-' fectuada nuestra revisin de la administracin de riesgos de tecnologa de informacin del 6anco hemos observado !ue el )lan de Seguridad de %nformacin &)S%' no ha sido desarrollado. Si bien hemos observado la e+istencia de normas, procedimientos y controles !ue cubren distintos aspectos de la seguridad de la informacin, se carece en general de una metodologa, gua o marco de trabajo !ue ayude a la identificacin de riesgos y determinacin de controles para mitigar los mismos. (entro de los distintos aspectos a considerar en la seguridad de la %nformacin, se ha podido observar !ue se carece de )olticas de seguridad de la %nformacin y de una >lasificacin de Seguridad de los activos de %nformacin del 6anco. SEGURIDAD DE LA ORGANI"ACIONAL S)(0,+)-' A+(0,/ La administracin de seguridad de informacin se encuentra distribuida principalmente entre las reas de sistemas y el rea de seguridad informtica. n algunos casos, la administracin de accesos es realizada por la jefatura o gerencia del rea !ue utiliza la aplicacin. Las labores de seguridad realizadas actualmente por el rea de seguridad informtica son las siguientesC UTP-AQP Pgina 15 INFORMACI N ROLES ! ESTRUCTURA

Poltica de Seguridad Informtica en CMAC Arequipa

: >reacin y eliminacin de usuarios : Derificacin y asignacin de perfiles en las aplicaciones Las labores de seguridad realizadas por el rea de sistemas son las siguientesC : >ontrol de red : -dministracin del fireIall : -dministracin de accesos a bases de datos ROLES ! RESPONSABILIDADES DE LA ESTRUCTURA l rea organizacional encargada de la administracin de seguridad de informacin debe soportar los objetivos de seguridad de informacin del 6anco. (entro de sus responsabilidades se encuentran la gestin del plan de seguridad de informacin as como la coordinacin de esfuerzos entre el personal de sistemas y los empleados de las reas de negocios, siendo stos #ltimos los responsables de la informacin !ue utilizan. -simismo, es responsable de promover la seguridad de informacin a lo largo de la organizacin con el fin de incluirla en el planeamiento y ejecucin de los objetivos del negocio. s importante mencionar !ue las responsabilidades referentes a la seguridad de informacin son distribuidas dentro de toda la organizacin y no son de entera responsabilidad del rea de seguridad informtica, en ese sentido e+isten roles adicionales !ue recaen en los propietarios de la informacin, los custodios de informacin y el rea de auditoria interna. Los propietarios de la informacin deben verificar la integridad de su informacin y velar por !ue se mantenga la disponibilidad y confidencialidad de la misma. REA DE SEGURIDAD INFORMTICA l rea organizacional encargada de la administracin de seguridad de informacin tiene como responsabilidadesC stablecer y documentar las responsabilidades de la organizacin en cuanto a seguridad de informacin. ,antener la poltica y estndares de seguridad de informacin de la organizacin. %dentificar objetivos de seguridad y estndares del 6anco &prevencin de virus, uso de herramientas de monitoreo, etc.' (efinir metodologas y procesos relacionados a la seguridad de informacin. >omunicar aspectos bsicos de seguridad de informacin a los empleadosdel 6anco. sto incluye un programa de concientizacin para comunicar aspectos bsicos de seguridad de informacin y de las polticas del 6anco. (esarrollar controles para las tecnologas !ue utiliza la organizacin. sto incluye el monitoreo de vulnerabilidades documentadas por los proveedores. Pgina 1<

UTP-AQP

Poltica de Seguridad Informtica en CMAC Arequipa

,onitorear el cumplimiento de la poltica de seguridad del 6anco. >ontrolar e investigar incidentes de seguridad o violaciones de seguridad. @ealizar una evaluacin peridica de vulnerabilidades de los sistemas !ue conforman la red de datos del 6anco. valuar aspectos de seguridad de productos de tecnologa, sistemas o aplicaciones utilizados en el 6anco. -sistir a las gerencias de divisin en la evaluacin de seguridad de las iniciativas del negocio. (esarrollar y administrar el presupuesto de seguridad de informacin. @eportar peridicamente a la gerencia de -dministracin y Hperaciones -dministracin de accesos a las principales aplicaciones del 6anco. laborar y mantener un registro con la relacin de los accesos de los usuarios sobre los sistemas y aplicaciones del 6anco y realizar revisiones peridicas de la configuracin de dichos accesos en los sistemas. >ontrolar aspectos de seguridad en el intercambio de informacin con entidades e+ternas.

