MANUAL DE POLTICAS SEGURIDAD INFORMTICA MP.SO.001-1
Manual de Polticas Polticas de Seguridad Informtica Versin Codificacin Fecha Emisin Fecha Actualizacin 1 MP.SO.001-01 11/07/2008 02/12/08 Vicepresidencia de Procesos
Manual de Polticas Elaborado por: VP de Procesos Gerencia de Seguridad Informtica 2 de 61
Contenido Objetivo.................................................................................................................................................. 6 Alcance .................................................................................................................................................. 6 Definiciones ........................................................................................................................................... 7 Polticas Generales.............................................................................................................................. 11 Organizacin de la Seguridad de la Informacin................................................................................. 12 Responsabilidad Interna................................................................................................................... 12 Vicepresidencia de reas............................................................................................................................... 12 Gerencia de Seguridad Informtica ............................................................................................................... 12 Propietario de la Informacin ......................................................................................................................... 12 Usuarios de la Informacin............................................................................................................................. 13 Custodio de la Informacin............................................................................................................................. 13 Responsabilidad de Proveedores de Tecnologa y/o Terceros........................................................ 13 Clasificacin de los Activos de la Informacin..................................................................................... 16 Inventario y Control de los Activos de la Informacin....................................................................... 16 Clasificacin y Tratamiento de la Informacin. ................................................................................. 16 Criterios para la Clasificacin de la Informacin. ........................................................................................... 16 Niveles para la Clasificacin de la Informacin.............................................................................................. 16 Medidas de Seguridad por Nivel de Informacin.............................................................................. 17 Seguridad Lgica................................................................................................................................. 19 Control de Administracin de Accesos a los Sistemas..................................................................... 19 Control y Administracin General................................................................................................................... 19 Manual de Polticas Polticas de Seguridad Informtica Versin Codificacin Fecha Emisin Fecha Actualizacin 1 MP.SO.001-01 11/07/2008 02/12/08 Vicepresidencia de Procesos
Manual de Polticas Elaborado por: VP de Procesos Gerencia de Seguridad Informtica 3 de 61
Identificacin y Autenticacin de Usuarios..................................................................................................... 20 Control de Acceso a la Red.............................................................................................................. 22 Control y Administracin de Accesos a la Red .............................................................................................. 22 Accesos Remotos........................................................................................................................................... 22 Permisologa de Usuarios de Estaciones de Trabajo .................................................................................... 23 Seguridad de Acceso a las Aplicaciones.......................................................................................... 23 Seguridad en Entornos Operativos y Base de Datos ....................................................................... 24 Conexin y Desconexin de Estaciones de Trabajo ........................................................................ 25 Pistas de Auditora de los Sistemas ................................................................................................. 25 Pistas Generales ............................................................................................................................................ 25 Auditora de Seguridad y Uso de los Sistemas.............................................................................................. 26 Seguridad Fsica.................................................................................................................................. 27 rea Protegidas................................................................................................................................ 27 Control de Acceso Fsico a las reas Protegidas............................................................................. 27 Seguridad Fsica de reas Tecnolgicas y Equipamiento Principal................................................. 27 Escritorios y Pantallas ...................................................................................................................... 29 Seguridad del Personal........................................................................................................................ 31 Polticas Especficas......................................................................................................................... 31 Seguridad en las Comunicaciones ...................................................................................................... 32 Polticas Especficas......................................................................................................................... 32 Infraestructura de Red...................................................................................................................... 32 Direccionamiento y Esquema de Red............................................................................................................ 33 Manual de Polticas Polticas de Seguridad Informtica Versin Codificacin Fecha Emisin Fecha Actualizacin 1 MP.SO.001-01 11/07/2008 02/12/08 Vicepresidencia de Procesos
Manual de Polticas Elaborado por: VP de Procesos Gerencia de Seguridad Informtica 4 de 61
Conexiones Externas........................................................................................................................ 33 Proteccin de los puertos de diagnstico remoto............................................................................. 33 Seguridad en Redes Inalmbricas.................................................................................................... 34 Responsabilidades de Usuarios..................................................................................................................... 34 Uso de Servicios de Red .................................................................................................................. 35 Seguridad y Acceso a Internet ....................................................................................................................... 36 Seguridad del Internet Banking ........................................................................................................ 37 Mecanismos de Seguridad............................................................................................................................. 37 Seguridad de Acceso con Autenticacin de Usuario ..................................................................................... 38 Control de Acceso a la Aplicacin.................................................................................................................. 39 Plataforma de Servidores Seguros ................................................................................................................ 39 Controles de Cambios.................................................................................................................................... 40 Cumplimiento de Requisitos Legales............................................................................................................. 40 Controles para la Proteccin y Auditora de las Redes.................................................................................. 41 Encriptacin de Informacin ................................................................................................................ 43 Eleccin de Algoritmos ..................................................................................................................... 43 Procedimientos de Sistemas Criptogrficos..................................................................................... 43 Operaciones......................................................................................................................................... 44 Polticas Generales........................................................................................................................... 44 Pases a Produccin de Sistemas o Cambios Tecnolgicos............................................................. 45 Control y seguridad de los medios de almacenamiento................................................................... 45 Respaldos y Recuperacin de Informacin ................................................................................................... 45 Manual de Polticas Polticas de Seguridad Informtica Versin Codificacin Fecha Emisin Fecha Actualizacin 1 MP.SO.001-01 11/07/2008 02/12/08 Vicepresidencia de Procesos
Manual de Polticas Elaborado por: VP de Procesos Gerencia de Seguridad Informtica 5 de 61
Seguridad de la Documentacin del Sistema ................................................................................................ 48 Adquisicin, Desarrollo y Mantenimiento de Sistemas de Informacin ............................................... 49 Polticas Generales........................................................................................................................... 49 Controles de Seguridad de los Sistemas de Informacin................................................................. 49 Proteccin de la Informacin ............................................................................................................ 50 Seguridad de los Componentes de la Aplicacin ............................................................................. 50 Seguridad de los Procesos de Control de Cambios......................................................................... 51 Desarrollo o Mantenimiento Externo de Sistemas de Informacin................................................... 52 Plan de continuidad del Negocio ......................................................................................................... 54 Polticas Generales........................................................................................................................... 54 Evaluacin de Riesgos y Anlisis de Impacto .................................................................................. 54 Desarrollo, Prueba y Puesta en Marcha de los Planes de Continuidad del Negocio....................... 54 Mantenimiento y Actualizacin de los Planes de Continuidad del Negocio ..................................... 56 Cumplimiento Legal ............................................................................................................................. 57 Polticas Generales........................................................................................................................... 57 Conformidad con las Polticas de Seguridad Informtica................................................................. 57 Sanciones por Uso Indebido de los Activos de Informacin e Infracciones a las Polticas de Seguridad Informtica....................................................................................................................... 58 Revelacin de Informacin............................................................................................................................. 60 Fraude Electrnico ......................................................................................................................................... 61 Apropiacin de Informacin de los Clientes................................................................................................... 61 Apropiacin de Informacin por Medios Electrnicos.................................................................................... 61 Manual de Polticas Polticas de Seguridad Informtica Versin Codificacin Fecha Emisin Fecha Actualizacin 1 MP.SO.001-01 11/07/2008 02/12/08 Vicepresidencia de Procesos
Manual de Polticas Elaborado por: VP de Procesos Gerencia de Seguridad Informtica 6 de 61
Objetivo El objetivo de este documento es establecer los lineamientos de seguridad e informar sobre las polticas y prcticas que se deben cumplir y utilizar para proteger los activos de informacin de la organizacin.
Alcance
Las polticas establecidas en este documento, deben ser acatadas por todas aquellas personas que hagan uso de la plataforma tecnolgica del Banco, administradores de sistemas, administradores de seguridad, personal tcnico, personal administrativo, usuarios finales, unidades de control y todo el personal interno y externo que haga uso de los activos de informacin del Banco; por lo cual se hace necesario conocer y aceptar el reglamento vigente sobre su uso. El desconocimiento del mismo no exonera de las responsabilidades asignadas.
