Manual SI Bolivar (Seg Lógica Pag 19 Seg Física Pag 27)

Manual de Procesos
Gerencia de Seguridad Informtica 02/12/08

MANUAL DE POLTICAS
SEGURIDAD INFORMTICA
MP.SO.001-1

Manual de Polticas
Polticas de Seguridad Informtica
Versin Codificacin Fecha Emisin Fecha Actualizacin
1 MP.SO.001-01 11/07/2008 02/12/08
Vicepresidencia de Procesos

Manual de Polticas Elaborado por: VP de Procesos
Gerencia de Seguridad Informtica 2 de 61

Contenido
Objetivo.................................................................................................................................................. 6
Alcance .................................................................................................................................................. 6
Definiciones ........................................................................................................................................... 7
Polticas Generales.............................................................................................................................. 11
Organizacin de la Seguridad de la Informacin................................................................................. 12
Responsabilidad Interna................................................................................................................... 12
Vicepresidencia de reas............................................................................................................................... 12
Gerencia de Seguridad Informtica ............................................................................................................... 12
Propietario de la Informacin ......................................................................................................................... 12
Usuarios de la Informacin............................................................................................................................. 13
Custodio de la Informacin............................................................................................................................. 13
Responsabilidad de Proveedores de Tecnologa y/o Terceros........................................................ 13
Clasificacin de los Activos de la Informacin..................................................................................... 16
Inventario y Control de los Activos de la Informacin....................................................................... 16
Clasificacin y Tratamiento de la Informacin. ................................................................................. 16
Criterios para la Clasificacin de la Informacin. ........................................................................................... 16
Niveles para la Clasificacin de la Informacin.............................................................................................. 16
Medidas de Seguridad por Nivel de Informacin.............................................................................. 17
Seguridad Lgica................................................................................................................................. 19
Control de Administracin de Accesos a los Sistemas..................................................................... 19
Control y Administracin General................................................................................................................... 19
Manual de Polticas
1 MP.SO.001-01 11/07/2008 02/12/08


Identificacin y Autenticacin de Usuarios..................................................................................................... 20
Control de Acceso a la Red.............................................................................................................. 22
Control y Administracin de Accesos a la Red .............................................................................................. 22
Accesos Remotos........................................................................................................................................... 22
Permisologa de Usuarios de Estaciones de Trabajo .................................................................................... 23
Seguridad de Acceso a las Aplicaciones.......................................................................................... 23
Seguridad en Entornos Operativos y Base de Datos ....................................................................... 24
Conexin y Desconexin de Estaciones de Trabajo ........................................................................ 25
Pistas de Auditora de los Sistemas ................................................................................................. 25
Pistas Generales ............................................................................................................................................ 25
Auditora de Seguridad y Uso de los Sistemas.............................................................................................. 26
Seguridad Fsica.................................................................................................................................. 27
rea Protegidas................................................................................................................................ 27
Control de Acceso Fsico a las reas Protegidas............................................................................. 27
Seguridad Fsica de reas Tecnolgicas y Equipamiento Principal................................................. 27
Escritorios y Pantallas ...................................................................................................................... 29
Seguridad del Personal........................................................................................................................ 31
Polticas Especficas......................................................................................................................... 31
Seguridad en las Comunicaciones ...................................................................................................... 32
Polticas Especficas......................................................................................................................... 32
Infraestructura de Red...................................................................................................................... 32
Direccionamiento y Esquema de Red............................................................................................................ 33
Manual de Polticas
1 MP.SO.001-01 11/07/2008 02/12/08


Conexiones Externas........................................................................................................................ 33
Proteccin de los puertos de diagnstico remoto............................................................................. 33
Seguridad en Redes Inalmbricas.................................................................................................... 34
Responsabilidades de Usuarios..................................................................................................................... 34
Uso de Servicios de Red .................................................................................................................. 35
Seguridad y Acceso a Internet ....................................................................................................................... 36
Seguridad del Internet Banking ........................................................................................................ 37
Mecanismos de Seguridad............................................................................................................................. 37
Seguridad de Acceso con Autenticacin de Usuario ..................................................................................... 38
Control de Acceso a la Aplicacin.................................................................................................................. 39
Plataforma de Servidores Seguros ................................................................................................................ 39
Controles de Cambios.................................................................................................................................... 40
Cumplimiento de Requisitos Legales............................................................................................................. 40
Controles para la Proteccin y Auditora de las Redes.................................................................................. 41
Encriptacin de Informacin ................................................................................................................ 43
Eleccin de Algoritmos ..................................................................................................................... 43
Procedimientos de Sistemas Criptogrficos..................................................................................... 43
Operaciones......................................................................................................................................... 44
Polticas Generales........................................................................................................................... 44
Pases a Produccin de Sistemas o Cambios Tecnolgicos............................................................. 45
Control y seguridad de los medios de almacenamiento................................................................... 45
Respaldos y Recuperacin de Informacin ................................................................................................... 45
Manual de Polticas
1 MP.SO.001-01 11/07/2008 02/12/08


Seguridad de la Documentacin del Sistema ................................................................................................ 48
Adquisicin, Desarrollo y Mantenimiento de Sistemas de Informacin ............................................... 49
Controles de Seguridad de los Sistemas de Informacin................................................................. 49
Proteccin de la Informacin ............................................................................................................ 50
Seguridad de los Componentes de la Aplicacin ............................................................................. 50
Seguridad de los Procesos de Control de Cambios......................................................................... 51
Desarrollo o Mantenimiento Externo de Sistemas de Informacin................................................... 52
Plan de continuidad del Negocio ......................................................................................................... 54
Evaluacin de Riesgos y Anlisis de Impacto .................................................................................. 54
Desarrollo, Prueba y Puesta en Marcha de los Planes de Continuidad del Negocio....................... 54
Mantenimiento y Actualizacin de los Planes de Continuidad del Negocio ..................................... 56
Cumplimiento Legal ............................................................................................................................. 57
Conformidad con las Polticas de Seguridad Informtica................................................................. 57
Sanciones por Uso Indebido de los Activos de Informacin e Infracciones a las Polticas de
Seguridad Informtica....................................................................................................................... 58
Revelacin de Informacin............................................................................................................................. 60
Fraude Electrnico ......................................................................................................................................... 61
Apropiacin de Informacin de los Clientes................................................................................................... 61
Apropiacin de Informacin por Medios Electrnicos.................................................................................... 61
Manual de Polticas
1 MP.SO.001-01 11/07/2008 02/12/08


Objetivo
El objetivo de este documento es establecer los lineamientos de seguridad e informar sobre las polticas y
prcticas que se deben cumplir y utilizar para proteger los activos de informacin de la organizacin.

Alcance

Las polticas establecidas en este documento, deben ser acatadas por todas aquellas personas que hagan uso
de la plataforma tecnolgica del Banco, administradores de sistemas, administradores de seguridad, personal
tcnico, personal administrativo, usuarios finales, unidades de control y todo el personal interno y externo que
haga uso de los activos de informacin del Banco; por lo cual se hace necesario conocer y aceptar el
reglamento vigente sobre su uso. El desconocimiento del mismo no exonera de las responsabilidades
asignadas.

Manual de Polticas
1 MP.SO.001-01 11/07/2008 02/12/08


Definiciones
Activos de Informacin: Recursos del sistema de informacin o relacionados con ste, necesarios para que la
Organizacin funcione adecuadamente y logre los objetivos propuestos. El activo principal es la informacin
manejada por el sistema; y alrededor de la misma se pueden identificar otros activos relevantes:
a. Los servicios que se pueden prestar y los necesarios para gestionar los datos.
b. Los equipos informticos que permiten almacenar datos, aplicaciones y servicios.
c. El software que permite manejar los datos.
d. Los soportes de informacin que permiten almacenar los datos.
e. El equipamiento auxiliar que complementa el hardware y software.
f. Las redes de comunicaciones para el intercambio de datos.
g. Las instalaciones provistas para el equipamiento informtico y de comunicaciones.
h. Las personas que operan todos los elementos anteriores.
Ambiente de Desarrollo: Ambiente en el cual se efecta la construccin de nuevas aplicaciones,
modificaciones a la funcionalidad, correcciones y depuraciones que se requieran.
Ambiente de Produccin: Ambiente en el cual el sistema de informacin se encuentra estable y los usuarios
satisfechos con su operacin. Consta de elementos de hardware, software y redes. Los programas se
encuentran catalogados en libreras especiales para su ejecucin y los programas fuente se encuentran
almacenados en bibliotecas electrnicas de acceso nicamente a personal autorizado.
Ambiente de Pruebas o certificacin: Es el ambiente en el cual se simula el ambiente productivo y sirve para
probar la funcionalidad y la correctitud del software que va a entrar en produccin, tanto por el personal tcnico
como por el usuario final. Deber estar completamente separado del ambiente de produccin.
Cdigo Fuente: es un texto escrito generalmente por una persona que se utiliza como base para generar otro
cdigo con un compilador o intrprete para ser ejecutado por una computadora.
Cdigo Malicioso: Hardware, software o firmware que es intencionalmente introducido en un sistema con un
fin malicioso o no autorizado.
Manual de Polticas
1 MP.SO.001-01 11/07/2008 02/12/08


Contraseas: Cadena arbitraria de caracteres alfanumricos elegidos por un usuario o programa, usados para
autenticar al usuario y prevenir el acceso no autorizado a su cuenta.
Custodio de la Informacin: Personal encargado de procesar la informacin, gestionar su resguardo y
hacerla accesible. As mismo, debe suministrar el soporte o asistencia relacionada con los servicios informticos
de cualquier ndole. La Gerencia de Infraestructura Tecnolgica, es la unidad encargado de custodiar la
Informacin. Cabe acotar que pueden presentarse casos en los cuales otras reas y personas pueden actuar
como custodios en relacin a determinada informacin
Disponibilidad: Aseguramiento de que los usuarios autorizados tienen acceso cuando lo requieren a la
informacin y sus activos asociados.
Documentacin del sistema: se refiere a toda la documentacin relacionada con el sistema, la cual explica
caractersticas tcnicas y la operacin del mismo. Es esencial para proporcionar entendimiento del sistema para
su uso, mantenimiento, auditoria. Existen varios tipos de documentacin. la de programas, que explica la lgica
de un programa e incluye descripciones, diagramas de flujo, listados de programas y otros documentos; la del
usuario que en forma general explica la naturaleza y capacidades del sistema y cmo usarlo.
Firewall. Una combinacin de hardware y software que separa una red de rea local (LAN) en dos o ms
partes con propsitos de seguridad.
Firmware: Es un software que es insertado en la memoria ROM (memoria de slo lectura) y es utilizado por
dispositivos como mdem, impresoras, etc.
Impacto: Consecuencia que sobre un activo tiene la materializacin de una amenaza.
Integridad: Garanta de la exactitud y completitud de la informacin y los mtodos de su procesamiento.
Medio de Almacenamiento de informacin. Todo equipo de informacin, computador personal, incluyendo
porttiles, agendas electrnicas, etc., con discos fijos u otros dispositivos de almacenamiento no voltiles, que
operen de forma aislada o conectados en red, as como otros soportes electrnicos de almacenamiento de
informacin extrables.
Medio de Respaldo: objeto fsico sobre el cual se puede grabar informacin, de tal modo que a partir de dicha
copia se pueda restaurar datos o recuperar el sistema en un momento determinado a partir de la copia
realizada .
Principios de Seguridad de la Informacin. Estos principios se basan en:
Manual de Polticas
1 MP.SO.001-01 11/07/2008 02/12/08


Disponibilidad: Se debe asegurar que los usuarios autorizados posean acceso a la informacin y a los
recursos relacionados con la misma toda vez que lo requieran, a los fines de efectuar sus labores en
forma oportuna. Por ello deben establecerse procedimientos de: recuperacin de informacin respaldos
de seguridad, plan de continuidad de negocios, proteccin fsica y controles en produccin.
Integridad: Se debe garantizar el mantenimiento de la exactitud, totalidad de la informacin y mtodos
de procesamiento, sin efectuar cambios accidentales o no autorizados en la misma, que puedan causar
daos en el Banco.
Confidencialidad: Se debe garantizar que la informacin propiedad del Banco solo debe ser accesada
por las personas autorizadas, y solo puede ser comunicada fuera de las reas involucradas con previa
autorizacin.
Auditabilidad: Es la capacidad del sistema para determinar qu acciones o procesos se han llevado a
cabo en el mismo, y quin y cundo las han llevado a cabo.
Propietario de la Informacin. Es la persona responsable del activo de informacin o el usuario principal del
mismo.
Proteccin de los Activos de Informacin por Proveedores de Tecnologa o Terceros. Representado por
el personal que presta servicios al Banco de ndole tecnolgico, entes regulatorios o de revisin, socios o
empresas con las cuales se mantiene relacin comercial.
Personal Externo en Sitio. Recurso humano perteneciente a empresas externas que requieren del acceso a la
plataforma tecnolgica para el cumplimiento de sus funciones y que se encuentren ubicados en las
instalaciones del banco por un perodo de tiempo determinado, segn acuerdos contractuales. Dentro de esta
categora, se pueden encontrar: auditores externos, personal de mantenimiento de la estructura tecnolgica,
proveedores de tecnologa, soporte tercerizados, oficiales de seguridad de centro de cmputos, pasantes,
consultores, entre otros.
Riesgo. Estimacin del grado de exposicin a que una amenaza se materialice sobre uno o ms activos
causando daos o perjuicios a la Organizacin.
Seguridad. Capacidad de las redes o de los sistemas de informacin de resistir en un determinado nivel de
confianza, los accidentes o acciones ilcitas o malintencionadas que comprometan la disponibilidad,
autenticidad, integridad y confidencialidad de la informacin almacenada o transmitida y de los servicios que
dichas redes y sistemas ofrecen o hacen accesibles.
Manual de Polticas
1 MP.SO.001-01 11/07/2008 02/12/08