C02(-%)- %& I'*-63,+)1' s el responsable de la administracin diaria de la seguridad en los sistemas de informacin y el monitoreo del cumplimiento de las polticas de seguridad en los sistemas !ue se encuentran bajo su administracin. Sus responsabilidades sonC -dministrar accesos a nivel de red &sistema operativo'. -dministrar accesos a nivel de bases de datos. -dministrar los accesos a archivos fsicos de informacin almacenada en medios magnticos &usb, cintas', pticos &cdSs' o impresa. %mplementar controles definidos para los sistemas de informacin, incluyendo investigacin e implementacin de actualizaciones de seguridad ntrenar a los empleados en aspectos de seguridad de informacin en nuevas tecnologas o sistemas implantados bajo su custodia. -sistir y administrar los procedimientos de bacPup, recuperacin y plan de continuidad de sistemas.

U20,6)Las responsabilidades de los usuarios finales, es decir, a!uellas personas !ue utilizan informacin del 6anco como parte de su trabajo diario estn definidas a continuacinC UTP-AQP Pgina 14

Poltica de Seguridad Informtica en CMAC Arequipa ,antener la confidencialidad de las contrase$as de aplicaciones y sistemas. @eportar supuestas violaciones de la seguridad de informacin. -segurarse de ingresar informacin adecuada a los sistemas. -decuarse a las polticas de seguridad del 6anco. Btilizar la informacin del 6anco #nicamente para los propsitos autorizados.

P6-9)&(,6)- %& I'*-63,+)1' Los propietarios de informacin son los gerentes y jefes de las unidades de negocio, los cuales, son responsables de la informacin !ue se genera y se utiliza en las operaciones de su unidad. Las reas de negocios deben ser conscientes de los riesgos de tal forma !ue sea posible tomar decisiones para disminuir los mismos. A0%)(-6:, I'(&6', l personal de auditora interna es responsable de monitorear el cumplimiento de los estndares y guas definidas en las polticas internas. Bna estrecha relacin del rea de auditora interna con el rea de seguridad informtica es crtica para la proteccin de los activos de informacin. )or lo tanto dentro del plan anual de evaluacin del rea de auditora interna se debe incluir la evaluacin peridica de los controles de seguridad de informacin definidos por el 6anco. -uditora interna debe colaborar con el rea de seguridad informtica en la identificacin de amenazas y vulnerabilidades referentes a la seguridad de informacin del 6anco. ORGANI"ACI N DEL REA DE SEGURIDAD INFORMTICA PROPUESTA (ado el volumen de operaciones y la criticidad !ue presenta la informacin para el negocio del 6anco y tomando en cuenta las mejores prcticas de la industria, es necesaria la e+istencia de un rea organizacional !ue administre la seguridad informtica. >omo re!uisito indispensable, esta rea debe ser independiente de la Eerencia de Sistemas, la cual en muchos casos es la ejecutora de las normas y medidas de seguridad elaboradas. ste proceso de independizacin de la administracin de la seguridad del rea de sistemas ya fue iniciado por el 6anco al crear el rea de seguridad informtica, la cual, reporta a la Eerencia de divisin de -dministracin y Hperaciones. )lan de Seguridad %nformtica para una entidad =inanciera

UTP-AQP

Pgina 13

Poltica de Seguridad Informtica en CMAC Arequipa

EVALUACI N DE RIESGOS AMENA"AS ! VULNERABILIDADES >on el propsito de obtener un adecuado entendimiento de la implicancia !ue tiene el uso de tecnologa, las amenazas y vulnerabilidades, as como las iniciativas del negocio sobre la seguridad de la informacin del 6anco, se efectuaron entrevistas, de las cuales se obtuvo las siguientes tres matrices, !ue nos muestran la implicancia en seguridad !ue presentan cada uno de los factores mencionados anteriormente, as como el estndar o medida a aplicar para minimizar los riesgos correspondientes. M,(6)4 %& 02- ; &2(6,(&7), %& (&+'-/-7:, sta matriz muestra la tecnologa utilizada actualmente por el 6anco y los cambios estratgicos planificados !ue impactan en ella, las implicancias de seguridad asociadas al uso de tecnologa y los estndares o medidas propuestas para minimizar los riesgos generados por la tecnologa empleada T&+'-/-7), E2(,'%,6 - 3&%)%, %& S&706)%,% , ,9/)+,6 KindoIs seven standar de mejores SH Linu+ practica de seguridad para KindoIs seven standar de mejores practicas de Seguridad para Linu+ 6ase de datos Se debe contar con standar de mejores SAL Server controles de acceso a practicas de seguirdad para informacin de los bases de datos SAL Server sistemas !ue soportan el negocio de la >ompa$a. 6anca lectronica a travs l servidor Keb se : stndares de de %nternet encuentra en calidad de encripcin de informacin UTP-AQP Pgina 02 I39/)+,'+), %& S&706)%,% Se debe contar con controles de acceso adecuados a la data y sistemas soportados por le Sistema Hperativo