Manual de Polticas Polticas de Seguridad Informtica Versin Codificacin Fecha Emisin Fecha Actualizacin 1 MP.SO.001-01 11/07/2008 02/12/08 Vicepresidencia de Procesos
Manual de Polticas Elaborado por: VP de Procesos Gerencia de Seguridad Informtica 7 de 61
Definiciones Activos de Informacin: Recursos del sistema de informacin o relacionados con ste, necesarios para que la Organizacin funcione adecuadamente y logre los objetivos propuestos. El activo principal es la informacin manejada por el sistema; y alrededor de la misma se pueden identificar otros activos relevantes: a. Los servicios que se pueden prestar y los necesarios para gestionar los datos. b. Los equipos informticos que permiten almacenar datos, aplicaciones y servicios. c. El software que permite manejar los datos. d. Los soportes de informacin que permiten almacenar los datos. e. El equipamiento auxiliar que complementa el hardware y software. f. Las redes de comunicaciones para el intercambio de datos. g. Las instalaciones provistas para el equipamiento informtico y de comunicaciones. h. Las personas que operan todos los elementos anteriores. Ambiente de Desarrollo: Ambiente en el cual se efecta la construccin de nuevas aplicaciones, modificaciones a la funcionalidad, correcciones y depuraciones que se requieran. Ambiente de Produccin: Ambiente en el cual el sistema de informacin se encuentra estable y los usuarios satisfechos con su operacin. Consta de elementos de hardware, software y redes. Los programas se encuentran catalogados en libreras especiales para su ejecucin y los programas fuente se encuentran almacenados en bibliotecas electrnicas de acceso nicamente a personal autorizado. Ambiente de Pruebas o certificacin: Es el ambiente en el cual se simula el ambiente productivo y sirve para probar la funcionalidad y la correctitud del software que va a entrar en produccin, tanto por el personal tcnico como por el usuario final. Deber estar completamente separado del ambiente de produccin. Cdigo Fuente: es un texto escrito generalmente por una persona que se utiliza como base para generar otro cdigo con un compilador o intrprete para ser ejecutado por una computadora. Cdigo Malicioso: Hardware, software o firmware que es intencionalmente introducido en un sistema con un fin malicioso o no autorizado. Manual de Polticas Polticas de Seguridad Informtica Versin Codificacin Fecha Emisin Fecha Actualizacin 1 MP.SO.001-01 11/07/2008 02/12/08 Vicepresidencia de Procesos
Manual de Polticas Elaborado por: VP de Procesos Gerencia de Seguridad Informtica 8 de 61
Contraseas: Cadena arbitraria de caracteres alfanumricos elegidos por un usuario o programa, usados para autenticar al usuario y prevenir el acceso no autorizado a su cuenta. Custodio de la Informacin: Personal encargado de procesar la informacin, gestionar su resguardo y hacerla accesible. As mismo, debe suministrar el soporte o asistencia relacionada con los servicios informticos de cualquier ndole. La Gerencia de Infraestructura Tecnolgica, es la unidad encargado de custodiar la Informacin. Cabe acotar que pueden presentarse casos en los cuales otras reas y personas pueden actuar como custodios en relacin a determinada informacin Disponibilidad: Aseguramiento de que los usuarios autorizados tienen acceso cuando lo requieren a la informacin y sus activos asociados. Documentacin del sistema: se refiere a toda la documentacin relacionada con el sistema, la cual explica caractersticas tcnicas y la operacin del mismo. Es esencial para proporcionar entendimiento del sistema para su uso, mantenimiento, auditoria. Existen varios tipos de documentacin. la de programas, que explica la lgica de un programa e incluye descripciones, diagramas de flujo, listados de programas y otros documentos; la del usuario que en forma general explica la naturaleza y capacidades del sistema y cmo usarlo. Firewall. Una combinacin de hardware y software que separa una red de rea local (LAN) en dos o ms partes con propsitos de seguridad. Firmware: Es un software que es insertado en la memoria ROM (memoria de slo lectura) y es utilizado por dispositivos como mdem, impresoras, etc. Impacto: Consecuencia que sobre un activo tiene la materializacin de una amenaza. Integridad: Garanta de la exactitud y completitud de la informacin y los mtodos de su procesamiento. Medio de Almacenamiento de informacin. Todo equipo de informacin, computador personal, incluyendo porttiles, agendas electrnicas, etc., con discos fijos u otros dispositivos de almacenamiento no voltiles, que operen de forma aislada o conectados en red, as como otros soportes electrnicos de almacenamiento de informacin extrables. Medio de Respaldo: objeto fsico sobre el cual se puede grabar informacin, de tal modo que a partir de dicha copia se pueda restaurar datos o recuperar el sistema en un momento determinado a partir de la copia realizada . Principios de Seguridad de la Informacin. Estos principios se basan en: Manual de Polticas Polticas de Seguridad Informtica Versin Codificacin Fecha Emisin Fecha Actualizacin 1 MP.SO.001-01 11/07/2008 02/12/08 Vicepresidencia de Procesos
Manual de Polticas Elaborado por: VP de Procesos Gerencia de Seguridad Informtica 9 de 61
Disponibilidad: Se debe asegurar que los usuarios autorizados posean acceso a la informacin y a los recursos relacionados con la misma toda vez que lo requieran, a los fines de efectuar sus labores en forma oportuna. Por ello deben establecerse procedimientos de: recuperacin de informacin respaldos de seguridad, plan de continuidad de negocios, proteccin fsica y controles en produccin. Integridad: Se debe garantizar el mantenimiento de la exactitud, totalidad de la informacin y mtodos de procesamiento, sin efectuar cambios accidentales o no autorizados en la misma, que puedan causar daos en el Banco. Confidencialidad: Se debe garantizar que la informacin propiedad del Banco solo debe ser accesada por las personas autorizadas, y solo puede ser comunicada fuera de las reas involucradas con previa autorizacin. Auditabilidad: Es la capacidad del sistema para determinar qu acciones o procesos se han llevado a cabo en el mismo, y quin y cundo las han llevado a cabo. Propietario de la Informacin. Es la persona responsable del activo de informacin o el usuario principal del mismo. Proteccin de los Activos de Informacin por Proveedores de Tecnologa o Terceros. Representado por el personal que presta servicios al Banco de ndole tecnolgico, entes regulatorios o de revisin, socios o empresas con las cuales se mantiene relacin comercial. Personal Externo en Sitio. Recurso humano perteneciente a empresas externas que requieren del acceso a la plataforma tecnolgica para el cumplimiento de sus funciones y que se encuentren ubicados en las instalaciones del banco por un perodo de tiempo determinado, segn acuerdos contractuales. Dentro de esta categora, se pueden encontrar: auditores externos, personal de mantenimiento de la estructura tecnolgica, proveedores de tecnologa, soporte tercerizados, oficiales de seguridad de centro de cmputos, pasantes, consultores, entre otros. Riesgo. Estimacin del grado de exposicin a que una amenaza se materialice sobre uno o ms activos causando daos o perjuicios a la Organizacin. Seguridad. Capacidad de las redes o de los sistemas de informacin de resistir en un determinado nivel de confianza, los accidentes o acciones ilcitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de la informacin almacenada o transmitida y de los servicios que dichas redes y sistemas ofrecen o hacen accesibles. Manual de Polticas Polticas de Seguridad Informtica Versin Codificacin Fecha Emisin Fecha Actualizacin 1 MP.SO.001-01 11/07/2008 02/12/08 Vicepresidencia de Procesos
Manual de Polticas Elaborado por: VP de Procesos Gerencia de Seguridad Informtica 10 de 61
Seguridad de la Informacin. Es la proteccin de los activos informticos contra posibles fraudes, sabotaje, espionaje, violacin de la privacidad, hackers, interrupcin de servicios, fallas, etc. La informacin del Banco es protegida de acuerdo a su valor e importancia, sin importar como se almacena (en papel o en forma electrnica), como se procesa (equipos de computacin, servidores, correo de voz, etc), o como se transmite (telefnicamente, correo electrnico o sistemas de comunicaciones en lnea), as mismo, debe ser protegida y restringido su acceso al personal interno como externo de acuerdo a las funciones y/o actividades que requiere ejecutar. En tal sentido, es necesario que se efecten verificaciones y se definan controles mediante el anlisis, comprobacin y establecimiento de medidas administrativas, fsicas, tcnicas y legales, dirigidas a prevenir, detectar y responder a acciones que puedan poner en riesgo la confidencialidad, integridad y disponibilidad de la informacin que se procese, intercambie, reproduzca y conserve a travs de las tecnologas de informacin; a efectos de desarrollar un sistema integral de gestin de los riesgos que permitan minimizar el impacto que se pudiera presentar en nuestros activos de informacin. Servidores: Equipos de cmputo donde residen sistemas de informacin que van a ser usados simultneamente por ms de un usuario en una o varias dependencias del Banco. Sistema de Informacin: Conjunto de elementos fsicos, lgicos, de comunicacin, datos que permiten el almacenamiento, transmisin y proceso de la informacin. Tercerizacin: Es la delegacin parcial o total de algunas o todas actividades de sistemas de informacin a un prestador de servicios externo, las cuales pueden comprender Operaciones de Centro de Datos, Seguridad, Desarrollo y Mantenimiento de Sistemas. Usuarios de la Informacin: Persona autorizada para incluir, eliminar, modificar, visualizar, procesar o resguardar la informacin almacenada en los diferentes sistemas de informacin del Banco, con la debida autorizacin de los propietarios Virus: Cdigo diseado para introducirse en un programa para modificar o destruir datos. Manual de Polticas Polticas de Seguridad Informtica Versin Codificacin Fecha Emisin Fecha Actualizacin 1 MP.SO.001-01 11/07/2008 02/12/08 Vicepresidencia de Procesos