Seguridad de la Informacin. Es la proteccin de los activos informticos contra posibles fraudes, sabotaje,
espionaje, violacin de la privacidad, hackers, interrupcin de servicios, fallas, etc.
La informacin del Banco es protegida de acuerdo a su valor e importancia, sin importar como se almacena (en
papel o en forma electrnica), como se procesa (equipos de computacin, servidores, correo de voz, etc), o
como se transmite (telefnicamente, correo electrnico o sistemas de comunicaciones en lnea), as mismo,
debe ser protegida y restringido su acceso al personal interno como externo de acuerdo a las funciones y/o
actividades que requiere ejecutar.
En tal sentido, es necesario que se efecten verificaciones y se definan controles mediante el anlisis,
comprobacin y establecimiento de medidas administrativas, fsicas, tcnicas y legales, dirigidas a prevenir,
detectar y responder a acciones que puedan poner en riesgo la confidencialidad, integridad y disponibilidad de
la informacin que se procese, intercambie, reproduzca y conserve a travs de las tecnologas de informacin;
a efectos de desarrollar un sistema integral de gestin de los riesgos que permitan minimizar el impacto que se
pudiera presentar en nuestros activos de informacin.
Servidores: Equipos de cmputo donde residen sistemas de informacin que van a ser usados
simultneamente por ms de un usuario en una o varias dependencias del Banco.
Sistema de Informacin: Conjunto de elementos fsicos, lgicos, de comunicacin, datos que permiten el
almacenamiento, transmisin y proceso de la informacin.
Tercerizacin: Es la delegacin parcial o total de algunas o todas actividades de sistemas de informacin a un
prestador de servicios externo, las cuales pueden comprender Operaciones de Centro de Datos, Seguridad,
Desarrollo y Mantenimiento de Sistemas.
Usuarios de la Informacin: Persona autorizada para incluir, eliminar, modificar, visualizar, procesar o
resguardar la informacin almacenada en los diferentes sistemas de informacin del Banco, con la debida
autorizacin de los propietarios
Virus: Cdigo diseado para introducirse en un programa para modificar o destruir datos.
Manual de Polticas
1 MP.SO.001-01 11/07/2008 02/12/08


Polticas Generales

1. Se establece como unidades reguladoras a la Gerencia de Seguridad Informtica Vicepresidencia de Divisin
de Tecnologa, Auditoria de Sistemas y la Vicepresidencia de rea de Administracin Integral de Riesgo;
quienes se encargarn de velar por el fiel cumplimiento de las polticas establecidas.
2. Todos los gerentes y/o propietarios de la informacin garantizarn dentro de su rea de responsabilidad el
cumplimiento de las polticas de seguridad.
3. La Gerencia de Seguridad Informtica y las unidades de control, sern las encargadas de realizar pruebas
pertinentes a fin de determinar el cubrimiento de las polticas establecidas.
4. Velarn por el fiel cumplimiento de las polticas aqu establecidas las unidades reguladoras establecidas: la
Gerencia de Seguridad Informtica, Vicepresidencia de Divisin de Tecnologa, auditora de Sistemas, y
Vicepresidencia de rea de Administracin Integral de Riesgo.
5. Ser perentorio la actualizacin y revisin constante de las polticas, estableciendo revisiones por parte de las
reas de control. Si ocurriesen modificaciones de gran relevancia en la plataforma tecnolgica, y/o fallas
considerables en los planes propuestos, es necesaria una revisin a la mayor brevedad posible.
6. Las polticas establecidas en este documento, sern acatadas por las personas que hagan uso de la
plataforma tecnolgica de bolvar Banco, administradores de sistemas, administradores de seguridad,
personal tcnico, personal administrativo, usuarios finales, unidades de control y todo el personal interno y
externo que haga uso de los activos de informacin del Banco; por lo que se hace necesario conocer el
reglamento vigente sobre su uso.
7. Toda persona que participe en los procesos aqu descritos ser directamente responsable de estar
plenamente familiarizado con el contenido del Manual, as como de velar por el cumplimiento y actualizacin
permanente del mismo para ofrecer un apoyo ptimo a la gestin de las reas involucradas.
8. Cualquier modificacin que surja en las polticas establecidas en este manual, ser realizada nicamente por
la VP de Procesos, quien es responsable de efectuar los ajustes pertinentes a cada caso, previa consulta con
las unidades responsables de los procesos.
9. Este manual es de uso exclusivo de bolvar Banco, por lo tanto se deber cuidar que su contenido se maneje
internamente y de forma confidencial, no podr ser distribuido, copiado o dado a conocer a terceras personas
sin la previa autorizacin de la Institucin. El mismo deber ser devuelto una vez terminada la relacin de
trabajo entre el Banco y el empleado.
10. El desconocimiento de las normas aqu descritas no justifica su incumplimiento, el mismo est sujeto a la
aplicacin de las sanciones establecidas de conformidad con la ley y el cdigo de tica del Bolvar Banco.
Manual de Polticas
1 MP.SO.001-01 11/07/2008 02/12/08


Organizacin de la Seguridad de la Informacin
Responsabilidad Interna
Vicepresidencia de reas
Autorizar las polticas de seguridad de la informacin y apoyar los objetivos que se pretenden cumplir con el
establecimiento de las mismas.
Gerencia de Seguridad Informtica
1. Participar en el proceso de elaboracin, revisin y comprobacin del cumplimiento de las polticas,
normas y procedimientos de seguridad de la informacin establecidos.
2. Administrar y controlar el acceso a las aplicaciones, sistemas operativos, controladores de dominio,
firewalls, IDS, VPN, Antivirus, ISA Server, Proxy, Filtrajes de Contenido, y todo activo de informacin que
por sus funciones sea responsabilidad de la unidad de seguridad informtica del banco.
3. Probar los niveles de seguridad de las diferentes aplicaciones que se adquieran y/o desarrollen.
4. Colaborar con los custodios de la informacin en los controles definidos por el propietario.
5. Clasificar los Activos de Informacin.
6. Controlar y monitorear continuamente los accesos efectuados a los activos de la informacin.
7. Monitorear los procesos de control de cambio y pases a produccin de los sistemas y aplicaciones
productivas.
Propietario de la Informacin
1. Evaluar el valor de la informacin.
2. Establecer niveles de control para su uso.
3. Definir los criterios para autorizar el acceso de los usuarios tanto internos como externos a la
informacin.
Manual de Polticas
1 MP.SO.001-01 11/07/2008 02/12/08


4. Autorizar la utilizacin de la informacin por otras entidades
Usuarios de la Informacin
1. Emplear la informacin slo para el propsito autorizado.
2. Establecer medidas que permitan evitar la divulgacin o uso de la informacin al personal no autorizado
Custodio de la Informacin
1. Asegurar la disponibilidad de la informacin.
2. Monitorear el acceso a los datos y procesos, con la finalidad de que sean efectuados slo por los usuarios
autorizados, tanto internos como externos.
3. Garantizar proteccin fsica y almacenamiento de la informacin.
4. Velar por el cumplimiento de los convenios de niveles de servicio.
Responsabilidad de Proveedores de Tecnologa y/o Terceros
1. Se garantizar, previo al otorgamiento de accesos a la informacin o a las reas de procesamiento de datos
a personal externo, remotos o en sitio, las responsabilidades en materia de seguridad de informacin queden
expresamente establecidas en los acuerdos contractuales, adems de firmar el documento de
confidencialidad y no divulgacin de la informacin.
2. El acceso de personal externo a la informacin ser controlado y asignado conforme al tipo de tarea requerida
y en cumplimiento a las polticas y normas establecidas para el control de accesos.
3. Los procesos relacionados con administracin de seguridad lgica y almacenamiento de informacin
correspondiente a servicios de tercerizacin, estarn bajo la responsabilidad del Banco, no se permitir la
transferencia de esta responsabilidad al Proveedor.
4. Los aspectos de seguridad de informacin para Proveedores de Tecnologa, debern sustentarse
adecuadamente mediante contratos formales definidos y aprobados entre las partes, contemplando lo
siguiente:
Manual de Polticas
1 MP.SO.001-01 11/07/2008 02/12/08


Descripcin de los servicios prestados, que incluya las caractersticas de equipos, sistemas, lenguajes
de programacin y bases de datos empleados; procedimientos de respaldos, polticas de seguridad,
entre otros.
Planes de trabajo detallados indicando el tiempo de ejecucin.
Acuerdos de niveles de servicios.
Establecimiento de responsabilidades de seguridad de cada parte, condiciones y limitaciones de uso de
los activos de informacin, propiedad de cdigos en los casos que aplique, calidad de cdigo, acuerdos
de custodia de cdigos por casos de quiebra, derechos de propiedad intelectual y licenciamiento e
indemnizaciones en caso de mal uso de las autorizaciones fraudes, daos u otra eventualidad que
afecte la continuidad de las operaciones, integridad y confidencialidad de la informacin.
Clusulas de confidencialidad.
Apego a las polticas de seguridad de la informacin establecidas en el Banco y cumplimiento de
requisitos legales ajustados a las regulaciones existentes en materia de seguridad de los activos de
informacin.
Derecho a procesos de auditora por parte del Banco, auditores externos y organismos de control o
regulatorios.
Procedimientos para garantizar la integridad, confidencialidad y disponibilidad de los activos de
informacin del Banco, resolucin de problemas, situaciones de contingencia, instalacin y
mantenimiento de tecnologa de informacin, control de cambios, entrenamientos de usuarios y
administradores de seguridad
Controles de seguridad fsica y lgico, que permitan garantizar la integridad, confidencialidad, efectividad
y disponibilidad de la informacin.
5. Los contratos establecidos con Proveedores de Tecnologa fuera del Territorio Nacional, deben incluir
adicionalmente los siguientes aspectos:
a. Responsabilidades por requisitos legales en materia de seguridad de informacin. conforme a las
regulaciones de los Organismos del Estado.
Manual de Polticas
1 MP.SO.001-01 11/07/2008 02/12/08


b. Controles de seguridad fsica y lgico de los servicios tercerizados conformes a las polticas del banco, a
fin de asegurar la integridad, confidencialidad, efectividad y disponibilidad de la informacin.
c. Procedimientos de contingencia para la continuidad de las operaciones.
d. Medidas de seguridad fsica para las reas protegidas en las cuales reside el equipamiento principal
tercerizado.
e. Informacin de los representantes legales del proveedor para su contacto en el territorio nacional.
f. Otras estipulaciones de seguridad segn se considere apropiado conforme al tipo de servicios prestado.

Manual de Polticas
1 MP.SO.001-01 11/07/2008 02/12/08


Clasificacin de los Activos de la Informacin
Inventario y Control de los Activos de la Informacin
1. Los activos de informacin de la Organizacin debern estar claramente identificados.
2. Todos los activos de informacin debern poseer un propietario y estar clasificados por su nivel de criticidad.
3. En cada rea de la Organizacin se debern definir los propietarios de los activos de informacin, quienes
debern establecer controles de proteccin y velarn por el cumplimiento de los mismos.
4. Deber disponerse de procedimientos adecuados para la actualizacin constante de los activos de
informacin, a los fines de permitir la ubicacin efectiva de los mismos
Clasificacin y Tratamiento de la Informacin.
Criterios para la Clasificacin de la Informacin.
1. Riesgos asociados a la exposicin de datos confidenciales de clientes y personal
2. Legislacin vigente relacionada con seguridad de la informacin
3. Valor o beneficios de la informacin expuesta ante terceros.
4. Costos por recuperacin de informacin en caso de prdida o alteracin de la misma.
5. Requerimientos especficos de uso de informacin compartida.
Niveles para la Clasificacin de la Informacin.
1. El propietario de la informacin ser el responsable de su clasificacin.
2. Toda la informacin manejada en el Banco debe ser clasificada tomando en cuenta las siguientes
categoras.
a. Informacin Reservada o Estrictamente Confidencial. Constituida por toda aquella informacin altamente
sensible, relacionada con los documentos o comunicaciones internas utilizadas en el Banco y que forman
parte de un proceso deliberativo previo a la toma de decisiones, que puedan afectar en forma significativa
los planes estratgicos, trmites de carcter legal, estabilidad y proyecciones financieras, etc.; cuya
Manual de Polticas
1 MP.SO.001-01 11/07/2008 02/12/08


propagacin no autorizada afectara a los socios o clientes que conforman el Banco. La informacin de
este tipo que se encuentre en Equipos o Dispositivos de Computacin ser resguardada tomando en
cuenta mecanismos de seguridad y polticas de control de acceso, a travs de las cuales se garantizar su
resguardo. El acceso a este tipo de informacin ser concedido previa autorizacin de la persona
responsable o propietaria de la informacin. Se considerar informacin reservada o estrictamente
confidencial: contraseas del personal y de los clientes, planes corporativos o estratgicos, outsourcing,
cdigos de encriptacin, etc. Informacin Confidencial. Agrupa informacin interna de reas o proyectos
de alta seguridad, no disponible o abierta a usuarios sin autorizacin dentro del Banco, y slo ser
comunicada fuera de las reas involucradas con previa autorizacin del propietario de la misma. Ser
considerada informacin confidencial las evaluaciones de empleados, combinacin de bvedas,
procedimientos internos de seguridad, informes de auditorias internas, etc
b. Informacin Interna. Agrupa informacin inherente al Banco que servir de soporte en todos los mbitos,
deber mantenerse dentro del Banco y sin disponibilidad externa, a excepcin de terceros involucrados
con previa autorizacin del responsable quienes debern estar comprometidos en no divulgar la misma.
Se considerar como informacin interna: material de entrenamiento, manuales, polticas internas,
boletines informativos, procedimientos administrativos, organigrama del banco, notas informativas,
circulares, etc.
c. Informacin Pblica: Agrupa informacin explcitamente aprobada por la Direccin del Banco para ser
divulgada con acceso pblico, debido a que no constituye riesgo para el Banco. Se considerar como
informacin pblica: notas de prensa, publicidad de productos y servicios, manuales de libre distribucin,
revistas del banco, instructivos de llenado de formas, etc.

Medidas de Seguridad por Nivel de Informacin
Se aplicarn medidas de seguridad por cada nivel de seguridad establecido. Dichas medidas se detallan en la
siguiente tabla.