Poltica de Seguridad Informtica en CMAC Arequipa .hosting/ en telefona data, se debe asegurar !ue el e!uipo cuente con las medidas de seguridad necesaria, tanto fsicas como lgicas. La transmisin de los datos es realizada a travs de un medio p#blico &%nternet', se debe contar con medidas adecuadas para mantener la confidencialidad de la informacin &encripcin de la data'. l servidor Keb !ue es accedido por los clientes puede ser blanco potencial de actividad vandlica con el propsito de afectar la imagen del 6anco. transmitida. TU>lusulas de confidencialidad y delimitacin de responsabilidades en contratos con proveedores -cuerdos de nivel de servicios con proveedores, en los cuales se detalle porcentaje mnimo de disponibilidad del sistema. valuacin independiente de la seguridad del servidor !ue brinda el servicio, o acreditacin de la misma por parte del proveedor.

el

6anca lectronica

>omputadoras personales.

La disponibilidad del sistema es un factor clave para el +ito del servicio. Gransmisin de stablecimiento de informacin lmites adecuados a las por medios p#blicos sin operaciones realizadas posibilidad de proteccin por va telefnica. adicional. )osibilidad de registrar %mposibilidad de mantener el n#mero telefnico la confidencialidad de las origen de la llamada. operaciones con el proveedor del servicio >ontroles en los telefnico. sistemas de grabacin de llamadas telefnica. )osibilidad de obtencin de n#meros de tarjeta y valuar la posibilidad de contrase$as del canal de notificar al cliente de transmisin telefnico. manera automtica e inmediata luego de realizada la operacin Se debe contar con >oncientizacin y adecuados controles de entrenamiento de los acceso a informacin usuarios en temas de e+istente en computadoras seguridad de la personales. informacin.

UTP-AQP

Pgina 01

Poltica de Seguridad Informtica en CMAC Arequipa Se re!uieren adecuados controles de accesos a la informacin de los sistemas desde las computadoras personales de usuarios. La e+istencia de diversos sistemas operativos en el par!ue de computadores personales, (ebe e+istir un control sobre los dispositivos !ue pudieran facilitar fuga de informacin &dis!ueteras, grabadoras de cdVs, impresoras personales, etc.' %mplementacin de mayores controles de seguridad para computadoras personales. =inalizacin del proyecto de migracin de la plataforma de computadoras personales al sistema operativo usado. -ctualizacin peridica de inventarios del softIare instalado. ,onitoreo peridico de carpetas compartidas.

>orreo electrnico

Se debe controlar y monitorear las aplicaciones y sistemas instalados en ,onitoreo de actividad las )>Ss de los usuarios, sistemas de deteccin de intrusos. )osibilidad de Se debe contar con interceptacin no estndares de encripcin autorizada de mensajes de para los mensajes de correo correo electrnico. electrnico !ue @iesgo de acceso no contengan informacin autorizado a informacin confidencial. del servidor. stndares de mejores )osibilidad de utilizacin prcticas de seguridad de recursos por parte de para KindoIs < ,Linu+ personas no autorizadas, para enviar correo electrnico a terceros &relay no autorizado'. )osibilidad de recepcin de %mplementacin de un correo inservible &S)-,'. sistema de seguridad del contenido S,G). @iesgos de accesos no )olticas de seguridad. autorizados desde %nternet y redes e+ternas hacia los stndares de mejores sistemas del 6anco. prcticas de seguridad para servidores Pgina 00

>one+in a %nternet y redes p#blicas O =ireIall

UTP-AQP

Poltica de Seguridad Informtica en CMAC Arequipa -decuado uso del acceso a , correo electrnico, %nternet por parte de los servidores Keb y usuarios. e!uipos de comunicaciones. Los dispositivos !ue permiten controlar accesos, (elimitacin de tales como, fireIalls, responsabilidades servidores pro+y, etc. referentes a la seguridad (eben contar con medidas de informacin en de seguridad adecuadas contratos con proveedores. para evitar su manipulacin por personas no ,ejores prcticas de autorizadas. seguridad para configuracin de @iesgo de acceso no =ireIalls. autorizado desde socios de negocios hacia los (ise$o e implementacin sistemas de La >ompa$a de una ar!uitectura de seguridad de red.Btilizacin de sistemas de deteccin de intrusos. specificacin de acuerdos de nivel de servicio con el proveedor. >ontroles y filtros para el acceso a %nternet. stndar de seguridad en bases de datos SAL. )lan de implantacin de (ataIarehouse.

%mplantacin de (ataIarehouse.

%nformacin sensible almacenada en un repositorio centralizado, re!uiere de controles de acceso adecuados.

La disponibilidad del )rocedimientos para sistema debe ser alta para otorgamiento de perfiles. no afectar las operaciones !ue soporta. )olticas de seguridad.

UTP-AQP

Pgina 0?