Manual de Polticas Elaborado por: VP de Procesos Gerencia de Seguridad Informtica 11 de 61
Polticas Generales
1. Se establece como unidades reguladoras a la Gerencia de Seguridad Informtica Vicepresidencia de Divisin de Tecnologa, Auditoria de Sistemas y la Vicepresidencia de rea de Administracin Integral de Riesgo; quienes se encargarn de velar por el fiel cumplimiento de las polticas establecidas. 2. Todos los gerentes y/o propietarios de la informacin garantizarn dentro de su rea de responsabilidad el cumplimiento de las polticas de seguridad. 3. La Gerencia de Seguridad Informtica y las unidades de control, sern las encargadas de realizar pruebas pertinentes a fin de determinar el cubrimiento de las polticas establecidas. 4. Velarn por el fiel cumplimiento de las polticas aqu establecidas las unidades reguladoras establecidas: la Gerencia de Seguridad Informtica, Vicepresidencia de Divisin de Tecnologa, auditora de Sistemas, y Vicepresidencia de rea de Administracin Integral de Riesgo. 5. Ser perentorio la actualizacin y revisin constante de las polticas, estableciendo revisiones por parte de las reas de control. Si ocurriesen modificaciones de gran relevancia en la plataforma tecnolgica, y/o fallas considerables en los planes propuestos, es necesaria una revisin a la mayor brevedad posible. 6. Las polticas establecidas en este documento, sern acatadas por las personas que hagan uso de la plataforma tecnolgica de bolvar Banco, administradores de sistemas, administradores de seguridad, personal tcnico, personal administrativo, usuarios finales, unidades de control y todo el personal interno y externo que haga uso de los activos de informacin del Banco; por lo que se hace necesario conocer el reglamento vigente sobre su uso. 7. Toda persona que participe en los procesos aqu descritos ser directamente responsable de estar plenamente familiarizado con el contenido del Manual, as como de velar por el cumplimiento y actualizacin permanente del mismo para ofrecer un apoyo ptimo a la gestin de las reas involucradas. 8. Cualquier modificacin que surja en las polticas establecidas en este manual, ser realizada nicamente por la VP de Procesos, quien es responsable de efectuar los ajustes pertinentes a cada caso, previa consulta con las unidades responsables de los procesos. 9. Este manual es de uso exclusivo de bolvar Banco, por lo tanto se deber cuidar que su contenido se maneje internamente y de forma confidencial, no podr ser distribuido, copiado o dado a conocer a terceras personas sin la previa autorizacin de la Institucin. El mismo deber ser devuelto una vez terminada la relacin de trabajo entre el Banco y el empleado. 10. El desconocimiento de las normas aqu descritas no justifica su incumplimiento, el mismo est sujeto a la aplicacin de las sanciones establecidas de conformidad con la ley y el cdigo de tica del Bolvar Banco. Manual de Polticas Polticas de Seguridad Informtica Versin Codificacin Fecha Emisin Fecha Actualizacin 1 MP.SO.001-01 11/07/2008 02/12/08 Vicepresidencia de Procesos
Manual de Polticas Elaborado por: VP de Procesos Gerencia de Seguridad Informtica 12 de 61
Organizacin de la Seguridad de la Informacin Responsabilidad Interna Vicepresidencia de reas Autorizar las polticas de seguridad de la informacin y apoyar los objetivos que se pretenden cumplir con el establecimiento de las mismas. Gerencia de Seguridad Informtica 1. Participar en el proceso de elaboracin, revisin y comprobacin del cumplimiento de las polticas, normas y procedimientos de seguridad de la informacin establecidos. 2. Administrar y controlar el acceso a las aplicaciones, sistemas operativos, controladores de dominio, firewalls, IDS, VPN, Antivirus, ISA Server, Proxy, Filtrajes de Contenido, y todo activo de informacin que por sus funciones sea responsabilidad de la unidad de seguridad informtica del banco. 3. Probar los niveles de seguridad de las diferentes aplicaciones que se adquieran y/o desarrollen. 4. Colaborar con los custodios de la informacin en los controles definidos por el propietario. 5. Clasificar los Activos de Informacin. 6. Controlar y monitorear continuamente los accesos efectuados a los activos de la informacin. 7. Monitorear los procesos de control de cambio y pases a produccin de los sistemas y aplicaciones productivas. Propietario de la Informacin 1. Evaluar el valor de la informacin. 2. Establecer niveles de control para su uso. 3. Definir los criterios para autorizar el acceso de los usuarios tanto internos como externos a la informacin. Manual de Polticas Polticas de Seguridad Informtica Versin Codificacin Fecha Emisin Fecha Actualizacin 1 MP.SO.001-01 11/07/2008 02/12/08 Vicepresidencia de Procesos
Manual de Polticas Elaborado por: VP de Procesos Gerencia de Seguridad Informtica 13 de 61
4. Autorizar la utilizacin de la informacin por otras entidades Usuarios de la Informacin 1. Emplear la informacin slo para el propsito autorizado. 2. Establecer medidas que permitan evitar la divulgacin o uso de la informacin al personal no autorizado Custodio de la Informacin 1. Asegurar la disponibilidad de la informacin. 2. Monitorear el acceso a los datos y procesos, con la finalidad de que sean efectuados slo por los usuarios autorizados, tanto internos como externos. 3. Garantizar proteccin fsica y almacenamiento de la informacin. 4. Velar por el cumplimiento de los convenios de niveles de servicio. Responsabilidad de Proveedores de Tecnologa y/o Terceros 1. Se garantizar, previo al otorgamiento de accesos a la informacin o a las reas de procesamiento de datos a personal externo, remotos o en sitio, las responsabilidades en materia de seguridad de informacin queden expresamente establecidas en los acuerdos contractuales, adems de firmar el documento de confidencialidad y no divulgacin de la informacin. 2. El acceso de personal externo a la informacin ser controlado y asignado conforme al tipo de tarea requerida y en cumplimiento a las polticas y normas establecidas para el control de accesos. 3. Los procesos relacionados con administracin de seguridad lgica y almacenamiento de informacin correspondiente a servicios de tercerizacin, estarn bajo la responsabilidad del Banco, no se permitir la transferencia de esta responsabilidad al Proveedor. 4. Los aspectos de seguridad de informacin para Proveedores de Tecnologa, debern sustentarse adecuadamente mediante contratos formales definidos y aprobados entre las partes, contemplando lo siguiente: Manual de Polticas Polticas de Seguridad Informtica Versin Codificacin Fecha Emisin Fecha Actualizacin 1 MP.SO.001-01 11/07/2008 02/12/08 Vicepresidencia de Procesos
Manual de Polticas Elaborado por: VP de Procesos Gerencia de Seguridad Informtica 14 de 61
Descripcin de los servicios prestados, que incluya las caractersticas de equipos, sistemas, lenguajes de programacin y bases de datos empleados; procedimientos de respaldos, polticas de seguridad, entre otros. Planes de trabajo detallados indicando el tiempo de ejecucin. Acuerdos de niveles de servicios. Establecimiento de responsabilidades de seguridad de cada parte, condiciones y limitaciones de uso de los activos de informacin, propiedad de cdigos en los casos que aplique, calidad de cdigo, acuerdos de custodia de cdigos por casos de quiebra, derechos de propiedad intelectual y licenciamiento e indemnizaciones en caso de mal uso de las autorizaciones fraudes, daos u otra eventualidad que afecte la continuidad de las operaciones, integridad y confidencialidad de la informacin. Clusulas de confidencialidad. Apego a las polticas de seguridad de la informacin establecidas en el Banco y cumplimiento de requisitos legales ajustados a las regulaciones existentes en materia de seguridad de los activos de informacin. Derecho a procesos de auditora por parte del Banco, auditores externos y organismos de control o regulatorios. Procedimientos para garantizar la integridad, confidencialidad y disponibilidad de los activos de informacin del Banco, resolucin de problemas, situaciones de contingencia, instalacin y mantenimiento de tecnologa de informacin, control de cambios, entrenamientos de usuarios y administradores de seguridad Controles de seguridad fsica y lgico, que permitan garantizar la integridad, confidencialidad, efectividad y disponibilidad de la informacin. 5. Los contratos establecidos con Proveedores de Tecnologa fuera del Territorio Nacional, deben incluir adicionalmente los siguientes aspectos: a. Responsabilidades por requisitos legales en materia de seguridad de informacin. conforme a las regulaciones de los Organismos del Estado. Manual de Polticas Polticas de Seguridad Informtica Versin Codificacin Fecha Emisin Fecha Actualizacin 1 MP.SO.001-01 11/07/2008 02/12/08 Vicepresidencia de Procesos
Manual de Polticas Elaborado por: VP de Procesos Gerencia de Seguridad Informtica 15 de 61
b. Controles de seguridad fsica y lgico de los servicios tercerizados conformes a las polticas del banco, a fin de asegurar la integridad, confidencialidad, efectividad y disponibilidad de la informacin. c. Procedimientos de contingencia para la continuidad de las operaciones. d. Medidas de seguridad fsica para las reas protegidas en las cuales reside el equipamiento principal tercerizado. e. Informacin de los representantes legales del proveedor para su contacto en el territorio nacional. f. Otras estipulaciones de seguridad segn se considere apropiado conforme al tipo de servicios prestado.