Manual de Polticas
1 MP.SO.001-01 11/07/2008 02/12/08


Nivel de Clasificacin Tipos de
Actividades de
Procesamiento de
Informacin
Reservada Confidencial Interna Pblica
Etiquetado e
identificacin
Toda informacin Reservada
estar etiquetada o identificada
sealando su nivel de
clasificacin, indicndose en
forma expresa INFORMACIN
RESERVADA
Toda informacin Confidencial
estar etiquetada o identificada
sealando su nivel de
clasificacin, indicndose en
forma expresa INFORMACIN
CONFIDENCIAL
Toda informacin Interna
estar etiquetada o
identificada sealando su
nivel de clasificacin,
indicndose en forma expresa
INFORMACIN INTERNA
No aplica
Copias
No puede copiarse, a excepcin
de listas de distribucin
aprobadas
Puede copiarse con
autorizacin del propietario
No requiere autorizacin para
su copiado
No aplica
Distribucin
Canales autorizados mediante
lista de distribucin
Funcionarios y reas
autorizadas por el propietario
de la informacin
Todas las reas y unidades
del Banco
Interna /
Clientes del
Banco y
Pblico en
General
Transmisin /
Electrnica
Incluir claves de seguridad para
los archivos. No utilizar
Fax/correos electrnicos
personales o pblicos
Internamente se puede
transmitir por los medios
autorizados por el Banco.
Externamente se debe utilizar
claves de seguridad.
Transmisin permitida por el
Banco
Transmisin
permitida por
el Banco
Archivo /
Almacenamiento
Documentos y
archivos fsicos
De acceso reservado, se requiere
autorizacin del propietario/ Se
mantiene en bveda o cajas
fuertes
De acceso reservado, bajo
llave, se requiere autorizacin
del propietario/ Locker de
seguridad
Archivos del rea / no
requiere medidas especiales
de seguridad
No aplica
Desincorporacin
/Destruccin
Autorizacin por parte del
propietario y la alta Direccin del
Banco/ se destruye documento
original y copia / En medios
magnticos se debe borrar la
informacin
Destruccin de documentos y
borrado de cinta magnticas
con la autorizacin del
propietario
Destruccin de documentos y
borrado de cinta magnticas
No aplica
Manual de Polticas
1 MP.SO.001-01 11/07/2008 02/12/08


Seguridad Lgica

Control de Administracin de Accesos a los Sistemas.
Control y Administracin General
1. La administracin y control de los accesos en los diferentes sistemas internos y externos del Banco deber
efectuarse en forma centralizada, siendo la Gerencia de Seguridad Informtica el ente encargado de dicho
proceso.
2. Los procesos relacionados con usuarios en los diferentes sistemas del Banco, debern regirse por los
procedimientos formales de administracin y control de claves de acceso.
3. La asignacin de los cdigos de usuarios se realizar basndose en perfiles de usuario estndar por reas y
cargos, cumpliendo con una debida separacin de tareas.
4. Al momento de asignar los cdigos de usuarios a los propietarios de los mismos, se consignar una
documentacin escrita que describa las obligaciones en cuanto a su uso.
5. Se garantizar la actualizacin de la informacin de cdigos de usuarios en los diferentes sistemas conforme
al movimiento del personal por ingresos, traslados, desincorporaciones y ausencias justificadas.
6. Los accesos otorgados a empleados o funcionarios del Banco que se encuentren temporalmente inactivos en
sus funciones, debern permanecer desactivados hasta tanto se reintegren normalmente a sus labores.
7. Si somos predicadores de que la clave es intransferible porque colocamos en las polticas que se pueden
transferir temporalmente estamos en contra de nuestra misma poltica.
8. Para aquellos cdigos de usuarios que se encuentren inactivos sin justificacin conocida durante sesenta (60)
das consecutivos, deber cumplir con.
9. En los casos que el usuario no realice un uso continuo de la clave asignada, se proceder a la suspensin
temporal del cdigo de usuario y solo podr activarse a solicitud de dicho usuario
10. De no requerirse el cdigo de usuario asignado, se proceder a su eliminacin o bloqueo definitivo
Manual de Polticas
1 MP.SO.001-01 11/07/2008 02/12/08


11. Se mantendr un registro formal, automatizado o manual, de todos los cdigos de usuarios existentes en los
diferentes sistemas del Banco.
12. Deber realizarse una revisin peridica de los cdigos de usuarios registrados en los diferentes sistemas, a
fin de comprobar que existan slo los usuarios que se encuentren activos en el Banco y que sus permisos son
los correctos.
13. Se restringir la generacin y utilizacin de usuarios con mximos privilegios. En caso de requerirse la
asignacin de estos usuarios, se otorgarn en forma independiente a los accesos administrativos o
comerciales.
14. Se efectuarn revisiones peridicas de los accesos realizados por los diferentes cdigos de usuarios,
especialmente aquellos que poseen privilegios mximos y se revisarn peridicamente sus necesidades de
autorizacin.
15. Se dispondr de un perfil de usuario administrador de seguridad por cada sistema interno del Banco, el mismo
ser resguardado en sobre cerrado, pudindose utilizar en ausencia de los responsables de los procesos por
el personal autorizado por las Vicepresidencias de reas del Banco.
16. Las empresas propietarias de los Sistemas Externos del Banco; sern los encargados de la asignacin,
modificacin, desincorporacin y actualizacin de informacin de los cdigos de usuarios de dichos sistemas.
(con la previa autorizacin de la Gerencia de Seguridad Informtica y del dueo de la aplicacin en el banco)
17. Las gestiones que deban realizar las reas responsables de los Sistemas Externos del Banco por asignacin,
modificacin y desincorporacin de usuarios sern notificadas a la Gerencia de Seguridad Informtica, quien
velar por estos procesos y por la actualizacin de la informacin de usuarios en los diferentes sistemas.
Identificacin y Autenticacin de Usuarios.
1. Para a los diferentes sistemas de informacin del Banco se deber disponer de una identificacin de usuario
nica y una contrasea de uso confidencial.
2. El acceso a los recursos de tecnologa de informacin se realizar mediante mecanismos de autenticacin de
usuarios, tenindose como medio usual la utilizacin de contraseas; no obstante, se podrn establecer otros
medios de autenticacin, tales como, tarjetas de banda magntica y sistemas biomtricos.
Manual de Polticas
1 MP.SO.001-01 11/07/2008 02/12/08


3. La pantalla de inicio de sesin de los diferentes sistemas solicitar el cdigo de usuario y la contrasea
mostrada en forma enmascarada.
4. Deber procurarse en los diferentes Sistemas, Aplicaciones y/o Plataformas, la estandarizacin en la
nomenclatura del cdigo de usuarios y las polticas de seguridad para la definicin de contraseas. Los
cdigos de usuarios se establecern cumpliendo en lo posible con los siguientes aspectos.
a. Longitud mnima de siete (7) caracteres alfanumricos.
b. Asignar un cdigo de usuario nico por usuario en todos los sistemas.
5. La definicin de contraseas de usuarios deber controlarse a travs de parmetros de seguridad propios de
cada sistema, que garanticen niveles de seguridad adecuados, cumpliendo en lo posible con las siguientes
condiciones.
a. Longitud mnima de seis (6) caracteres
b. Permitir caracteres de tipo alfanumrico.
c. No permitir contraseas en blanco o por omisin.
d. No utilizar caracteres iguales consecutivos.
e. Bloquear las contraseas repetidas en cortos perodos de tiempo
f. La contrasea no debe ser igual al cdigo de usuario
6. Estos parmetros sern revisados peridicamente a fin de actualizarlos y adecuarlos a nuevas tecnologas y
requerimientos de seguridad.
7. En los sistemas de informacin del Banco, se aplicar la poltica de seguridad para establecer intervalos de
caducidad de contraseas como mnimo 30 das y mximo 60 das.
8. Al asignar los cdigos de usuarios por cada sistema, se establecer a la contrasea a un valor inicial y se
obligar al usuario a asignar una nueva contrasea en su primer inicio de sesin. El proceso de cambio de
contrasea debe ser obligatorio al momento de su asignacin. En caso de no solicitarse el cambio automtico
de contrasea en el primer inicio de sesin, se solicitar al usuario que proceda en forma inmediata al cambio
de la misma.
Manual de Polticas
1 MP.SO.001-01 11/07/2008 02/12/08


9. Se deber garantizar una administracin adecuada de las contraseas de usuario, evitando que las mismas
se almacenen en los sistemas sin proteccin.
10. En los sistemas que deban utilizarse contraseas compartidas, stas se asignarn nuevamente en el caso
que el responsable de una de las partes se retire del Banco o se traslade a otra rea.
Control de Acceso a la Red
Control y Administracin de Accesos a la Red
1. Todos los accesos a la red del banco debern autorizarse formalmente de acuerdo con el procedimiento de
solicitud de claves de acceso.
2. Cada usuario deber tener asignado un cdigo de usuario para hacer uso de los recursos de la red, sistemas
de informacin y servicios informticos que ofrece el Banco.
3. Se debern crear mecanismos de seguridad para facilitar las operaciones de administracin y control de
usuarios en el entorno operacional. Esto puede realizarse a travs de la implementacin de directivas de
grupos en el servidor de usuarios de red.
4. Todos los cdigos de acceso a los sistemas y recursos de cmputo de la red del Banco son personales e
intransferibles.
Accesos Remotos
1. Se limitar el acceso de forma remota a la plataforma tecnolgica, estaciones de trabajo, servidores,
dispositivos de comunicacin y seguridad, entre otros; por tanto slo se utilizar para las labores de
administracin, soporte tcnico y usuarios en aquellos casos en que se amerite, previa justificacin y
autorizacin.
2. Toda conexin a la red desde sitios externos o viceversa deber ser monitoreada a travs de mecanismos
de seguridad que controlen la entrada y salida del trfico de red.
3. Todo cdigo de usuario que amerite de accesos remotos deber ser autenticado y tener asignado un nombre
de usuario para hacer uso de los recursos de la red, sistemas de informacin y servicios informticos que
ofrece el Banco.
Manual de Polticas
1 MP.SO.001-01 11/07/2008 02/12/08


4. La utilizacin de computacin mvil cumplir con las condiciones fsicas y lgicas apropiadas para garantizar
la confidencialidad e integridad de la informacin. Por lo tanto, ser garantizado:
a. La identificacin y autenticacin de los usuarios.
b. Niveles de autorizacin y proteccin a la conexin de red establecida, mediante el establecimiento de polticas
de seguridad en los mecanismos de seguridad utilizados referidas a conexiones remotas.
c. La concientizacin de los usuarios en cuanto a los riesgos a los que est expuesto por el uso de computacin
mvil, para el cumplimiento con los controles adecuados durante su utilizacin en lugares pblicos, evitar la
posibilidad de robo o prdida de los dispositivos, proteccin de los mimos en condiciones de traslado,
cumplimiento de las recomendaciones del fabricante, etc.
Permisologa de Usuarios de Estaciones de Trabajo
1. Se establecern polticas de seguridad en el dominio de usuarios, a fin de proporcionar a cada usuario de los
equipos de computacin los accesos necesarios y slo aquellas aplicaciones estrictamente necesarias para el
desarrollo de las actividades destinadas a sus funciones.
2. Las permisologas de instalacin y desinstalacin de aplicaciones, se asignarn nicamente a usuarios
administradores.
3. Se restringir la asignacin de cdigos de usuarios administradores de forma local, a fin de garantizar que las
acciones de administracin del computador sean ejecutadas por el personal de sopote tcnico designado para
tal fin.
Seguridad de Acceso a las Aplicaciones
1. Se garantizar el acceso a los sistemas de informacin del personal autorizado, este acceso se otorgar
tomando en cuenta las funciones especficas de cada empleado externo, temporal, tiempo completo, etc y
accesos especiales autorizados por la Vicepresidencia de rea correspondiente al usuario y por los
propietarios de la informacin.
2. Los accesos a las aplicaciones se establecern conforme a la separacin de actividades, de forma que los
usuarios no podrn interferir con las funciones privadas de otros usuarios.
Manual de Polticas
1 MP.SO.001-01 11/07/2008 02/12/08


3. Los usuarios administrativos utilizarn el sistema estrictamente, por medio de mens, a excepcin de
aquellos que por la funcionalidad requieran hacer uso de procesos del sistema operativo o utilitarios del
sistema
4. Los reportes contendrn slo la informacin pertinente para la revisin por parte de los usuarios
correspondientes; en todo caso se procurar que no contenga informacin confidencial.
5. Se garantizar la generacin de rutinas o procesos automticos que minimicen el otorgamiento de usuarios
con mximos privilegios.
Seguridad en Entornos Operativos y Base de Datos
1. Se garantizar la autenticacin de usuarios para el acceso a la plataforma operativa de los servidores del
Banco.
2. Ser restringido el acceso a la plataforma operativa de los servidores de aplicacin de la institucin, el cual se
controlar a travs de usuarios con perfil de administrador, asignado nicamente al personal designado para
esta tarea.
3. Se debe minimizar la asignacin de usuarios genricos para la administracin de los entornos operativos.
4. Se velar por la notificacin oportuna al rea de tecnologa de las actualizaciones de seguridad del sistema
operativo, a fin de prevenir cualquier fallo detectado por el fabricante.
5. Todos los servidores de aplicaciones estarn ubicados en el centro de cmputo de la institucin, adecuado
para tal fin.
6. Se velar que en la plataforma operativa de los servidores del Banco estn instalados nicamente aquellas
aplicaciones requeridas para su operacin y administracin, evitando consumo de recursos necesarios para el
buen funcionamiento de los mismos.
7. Todos los servidores de la Institucin podrn ser objeto de revisiones peridicas y/o eventuales, a fin de
detectar posibles fallos a nivel de seguridad, configuraciones no permitidas para su funcionamiento,
vulnerabilidades de acceso a travs de puertas traseras, entre otros.
8. Debern centralizarse las labores de administracin y control del conjunto de Bases de Datos utilizados por
las aplicaciones del Banco.
Manual de Polticas
1 MP.SO.001-01 11/07/2008 02/12/08