Poltica de Seguridad Informtica en CMAC Arequipa MATRI" DE EVALUACI N DE AMENA"AS ! VULNERABILIDADES n esta matriz se muestra los riesgos y amenazas identificadas, las implicancias de seguridad y los estndares o medidas de seguridad necesarias para mitigar dicha amenaza. A3&',4,< V0/'&6,8)/)%,% I39/)+,'+), %& S&706)%,% %nters en obtener La e+istencia de %nformacin estratgica del informacin atractiva para 6anco, por parte competidores de de competidores de negocio tales como negocio. informacin de clientes e informacin de marPeting implica la aplicacin de controles adecuados para el acceso a informacin. E2(='%,6 - M&%)%, %& S&706)%,% , ,9/)+,6 stndares de seguridad para servidores >ontrol de acceso a las aplicaciones del 6anco,@evisin y depuracin peridica de los accesos otorgados. @estricciones en el manejo de informacin enviada por correo electrnico hacia redes e+ternas, e+trada en cdWs , usbWs, informacin impresa. Derificacin de la informacin impresa en reportes, evitar mostrar informacin innecesaria en ellos. %nters en obtener 6eneficios econmicos mediante actividad fraudulenta. (ebido al volumen de dinero !ue es administrado por es administrado por una entidad financiera, la amenaza de intento de fraude es una posibilidad muy tentadora tanto para personal interno del 6anco, as como para personal e+terno. )olticas de seguridad >ontroles de accesos a los men#s de las aplicaciones. @evisiones peridicas de los niveles de accesos de los usuarios. valuacin peridica de la integridad de la informacin por parte del propietario de la misma. @evisiones peridicas de los registros &logs' de los sistemas y operaciones realizadas.

UTP-AQP

Pgina 09

Poltica de Seguridad Informtica en CMAC Arequipa ,ejores prcticas para configuracin de fireIalls, servidores y e!uipos de comunicaciones -ctividad vandlica La actividad desarrollada (elimitacin de realizada por por .hacPers/ o .cracPers/ responsabilidades y .hacPers/ o .cracPers/ de sistemas, puede afectar sanciones en los la disponibilidad, contratos con integridad y proveedores de servicios confidencialidad de la en calidad de .hosting/. informacin del negocio. Derificacin de stos actos vandlicos evaluaciones peridicas pueden ser desarrollados o certificaciones de la por personal interno o seguridad de los sistemas e+terno al 6anco. en calidad de .hosting/. -dicionalmente si dicha actividad es realizada >oncientizacin y contra e!uipos !ue proveen compromiso formal de servicios a los los usuarios en temas clientes &pgina Keb del relacionados a la banco' la imagen y seguridad de reputacin del 6anco se informacin. podra ver afectada en un grado muy importante. )olticas de Seguridad )rdida de informacin l riesgo de prdida de -decuada ar!uitectura e producto de infeccin por informacin por virus implementacin del virus informtico. informtico es alto si no se sistema antivirus. administra adecuadamente el sistema -ntivirus y los Derificacin peridica de la usuarios no han sido actualizacin del concientizados en antivirus de computadoras seguridad de informacin personales y servidores. Eeneracin peridica de reportes de virus detectados y actualizacin de antivirus. =uga de informacin a Los accesos otorgados al >ontrol adecuado de los travs del personal personal temporal deben accesos otorgados. !ue ingresa de ser controlados manera temporal en adecuadamente, asimismo (epuracin peridica de sustitucin de empleados la actividad realizada por accesos otorgados a los en los mismos en los sistemas sistemas. vacaciones debe ser peridicamente monitoreada. @estricciones en acceso a correo electrnico y UTP-AQP Pgina 0;

Poltica de Seguridad Informtica en CMAC Arequipa l personal temporal podra realizar actividad no autorizada, la cual podra ser detectada cuando haya finalizado sus labores en el 6anco. =alta de personal )ara una adecuada con conocimientos administracin de la tcnicos de seguridad seguridad informtica se informtica. re!uiere personal capacitado !ue pueda cumplir las labores de elaboracin de polticas y administracin de seguridad en el rea de seguridad informtica, as como implementacin de controles y configuracin de sistemas en el rea de sistemas. =alta de controles l acceso hacia %nternet adecuados para la por medios como correo informacin !ue electrnico, ftp &file envan los usuarios hacia transfer protocol' o incluso %nternet. Ieb en algunos casos, puede facilitar la fuga de informacin confidencial del 6anco. l 6anco ha invertido en la implementacin de una herramienta para el filtrado de las pginas Ieb !ue son accedidas por los usuarios, se debe asegurar !ue dicho control sea adecuadamente aplicado. transferencia de archivos hacia %nternet

>apacitacin del personal tcnico en temas de seguridad de informacin o inclusin nuevo de personal con conocimientos de seguridad de informacin para las reas de seguridad informtica y sistemas

>onfiguracin adecuada del servidor )ro+y y la herramienta Surf >ontrol. Eeneracin peridica de reportes de la efectividad de los controles aplicados. %mplementacin de una adecuada ar!uitectura de red. ,ejores prcticas para la configuracin de =ireIalls.