Manual de Polticas Polticas de Seguridad Informtica Versin Codificacin Fecha Emisin Fecha Actualizacin 1 MP.SO.001-01 11/07/2008 02/12/08 Vicepresidencia de Procesos
Manual de Polticas Elaborado por: VP de Procesos Gerencia de Seguridad Informtica 16 de 61
Clasificacin de los Activos de la Informacin Inventario y Control de los Activos de la Informacin 1. Los activos de informacin de la Organizacin debern estar claramente identificados. 2. Todos los activos de informacin debern poseer un propietario y estar clasificados por su nivel de criticidad. 3. En cada rea de la Organizacin se debern definir los propietarios de los activos de informacin, quienes debern establecer controles de proteccin y velarn por el cumplimiento de los mismos. 4. Deber disponerse de procedimientos adecuados para la actualizacin constante de los activos de informacin, a los fines de permitir la ubicacin efectiva de los mismos Clasificacin y Tratamiento de la Informacin. Criterios para la Clasificacin de la Informacin. 1. Riesgos asociados a la exposicin de datos confidenciales de clientes y personal 2. Legislacin vigente relacionada con seguridad de la informacin 3. Valor o beneficios de la informacin expuesta ante terceros. 4. Costos por recuperacin de informacin en caso de prdida o alteracin de la misma. 5. Requerimientos especficos de uso de informacin compartida. Niveles para la Clasificacin de la Informacin. 1. El propietario de la informacin ser el responsable de su clasificacin. 2. Toda la informacin manejada en el Banco debe ser clasificada tomando en cuenta las siguientes categoras. a. Informacin Reservada o Estrictamente Confidencial. Constituida por toda aquella informacin altamente sensible, relacionada con los documentos o comunicaciones internas utilizadas en el Banco y que forman parte de un proceso deliberativo previo a la toma de decisiones, que puedan afectar en forma significativa los planes estratgicos, trmites de carcter legal, estabilidad y proyecciones financieras, etc.; cuya Manual de Polticas Polticas de Seguridad Informtica Versin Codificacin Fecha Emisin Fecha Actualizacin 1 MP.SO.001-01 11/07/2008 02/12/08 Vicepresidencia de Procesos
Manual de Polticas Elaborado por: VP de Procesos Gerencia de Seguridad Informtica 17 de 61
propagacin no autorizada afectara a los socios o clientes que conforman el Banco. La informacin de este tipo que se encuentre en Equipos o Dispositivos de Computacin ser resguardada tomando en cuenta mecanismos de seguridad y polticas de control de acceso, a travs de las cuales se garantizar su resguardo. El acceso a este tipo de informacin ser concedido previa autorizacin de la persona responsable o propietaria de la informacin. Se considerar informacin reservada o estrictamente confidencial: contraseas del personal y de los clientes, planes corporativos o estratgicos, outsourcing, cdigos de encriptacin, etc. Informacin Confidencial. Agrupa informacin interna de reas o proyectos de alta seguridad, no disponible o abierta a usuarios sin autorizacin dentro del Banco, y slo ser comunicada fuera de las reas involucradas con previa autorizacin del propietario de la misma. Ser considerada informacin confidencial las evaluaciones de empleados, combinacin de bvedas, procedimientos internos de seguridad, informes de auditorias internas, etc b. Informacin Interna. Agrupa informacin inherente al Banco que servir de soporte en todos los mbitos, deber mantenerse dentro del Banco y sin disponibilidad externa, a excepcin de terceros involucrados con previa autorizacin del responsable quienes debern estar comprometidos en no divulgar la misma. Se considerar como informacin interna: material de entrenamiento, manuales, polticas internas, boletines informativos, procedimientos administrativos, organigrama del banco, notas informativas, circulares, etc. c. Informacin Pblica: Agrupa informacin explcitamente aprobada por la Direccin del Banco para ser divulgada con acceso pblico, debido a que no constituye riesgo para el Banco. Se considerar como informacin pblica: notas de prensa, publicidad de productos y servicios, manuales de libre distribucin, revistas del banco, instructivos de llenado de formas, etc.
Medidas de Seguridad por Nivel de Informacin Se aplicarn medidas de seguridad por cada nivel de seguridad establecido. Dichas medidas se detallan en la siguiente tabla.
Manual de Polticas Polticas de Seguridad Informtica Versin Codificacin Fecha Emisin Fecha Actualizacin 1 MP.SO.001-01 11/07/2008 02/12/08 Vicepresidencia de Procesos
Manual de Polticas Elaborado por: VP de Procesos Gerencia de Seguridad Informtica 18 de 61
Nivel de Clasificacin Tipos de Actividades de Procesamiento de Informacin Reservada Confidencial Interna Pblica Etiquetado e identificacin Toda informacin Reservada estar etiquetada o identificada sealando su nivel de clasificacin, indicndose en forma expresa INFORMACIN RESERVADA Toda informacin Confidencial estar etiquetada o identificada sealando su nivel de clasificacin, indicndose en forma expresa INFORMACIN CONFIDENCIAL Toda informacin Interna estar etiquetada o identificada sealando su nivel de clasificacin, indicndose en forma expresa INFORMACIN INTERNA No aplica Copias No puede copiarse, a excepcin de listas de distribucin aprobadas Puede copiarse con autorizacin del propietario No requiere autorizacin para su copiado No aplica Distribucin Canales autorizados mediante lista de distribucin Funcionarios y reas autorizadas por el propietario de la informacin Todas las reas y unidades del Banco Interna / Clientes del Banco y Pblico en General Transmisin / Electrnica Incluir claves de seguridad para los archivos. No utilizar Fax/correos electrnicos personales o pblicos Internamente se puede transmitir por los medios autorizados por el Banco. Externamente se debe utilizar claves de seguridad. Transmisin permitida por el Banco Transmisin permitida por el Banco Archivo / Almacenamiento Documentos y archivos fsicos De acceso reservado, se requiere autorizacin del propietario/ Se mantiene en bveda o cajas fuertes De acceso reservado, bajo llave, se requiere autorizacin del propietario/ Locker de seguridad Archivos del rea / no requiere medidas especiales de seguridad No aplica Desincorporacin /Destruccin Autorizacin por parte del propietario y la alta Direccin del Banco/ se destruye documento original y copia / En medios magnticos se debe borrar la informacin Destruccin de documentos y borrado de cinta magnticas con la autorizacin del propietario Destruccin de documentos y borrado de cinta magnticas No aplica Manual de Polticas Polticas de Seguridad Informtica Versin Codificacin Fecha Emisin Fecha Actualizacin 1 MP.SO.001-01 11/07/2008 02/12/08 Vicepresidencia de Procesos
Manual de Polticas Elaborado por: VP de Procesos Gerencia de Seguridad Informtica 19 de 61
Seguridad Lgica
Control de Administracin de Accesos a los Sistemas. Control y Administracin General 1. La administracin y control de los accesos en los diferentes sistemas internos y externos del Banco deber efectuarse en forma centralizada, siendo la Gerencia de Seguridad Informtica el ente encargado de dicho proceso. 2. Los procesos relacionados con usuarios en los diferentes sistemas del Banco, debern regirse por los procedimientos formales de administracin y control de claves de acceso. 3. La asignacin de los cdigos de usuarios se realizar basndose en perfiles de usuario estndar por reas y cargos, cumpliendo con una debida separacin de tareas. 4. Al momento de asignar los cdigos de usuarios a los propietarios de los mismos, se consignar una documentacin escrita que describa las obligaciones en cuanto a su uso. 5. Se garantizar la actualizacin de la informacin de cdigos de usuarios en los diferentes sistemas conforme al movimiento del personal por ingresos, traslados, desincorporaciones y ausencias justificadas. 6. Los accesos otorgados a empleados o funcionarios del Banco que se encuentren temporalmente inactivos en sus funciones, debern permanecer desactivados hasta tanto se reintegren normalmente a sus labores. 7. Si somos predicadores de que la clave es intransferible porque colocamos en las polticas que se pueden transferir temporalmente estamos en contra de nuestra misma poltica. 8. Para aquellos cdigos de usuarios que se encuentren inactivos sin justificacin conocida durante sesenta (60) das consecutivos, deber cumplir con. 9. En los casos que el usuario no realice un uso continuo de la clave asignada, se proceder a la suspensin temporal del cdigo de usuario y solo podr activarse a solicitud de dicho usuario 10. De no requerirse el cdigo de usuario asignado, se proceder a su eliminacin o bloqueo definitivo Manual de Polticas Polticas de Seguridad Informtica Versin Codificacin Fecha Emisin Fecha Actualizacin 1 MP.SO.001-01 11/07/2008 02/12/08 Vicepresidencia de Procesos