9. Se establecer claramente las permisologas sobre objetos en las bases de datos (seleccionar, insertar,
actualizar, eliminar, entre otros) por parte de usuarios debidamente requeridos.
Conexin y Desconexin de Estaciones de Trabajo
1. Se deber procurar que en todo sistema informtico se establezca un lmite mximo de inicio de sesin fallida,
cuyo valor debe definirse como mnimo en tres (3) intentos.
2. Una vez alcanzado el nmero mximo de inicio de sesiones fallidas permitidas se inhabilitar el cdigo de
usuario. En caso que el sistema lo permita, adicionalmente se deber bloquear el dispositivo.
3. Los usuarios deben desconectar las sesiones activas si la estacin de trabajo queda desatendida, a
excepcin de aquellos casos en que pueda bloquearse el dispositivo.
4. Establecer un tiempo de espera para estaciones de trabajo desatendidas que permita su desconexin luego
de un tiempo determinado, tomando como base mnima quince (15) minutos.
5. Se podrn establecer horarios de acceso a los sistemas de acuerdo a los requerimientos particulares de cada
rea, limitando en lo posible los accesos fuera de la jornada normal de trabajo.
6. Si el sistema lo permite, se debern establecer limitaciones de acceso por dispositivo, a fin de asegurar que
los usuarios solo realicen la conexin en las estaciones autorizadas.
Pistas de Auditora de los Sistemas
Pistas Generales
1. Todos los sistemas debern generar registros de auditoria que permitan verificar los eventos de seguridad, los
cuales deben poseer como mnimo la siguiente informacin.
a. Identificacin del cdigo de usuario.
b. Fecha y hora de inicio y finalizacin de sesin.
c. Identificacin de la estacin de trabajo.
d. Nmeros de intentos exitosos y fallidos de acceso al sistema.
Manual de Polticas
1 MP.SO.001-01 11/07/2008 02/12/08


e. Registro de accesos a los diferentes mdulos y opciones de los sistemas.
2. Se podrn generar pistas de auditoras adicionales para obtener informacin de procesos especficos de un
sistema.
3. Se establecern periodos de permanencia de los registros de auditoria en los distintos sistemas. Dichos
registros se debern resguardar por un perodo mnimo de un ao.
4. Incluir dentro de la poltica de respaldo de archivos, las pistas de auditoras que se generen en los diferentes
sistemas, tomando en consideracin periodos de retencin especficos para cada uno de ellos.
5. Se velar por la sincronizacin de relojes de los equipos donde se encuentran alojados los diferentes
sistemas de informacin del Banco, a efectos de garantizar la veracidad de la informacin de auditoria
Auditora de Seguridad y Uso de los Sistemas
1. Las Unidades de Control realizarn un seguimiento constante de los eventos de seguridad de los diferentes
sistemas y los accesos efectuados por los usuarios. El monitoreo que se desarrolle puede ser a nivel de todo
el sistema y para todos los usuarios, para objetos especficos y para cualquier usuario que ellos determinen
sin previa notificacin, haciendo nfasis en los sistemas de misin crtica
2. Se establecern mtodos de monitoreo continuo de los usuarios con privilegios mximos, a fin de evitar
abusos por acceso a data o informacin reservada
3. Se revisarn peridicamente los resultados obtenidos de los procesos de monitoreo realizados en los
diferentes sistemas
4. Los resultados obtenidos del monitoreo de los sistemas, debern plasmarse en un informe cuando se
presuma, se observe o se detecte con bases slidas alguna irregularidad, dicho informe se entregar a la
gerencia respectiva, con el fin de efectuar las correcciones necesarias.
5. Se elaborar un informe de la gestin de monitoreo y auditora de los sistemas con una frecuencia anual,
resumiendo las auditoras realizadas para el perodo, detallando las incidencias de seguridad que se hayan
presentado y las posibles vulnerabilidades detectadas.

Manual de Polticas
1 MP.SO.001-01 11/07/2008 02/12/08


Seguridad Fsica

rea Protegidas
1. Se garantizar la seguridad fsica del Banco, instalaciones de reas Tecnolgicas, especialmente el Centro
de Cmputo, a travs de la utilizacin de mecanismos de seguridad fsicas adecuados.
2. El acceso a las instalaciones del Banco cumplir con las barreras fsicas necesarias que permitan restringir el
acceso solo al personal autorizado.
Control de Acceso Fsico a las reas Protegidas
1. El acceso fsico a las reas protegidas y a las reas de tecnologa, slo se permitir al personal autorizado.
Se deber garantizar la actualizacin peridica de las listas de personal autorizado a las reas protegidas,
especialmente las reas tecnolgicas y de equipamiento principal.
2. Los visitantes de reas protegidas sern inspeccionados y supervisados. Se registrar en las
correspondientes bitcoras la fecha y hora de su ingreso y correspondiente egreso
3. El acceso a las reas protegidas por parte de los visitantes se restringir con tarjeta de acceso u otros
dispositivos que identifiquen al personal autorizado.
4. El responsable del rea deber autorizar el acceso de los visitantes.
5. El personal de seguridad del banco deber identificar al visitante y entregarle carnet transitorio, el mismo
deber permanecer en forma visible durante su permanencia en las instalaciones.
Seguridad Fsica de reas Tecnolgicas y Equipamiento Principal
1. Las reas tecnolgicas del Banco contarn con los dispositivos necesarios para garantizar la seguridad de
las instalaciones y las personas que laboran en ella a objeto de permitir su salvaguarda frente a eventos
internos o externos.
Manual de Polticas
1 MP.SO.001-01 11/07/2008 02/12/08


2. La Sala de Servidores estar ubicada en una estructura slida, en un nivel alto, en rea que no requiere de
accesos innecesarios, en una zona que no corra el riesgo de inundaciones y en donde no est expuesta a
derramamientos de lquidos.
3. Todo Servidor deber encontrarse en el Centro de Cmputo. Las Terminales Principales de los Servidores
(Consolas Principales) han de ubicarse dentro de la Sala de Mquinas y no debern utilizarse para la
operacin de aplicaciones; cualquier excepcin deber ser justificada y autorizada.
4. La Sala de Servidores debern cumplir con las condiciones tcnicas exigidas por los fabricantes.
5. Se deber usar un piso falso en la Sala de Mquinas, bajo el cual debern existir canaletas portacables
soldadas a la estructura del piso falso que permitan el transporte del cableado de datos y el cableado
elctrico por separado.
6. Se velara por el resguardo de los planos y diagramas de conexiones de todos los equipos que se encuentren
en la Sala de Mquinas.
7. Se Garantizar el suministro de energa ininterrumpible conforme a las especificaciones de los fabricantes.
8. En la Sala de Mquinas se dispondr de al menos dos (2) equipos de aire acondicionado para proveer
respaldos y mantener la temperatura y humedad adecuada. Es importante que los equipos de aires
acondicionados estn conectados a los sistemas elctricos de emergencia, ya que en caso de un fallo
elctrico este servicio no ser suspendido. Tambin se debern tener adecuados dispositivos detectores de
temperatura y humedad.
9. Se garantizar la disposicin en lugares visibles de los equipos contra incendios y los sistemas para abortar
las alarmas.
10. Peridicamente debern probarse los detectores de incendio, los sistemas de alarmas visuales y auditivas,
as como los procedimientos de activacin y desactivacin de los sistemas de seguridad, con el fin de
comprobar su correcto funcionamiento, otorgndose el entrenamiento necesario al personal para que
garantice su adecuada utilizacin. Se tendr sealizaciones adecuadas de todos estos elementos.
11. No se permitir almacenar elementos inflamables dentro del rea destinada a los equipos.
12. La limpieza y mantenimiento de las reas tecnolgicas se efectuar en horas de poca actividad y bajo la
supervisin del personal de las mismas.
Manual de Polticas
1 MP.SO.001-01 11/07/2008 02/12/08


13. Las impresoras estarn situadas en lugares no accesibles al pblico para evitar a la obtencin de informacin
confidencial por personas no autorizadas. Para la impresin de salida de alta confidencialidad permanecer
junto a la impresora una persona autorizada mientras ocurra la impresin de la informacin.
14. Slo el gerente y el personal de produccin tendrn acceso ilimitado al rea de Produccin. El personal que
requiere acceder a las reas de Cmputo deber permanecer bajo supervisin del personal de produccin.
15. Se controlar el personal con ingreso a las reas protegidas, incluyendo la identificacin del empleado,
persona que autoriz el ingreso, objeto de la visita, hora de entrada, hora de salida, y firma del operador de
turno.
16. Toda persona que introduzca o retire un paquete, equipo, etc.; mostrar la autorizacin de los funcionarios de
seguridad para poder ingresar o salir del rea protegida.
17. Toda persona que salga del rea con un maletn, bolso, morral, caja, etc.; mostrar el contenido de los
mismos a un funcionario de seguridad.
18. El mantenimiento del equipamiento principal debe cumplirse en forma apropiada, a fin de asegurar la
disponibilidad del procesamiento.
19. La Gerencia de Seguridad Informtica ser notificada por la Vicepresidencia correspondiente, con
anterioridad de cualquier modificacin, reparacin, mantenimiento o trabajo que se requiera realizar por entes
externos o internos en las Unidades del rea de Tecnologa.
20. Se mantendrn estadsticas de problemas, tiempos entre fallas, tiempos de recuperacin, disponibilidad de
mquina, desempeo de mquina y de eventos que puedan degradar el rendimiento de cada servidor.
21. Slo el personal autorizado del rea de Tecnologa de Informacin tendr acceso al lugar en el cual se
encuentran almacenados los archivos de las bases de datos. En este sentido, debern definirse y
documentarse claramente los cargos, las funciones y actividades que ste tendr sobre las mencionadas
estructuras.
Escritorios y Pantallas
1. Los documentos y medios de almacenamiento de informacin externos debern ser resguardados en
archivadores o cualquier tipo de mobiliario seguro.
Manual de Polticas
1 MP.SO.001-01 11/07/2008 02/12/08


2. Las estaciones de trabajo debern ser bloqueadas cuando se encuentren desatendidas.
3. Se brindar proteccin a los puntos de recepcin de fax no atendidos.
4. Se establecer controles para la impresin de informacin confidencial.
5. Los equipos de fotocopiadoras debern estar protegidas por contraseas, o encontrarse bloqueadas fuera
del horario de trabajo.
6. Los puestos de trabajo debern permanecer ordenados, para ello, se utilizarn los recursos que suministra
la organizacin, tales como: archivadores, arturitos, carpetas archivadoras, etc.
Manual de Polticas
1 MP.SO.001-01 11/07/2008 02/12/08


Seguridad del Personal
Polticas Especficas
1. El rea de Anlisis de Riesgo de Seguridad efectuar controles de verificacin de documentacin en la etapa
de seleccin de nuevo personal
2. La Gerencia de Seguridad Informtica establecer documentos de acuerdos de confidencialidad o no
divulgacin de la informacin manejada en el Banco; stos sern firmados por el nuevo personal antes de
otorgar los accesos a las instalaciones. As mismo, sern actualizados en casos de cambios en los trminos
establecidos inicialmente.
3. Definir claramente las responsabilidades del empleado en lo que respecta a seguridad de informacin. En tal
sentido, todo supervisor de personal informar al usuario sobre las siguientes responsabilidades:
a. Definir claramente las responsabilidades del empleado en lo que respecta a seguridad de informacin
b. Mantener la confidencialidad de la informacin privada relativa a clientes de otras instituciones y/o del
propio del Banco.
c. Tomar las medidas preventivas para no utilizar, modificar, revelar o difundir datos reservados de carcter
confidencial que se hallen registrados en los sistemas de informacin del Banco.
d. Velar por el resguardo de la informacin general del banco, en tal sentido, no podr destruir, alterar o
inutilizar datos, programas o documentos escritos o electrnicos que afecten la operatividad del Banco y
alteren o destruyan los registros de los clientes.
4. Informar al personal sobre lo que se espera de ellos en materia de seguridad y asuntos de confidencialidad.
5. Proporcionar capacitacin a los usuarios en conceptos bsicos tales como: Nivel de autorizacin de acceso,
confidencialidad de la contrasea, reglas para cambio de contrasea y el uso apropiado de los recursos
informticos.
6. Crear conciencia de seguridad y capacitar al personal en lo relacionado a las polticas de seguridad de
informacin.
7. Establecer procedimientos para la prevencin, identificacin, notificacin y correccin de posibles incidentes
en materia de seguridad.
Manual de Polticas
1 MP.SO.001-01 11/07/2008 02/12/08


Seguridad en las Comunicaciones
Polticas Especficas
Se contemplar el uso de herramientas en funcin a las ltimas tendencias tecnolgicas que permitan el filtrado,
deteccin, monitoreo y resguardo de todos los procesos de comunicacin realizados a travs de la infraestructura
de red de bolvar Banco.
Infraestructura de Red
1. La infraestructura de red del Banco estar estructurada de acuerdo a las mejores prcticas de esquemas de
seguridad y operatividad.
2. Deber contemplarse el uso de mecanismos de seguridad que permitan establecer controles en los accesos y
procesos realizados desde y hacia la red del Banco. Dichos controles debern incorporarse a todos los
servicios relacionados con redes compartidas: correo electrnico, transferencia de archivos, acceso
interactivo, etc., entre ellos:
a. Definir niveles de acceso y restricciones que filtren el trfico a los recursos de la red, los cuales pueden
incluir limitaciones por fechas y horas.
b. Establecer controles que limiten la ruta de acceso entre terminales de usuarios y servicios de red
(caminos forzados).
c. Establecer herramientas para la prevencin y deteccin de intrusos.
d. Validar la instalacin de software antivirus y la actualizacin de las bases de datos de virus.
e. Establecer controles para restringir y detectar la introduccin de software malicioso que pueda afectar la
integridad de la informacin.
f. Concientizar a los usuarios en materia de seguridad de informacin a fin de asegurar el uso adecuado de
los recursos de red.
g. Deben disponerse de zonas con restricciones mnimas (zona desmilitarizada), para asignar los recursos de
la red que alberguen archivos, aplicaciones y/o informacin que pudiesen ser accedida por entes externos
Manual de Polticas
1 MP.SO.001-01 11/07/2008 02/12/08