%mplementacin y administracin de herramientas para la inspeccin del contenido de los correos electrnicos enviados. 7o e+isten controles +iste informacin stablecimiento de un adecuados para la almacenada en las procedimiento formal informacin almacenada en computadoras personales !ue contemple la las computadoras de generacin de copia de UTP-AQP Pgina 05

Poltica de Seguridad Informtica en CMAC Arequipa personales. los usuarios !ue re!uiere respaldo de informacin ciertos niveles de importante de los seguridad. usuarios. Los usuarios deben contar con procedimientos para realizar copias de respaldo de su informacin importante )osibilidad de acceso no autorizado a sistemas por desde parte de personal e+terno al 6anco. V0/'&6,8)/)%,%&2: +istencia de redes e+ternas se conectan con la red del 6anco sin la proteccin de un fireIall. >oncluir el proceso de migracin del sistema operativo de las computadoras personales (ise$o de ar!uitectura de seguridad de red. -decuada configuracin de elementos de control de cone+iones &fireIalls'.

-r!uitectura de red inapropiada para controlar accesos redes e+ternas.

%mplementacin y administracin de Los servidores de acceso herramientas de p#blico no se encuentran seguridad. aislados de la red interna. =uga de informacin s posible obtener la )rogramas para stratgica mediante informacin e+istente en encripcin de la data sustraccin de las computadoras porttiles confidencial e+istente en computadores portatiles de los los discos duros de las gerentes del banco computadoras porttiles mediante el robo de las mismas -cceso no autorizado a l riesgo de contar con valuacin del alcance travs de enlaces segmentos de red de la red inalmbrica. inalmbricos. inalmbricos sin medidas de seguridad especficas Separacin del segmento para este tipo de enlaces, de red radica en !ue cual!uier inalmbrico mediante un persona podra conectar un =ireIall. e!uipo e+terno al 6anco incluso desde un edificio Derificacin peridica de la cercano. actividad realizada desde la red inalmbrica. Btilizacin de encripcin

UTP-AQP

Pgina 0<

Poltica de Seguridad Informtica en CMAC Arequipa POLTICAS DE SEGURIDAD DE LA INFORMACI N Se elaboraran las polticas de seguridad con el propsito de proteger la informacin de la empresa, estas servirn de gua para la implementacin de medidas de seguridad !ue contribuirn a mantener la integridad, confidencialidad y disponibilidad de los datos dentro de los sistemas de aplicacin, redes, instalaciones de cmputo y procedimientos manuales. DEFINICION Bna )oltica de seguridad de informacin es un conjunto de reglas aplicadas a todas las actividades relacionadas al manejo de la informacin de una entidad, teniendo el propsito de proteger la informacin, los recursos y la reputacin de la misma. PROPOSITO l propsito de las polticas de seguridad de la informacin es proteger la informacin y los activos de datos del 6anco. Las polticas son guas para asegurar la proteccin y la integridad de los datos dentro de los sistemas de aplicacin, redes, instalaciones de cmputo y procedimientos manuales. ORGANI"ACI N DE LA SEGURIDAD ESTRUCTURA ORGANI"ACIONAL n esta poltica se definen los roles y responsabilidades a lo largo de la organizacin con respecto a la proteccin de recursos de informacin. sta poltica se aplica a todos los empleados y otros asociados con el 6anco, cada uno de los cuales cumple un rol en la administracin de la seguridad de la informacin. Godos los empleados son responsables de mantener un ambiente seguro, en tanto !ue el rea de seguridad informtica debe monitorear el cumplimiento de la poltica de seguridad definida y realizar las actualizaciones !ue sean necesarias, producto de los cambios en el entorno informtico y las necesidades del negocio. A++&2- 9-6 9,6(& %& (&6+&6-2 l 6anco debe establecer para terceros al menos las mismas restricciones de acceso a la informacin !ue a un usuario interno. -dems, el acceso a la informacin debe limitarse a lo mnimo indispensable para cumplir con el trabajo asignado. Las e+cepciones deben ser analizadas y aprobadas por el rea de seguridad informtica. sto incluye tanto acceso fsico como lgico a los recursos de informacin del 6anco. Godo acceso por parte de personal e+terno debe ser autorizado por un responsable interno, !uien asume la responsabilidad por las acciones !ue pueda realizar el mismo. l personal e+terno debe firmar un acuerdo de no:divulgacin antes de obtener acceso a informacin del 6anco. )roveedores !ue re!uieran acceso a los sistemas de informacin del 6anco deben tener acceso #nicamente cuando sea necesario. UTP-AQP Pgina 04