Manual de Polticas Elaborado por: VP de Procesos Gerencia de Seguridad Informtica 20 de 61
11. Se mantendr un registro formal, automatizado o manual, de todos los cdigos de usuarios existentes en los diferentes sistemas del Banco. 12. Deber realizarse una revisin peridica de los cdigos de usuarios registrados en los diferentes sistemas, a fin de comprobar que existan slo los usuarios que se encuentren activos en el Banco y que sus permisos son los correctos. 13. Se restringir la generacin y utilizacin de usuarios con mximos privilegios. En caso de requerirse la asignacin de estos usuarios, se otorgarn en forma independiente a los accesos administrativos o comerciales. 14. Se efectuarn revisiones peridicas de los accesos realizados por los diferentes cdigos de usuarios, especialmente aquellos que poseen privilegios mximos y se revisarn peridicamente sus necesidades de autorizacin. 15. Se dispondr de un perfil de usuario administrador de seguridad por cada sistema interno del Banco, el mismo ser resguardado en sobre cerrado, pudindose utilizar en ausencia de los responsables de los procesos por el personal autorizado por las Vicepresidencias de reas del Banco. 16. Las empresas propietarias de los Sistemas Externos del Banco; sern los encargados de la asignacin, modificacin, desincorporacin y actualizacin de informacin de los cdigos de usuarios de dichos sistemas. (con la previa autorizacin de la Gerencia de Seguridad Informtica y del dueo de la aplicacin en el banco) 17. Las gestiones que deban realizar las reas responsables de los Sistemas Externos del Banco por asignacin, modificacin y desincorporacin de usuarios sern notificadas a la Gerencia de Seguridad Informtica, quien velar por estos procesos y por la actualizacin de la informacin de usuarios en los diferentes sistemas. Identificacin y Autenticacin de Usuarios. 1. Para a los diferentes sistemas de informacin del Banco se deber disponer de una identificacin de usuario nica y una contrasea de uso confidencial. 2. El acceso a los recursos de tecnologa de informacin se realizar mediante mecanismos de autenticacin de usuarios, tenindose como medio usual la utilizacin de contraseas; no obstante, se podrn establecer otros medios de autenticacin, tales como, tarjetas de banda magntica y sistemas biomtricos. Manual de Polticas Polticas de Seguridad Informtica Versin Codificacin Fecha Emisin Fecha Actualizacin 1 MP.SO.001-01 11/07/2008 02/12/08 Vicepresidencia de Procesos
Manual de Polticas Elaborado por: VP de Procesos Gerencia de Seguridad Informtica 21 de 61
3. La pantalla de inicio de sesin de los diferentes sistemas solicitar el cdigo de usuario y la contrasea mostrada en forma enmascarada. 4. Deber procurarse en los diferentes Sistemas, Aplicaciones y/o Plataformas, la estandarizacin en la nomenclatura del cdigo de usuarios y las polticas de seguridad para la definicin de contraseas. Los cdigos de usuarios se establecern cumpliendo en lo posible con los siguientes aspectos. a. Longitud mnima de siete (7) caracteres alfanumricos. b. Asignar un cdigo de usuario nico por usuario en todos los sistemas. 5. La definicin de contraseas de usuarios deber controlarse a travs de parmetros de seguridad propios de cada sistema, que garanticen niveles de seguridad adecuados, cumpliendo en lo posible con las siguientes condiciones. a. Longitud mnima de seis (6) caracteres b. Permitir caracteres de tipo alfanumrico. c. No permitir contraseas en blanco o por omisin. d. No utilizar caracteres iguales consecutivos. e. Bloquear las contraseas repetidas en cortos perodos de tiempo f. La contrasea no debe ser igual al cdigo de usuario 6. Estos parmetros sern revisados peridicamente a fin de actualizarlos y adecuarlos a nuevas tecnologas y requerimientos de seguridad. 7. En los sistemas de informacin del Banco, se aplicar la poltica de seguridad para establecer intervalos de caducidad de contraseas como mnimo 30 das y mximo 60 das. 8. Al asignar los cdigos de usuarios por cada sistema, se establecer a la contrasea a un valor inicial y se obligar al usuario a asignar una nueva contrasea en su primer inicio de sesin. El proceso de cambio de contrasea debe ser obligatorio al momento de su asignacin. En caso de no solicitarse el cambio automtico de contrasea en el primer inicio de sesin, se solicitar al usuario que proceda en forma inmediata al cambio de la misma. Manual de Polticas Polticas de Seguridad Informtica Versin Codificacin Fecha Emisin Fecha Actualizacin 1 MP.SO.001-01 11/07/2008 02/12/08 Vicepresidencia de Procesos
Manual de Polticas Elaborado por: VP de Procesos Gerencia de Seguridad Informtica 22 de 61
9. Se deber garantizar una administracin adecuada de las contraseas de usuario, evitando que las mismas se almacenen en los sistemas sin proteccin. 10. En los sistemas que deban utilizarse contraseas compartidas, stas se asignarn nuevamente en el caso que el responsable de una de las partes se retire del Banco o se traslade a otra rea. Control de Acceso a la Red Control y Administracin de Accesos a la Red 1. Todos los accesos a la red del banco debern autorizarse formalmente de acuerdo con el procedimiento de solicitud de claves de acceso. 2. Cada usuario deber tener asignado un cdigo de usuario para hacer uso de los recursos de la red, sistemas de informacin y servicios informticos que ofrece el Banco. 3. Se debern crear mecanismos de seguridad para facilitar las operaciones de administracin y control de usuarios en el entorno operacional. Esto puede realizarse a travs de la implementacin de directivas de grupos en el servidor de usuarios de red. 4. Todos los cdigos de acceso a los sistemas y recursos de cmputo de la red del Banco son personales e intransferibles. Accesos Remotos 1. Se limitar el acceso de forma remota a la plataforma tecnolgica, estaciones de trabajo, servidores, dispositivos de comunicacin y seguridad, entre otros; por tanto slo se utilizar para las labores de administracin, soporte tcnico y usuarios en aquellos casos en que se amerite, previa justificacin y autorizacin. 2. Toda conexin a la red desde sitios externos o viceversa deber ser monitoreada a travs de mecanismos de seguridad que controlen la entrada y salida del trfico de red. 3. Todo cdigo de usuario que amerite de accesos remotos deber ser autenticado y tener asignado un nombre de usuario para hacer uso de los recursos de la red, sistemas de informacin y servicios informticos que ofrece el Banco. Manual de Polticas Polticas de Seguridad Informtica Versin Codificacin Fecha Emisin Fecha Actualizacin 1 MP.SO.001-01 11/07/2008 02/12/08 Vicepresidencia de Procesos
Manual de Polticas Elaborado por: VP de Procesos Gerencia de Seguridad Informtica 23 de 61