Direccionamiento y Esquema de Red
1. Deber considerarse la existencia de toda la documentacin concerniente a la estructura de red del Banco,
donde se refleje el esquema de red utilizado, enlaces disponibles, entes involucrados y equipos utilizados.
2. En base al punto anterior, ser necesario realizar actualizaciones al esquema de red del Banco, cuando en
sta se hayan realizados modificaciones por inclusiones y/o eliminaciones de enlaces u otorgamientos de
accesos a la red.
3. Debern existir respaldos de los archivos de configuracin (imgenes de operacin) de todos los dispositivos
de interconexin (router, switch, IDS, entre otros) de la infraestructura de red del Banco, con fines de
garantizar su funcionamiento en caso de situaciones de contingencia.
4. Se mantendr documentado todo el esquema de direccionamiento de red usado en todo el Banco,
incluyendo: agencias, sedes, oficinas alternas, entre otros; que permita una administracin centralizada del
conjunto de segmentos y/o direcciones lgicas (IP) utilizada.
Conexiones Externas
1. Cuando se requiera otorgar enlaces o conexiones a la red del Banco a cualquier empresa o ente externo, se
debern establecer previamente los parmetros de conexin y los mecanismos de seguridad requeridos que
permitan garantizar la confidencialidad e integridad de la informacin
2. En caso que se necesite establecer conexiones desde la infraestructura de red del Banco, a cualquier otro
entorno operativo externo, debern estar claramente establecidos los mecanismos de seguridad que permitan
garantizar la confidencialidad e integridad de la informacin.
Proteccin de los puertos de diagnstico remoto
1. Se garantizar el acceso lgico a los equipos que contienen los puertos de diagnstico remoto, los cuales
permiten la ejecucin de actividades de mantenimiento por parte del personal de soporte tcnico interno o
externo.
Manual de Polticas
1 MP.SO.001-01 11/07/2008 02/12/08


Seguridad en Redes Inalmbricas
1. Debido a que el medio de transmisin utilizado por estas redes es el ambiente, es de carcter obligatorio
establecer mecanismos y controles de seguridad que restrinjan el acceso a la red por parte de usuarios no
autorizados.
2. Con fines de garantizar la operatividad de los equipos mviles (Laptops, PDAs, entre otros) pertenecientes a
usuarios autorizados con acceso a la red inalmbrica, se deber contemplar la configuracin de estos
equipos en todos los puntos de accesos a la red del Banco.
3. Aquellos equipos de escritorio (Desktop), los cuales no requieren constantemente ser reubicados, deben ser
configurados para conectarse slo en aquellos puntos de acceso (access point) ubicados en su entorno de
operacin.
Responsabilidades de Usuarios
1. Utilizar los recursos informticos con criterio de racionalidad, para las labores propias de su funcin o en
beneficio del Banco, evitando el uso de accesos a recursos de red pblicos cualquiera sea su ndole, que
puedan poner en riesgo la confidencialidad e integridad de la informacin del Banco.
2. Todos los equipos (Desktops, Laptops, entre otros) configurados para conexiones inalmbricas, debern
poseer medidas de seguridad activas y actualizadas (Anti-Virus, Anti-Spyware, actualizaciones, entre otros).
3. Los usuarios debern garantizar la proteccin de los equipos en caso que se encuentren desatendidos por
perodos prolongados de tiempo.
4. Es responsabilidad del usuario notificar en forma inmediata la prdida o extravo de equipos porttiles, a los
fines de proceder a desactivar el acceso del mismo en los niveles de seguridad establecidos.
5. En caso de presenciarse ingresos no autorizados a la red inalmbrica, se podr proceder sin previo aviso a la
desactivacin del dispositivo de conexin (Access Point) al cual se ingres sin autorizacin, pudiendo quedar
sin comunicacin aquellos usuarios autorizados conectados al mismo.
6. No estar permitido establecer conexin con otras redes inalmbricas, en caso de que puedan ser
visualizadas, y permitan conexiones no autorizadas
Manual de Polticas
1 MP.SO.001-01 11/07/2008 02/12/08


Uso de Servicios de Red
1. El acceso al correo electrnico, solo podr ser utilizado para fines laborales.
2. El contenido de los mensajes que sean transmitidos a travs del correo electrnico, deber ser de ndole
informativo, o bien de solicitudes de tipo administrativo para cubrir necesidades del rea que no involucren
procesos confidenciales y/o delicados, especialmente los que tengan impacto monetario.
3. No se deben difundir correos en cadena que contengan informacin de ndole personal.
4. Los correos cuyo contenido atente contra personal del Banco o cualquier tipo de sistema y todo aqul que sea
de carcter de alarma social y ajeno al mbito de operacin del Banco deber ser puesto en conocimiento de
la Direccin del Banco, a los fines de realizar el seguimiento correspondiente.
5. En los casos que se reciban mensajes con archivos adjuntos, se debe verificar el origen de los mismos para
descartar la presencia de virus informticos.
6. Debe existir un procedimiento de priorizacin de mensajes a objeto de garantizar su lectura oportuna por parte
del destinatario. En este sentido, el usuario ser el responsable de asignar prioridad al mensaje (Alta,
Normal o Baja), especialmente para los casos de mensajes cuya informacin se puede considerar de
criticidad Alta.
7. Respaldar la informacin recibida va electrnica que amerite de chequeos posteriores (solo informacin de
ndole laboral), en medios de almacenamiento externo, en el disco duro de su equipo o directamente en el
Servidor de la red (en el caso de tener la asignacin de espacio en disco).
8. Los mensajes de correo electrnico en el campo asunto no deben quedar vacos, ni usar el trmino En el
Texto. En el mismo, debe colocarse claramente un ttulo que identifique el tema a tratar, para as facilitar la
categorizacin de los mensajes.
9. Los mensajes de correos que originalmente se dirigieron a todos o a grupos grandes de usuarios deben
responderse nicamente solicitante; a excepcin que se trate de una respuesta que por su naturaleza y/o
contenido, necesariamente requiera ser conocida por todos ellos.
10. Los mensajes emitidos con informacin correspondiente al Banco, no pueden ser transmitidos a entes
externos al Banco; a excepcin de los casos que establezca la Direccin del Banco.
Manual de Polticas
1 MP.SO.001-01 11/07/2008 02/12/08


11. El acceso al Correo Electrnico por los administradores, se considera una violacin a la privacidad de los
usuarios. No obstante, se podr examinar cualquier informacin sin consentimiento o notificacin al
empleado, previa autorizacin por parte de la Direccin del Banco, en caso que se considere que se est
utilizando para la comisin de delitos informticos (Revelacin de Informacin, Fraude Electrnico,
Apropiacin de informacin de clientes y Apropiacin de informacin por medios electrnicos, uso personal,
etc.).
12. La dependencia encargada de la administracin de este servicio tendr potestad para monitorear y controlar
el trfico de mensajes, as como establecer medidas de seguridad que permitan resguardar la integridad y
confidencialidad de la informacin transmitida por va electrnica.
13. Se podrn crear controles adicionales a las cuentas que presenten un comportamiento sospechoso o que en
forma comprobada pongan en riesgo la seguridad.
14. En aquellos casos que se utilice Firmas en los correos, no se permitir el uso de Logos, Nombres de
Empresas y/o Datos que no sean los de bolvar Banco.
Seguridad y Acceso a Internet
1. El acceso a Internet ser habilitado de acuerdo a las necesidades concernientes al puesto de trabajo de cada
empleado.
2. Se procurar el establecimiento de un navegador (Browser) Web como predeterminado para la conexin a
Internet por parte de todos los empleados del Banco.
3. Se procurar la actualizacin oportuna del navegador Web utilizado, con el fin de corregir los posibles fallos o
bugs asociados a los mismos.
4. Se deber concientizar a los usuarios en el uso adecuado de Internet, a los fines de minimizar los riesgos
inherentes al mismo.
5. Podrn establecerse restricciones de horario para el uso de Internet, en los casos que por justificadas razones
sea solicitado por la Gerencia del Banco o funcionarios autorizados.
6. El uso va Internet de mensajera instantnea o canales de comunicacin en lnea, correo electrnico pblicos,
no estar permitido. Slo se podr otorgar en casos que se justifique su uso y deben estar relacionados con
investigaciones de seguridad de informacin.
Manual de Polticas
1 MP.SO.001-01 11/07/2008 02/12/08


7. Se deber evitar mantener pginas activas innecesariamente, a los fines de evitar consumo de ancho de
banda y/o congestin en los diferentes sistemas de comunicacin.
8. Se deber mantener activa la opcin de notificar cuando se accede de un servidor seguro a uno no seguro y
viceversa.
9. El uso de Internet deber ser monitoreado peridicamente. Podrn crearse controles adicionales a los
usuarios con acceso a Internet que presenten un comportamiento sospechoso o que en forma comprobada
pongan en riesgo la seguridad.
10. Se debe restringir la descarga de archivos que ponga en riesgo la estabilidad de la plataforma operativa
(ej.:.exe, .vbs, .js, .dll, etc.)
11. Se debe evitar la descarga de archivos de gran tamao que pudiesen mermar el ancho de banda necesario
para otras aplicaciones.
12. Utilizar herramientas para monitorear y supervisar el flujo de trfico de paquetes a travs de la red, con el fin
de detectar y solucionar anomalas, registrar usos indebidos o cualquier falla que provoque problemas en los
servicios de red.
13. Monitorear y supervisar el flujo de trfico de paquetes a travs de la red, con el fin de detectar y solucionar
anomalas, registrar usos indebidos o cualquier falla que provoque problemas en los servicios de la red.
Seguridad del Internet Banking
Mecanismos de Seguridad
1. Deber existir mecanismos de seguridad cnsonos a las ltimas tendencias tecnolgicas, que garanticen el
resguardo y confidencialidad de la informacin suministrada por los usuarios.
2. Se garantizar mediante el uso de certificados digitales la autenticidad del sitio Web.
3. Se garantizar mediante el uso de algoritmos de encriptacin la confidencialidad de los datos.
4. Se actualizar constantemente los mecanismos de seguridad acorde a las ltimas tendencias tecnolgicas
que garanticen la autenticidad, la integridad y la confidencialidad de la informacin compartida por los
usuarios y el Banco.
Manual de Polticas
1 MP.SO.001-01 11/07/2008 02/12/08


5. Se informar a los usuarios de las ltimas tendencias de fraude en Banca Virtual, con el fin de alertar y evitar
los mismos.
6. Se mantendr un histrico de las actividades realizadas por los usuarios a travs de Internet Banking, a fin de
disponer de la informacin pertinente para efectuar seguimientos y auditorias en caso de ser necesario
Seguridad de Acceso con Autenticacin de Usuario
1. Se garantizar la autenticacin de los usuarios mediante el uso de datos que lo identifiquen de forma nica y
mtodos de validacin de contraseas.
2. Se garantizar que en los servidores en los cuales se ingresen contraseas se realice bajo mecanismo que
mantengan su confidencialidad y aumente la proteccin contra programas y troyanos que espan las
secuencias del teclado y mouse (teclado-virtual, ocultamiento de contrasea, etc).
3. Se establece como datos de autenticacin de usuarios el nmero de su tarjeta, nmero de cdula de
identidad y una clave de acceso, la cual es generada en la agencia por el usuario correspondiente.
4. Es de carcter obligatorio el cambio de contrasea de cualquier usuario cuando ingresa por vez primera al
Internet Banking del Banco. En esta fase se le debe proporcionar a los usuarios la opcin de establecer una
(01) pregunta secreta y su respuesta correspondiente, as como tambin el tiempo de caducidad de la
contrasea ingresada (30, 60, 90 o 120 das).
5. En caso de olvido de contrasea de acceso por parte de cualquier usuario, se deber proporcionar una opcin
para el reestablecimiento de la misma, garantizando la respectiva autenticacin del usuario.
6. Como mecanismo de prevencin ante posibles suplantaciones de identidades, se requiere de la inactivacin
de usuarios luego de al menos tres (3) intentos consecutivos no satisfactorios.
7. Se deber garantizar respuestas oportunas a las solicitudes que se generen por concepto de olvido de
contrasea y de pregunta secreta, bloqueos de usuarios. Se debe asegurar la existencia de mecanismos
apropiados para canalizar los requerimientos de los clientes, incluyendo las quejas y sugerencias, los cuales
deben ser informados por la Direccin de Productos y Mercadeos.
Manual de Polticas
1 MP.SO.001-01 11/07/2008 02/12/08


Control de Acceso a la Aplicacin
1. Deben establecerse mecanismos adecuados para asegurar que los accesos a la aplicacin del Internet
Banking para efectos de mantenimiento, actualizacin, evaluacin, etc.; se realice respetando la segregacin
de funciones que debe existir entre los que desarrollan, administran y autorizan dichas actividades.
2. Todos los procesos relacionados con la aplicacin del Internet Banking deben ser objeto de revisin por parte
de las Unidades de Control del Banco, para garantizar que la segregacin de funciones se est cumpliendo
cabalmente.
Plataforma de Servidores Seguros
1. Los servidores destinados para ofrecer los servicios de Internet Banking, deben estar resguardados en un
rea que cumplan con todos los requisitos de seguridad fsica y lgica, de acuerdo a las mejores prcticas
para Centros de Cmputo.
2. Se debe asegurar que los servidores destinados para alojar los servidos del Internet Banking no posean
habilitados servicios no requeridos para sus procesos; tal como, Protocolos de transferencia de archivos FTP
y Telnet, y cualquier otro protocolo que no sea necesario para el buen funcionamiento del servicio.
3. El acceso a los servidores del Internet Banking desde y hacia Internet, debe estar protegidos tras mecanismos
y/o dispositivos de seguridad (Firewall, Detectores de Intrusos, Zona Desmilitarizada, etc.).
4. Se deben realizar pruebas peridicas a los servidores Web que albergan el Internet banking, a fin de evaluar
posibles vulnerabilidades en los mismos.
5. Los servidores del Internet Banking deben disponer de mecanismos de seguridad que permitan repeler
cualquier ataque o intento de acceso no permitido (Anti-Virus, Anti-Spam, actualizaciones, parches de
seguridad, etc.).
6. Es necesario garantizar que todos los procesos de actualizacin y parches de seguridad de la plataforma
operativa de los servidores del Internet Banking, sean realizados de forma frecuente y oportuna, por el
personal autorizado sin alterar el buen funcionamiento del servicio prestado.
7. Debe garantizarse la existencia de procedimientos formales que permitan la continuidad de las operaciones a
travs del Internet Banking en caso de contingencia, desde el propio centro de cmputo o desde un centro
alterno.
Manual de Polticas
1 MP.SO.001-01 11/07/2008 02/12/08