Poltica de Seguridad Informtica en CMAC Arequipa

O0(2-06+)'7 Godos los contratos de Hutsourcing deben incluir lo siguienteC -cuerdos sobre polticas y controles de seguridad. (eterminacin de niveles de disponibilidad aceptable. l derecho del 6anco de auditar los controles de seguridad de informacin del proveedor. (eterminacin de los re!uerimientos legales del 6anco. ,etodologa del proveedor para mantener y probar cclicamente la seguridad del sistema. Aue el servicio de procesamiento y la informacin del 6anco objeto de la subcontratacin estn aislados, en todo momento y bajo cual!uier circunstancia.

l proveedor es responsable de inmediatamente informar al responsable del contrato de cual!uier brecha de seguridad !ue pueda comprometer informacin del 6anco. >ual!uier empleado del 6anco debe informar de violaciones a la seguridad de la informacin por parte de proveedores al rea de seguridad informtica. EVALUACI N DEL RIESGO I'.&'(,6)- %& ,+().-2 Los inventarios de activos ayudan a garantizar la vigencia de una proteccin eficaz de los recursos, y tambin pueden ser necesarios para otros propsitos de la empresa, como los relacionados con sanidad y seguridad, seguros o finanzas &administracin de recursos'. l proceso de compilacin de un inventario de activos es un aspecto importante de la administracin de riesgos. Bna organizacin debe contar con la capacidad de identificar sus activos y el valor relativo e importancia de los mismos. Sobre la base de esta informacin, la organizacin puede entonces, asignar niveles de proteccin proporcionales al valor e importancia de los activos. Se debe elaborar y mantener un inventario de los activos importantes asociados a cada sistema de informacin. >ada activo debe ser claramente identificado y su propietario y clasificacin en cuanto a seguridad deben ser acordados y documentados, junto con la ubicacin vigente del mismo &importante cuando se emprende una recuperacin posterior a una prdida o da$o'. jemplos de activos asociados a sistemas de informacin son los siguientesC R&+062-2 %& )'*-63,+)1' bases de datos y archivos, documentacin de sistemas, manuales de usuario, material de capacitacin, procedimientos operativos o de soporte, planes de continuidad, disposiciones relativas a sistemas de emergencia para la reposicin de informacin perdida &.fallbacP/', informacin archivados.

UTP-AQP

Pgina 03

Poltica de Seguridad Informtica en CMAC Arequipa

R&+062-2 %& 2-*(>,6& softIare de aplicaciones, softIare de sistemas, herramientas de desarrollo y utilitarios A+().-2 *:2)+-2 e!uipamiento informtico &procesadores, monitores, computadoras porttiles, mdems', e!uipos de comunicaciones &routers, m!uinas de fa+, contestadores automticos', medios magnticos &cintas y discos', otros e!uipos tcnicos &suministro de electricidad, unidades de aire acondicionado', mobiliario, lugares de emplazamiento. S&6.)+)-2 servicios informticos y de comunicaciones, utilitarios generales, por iluminacin, energa elctrica, aire acondicionado. C/,2)*)+,+)1' %&/ ,++&2- %& /, )'*-63,+)1' La clasificacin asignada a un tipo de informacin, solo puede ser cambiada por el propietario de la informacin, luego de justificar formalmente el cambio en dicha clasificacin. La informacin !ue e+iste en ms de un medio &por ejemplo, documento fuente, registro electrnico, reporte o red' debe de tener la misma clasificacin sin importar el formato. La informacin debe de ser e+aminada para determinar el impacto en el 6anco si fuera divulgada o alterada por medios no autorizados. - continuacin detallamos algunos ejemplos de informacin sensibleC D,(-2 %& )'(&6?2 9,6, /, +-39&(&'+), : strategias de marPeting : Listas de clientes : =echas de renovacin de crditos : Garifaciones : (atos usados en decisiones de inversin D,(-2 @0& 96-.&&' ,++&2- , )'*-63,+)1' - 2&6.)+)-2 : Llaves de encripcin o autenticacin : >ontrase$as D,(-2 96-(&7)%-2 9-6 /&7)2/,+)1' %& 96).,+)%,% .)7&'(& : @egistros del personal : ,ontos de los pasivos de clientes : (atos histricos con 12 a$os de antigXedad j. calefaccin,