4. La utilizacin de computacin mvil cumplir con las condiciones fsicas y lgicas apropiadas para garantizar la confidencialidad e integridad de la informacin. Por lo tanto, ser garantizado: a. La identificacin y autenticacin de los usuarios. b. Niveles de autorizacin y proteccin a la conexin de red establecida, mediante el establecimiento de polticas de seguridad en los mecanismos de seguridad utilizados referidas a conexiones remotas. c. La concientizacin de los usuarios en cuanto a los riesgos a los que est expuesto por el uso de computacin mvil, para el cumplimiento con los controles adecuados durante su utilizacin en lugares pblicos, evitar la posibilidad de robo o prdida de los dispositivos, proteccin de los mimos en condiciones de traslado, cumplimiento de las recomendaciones del fabricante, etc. Permisologa de Usuarios de Estaciones de Trabajo 1. Se establecern polticas de seguridad en el dominio de usuarios, a fin de proporcionar a cada usuario de los equipos de computacin los accesos necesarios y slo aquellas aplicaciones estrictamente necesarias para el desarrollo de las actividades destinadas a sus funciones. 2. Las permisologas de instalacin y desinstalacin de aplicaciones, se asignarn nicamente a usuarios administradores. 3. Se restringir la asignacin de cdigos de usuarios administradores de forma local, a fin de garantizar que las acciones de administracin del computador sean ejecutadas por el personal de sopote tcnico designado para tal fin. Seguridad de Acceso a las Aplicaciones 1. Se garantizar el acceso a los sistemas de informacin del personal autorizado, este acceso se otorgar tomando en cuenta las funciones especficas de cada empleado externo, temporal, tiempo completo, etc y accesos especiales autorizados por la Vicepresidencia de rea correspondiente al usuario y por los propietarios de la informacin. 2. Los accesos a las aplicaciones se establecern conforme a la separacin de actividades, de forma que los usuarios no podrn interferir con las funciones privadas de otros usuarios. Manual de Polticas Polticas de Seguridad Informtica Versin Codificacin Fecha Emisin Fecha Actualizacin 1 MP.SO.001-01 11/07/2008 02/12/08 Vicepresidencia de Procesos
Manual de Polticas Elaborado por: VP de Procesos Gerencia de Seguridad Informtica 24 de 61
3. Los usuarios administrativos utilizarn el sistema estrictamente, por medio de mens, a excepcin de aquellos que por la funcionalidad requieran hacer uso de procesos del sistema operativo o utilitarios del sistema 4. Los reportes contendrn slo la informacin pertinente para la revisin por parte de los usuarios correspondientes; en todo caso se procurar que no contenga informacin confidencial. 5. Se garantizar la generacin de rutinas o procesos automticos que minimicen el otorgamiento de usuarios con mximos privilegios. Seguridad en Entornos Operativos y Base de Datos 1. Se garantizar la autenticacin de usuarios para el acceso a la plataforma operativa de los servidores del Banco. 2. Ser restringido el acceso a la plataforma operativa de los servidores de aplicacin de la institucin, el cual se controlar a travs de usuarios con perfil de administrador, asignado nicamente al personal designado para esta tarea. 3. Se debe minimizar la asignacin de usuarios genricos para la administracin de los entornos operativos. 4. Se velar por la notificacin oportuna al rea de tecnologa de las actualizaciones de seguridad del sistema operativo, a fin de prevenir cualquier fallo detectado por el fabricante. 5. Todos los servidores de aplicaciones estarn ubicados en el centro de cmputo de la institucin, adecuado para tal fin. 6. Se velar que en la plataforma operativa de los servidores del Banco estn instalados nicamente aquellas aplicaciones requeridas para su operacin y administracin, evitando consumo de recursos necesarios para el buen funcionamiento de los mismos. 7. Todos los servidores de la Institucin podrn ser objeto de revisiones peridicas y/o eventuales, a fin de detectar posibles fallos a nivel de seguridad, configuraciones no permitidas para su funcionamiento, vulnerabilidades de acceso a travs de puertas traseras, entre otros. 8. Debern centralizarse las labores de administracin y control del conjunto de Bases de Datos utilizados por las aplicaciones del Banco. Manual de Polticas Polticas de Seguridad Informtica Versin Codificacin Fecha Emisin Fecha Actualizacin 1 MP.SO.001-01 11/07/2008 02/12/08 Vicepresidencia de Procesos
Manual de Polticas Elaborado por: VP de Procesos Gerencia de Seguridad Informtica 25 de 61
9. Se establecer claramente las permisologas sobre objetos en las bases de datos (seleccionar, insertar, actualizar, eliminar, entre otros) por parte de usuarios debidamente requeridos. Conexin y Desconexin de Estaciones de Trabajo 1. Se deber procurar que en todo sistema informtico se establezca un lmite mximo de inicio de sesin fallida, cuyo valor debe definirse como mnimo en tres (3) intentos. 2. Una vez alcanzado el nmero mximo de inicio de sesiones fallidas permitidas se inhabilitar el cdigo de usuario. En caso que el sistema lo permita, adicionalmente se deber bloquear el dispositivo. 3. Los usuarios deben desconectar las sesiones activas si la estacin de trabajo queda desatendida, a excepcin de aquellos casos en que pueda bloquearse el dispositivo. 4. Establecer un tiempo de espera para estaciones de trabajo desatendidas que permita su desconexin luego de un tiempo determinado, tomando como base mnima quince (15) minutos. 5. Se podrn establecer horarios de acceso a los sistemas de acuerdo a los requerimientos particulares de cada rea, limitando en lo posible los accesos fuera de la jornada normal de trabajo. 6. Si el sistema lo permite, se debern establecer limitaciones de acceso por dispositivo, a fin de asegurar que los usuarios solo realicen la conexin en las estaciones autorizadas. Pistas de Auditora de los Sistemas Pistas Generales 1. Todos los sistemas debern generar registros de auditoria que permitan verificar los eventos de seguridad, los cuales deben poseer como mnimo la siguiente informacin. a. Identificacin del cdigo de usuario. b. Fecha y hora de inicio y finalizacin de sesin. c. Identificacin de la estacin de trabajo. d. Nmeros de intentos exitosos y fallidos de acceso al sistema. Manual de Polticas Polticas de Seguridad Informtica Versin Codificacin Fecha Emisin Fecha Actualizacin 1 MP.SO.001-01 11/07/2008 02/12/08 Vicepresidencia de Procesos
Manual de Polticas Elaborado por: VP de Procesos Gerencia de Seguridad Informtica 26 de 61
e. Registro de accesos a los diferentes mdulos y opciones de los sistemas. 2. Se podrn generar pistas de auditoras adicionales para obtener informacin de procesos especficos de un sistema. 3. Se establecern periodos de permanencia de los registros de auditoria en los distintos sistemas. Dichos registros se debern resguardar por un perodo mnimo de un ao. 4. Incluir dentro de la poltica de respaldo de archivos, las pistas de auditoras que se generen en los diferentes sistemas, tomando en consideracin periodos de retencin especficos para cada uno de ellos. 5. Se velar por la sincronizacin de relojes de los equipos donde se encuentran alojados los diferentes sistemas de informacin del Banco, a efectos de garantizar la veracidad de la informacin de auditoria Auditora de Seguridad y Uso de los Sistemas 1. Las Unidades de Control realizarn un seguimiento constante de los eventos de seguridad de los diferentes sistemas y los accesos efectuados por los usuarios. El monitoreo que se desarrolle puede ser a nivel de todo el sistema y para todos los usuarios, para objetos especficos y para cualquier usuario que ellos determinen sin previa notificacin, haciendo nfasis en los sistemas de misin crtica 2. Se establecern mtodos de monitoreo continuo de los usuarios con privilegios mximos, a fin de evitar abusos por acceso a data o informacin reservada 3. Se revisarn peridicamente los resultados obtenidos de los procesos de monitoreo realizados en los diferentes sistemas 4. Los resultados obtenidos del monitoreo de los sistemas, debern plasmarse en un informe cuando se presuma, se observe o se detecte con bases slidas alguna irregularidad, dicho informe se entregar a la gerencia respectiva, con el fin de efectuar las correcciones necesarias. 5. Se elaborar un informe de la gestin de monitoreo y auditora de los sistemas con una frecuencia anual, resumiendo las auditoras realizadas para el perodo, detallando las incidencias de seguridad que se hayan presentado y las posibles vulnerabilidades detectadas.