8. Establecimiento de medidas que aseguren la exactitud, culminacin, confianza y no repudio de las
transacciones.
Controles de Cambios
1. Todos los procesos concernientes a modificaciones y/o actualizaciones de cualquiera de las capas de
operacin del Internet Banking (Presentacin, Negocio y Base de Datos), deben ser realizadas slo por
personal acreditado, cumpliendo a cabalidad todas las etapas involucradas en la metodologa implementada
para el control de cambios.
2. Aquellos cambios y/o modificaciones relacionados con el contenido informativo del Internet Banking (que no
sea texto esttico), deben ser realizados por la Unidad de Banca Electrnica, debidamente aprobados por los
entes que correspondan, deben ser realizadas slo por personal acreditado.
3. Todos los procesos concernientes a modificaciones y/o actualizaciones de cualquiera hardware del Internet
Banking (servidores, routers, enlaces, u otros), deben ser realizadas slo por personal acreditado, cumpliendo
a cabalidad todas las etapas involucradas en la metodologa implementada para el control de cambios.
Cumplimiento de Requisitos Legales
1. Se debe garantizar que los clientes del Internet Banking dispongan de la informacin relacionada a los
servicios disponibles.
2. Los aspectos legales del servicio del Internet Banking deben contemplarse en la seccin de Trminos y
Condiciones, la cual debe contemplar los siguientes aspectos:
a. Disposiciones Generales.
b. Derechos de Propiedad Intelectual.
c. Proteccin de la informacin de la organizacin y los clientes.
d. Condiciones y limitaciones de uso de los servicios.
e. Condiciones de Privacidad.
f. Responsabilidades de las partes.
Manual de Polticas
1 MP.SO.001-01 11/07/2008 02/12/08


g. Infracciones a los requisitos legales.
h. mbito de aplicacin de la Ley.
Controles para la Proteccin y Auditora de las Redes
1. Se debe garantizar la administracin centralizada de los activos de informacin del banco, incluyendo, los
accesos a los sistemas operativos, bases de datos, aplicaciones, Controladores de Dominio, firewalls, IDS,
VPN, Antivirus, ISA Server, Proxy, Filtrajes de Contenido, entre otros.
2. Se deben establecer controles para administrar los accesos y monitorear los recursos y soporte de hardware
conectados a las redes constituidas en la organizacin, entre ellos, correo electrnico, Internet, enrrutadores,
firewall, y proxys; considerndose como mnimo aspectos relacionados con encriptacin, autenticacin de
accesos, Identificacin de estaciones, polticas de restriccin de accesos segn las necesidades de cada
servicio, limitacin de intentos de acceso fallidos, herramientas de monitoreo, entre otros.
3. Como mecanismo de seguridad se establecer la activacin de las auditoras de sucesos en el servidor de
dominio de usuarios. Las actividades a auditar, tomadas por la fragilidad de la accin, son las siguientes:
3.1Administracin de cuentas, proporcionando informacin referente a la creacin y modificacin de cuentas de
usuario y grupos de trabajo.
3.2 Cambio de directiva, activndose cuando se modifica una directiva que afecta a la seguridad, a los derechos
de usuario o a la auditoria.
4. Se considerar la activacin de auditorias y utilizacin de herramientas de monitoreo para identificar en formar
oportuna las brechas de seguridad o posibles intentos de violaciones al correo electrnico, Internet y equipos
de soporte a la red (enrrutadores, firewall, Proxy u otros). Los aspectos a monitorear y su frecuencia de
revisin, depender de anlisis de riesgo que se efecten para medir la criticidad de los procesos
involucrados y el valor o sensibilidad de la informacin implicada. Dentro de los procesos a auditar, se deben
contemplar:
a. Accesos autorizados (identificacin de usuarios, fecha y hora, tipo de evento, archivos ingresados, etc)
b. Accesos por usuarios con privilegios especiales (administradores, supervisores, etc.)
Manual de Polticas
1 MP.SO.001-01 11/07/2008 02/12/08


c. Intentos de accesos no autorizados (intentos fallidos, acciones o fallas en niveles de permisologa, alertas
de sistemas de deteccin de intrusos, etc.
d. Cambios e intentos de cambios en las configuraciones y controles de los sistemas de seguridad.
e. Los registros de auditora slo podrn ser accesados por administradores y por las cuentas que se creen
para revisiones por parte de las Unidades de Control. Estos registros sern utilizados para:
a. Emitir informes respecto a posibles problemas internos.
b. Ser utilizado como evidencia ante violaciones a reglamentos establecidos.
c. Detectar fallas en los sistemas
5. Se efectuarn pruebas de penetracin internas y externas en la red interna del banco, para evaluar los niveles
de seguridad existentes, las cuales se debern efectuar al menos una vez al ao. Es importante considerar la
disponibilidad, integridad y confidencialidad de los recursos, adems se ha de tener en cuenta lo siguiente:
a. Recursos que Requieren Proteccin.
b. Factores de Riesgo.
c. Medidas de Proteccin.

Manual de Polticas
1 MP.SO.001-01 11/07/2008 02/12/08


Encriptacin de Informacin
Eleccin de Algoritmos
1. Todos los algoritmos de encriptacin utilizados en los procesos de cifrado de informacin, deben ser
reconocidos y certificados por organismos de regulacin internacionales.
2. Dependiendo de la aplicacin y mecanismos de interoperatividad con otros sistemas, se deben tomar
consideraciones sobre la eleccin del algoritmo de cifrado a utilizar, a fin de homologar los algoritmos y
garantizar la integridad de la data intercambiada.
3. En caso de comprobarse vulnerabilidades o fallas de confiabilidad en los mecanismos implementados por
cualquier algoritmo de cifrado usado, deben tomarse medidas a fin de evaluar estado de la informacin
almacenada y pronta sustitucin por algn otro algoritmo de cifrado, en caso de ser necesario.
4. No est permitido el uso de algoritmos de cifrados propietarios, a menos que sean evaluados
exhaustivamente comprobando la integridad de sus procesos asociados.
5. En caso de no cumplirse el inciso anterior, se deben tomar las consideraciones pertinentes en cuanto al
manejo y resguardo de las claves utilizadas para la encriptacin.
Procedimientos de Sistemas Criptogrficos
1. Todas las claves relacionadas con procesos criptogrficos, deben ser resguardadas adecuadamente para
garantizar su confidencialidad y disponibilidad en los casos que amerite.
2. En aquellos casos que se requiera un mayor nivel de seguridad, para lo cual se hace necesario la
implementacin de procesos criptogrficos ms complejos, se deben disponer de procedimientos
documentados que abarquen:
2.1. Pasos para la ejecucin de los procesos.
2.2. Composicin de claves.
2.3. Seleccin de personal involucrado en la generacin de claves.
2.4. Implementacin de control dual de los componentes de las claves.
2.5. Responsabilidades asociadas.
2.6. Seleccin, control y resguardo de los dispositivos de seguridad para la generacin, insercin, obtencin
o administracin de datos criptogrficos.
Manual de Polticas
1 MP.SO.001-01 11/07/2008 02/12/08


Operaciones
Polticas Generales
1. Se debe garantizar la seguridad en todos los aspectos relacionados con las reas de produccin u
operaciones.
2. Los procesos ejecutados en las reas de procesamiento de informacin deben documentarse estableciendo
las responsabilidades por cada tarea, tiempos de ejecucin, procedimientos de continuidad de operaciones,
acciones para el manejo de fallas y errores, comunicacin con personal de soporte interno y externo, reinicio y
recuperacin del sistema.
3. Debe garantizarse el control del Planificador de Tareas, a efectos de evitar cambios no autorizados que
puedan afectar la continuidad de las operaciones.
4. El acceso a los sistemas por parte del personal de produccin debe otorgarse conforme a los requerimientos
tcnicos y funcionales del rea, evitando el acceso a los datos y programas.
5. La capacidad del equipamiento debe evaluarse en forma peridica, tomando en cuenta el procesamiento
actual y proyectarlo conforme a los planes de negocio y sistemas del Banco, a los fines de garantizar la
disponibilidad y adecuacin de los recursos a dichos requerimientos de capacidad.
6. Velar por una adecuada segregacin de funciones y responsabilidades que impida que un solo individuo
pueda ejecutar un proceso crtico. En tal sentido, se debe asegurar que el personal realice nicamente las
tareas contempladas en su cargo, manteniendo una separacin de actividades en los siguientes aspectos:
a. Utilizacin de los sistemas de informacin.
b. Operaciones de procesamiento.
c. Administracin de redes.
d. Administracin de sistemas.
e. Desarrollo y mantenimiento de sistemas.
f. Gestin de cambios.
g. Administracin y control de la seguridad.
Manual de Polticas
1 MP.SO.001-01 11/07/2008 02/12/08


Pases a Produccin de Sistemas o Cambios Tecnolgicos
1. El procedimiento de control de cambio debe garantizar que los pases a produccin se realicen una vez
completadas las fases definidas para tal fin, a fin de minimizar los incidentes que puedan afectar la
continuidad de las operaciones, resaltando los siguientes aspectos:
a. Pruebas y certificacin.
b. Aprobacin de todos los entes involucrados.
c. Cumplimiento de los requisitos de seguridad establecidos.
d. Documentacin de los procedimientos y capacitacin de los usuarios.
e. Requerimientos de procesamiento e impacto en otras aplicaciones o elementos tecnolgicos.
2. En los casos de cambios tecnolgicos o sistemas, se deber disponer de un plan de implantacin y prueba.
3. Se procurar la separacin de los ambientes de desarrollo, prueba y produccin, a fin de garantizar la
ejecucin adecuada de los controles de cambio y minimizar los problemas operativos por modificaciones no
autorizadas.
Control y seguridad de los medios de almacenamiento
1. Se establecern procedimientos para proteger documentos, medios de respaldo, datos de entrada/salida y
documentacin del sistema, a fin de prevenir los accesos no autorizados que puedan afectar la
confidencialidad, integridad y disponibilidad de la informacin.
Respaldos y Recuperacin de Informacin
1. Se establecern procedimientos para la realizacin de copias de respaldo, que contemplen copias de la
informacin, programas, aplicaciones, documentacin, bases de datos, entre otros; incluyendo los
procedimientos de recuperacin del sistema y de la informacin de manera separada e independiente.
2. Se determinarn perodos de conservacin de la informacin en las copias de respaldo durante los plazos que
sean definidos segn las regulaciones establecidas por entes supervisorios o legales y las necesidades del
Banco, determinadas por el propietario de la informacin y el administrador del sistema.
Manual de Polticas
1 MP.SO.001-01 11/07/2008 02/12/08


Administracin y Seguridad de los Medios de Respaldo
1. Los medios de respaldo deben clasificarse de acuerdo al nivel de clasificacin asignado conforme al tipo de
informacin que almacenen.
2. Velar por la existencia de procedimientos de etiquetado y manejo de los medios de respaldo y recuperacin.
3. Debe designarse una persona responsable para la ejecucin de las copias de respaldos tomando en
consideracin el tipo de Sistemas de Informacin.
4. Los procedimientos de copia de respaldo sern vlidos y aceptables nicamente si se ha verificado que la
copia es correcta, utilizando una herramienta de verificacin o restaurando parte del conjunto, para garantizar
que las copias estarn disponibles cuando sea necesario.
5. Se deben establecer pruebas rotativas respecto a la restauracin de las copias de respaldo con una
periodicidad previamente establecida, que debern incluir inspecciones para comprobar su presencia fsica y
lgica. Las pruebas y los resultados deben estar convenientemente documentados y, como consecuencia de
las mismas, se subsanarn las incidencias que se pongan de manifiesto durante su desarrollo.
6. Se debe velar por la existencia de copias de respaldo de cada uno de los software adquiridos en el Banco, el
cual debe ser ingresado y registrado en el sistema de control de medios de almacenamiento.
7. Se debe formalizar un procedimiento de recuperacin para las copias de respaldo, que incluya los procesos
de validacin intrnsecos a la operacin y la aceptacin de los usuarios que utilizan la informacin recuperada.
Este procedimiento debe garantizar la reconstruccin de la informacin en un tiempo razonable y en el mismo
estado que se encontraba en el momento de producirse la prdida o destruccin
8. Debe garantizarse el registro de incidencias cada vez que se realice la recuperacin de algn archivo o
informacin por parte del personal operativo.
Traslado y Almacenaje de los Medios de Respaldo
1. Debe disponerse de procedimientos que regulen la autorizacin, envo y recepcin de entradas y salidas de
medios de respaldo, incluyendo la identificacin de los responsables de dichas autorizaciones.
Manual de Polticas
1 MP.SO.001-01 11/07/2008 02/12/08