UTP-AQP

Pgina ?2

Poltica de Seguridad Informtica en CMAC Arequipa

D,(-2 @0& ()&'&' 0' ,/(- 6)&27- %& 2&6 8/,'+- %& *6,0%& 0 -(6, ,+().)%,% )/:+)(, : (atos contables utilizados en sistemas : Sistemas !ue controlan desembolsos de fondos A9/)+,+)1' %& +-'(6-/&2 9,6, /, )'*-63,+)1' +/,2)*)+,%, Godo contenedor de informacin en medio digital &>(Ss, cintas de bacPup, usb, etc.' debe presentar una eti!ueta con la clasificacin correspondiente. La informacin en formato digital clasificada como de acceso .Eeneral/, puede ser almacenada en cual!uier sistema de la >ompa$a. Sin embargo se deben tomar las medidas necesarias para no mezclar informacin .Eeneral/ con informacin correspondiente a otra clasificacin. Godo usuario, antes de transmitir informacin clasificada como .@estringida/ o .>onfidencial/, debe asegurarse !ue el destinatario de la informacin est autorizado a recibir dicha informacin. Godo usuario !ue re!uiere acceso a informacin clasificada como .@estringida/ o .>onfidencial/, debe ser autorizado por el propietario de la misma. Las autorizaciones de acceso a este tipo de informacin deben ser documentadas. La clasificacin asignada a un tipo de informacin, solo puede ser cambiada por el propietario de la informacin, luego de justificar formalmente el cambio en dicha clasificacin. %nformacin en formato digital, clasificada como .@estringida/, debe ser encriptada con un mtodo aprobado por los encargados de la administracin de seguridad de la informacin, cuando es almacenada en cual!uier medio &disco duro, usb, cintas, >(s, etc.'. SEGURIDAD DEL PERSONAL Los estndares relacionados al personal deben ser aplicados para asegurarse !ue los empleados sean seleccionados adecuadamente antes de ser contratados, puedan ser fcilmente identificados mientras formen parte del 6anco y !ue el acceso sea revocado oportunamente cuando un empleado es despedido o transferido. (eben desarrollarse estndares adicionales para asegurar !ue el personal sea consciente de todas sus responsabilidades y acciones apropiadas en el reporte de incidentes. sta poltica se aplica a todos los empleados, personal contratado y proveedores. Los empleados son los activos ms valiosos del 6anco. Sin embargo, un gran n#mero de problemas de seguridad de cmputo pueden ser causados por descuido o desinformacin. Se deben de implementar procedimientos para manejar estos riesgos y ayudar al personal del 6anco a crear un ambiente de trabajo seguro.

UTP-AQP

Pgina ?1

Poltica de Seguridad Informtica en CMAC Arequipa ,edidas de precaucin deben de ser tomadas cuando se contrata, transfiere y despide a los empleados. (eben de establecerse controles para comunicar los cambios del personal y los re!uerimientos de recursos de cmputo a los responsables de la administracin de la seguridad de la informacin. s crucial !ue estos cambios sean atendidos a tiempo. C,9,+)(,+)1' %& 020,6)-2 s responsabilidad del rea de seguridad informtica promover constantemente la importancia de la seguridad a todos los usuarios de los sistemas de informacin. l programa de concientizacin en seguridad debe de contener continuas capacitaciones y charlas, adicionalmente se puede emplear diversos mtodos como afiches, llaveros, mensajes de log:in, etc., los cuales recuerden permanentemente al usuario el papel importante !ue cumplen en el mantenimiento de la seguridad de la informacin. C-'+)&'()4,+)1' 9&6)1%)+, studios muestran !ue la retencin y el conocimiento aplicable se incrementa considerablemente cuando el tema es sujeto a revisin. Los usuarios deben de ser informados anualmente sobre la importancia de la seguridad de la informacin. Bn resumen escrito de la informacin bsica debe de ser entregada nuevamente a cada empleado y una copia firmada debe de ser guardada en sus archivos. La capacitacin en seguridad debe de incluir, pero no estar limitado, a los siguientes aspectosC : @e!uerimientos de identificador de usuario y contrase$a : Seguridad de )>, incluyendo proteccin de virus : @esponsabilidades de la organizacin de seguridad de informacin : >oncientizacin de las tcnicas utilizadas por .hacPers/ : )rogramas de cumplimiento : Euas de acceso a %nternet : Euas de uso del correo electrnico : )rocesos de monitoreo de seguridad de la informacin utilizados : )ersona de contacto para informacin adicional P6-+&%)3)&'(-2 %& 6&290&2(, ,'(& )'+)%&'(&2 %& 2&706)%,% l personal encargado de la administracin de seguridad debe ser plenamente identificado por todos los empleados del 6anco. Si un empleado del 6anco detecta o sospecha la ocurrencia de un incidente de seguridad, tiene la obligacin de notificarlo al personal de seguridad informtica. Si se sospecha la presencia de un virus en un sistema, el usuario debe desconectar el e!uipo de la red de datos, notificar al rea de seguridad informtica !uien trabajar en coordinacin con el rea de soporte tcnico, para la eliminacin del virus antes de restablecer la cone+in a la red de datos. s responsabilidad del usuario &con la apropiada asistencia tcnica' asegurarse !ue el virus haya sido eliminado por completo del sistema antes de conectar nuevamente el e!uipo a la red de datos.