Manual de Polticas Polticas de Seguridad Informtica Versin Codificacin Fecha Emisin Fecha Actualizacin 1 MP.SO.001-01 11/07/2008 02/12/08 Vicepresidencia de Procesos
Manual de Polticas Elaborado por: VP de Procesos Gerencia de Seguridad Informtica 27 de 61
Seguridad Fsica
rea Protegidas 1. Se garantizar la seguridad fsica del Banco, instalaciones de reas Tecnolgicas, especialmente el Centro de Cmputo, a travs de la utilizacin de mecanismos de seguridad fsicas adecuados. 2. El acceso a las instalaciones del Banco cumplir con las barreras fsicas necesarias que permitan restringir el acceso solo al personal autorizado. Control de Acceso Fsico a las reas Protegidas 1. El acceso fsico a las reas protegidas y a las reas de tecnologa, slo se permitir al personal autorizado. Se deber garantizar la actualizacin peridica de las listas de personal autorizado a las reas protegidas, especialmente las reas tecnolgicas y de equipamiento principal. 2. Los visitantes de reas protegidas sern inspeccionados y supervisados. Se registrar en las correspondientes bitcoras la fecha y hora de su ingreso y correspondiente egreso 3. El acceso a las reas protegidas por parte de los visitantes se restringir con tarjeta de acceso u otros dispositivos que identifiquen al personal autorizado. 4. El responsable del rea deber autorizar el acceso de los visitantes. 5. El personal de seguridad del banco deber identificar al visitante y entregarle carnet transitorio, el mismo deber permanecer en forma visible durante su permanencia en las instalaciones. Seguridad Fsica de reas Tecnolgicas y Equipamiento Principal 1. Las reas tecnolgicas del Banco contarn con los dispositivos necesarios para garantizar la seguridad de las instalaciones y las personas que laboran en ella a objeto de permitir su salvaguarda frente a eventos internos o externos. Manual de Polticas Polticas de Seguridad Informtica Versin Codificacin Fecha Emisin Fecha Actualizacin 1 MP.SO.001-01 11/07/2008 02/12/08 Vicepresidencia de Procesos
Manual de Polticas Elaborado por: VP de Procesos Gerencia de Seguridad Informtica 28 de 61
2. La Sala de Servidores estar ubicada en una estructura slida, en un nivel alto, en rea que no requiere de accesos innecesarios, en una zona que no corra el riesgo de inundaciones y en donde no est expuesta a derramamientos de lquidos. 3. Todo Servidor deber encontrarse en el Centro de Cmputo. Las Terminales Principales de los Servidores (Consolas Principales) han de ubicarse dentro de la Sala de Mquinas y no debern utilizarse para la operacin de aplicaciones; cualquier excepcin deber ser justificada y autorizada. 4. La Sala de Servidores debern cumplir con las condiciones tcnicas exigidas por los fabricantes. 5. Se deber usar un piso falso en la Sala de Mquinas, bajo el cual debern existir canaletas portacables soldadas a la estructura del piso falso que permitan el transporte del cableado de datos y el cableado elctrico por separado. 6. Se velara por el resguardo de los planos y diagramas de conexiones de todos los equipos que se encuentren en la Sala de Mquinas. 7. Se Garantizar el suministro de energa ininterrumpible conforme a las especificaciones de los fabricantes. 8. En la Sala de Mquinas se dispondr de al menos dos (2) equipos de aire acondicionado para proveer respaldos y mantener la temperatura y humedad adecuada. Es importante que los equipos de aires acondicionados estn conectados a los sistemas elctricos de emergencia, ya que en caso de un fallo elctrico este servicio no ser suspendido. Tambin se debern tener adecuados dispositivos detectores de temperatura y humedad. 9. Se garantizar la disposicin en lugares visibles de los equipos contra incendios y los sistemas para abortar las alarmas. 10. Peridicamente debern probarse los detectores de incendio, los sistemas de alarmas visuales y auditivas, as como los procedimientos de activacin y desactivacin de los sistemas de seguridad, con el fin de comprobar su correcto funcionamiento, otorgndose el entrenamiento necesario al personal para que garantice su adecuada utilizacin. Se tendr sealizaciones adecuadas de todos estos elementos. 11. No se permitir almacenar elementos inflamables dentro del rea destinada a los equipos. 12. La limpieza y mantenimiento de las reas tecnolgicas se efectuar en horas de poca actividad y bajo la supervisin del personal de las mismas. Manual de Polticas Polticas de Seguridad Informtica Versin Codificacin Fecha Emisin Fecha Actualizacin 1 MP.SO.001-01 11/07/2008 02/12/08 Vicepresidencia de Procesos
Manual de Polticas Elaborado por: VP de Procesos Gerencia de Seguridad Informtica 29 de 61
13. Las impresoras estarn situadas en lugares no accesibles al pblico para evitar a la obtencin de informacin confidencial por personas no autorizadas. Para la impresin de salida de alta confidencialidad permanecer junto a la impresora una persona autorizada mientras ocurra la impresin de la informacin. 14. Slo el gerente y el personal de produccin tendrn acceso ilimitado al rea de Produccin. El personal que requiere acceder a las reas de Cmputo deber permanecer bajo supervisin del personal de produccin. 15. Se controlar el personal con ingreso a las reas protegidas, incluyendo la identificacin del empleado, persona que autoriz el ingreso, objeto de la visita, hora de entrada, hora de salida, y firma del operador de turno. 16. Toda persona que introduzca o retire un paquete, equipo, etc.; mostrar la autorizacin de los funcionarios de seguridad para poder ingresar o salir del rea protegida. 17. Toda persona que salga del rea con un maletn, bolso, morral, caja, etc.; mostrar el contenido de los mismos a un funcionario de seguridad. 18. El mantenimiento del equipamiento principal debe cumplirse en forma apropiada, a fin de asegurar la disponibilidad del procesamiento. 19. La Gerencia de Seguridad Informtica ser notificada por la Vicepresidencia correspondiente, con anterioridad de cualquier modificacin, reparacin, mantenimiento o trabajo que se requiera realizar por entes externos o internos en las Unidades del rea de Tecnologa. 20. Se mantendrn estadsticas de problemas, tiempos entre fallas, tiempos de recuperacin, disponibilidad de mquina, desempeo de mquina y de eventos que puedan degradar el rendimiento de cada servidor. 21. Slo el personal autorizado del rea de Tecnologa de Informacin tendr acceso al lugar en el cual se encuentran almacenados los archivos de las bases de datos. En este sentido, debern definirse y documentarse claramente los cargos, las funciones y actividades que ste tendr sobre las mencionadas estructuras. Escritorios y Pantallas 1. Los documentos y medios de almacenamiento de informacin externos debern ser resguardados en archivadores o cualquier tipo de mobiliario seguro. Manual de Polticas Polticas de Seguridad Informtica Versin Codificacin Fecha Emisin Fecha Actualizacin 1 MP.SO.001-01 11/07/2008 02/12/08 Vicepresidencia de Procesos
Manual de Polticas Elaborado por: VP de Procesos Gerencia de Seguridad Informtica 30 de 61
2. Las estaciones de trabajo debern ser bloqueadas cuando se encuentren desatendidas. 3. Se brindar proteccin a los puntos de recepcin de fax no atendidos. 4. Se establecer controles para la impresin de informacin confidencial. 5. Los equipos de fotocopiadoras debern estar protegidas por contraseas, o encontrarse bloqueadas fuera del horario de trabajo. 6. Los puestos de trabajo debern permanecer ordenados, para ello, se utilizarn los recursos que suministra la organizacin, tales como: archivadores, arturitos, carpetas archivadoras, etc. Manual de Polticas Polticas de Seguridad Informtica Versin Codificacin Fecha Emisin Fecha Actualizacin 1 MP.SO.001-01 11/07/2008 02/12/08 Vicepresidencia de Procesos
Manual de Polticas Elaborado por: VP de Procesos Gerencia de Seguridad Informtica 31 de 61