2. Se debern aplicar controles para salvaguardar los medios de respaldos que se transportan de un punto a
otro, a fin de evitar que la informacin pueda ser manipulada durante su transporte, tomando en cuenta los
siguientes aspectos:
a. Utilizar medios de trasporte o servicios de mensajeras de confianza y debidamente autorizados.
a.1El embalaje utilizado para los medios de respaldos debe garantizar la proteccin del contenido de
cualquier dao fsico que pueda surgir durante el trnsito, y/o a prueba de aperturas no autorizada (que
revelen cualquier intento de acceso). Dicho embalaje debe ser identificado y numerado para su
reconocimiento y manipulacin
a.2Los medios de respaldo deben ser ingresados a los centros de resguardo bajo la supervisin del personal
designado para su traslado.
3. Todo ingreso o retiro de informacin de los sitios de resguardo de respaldo, deber ser autorizada por el
custodio designado o persona en la que ste delegue, debiendo llevar un registro donde se detallen: medio de
almacenamiento, descripcin, motivos de la entrada o salida, nombre, cargo y firma de la persona que
requiere el respaldo, fecha de entrega y reintegro.
4. El acceso a las instalaciones de los centros de resguardo de respaldos del sistema, debe ser exclusivamente
por personas autorizadas.
5. Debern conservarse copias de respaldo de la informacin crtica del negocio conforme a los requerimientos y
periodos de retencin establecidos por los entes regulatorios, en localidades externas al rea de
Procesamiento de Datos, evitando su prdida en caso de siniestro de gran magnitud.
6. Garantizar que existan condiciones adecuadas para la proteccin fsica de documentos, diskettes, CDS,
cartuchos y otros medios de almacenamiento de informacin que contengan copias de respaldo en los sitios
de resguardo de respaldos del Banco.
7. Los almacenes de los medios de respaldo deben estar situados en reas Restringidas, con las medidas
adecuadas de proteccin fsica. El acceso a estas reas debe limitarse a aquellas personas debidamente
autorizadas.
8. Se debe verificar la definicin y correcta aplicacin de las medidas de proteccin de los medios de
almacenamiento, en cumplimiento con las recomendaciones del fabricante, a fin de garantizar la durabilidad
de los mismos, durante el perodo de almacenaje definido
Manual de Polticas
1 MP.SO.001-01 11/07/2008 02/12/08


Eliminacin de los Medios de Respaldo
1. Se debern definir y aplicar procedimientos de destruccin de copias y/o borrado de la informacin cuando ya
no sean necesarios o se desechen, tomando en cuenta los perodos de resguardos requeridos y la
obsolescencia o deterioro de los medios de almacenamiento.
2. Los mecanismos de destruccin debern aplicarse conforme al nivel de clasificacin asignado.
3. Los medios de respaldos que contengan informacin crtica deben ser destruidos fsicamente o sobrescritos
de manera segura, garantizando la imposibilidad de su recuperacin; por ejemplos (incineracin, triturado,
eliminando los datos o utilizando los medios en otras aplicaciones).
4. Se deber realizar un anlisis de riesgo a los medios de respaldos que se encuentren deteriorados o daados
y que contienen informacin crtica, para determinar si es necesario destruirlos, repararlos o desecharlos.
5. Se debe mantener un registro de los medios de respaldo eliminados que contienen informacin reservada o
confidencial, indicando: fecha de la eliminacin, hora de la eliminacin, procedimiento, motivo, persona que
lleva a cabo la eliminacin.
6. Los medios de respaldo a reutilizar, deben ser verificados posterior a su reutilizacin para corroborar que la
informacin fue borrada o sobrescrita adecuadamente.
Seguridad de la Documentacin del Sistema
1. Se debe garantizar la proteccin de la documentacin del sistema contra accesos no autorizados; en tal
sentido, es necesario:
a. Establecer medidas de proteccin adecuadas de acuerdo al nivel de criticidad, en las diferentes
actividades de procesamiento de informacin, entre ellas, copia, distribucin, transmisin electrnica
(especialmente en redes pblicas), almacenamiento, etc.
b. El propietario de la informacin debe establecer y mantener actualizadas listas de autorizacin de acceso
a la documentacin del sistema.
Manual de Polticas
1 MP.SO.001-01 11/07/2008 02/12/08


Adquisicin, Desarrollo y Mantenimiento de Sistemas de Informacin
Polticas Generales
1. Se deber garantizar que los aspectos de seguridad de la informacin sean contemplados en forma adecuada
en el proceso de adquisicin, desarrollo y mantenimiento de sistemas de informacin.
2. Los elementos de seguridad debern identificarse y aprobarse en los pasos previos al diseo y desarrollo de
los sistemas, lo cual deber documentarse apropiadamente.
Controles de Seguridad de los Sistemas de Informacin
1. Se debern contemplar controles de seguridad en todo el ciclo del sistema, en lo que se refiere a generacin
del dato, ingreso del dato, procesamiento, almacenamiento, emisin de reportes y consultas, a objeto de
asegurar la integridad y confidencialidad de la informacin.
2. El ingreso de datos debe efectuarse cumpliendo con los siguientes controles bsicos:
a. Deben existir datos obligatorios y opcionales y rango de valores de datos.
b. Contemplar validaciones de campos numricos, fechas, alfabticos, otros.
c. Contener condiciones de error que no puedan ser consistentes fsica o lgicamente que no paralicen el
procesamiento, sino que reporten las ocurrencias para accin inmediata en los sistemas.
d. Poseer mensajes de errores claros y comprensibles por parte del usuario, de tal forma que se pueda tomar
una accin correctiva rpidamente.
3. Los controles de la aplicacin deben ajustarse al sistema desarrollado, y deben determinarse en base a
requisitos de seguridad y anlisis de riesgos, a fin de garantizar la integridad de los datos durante su
procesamiento.
4. Deben tomarse en consideracin controles para el procesamiento interno, que permitan detectar en forma
oportuna cualquier alteracin o corrupcin de la informacin, ya sea por fallas o acciones deliberadas.
5. Debe existir una documentacin adecuada de los programas donde se encuentren contempladas todas las
circunstancias que se puedan presentar cuando la aplicacin se encuentre en uso.
Manual de Polticas
1 MP.SO.001-01 11/07/2008 02/12/08


6. Los datos de salida de la aplicacin deben ser validados efectivamente para corroborar la efectividad del
procesamiento.
Proteccin de la Informacin
1. Se deben contemplar mecanismos de seguridad en los sistemas desarrollados, que permitan garantizar la
confidencialidad e integridad en el almacenamiento y trnsito de la informacin sensible.
2. Se debe determinar el tipo y nivel necesario de seguridad en los datos, a fin de seleccionar y aplicar los
controles adecuados.
3. Definir procedimientos de recuperacin de la informacin de acuerdo a los mecanismos de seguridad
utilizados, en caso de prdida.
Seguridad de los Componentes de la Aplicacin
1. Se debe disponer de controles adecuados que garanticen la proteccin de los archivos del sistema, entre
ellos:
a. Centralizar el proceso de actualizacin de los componentes del sistema.
b. Las bibliotecas contentivas de los programas fuentes deben estar localizadas en ambientes separados del
rea de produccin.
c. El control y administracin de los programas fuentes de las aplicaciones ser responsabilidad del rea de
Tecnologa, centralizando dicha funcin en un responsable por esta rea.
d. Los programas fuentes de los sistemas adquiridos o desarrollados deben ser colocados en bibliotecas
especiales, determinando quienes pueden actualizarlos y pasarlos a ambiente productivo.
e. Mantener registros de auditoria de los accesos y actualizaciones efectuadas en los programas fuentes y
sus libreras.
f. Velar por el respaldo y resguardo de las versiones anteriores de programas fuentes y objetos.
Manual de Polticas
1 MP.SO.001-01 11/07/2008 02/12/08


g. Garantizar el cumplimiento de los procedimientos de control de cambio para todos los casos de
restauracin de programas fuentes entre los diferentes ambientes establecidos (produccin, calidad y
desarrollo).
h. Efectuar todas las pruebas y certificaciones requeridas de los objetos ejecutables de un sistema de
informacin, previo a su implantacin en ambiente productivo.
i. El acceso lgico o fsico de proveedores que participen en el desarrollo o mantenimiento de sistemas de
informacin, deben ser debidamente autorizadas y monitoreadas.
j. Se debe crear un plan adecuado para asignar la propiedad de los objetos cuando se pasa una aplicacin a
Produccin.
k. Se debe procurar un ambiente de pruebas controlado para las tareas de certificacin y prueba de los
sistemas.
l. Velar por que los programas en desarrollo o mantenimiento no sean almacenados en las bibliotecas de los
programas fuentes, mientras no son certificadas y aprobadas su funcionalidad y operatividad.
m. Slo el administrador de base de datos tendr la autoridad para hacer cambios a la biblioteca del sistema
administrativo de bases de datos.
n. Velar por que el administrador de base de datos establezca procedimientos escritos para la recuperacin
de las bases y estructuras de datos, en caso de una destruccin total o parcial, los cuales debern ser
revisados y avalados por el personal de auditoria de sistemas y la unidad de seguridad de los activos de
informacin y custodiados adecuadamente a fin de evitar accesos irrestrictos.
o. Velar por la implementacin de copias de seguridad de las estructuras y bases de datos, as como, los
procedimientos de recuperacin para asegurar la disponibilidad de la base de datos.
Seguridad de los Procesos de Control de Cambios
1. Se debe procurar la separacin de los entornos de Desarrollo y Produccin.
2. Toda modificacin efectuada en los sistemas de informacin del banco, debe estar debidamente
documentada y justificada.
3. Todo requerimiento o cambio deber ser aprobado por los usuarios propietarios de la informacin y el Comit
Tcnico de Control de Cambio, el cual tiene como responsabilidad la supervisin de las actividades
Manual de Polticas
1 MP.SO.001-01 11/07/2008 02/12/08


relacionadas con controles de cambio, su revisin, medicin de impacto y aprobacin una vez se cumplan
todos los procesos de prueba y certificacin requeridos, previo a su puesta en ambiente productivo.
4. Todos los sistemas adquiridos, desarrollados o modificados deben cumplir con todas las etapas de la
Metodologa de Control de Cambio, entre ellos:
a. Debe cumplirse en forma satisfactoria con todas las pruebas unitarias e integrales que garanticen el
funcionamiento y resultados deseados de los sistemas de informacin, adquiridos, desarrollados o
modificados antes de proceder a su implantacin en ambiente de produccin, en las cuales debe participar
el usuario propietario y el Comit Tcnico de Control de Cambio (Artculo 80).
b. Se dejar evidencia de los procesos de prueba realizados y los mismos deban estar firmados por las reas
involucradas en el proceso de prueba y certificacin (Artculo .80).
c. Aprobacin de todas las reas participantes.
d. Se revisar el cdigo fuente del sistema antes de ser colocado en el ambiente de produccin, a fin de
verificar que no exista cdigo no deseado.
5. Se garantizar que el personal de desarrollo y mantenimiento de sistemas no pueda implantar o ejecutar
cambios en el ambiente productivo del banco.
6. Posterior a la implantacin del sistema se realizar una evaluacin del mismo, a fin de determinar si ha
logrado satisfacer los objetivos establecidos.
Desarrollo o Mantenimiento Externo de Sistemas de Informacin.
Se considerarn los siguientes aspectos, en los casos de requerirse la tercerizacin para el desarrollo o
mantenimiento de sistemas de informacin:
1. Se deben contemplar los aspectos en los acuerdos contractuales descritos en la Responsabilidad de
Proveedores de Tecnologa y/o Terceros. Pgina 10
2. Los programas de desarrollo externo deben cumplir con las normativas internas relacionadas con la
documentacin, seguridad y estndares generales de las aplicaciones.
Manual de Polticas
1 MP.SO.001-01 11/07/2008 02/12/08


3. Se debe garantizar la ejecucin de todas las pruebas y certificaciones requeridas de los desarrollos
realizados; as como suministrar toda la informacin tcnica referida a la instalacin, manuales de usuario y
documentacin del sistema y dems requerimientos conforme a lo estipulado en los procedimientos de
controles de cambio, previo a su puesta en marcha en ambiente productivo.
4. Los proveedores externos de sistemas de informacin solo podrn tener acceso al ambiente de desarrollo.
5. En caso de que los proveedores requieran para el desarrollo o mantenimiento de sistemas de informacin la
utilizacin de conexiones remotas, se debe asegurar que se cumplan con las exigencias mnimas de
seguridad de acuerdo a los estndares establecidos.