UTP-AQP

Pgina ?0

Poltica de Seguridad Informtica en CMAC Arequipa R&7)2(6- %& *,//,2 l personal encargado de operar los sistemas de informacin debe registrar todos lo errores y fallas !ue ocurren en el procesamiento de informacin o en los sistemas de comunicaciones. stos registros deben incluir lo siguienteC : 7ombre de la persona !ue reporta la falla : "ora y fecha de ocurrencia de la falla : (escripcin del error o problema : @esponsable de solucionar el problema : (escripcin de la respuesta inicial ante el problema : (escripcin de la solucin al problema : "ora y fecha en la !ue se solucion el problema Los registros de fallas deben ser revisados semanalmente. Los registros de errores no solucionados deben permanecer abiertos hasta !ue se encuentre una solucin al problema. -dems, estos registros deben ser almacenados para una posterior verificacin independiente. I'(&6+,38)-2 %& )'*-63,+)1' ; +-66&- &/&+(61')+Los mensajes de correo electrnico deben ser considerados de igual manera !ue un memorndum formal, son considerados como parte de los registros del 6anco y estn sujetos a monitoreo y auditoria. Los sistemas de correo electrnico no deben ser utilizados para lo siguienteC : nviar cadenas de mensajes : nviar mensajes relacionados a seguridad, e+ceptuando al personal encargado de la administracin de la seguridad de la informacin : nviar propaganda de candidatos polticos : -ctividades ilegales, no ticas o impropias : -ctividades no relacionadas con el negocio del 6anco : (iseminar direcciones de correo electrnico a listas p#blicas 7o deben utilizarse reglas de reenvo automtico a direcciones !ue no pertenecen a la organizacin. 7o e+iste control sobre los mensajes de correo electrnico una vez !ue estos se encuentran fuera de la red del 6anco. (eben establecerse controles sobre el intercambio de informacin del 6anco con terceros para asegurar la confidencialidad e integridad de la informacin, y !ue se respete la propiedad intelectual de la misma. (ebe tomarse en consideracinC : -cuerdos para el intercambio de softIare : Seguridad de media en trnsito : >ontroles sobre la transmisin mediante redes

UTP-AQP

Pgina ??

Poltica de Seguridad Informtica en CMAC Arequipa SEGURIDAD FSICA DE LAS INSTALACIONES DE PROCESAMIENTO DE DATOS Se deben implementar medidas de seguridad fsica para asegurar la integridad de las instalaciones y centros de cmputo. Las medidas de proteccin deben ser consistentes con el nivel de clasificacin de los activos y el valor de la informacin procesada y almacenada en las instalaciones. C-'(6-/ %& ,++&2- , /,2 )'2(,/,+)-'&2 %& +1390(l acceso a cual!uier instalacin de cmputo debe estar restringido #nicamente al personal autorizado. Godas las visitas deben ser identificadas y se debe mantener un registro escrito de las mismas. stas visitas deben ser en compa$a de un empleado durante la permanencia en las instalaciones de computo. Si bien es recomendable !ue los proveedores de mantenimiento, a !uienes se les otorga acceso continuo a las reas sensibles, estn siempre acompa$ados por un empleado autorizado de la empresa, puede resultar poco prctico en algunos casos. Godo el personal en las instalaciones de cmputo deben de portar un carn, placa o ficha de identificacin. Sistemas automatizados de seguridad para acceso fsico deben de ser instalados en centros de cmputo principales. >entros pe!ue$os pueden controlar el acceso fsico mediante el uso de candados de combinacin o llaves. P6-(&++)1' +-'(6, .)602 l rea de seguridad informtica debe realizar esfuerzos para determinar el origen de la infeccin por virus informtico, para evitar la reinfeccin de los e!uipos del 6anco. La posesin de virus o cual!uier programa malicioso est prohibida a todos los usuarios. Se tomarn medidas disciplinarias en caso se encuentren dichos programas en computadoras personales de usuarios. Godos los archivos adjuntos recibidos a travs del correo electrnico desde %nternet deben ser revisados por un antivirus antes de ejecutarlos. l programa antivirus debe encontrarse habilitado en todos las computadoras del 6anco y debe ser actualizado peridicamente. n caso de detectar fallas en el funcionamiento de dichos programas stas deben ser comunicadas al rea de soporte tcnico. l programa antivirus debe ser configurado para realizar revisiones peridicas para la deteccin de virus en los medios de almacenamiento de las computadoras del 6anco. (ebe contarse con un procedimiento para la actualizacin peridica de los programas antivirus y el monitoreo de los virus detectados. Godo el personal del 6anco debe utilizar los protectores de pantalla yOo papel tapiz autorizados por la %nstitucinR el estndar esC )apel Gapiz C >,-> -re!uipa )rotector de )antalla C >,-> -re!uipa

UTP-AQP

Pgina ?9