Manual de Polticas
1 MP.SO.001-01 11/07/2008 02/12/08


Plan de continuidad del Negocio
Polticas Generales
1. Debe disponerse de Planes de Continuidad del Negocio que garanticen la continuidad de las operaciones
crticas en caso de situaciones de emergencia que produzcan paralizacin parcial o total de la capacidad
operativa del Banco. Para tal efecto, se debern establecer las pautas a seguir para su desarrollo,
actualizacin, prueba y puesta en marcha.
2. El Plan de Continuidad del Negocio tiene por objetivo principal la recuperacin de los procesos crticos en
mrgenes de tiempo y niveles de servicios acordes a las necesidades de las distintas unidades de la
Organizacin.
Evaluacin de Riesgos y Anlisis de Impacto
1. A los fines de establecer el Plan de Continuidad del Negocio se deber efectuar un anlisis detallado de los
posibles eventos que puedan afectar parcial o totalmente las actividades del Banco, para lo cual se debern
considerar las necesidades de recursos y el impacto producido por dicha interrupcin, tomando en cuenta
adems los aspectos econmicos y financieros, y el impacto relacionado al periodo de recuperacin.
2. A partir de la evaluacin realizada se deber desarrollar una estrategia de recuperacin que permita definir los
aspectos que se deben considerar para desarrollar los planes de continuidad del negocio.
Desarrollo, Prueba y Puesta en Marcha de los Planes de Continuidad del Negocio
1. El Plan de Continuidad del Negocio debe contemplar lo siguiente:
a. Personal responsable de evaluar las contingencias presentadas y determinar las acciones a tomar antes
de iniciar los procedimientos definidos
b. Responsables por cada proceso y rea de la Organizacin, incluyendo el personal de relevo en los casos
que corresponda.
c. Acciones a tomar mientras dure la contingencia.
Manual de Polticas
1 MP.SO.001-01 11/07/2008 02/12/08


d. Procedimientos que le permitan al banco administrar el personal que labora en el rea de tecnologa con el
fin de cumplir con un plan de contingencia general; en tal sentido dicho personal deber estar dispuesto a
ser ubicado en tiempo de desastre y das feriados.
e. Procedimientos de respuestas para regresar el rea al estado en que se encontraba antes de que
ocurriera el incidente o desastre conforme a los tiempos de respuesta definidos por las reas del banco.
En tal sentido, se debern identificar los requerimientos de respaldo por reas para el establecimiento de
los procedimientos a seguir en la restauracin o recuperacin de datos crticos para el negocio.
f. Procedimientos para salvaguardar y reconstruir las instalaciones.
g. Procedimientos de emergencia para asegurar la integridad del personal.
h. Acciones a tomar para realizar el traslado del personal clave a ubicaciones temporales.
i. Procedimientos de coordinacin con las autoridades pblicas.
j. Procedimientos de comunicacin entre empleados, clientes, proveedores, accionistas, gerentes, etc.
k. Procedimientos sobre informacin crtica.
l. Clasificacin y prioridad de los sistemas que permitan definir el orden de operacin en caso de requerirse
la suspensin parcial del procesamiento.
m. Documentacin de las pruebas requeridas para asegurar la efectividad de los planes.
2. Los Planes de Continuidad del Negocio deben incluir informacin relacionada con las personas contactos y/o
responsables por las distintas unidades del banco, personal de tecnologa y servicios informticos llevados
por proveedores externos.
3. Deber garantizarse la elaboracin de un plan detallado de pruebas que permita evaluar los procedimientos
definidos previo a su implantacin, adems de permitir que el personal se capacite en las actividades a
realizar durante la contingencia.
4. El plan de pruebas debe contemplar la operatividad real de cada rea organizativa, asegurndose el nivel de
servicio en la medida de lo posible. Para tal efecto ser necesario programar en forma anticipada la
realizacin de los simulacros respectivos, a los fines de involucrar a todo el personal requerido.
Manual de Polticas
1 MP.SO.001-01 11/07/2008 02/12/08


5. Las pruebas deben asegurar que los procedimientos y responsabilidades se encuentran acordes, el personal
comprende y ejecuta en forma apropiada los procesos definidos y los tiempos de respuesta se ajustan a los
plazos establecidos.
6. La documentacin del proceso de pruebas constituye la base para efectuar las revisiones que sean
necesarias conforme a los resultados no esperados. Una vez realizados los correctivos se podr proceder a
su aprobacin definitiva.
7. Previo al proceso de puesta en marcha de los Planes de Continuidad del Negocio se deber garantizar que el
personal cuente con el entrenamiento necesario para atender cualquier contingencia.
Mantenimiento y Actualizacin de los Planes de Continuidad del Negocio
1. Los Planes de Continuidad del Negocio sern objeto de revisin al menos una vez al ao, a los fines de
verificar su adecuacin y validez conforme a los distintos procesos y actividades de la Organizacin.
2. En los procesos de actualizacin, se debe contemplar la informacin relacionada con el personal, procesos de
negocio, instalaciones, cambios de hardware y software, personal externo y riesgos.

Manual de Polticas
1 MP.SO.001-01 11/07/2008 02/12/08


Cumplimiento Legal
Polticas Generales
1. Se garantizar el cumplimiento de cualquier ley civil o penal, requisito reglamentario, regulaciones
establecidas por entes u organismos de control, obligaciones contractuales y todas las polticas, normas y
procedimientos en los cuales se establezcan los requisitos de seguridad para la proteccin de los activos de
informacin del banco.
2. Todos los requisitos legales, regulatorios y contractuales en materia de seguridad informtica deben
mantenerse documentados y actualizados.
3. Se deben establecer medidas adecuadas para mantener informados a todos los usuarios que hacen uso de
los activos de informacin del banco de su responsabilidad en materia de seguridad informtica, a fin de
prevenir cualquier accin intencional o no, que pueda afectar la seguridad de la Institucin.
4. Mantener informados a los usuarios sobre el alcance otorgado a sus derechos de acceso; adems deben
estar en conocimiento de que se realiza un registro de actividades del uso de los servicios a los cuales tiene
acceso (aplicaciones, Internet, correo electrnico, etc.).
5. Todos los usuarios debern estar vigilantes ante cualquier hecho irregular que afecte a los activos de
informacin del banco y proceder inmediatamente a su reporte al supervisor inmediato o al rea que
corresponda, segn procedimientos formales para la notificacin de incidentes de seguridad.
Conformidad con las Polticas de Seguridad Informtica
1. Se deben realizar revisiones regulares para verificar el cumplimiento de las polticas, normas, procedimientos
y estndares de seguridad informtica, a objeto de asegurar la efectividad de los controles establecidos.
2. Los Vicepresidentes, Gerentes y personal de supervisin en general deben velar por el efectivo cumplimiento
de todas las polticas, normas y procedimientos de seguridad dentro de su rea y mbito de responsabilidad.
En tal sentido, deber realizar procesos de revisin regulares de las polticas y procesos de seguridad, a fin
de:
a. Identificar los actos o desacatos a las regulaciones y normativas de seguridad internas o externas
asociadas a seguridad informtica.
Manual de Polticas
1 MP.SO.001-01 11/07/2008 02/12/08


b. Evaluar la necesidad de establecer acciones para asegurar que los actos o desacatos no se vuelvan a
presentar.
c. Definir e implementar las acciones correctivas que se requieran.
d. Garantizar la efectividad de las acciones correctivas implementadas.
Sanciones por Uso Indebido de los Activos de Informacin e Infracciones a las Polticas de Seguridad
Informtica
1. En caso de detectarse y/o comprobarse cualquier accin intencional o no, dirigida a violar la seguridad de los
activos de informacin del Banco y las Polticas de Seguridad de Informacin establecidas en el presente
documento y normadas a partir de los diferentes procedimientos establecidos para garantizar su aplicacin; el
Banco se reserva el derecho de tomar cualquier accin legal y/o disciplinaria que considere pertinente
tomando en cuenta la gravedad de la falta y la reincidencia en la misma. Se consideran infracciones los
siguientes hechos o acciones:
a. Intentos de violacin de la seguridad de los recursos informticos.
b. Violacin comprobada de sistemas internos y/o externos.
c. La apropiacin indebida, uso no autorizado o mal uso de los activos y equipos de informacin del Banco.
d. Compartir sin aprobacin, activos de informacin o dispositivos de acceso (Ej. Cuentas de usuario,
contraseas, claves de seguridad, tarjetas electrnicas, etc.).
e. Usurpacin de identidad (acceso ilegtimo a servicios, envo de correos bajo el nombre de otra persona).
f. Utilizacin indebida de los recursos de informacin, tal como, usar, sustraer, destruir, ocultar, inutilizar,
duplicar, divulgar o alterar, total o parcialmente y de manera indebida informacin propiedad del Banco
bolivar Banco, que se encuentre bajo su custodia o a la cual tengan acceso o conocimiento con motivo de
su cargo o funciones encomendadas.
g. Utilizacin sin autorizacin software que no est licenciado o autorizado (incluyendo freeware, shareware y
software de dominio pblico) para el uso en los sistemas y redes internas del banco.
h. Clasificar como Reservada, informacin que no cumple con las caractersticas sealadas en la poltica.
Manual de Polticas
1 MP.SO.001-01 11/07/2008 02/12/08


i. Entregar informacin considerada como Reservada o Confidencial, sin la autorizacin del propietario.
j. No proporcionar la informacin o entregar de manera incompleta, informacin requerida en una solicitud de
acceso con fines de auditoria o inspeccin por entes gubernamentales y de control.
k. Utilizar las vulnerabilidades de acceso de las redes internas o de los sistemas del banco para ingresar sin
autorizacin.
l. Utilizacin de cualquier medio, diferente a los establecidos, para acceder a los servicios sin la debida
autorizacin.
m. Crear condiciones que hagan peligrar innecesariamente las operaciones de los sistemas y redes. Esto
incluye mecanismos de seguridad que degraden el desempeo y que afecten la continuidad del negocio.
n. Conectar computadoras u otros dispositivos a las redes del Banco, sin previa autorizacin de las reas de
Tecnologa y/o Seguridad Informtica.
o. Realizar ataques de negacin de servicio contra los sistemas y redes del Banco.
p. Permitir o facilitar la entrada de virus o cdigos maliciosos a los equipos de computacin.
q. Uso indebido del servicio de correo electrnico e Internet (actividades ilcitas con software, robo de
contraseas, actividades ilcitas en otros equipos; acceso o intercambio de pornografa o materiales
indecentes o informacin no relacionada con las actividades profesionales asignadas, envo de mensajes
electrnicos discriminatorios o de hostigamiento, etc.).
r. No reportar alguna actividad irregular que se conozca.
s. Cualquier otro acto que se considere incumplimiento de las obligaciones definidas en estas polticas y en
los procedimientos relacionados a la misma.
2. El incumplimiento por parte del usuario de una o ms hechos mencionados anteriormente, puede acarrear la
aplicacin de acciones disciplinarias, la cual depender de lo grave de la conducta y la reincidencia de la falta.
En tal sentido, se detallen a continuacin las posibles sanciones:
a. Mensaje de concientizacin al usuario por parte del administrador del servicio o activo involucrado.
b. Carta de Amonestacin por parte del Supervisor inmediato.
Manual de Polticas
1 MP.SO.001-01 11/07/2008 02/12/08


c. Carta de Amonestacin por parte de la Vicepresidencia de Gestin Humana o bien del Supervisor
inmediato, con copia al expediente del empleado o funcionario.
d. Suspensin y posterior baja del sistema de cuenta de correo electrnico e Internet u otro sistema al cual
tenga acceso y este realizando uso indebido; por lo cual estar sujeto a las siguientes sanciones de
acuerdo a la gravedad y a la reincidencia en la falta:
e. Suspensin temporal o parcial de servicios (Correo e Internet). Esta medida puede tomarse incluso con
carcter preventivo y sin aviso previo, si llegara a detectarse alguna actividad ilegal o peligrosa originada
en el buzn de correo del usuario.
f. Suspensin definitiva de servicios informticos.
g. Suspensin del empleo.
h. Destitucin del puesto.
i. En caso que la infraccin se genere por delitos informticos comprobables, cometidos a terceros,
utilizando la red del Banco, se proceder de acuerdo a las regulaciones establecidas en los artculos N
444, 445, 446, 447 de la exposicin del Decreto N 1.526 con fuerza de Ley de Reforma de la Ley General
de Bancos y Otras Instituciones Financieras de fecha martes 13 de Noviembre de 2001, las cuales se
detallan a continuacin:
Revelacin de Informacin
Artculo 444: Los miembros de la junta administradora, directores, administradores, funcionarios o
empleados del banco, institucin financiera o casa de cambio, o cualesquiera de las personas sometidas al
control de la Superintendencia de Bancos y Otras Instituciones Financieras en virtud de el presente
Decreto Ley, que en beneficio propio o de un tercero utilicen, modifiquen, revelen o difundan datos
reservados de carcter confidencial que se hallen registrados en medios escritos, magnticos o
electrnicos, sern penados con prisin de ocho (8) a diez (10) aos. Con la misma pena sern
sancionados los miembros de la junta administradora, directores, administradores, funcionarios o
empleados del banco, entidad de ahorro y prstamo, institucin financiera o casa de cambio, o
cualesquiera de las personas sometidas al control de la Superintendencia de Bancos y Otras Instituciones
Financieras en virtud de el presente Decreto Ley, que sin justa causa destruya, altere o inutilice datos,
programas o documentos escritos o electrnicos.
Manual de Polticas
1 MP.SO.001-01 11/07/2008 02/12/08


Fraude Electrnico
Artculo 445: Quien a travs de la manipulacin informtica o mecanismo similar, con nimo de lucro,
efecte una transferencia o encomienda electrnica de bienes no consentida, en perjuicio del banco,
entidad de ahorro y prstamo, institucin financiera o casa de cambio, o de un cliente o usuario, ser
penado con prisin de ocho (8) a diez (10) aos. Con la misma pena sern castigados los miembros de la
junta administradora, directores, administradores o empleados del banco, entidad de ahorro y prstamo,
institucin financiera o casa de cambio, que colaboren en la comisin de las transferencias antes
mencionadas.
Apropiacin de Informacin de los Clientes
Artculo 446: Quien a travs de la manipulacin informtica o mecanismo similar, se apodere o altere
documentos, cartas, mensajes de correo electrnico o cualquier otro documento o efecto personal remitido
por un banco, institucin financiera o casa de cambio, a un cliente o usuario de dicho ente, ser penado
con prisin de ocho (8) a diez (10) aos.
Apropiacin de Informacin por Medios Electrnicos
Artculo 447: Quien utilice los medios informticos o mecanismo similar, para apoderarse, manipular o
alterar papeles, cartas, mensajes de correo electrnico o cualquier otro documento que repose en los
archivos electrnicos de un banco, entidad de ahorro y prstamo, institucin financiera o casa de cambio,
perjudicando el funcionamiento de las empresas regidas por este Decreto Ley o a sus clientes, ser
penado con prisin de ocho (8) a diez (10) aos.
3. Aquellos usuarios que incumplan alguna ley civil o penal, requisito reglamentario, regulaciones establecidas
por entes u organismos de control, obligaciones contractuales y todas las polticas, normas y procedimientos
en los cuales se establezcan los requisitos de seguridad para la proteccin de los activos de informacin del
banco, se le notificar la incurrencia del hecho por escrito (correo electrnico o memorando) para prevenir su
reincidencia
4. De acuerdo a la gravedad del delito informtico cometido se podr realizar las notificaciones a los entes
correspondientes a fin de que sean aplicadas las sanciones segn estn definidas en la LEY ESPECIAL
CONTRA LOS DELITOS

Manual SI Bolivar (Seg Lógica Pag 19 Seg Física Pag 27)

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Manual SI Bolivar (Seg Lógica Pag 19 Seg Física Pag 27)

Enviado por

Direitos autorais:

Formatos disponíveis

Manual de Procesos

Gerencia de Seguridad Informtica 02/12/08

Você também pode gostar