Seguridad del Personal Polticas Especficas 1. El rea de Anlisis de Riesgo de Seguridad efectuar controles de verificacin de documentacin en la etapa de seleccin de nuevo personal 2. La Gerencia de Seguridad Informtica establecer documentos de acuerdos de confidencialidad o no divulgacin de la informacin manejada en el Banco; stos sern firmados por el nuevo personal antes de otorgar los accesos a las instalaciones. As mismo, sern actualizados en casos de cambios en los trminos establecidos inicialmente. 3. Definir claramente las responsabilidades del empleado en lo que respecta a seguridad de informacin. En tal sentido, todo supervisor de personal informar al usuario sobre las siguientes responsabilidades: a. Definir claramente las responsabilidades del empleado en lo que respecta a seguridad de informacin b. Mantener la confidencialidad de la informacin privada relativa a clientes de otras instituciones y/o del propio del Banco. c. Tomar las medidas preventivas para no utilizar, modificar, revelar o difundir datos reservados de carcter confidencial que se hallen registrados en los sistemas de informacin del Banco. d. Velar por el resguardo de la informacin general del banco, en tal sentido, no podr destruir, alterar o inutilizar datos, programas o documentos escritos o electrnicos que afecten la operatividad del Banco y alteren o destruyan los registros de los clientes. 4. Informar al personal sobre lo que se espera de ellos en materia de seguridad y asuntos de confidencialidad. 5. Proporcionar capacitacin a los usuarios en conceptos bsicos tales como: Nivel de autorizacin de acceso, confidencialidad de la contrasea, reglas para cambio de contrasea y el uso apropiado de los recursos informticos. 6. Crear conciencia de seguridad y capacitar al personal en lo relacionado a las polticas de seguridad de informacin. 7. Establecer procedimientos para la prevencin, identificacin, notificacin y correccin de posibles incidentes en materia de seguridad. Manual de Polticas Polticas de Seguridad Informtica Versin Codificacin Fecha Emisin Fecha Actualizacin 1 MP.SO.001-01 11/07/2008 02/12/08 Vicepresidencia de Procesos
Manual de Polticas Elaborado por: VP de Procesos Gerencia de Seguridad Informtica 32 de 61
Seguridad en las Comunicaciones Polticas Especficas Se contemplar el uso de herramientas en funcin a las ltimas tendencias tecnolgicas que permitan el filtrado, deteccin, monitoreo y resguardo de todos los procesos de comunicacin realizados a travs de la infraestructura de red de bolvar Banco. Infraestructura de Red 1. La infraestructura de red del Banco estar estructurada de acuerdo a las mejores prcticas de esquemas de seguridad y operatividad. 2. Deber contemplarse el uso de mecanismos de seguridad que permitan establecer controles en los accesos y procesos realizados desde y hacia la red del Banco. Dichos controles debern incorporarse a todos los servicios relacionados con redes compartidas: correo electrnico, transferencia de archivos, acceso interactivo, etc., entre ellos: a. Definir niveles de acceso y restricciones que filtren el trfico a los recursos de la red, los cuales pueden incluir limitaciones por fechas y horas. b. Establecer controles que limiten la ruta de acceso entre terminales de usuarios y servicios de red (caminos forzados). c. Establecer herramientas para la prevencin y deteccin de intrusos. d. Validar la instalacin de software antivirus y la actualizacin de las bases de datos de virus. e. Establecer controles para restringir y detectar la introduccin de software malicioso que pueda afectar la integridad de la informacin. f. Concientizar a los usuarios en materia de seguridad de informacin a fin de asegurar el uso adecuado de los recursos de red. g. Deben disponerse de zonas con restricciones mnimas (zona desmilitarizada), para asignar los recursos de la red que alberguen archivos, aplicaciones y/o informacin que pudiesen ser accedida por entes externos Manual de Polticas Polticas de Seguridad Informtica Versin Codificacin Fecha Emisin Fecha Actualizacin 1 MP.SO.001-01 11/07/2008 02/12/08 Vicepresidencia de Procesos
Manual de Polticas Elaborado por: VP de Procesos Gerencia de Seguridad Informtica 33 de 61
Direccionamiento y Esquema de Red 1. Deber considerarse la existencia de toda la documentacin concerniente a la estructura de red del Banco, donde se refleje el esquema de red utilizado, enlaces disponibles, entes involucrados y equipos utilizados. 2. En base al punto anterior, ser necesario realizar actualizaciones al esquema de red del Banco, cuando en sta se hayan realizados modificaciones por inclusiones y/o eliminaciones de enlaces u otorgamientos de accesos a la red. 3. Debern existir respaldos de los archivos de configuracin (imgenes de operacin) de todos los dispositivos de interconexin (router, switch, IDS, entre otros) de la infraestructura de red del Banco, con fines de garantizar su funcionamiento en caso de situaciones de contingencia. 4. Se mantendr documentado todo el esquema de direccionamiento de red usado en todo el Banco, incluyendo: agencias, sedes, oficinas alternas, entre otros; que permita una administracin centralizada del conjunto de segmentos y/o direcciones lgicas (IP) utilizada. Conexiones Externas 1. Cuando se requiera otorgar enlaces o conexiones a la red del Banco a cualquier empresa o ente externo, se debern establecer previamente los parmetros de conexin y los mecanismos de seguridad requeridos que permitan garantizar la confidencialidad e integridad de la informacin 2. En caso que se necesite establecer conexiones desde la infraestructura de red del Banco, a cualquier otro entorno operativo externo, debern estar claramente establecidos los mecanismos de seguridad que permitan garantizar la confidencialidad e integridad de la informacin. Proteccin de los puertos de diagnstico remoto 1. Se garantizar el acceso lgico a los equipos que contienen los puertos de diagnstico remoto, los cuales permiten la ejecucin de actividades de mantenimiento por parte del personal de soporte tcnico interno o externo. Manual de Polticas Polticas de Seguridad Informtica Versin Codificacin Fecha Emisin Fecha Actualizacin 1 MP.SO.001-01 11/07/2008 02/12/08 Vicepresidencia de Procesos
Manual de Polticas Elaborado por: VP de Procesos Gerencia de Seguridad Informtica 34 de 61
Seguridad en Redes Inalmbricas 1. Debido a que el medio de transmisin utilizado por estas redes es el ambiente, es de carcter obligatorio establecer mecanismos y controles de seguridad que restrinjan el acceso a la red por parte de usuarios no autorizados. 2. Con fines de garantizar la operatividad de los equipos mviles (Laptops, PDAs, entre otros) pertenecientes a usuarios autorizados con acceso a la red inalmbrica, se deber contemplar la configuracin de estos equipos en todos los puntos de accesos a la red del Banco. 3. Aquellos equipos de escritorio (Desktop), los cuales no requieren constantemente ser reubicados, deben ser configurados para conectarse slo en aquellos puntos de acceso (access point) ubicados en su entorno de operacin. Responsabilidades de Usuarios 1. Utilizar los recursos informticos con criterio de racionalidad, para las labores propias de su funcin o en beneficio del Banco, evitando el uso de accesos a recursos de red pblicos cualquiera sea su ndole, que puedan poner en riesgo la confidencialidad e integridad de la informacin del Banco. 2. Todos los equipos (Desktops, Laptops, entre otros) configurados para conexiones inalmbricas, debern poseer medidas de seguridad activas y actualizadas (Anti-Virus, Anti-Spyware, actualizaciones, entre otros). 3. Los usuarios debern garantizar la proteccin de los equipos en caso que se encuentren desatendidos por perodos prolongados de tiempo. 4. Es responsabilidad del usuario notificar en forma inmediata la prdida o extravo de equipos porttiles, a los fines de proceder a desactivar el acceso del mismo en los niveles de seguridad establecidos. 5. En caso de presenciarse ingresos no autorizados a la red inalmbrica, se podr proceder sin previo aviso a la desactivacin del dispositivo de conexin (Access Point) al cual se ingres sin autorizacin, pudiendo quedar sin comunicacin aquellos usuarios autorizados conectados al mismo. 6. No estar permitido establecer conexin con otras redes inalmbricas, en caso de que puedan ser visualizadas, y permitan conexiones no autorizadas Manual de Polticas Polticas de Seguridad Informtica Versin Codificacin Fecha Emisin Fecha Actualizacin 1 MP.SO.001-01 11/07/2008 02/12/08 Vicepresidencia de Procesos
Manual de Polticas Elaborado por: VP de Procesos Gerencia de Seguridad Informtica 35 de 61
Uso de Servicios de Red 1. El acceso al correo electrnico, solo podr ser utilizado para fines laborales. 2. El contenido de los mensajes que sean transmitidos a travs del correo electrnico, deber ser de ndole informativo, o bien de solicitudes de tipo administrativo para cubrir necesidades del rea que no involucren procesos confidenciales y/o delicados, especialmente los que tengan impacto monetario. 3. No se deben difundir correos en cadena que contengan informacin de ndole personal. 4. Los correos cuyo contenido atente contra personal del Banco o cualquier tipo de sistema y todo aqul que sea de carcter de alarma social y ajeno al mbito de operacin del Banco deber ser puesto en conocimiento de la Direccin del Banco, a los fines de realizar el seguimiento correspondiente. 5. En los casos que se reciban mensajes con archivos adjuntos, se debe verificar el origen de los mismos para descartar la presencia de virus informticos. 6. Debe existir un procedimiento de priorizacin de mensajes a objeto de garantizar su lectura oportuna por parte del destinatario. En este sentido, el usuario ser el responsable de asignar prioridad al mensaje (Alta, Normal o Baja), especialmente para los casos de mensajes cuya informacin se puede considerar de criticidad Alta. 7. Respaldar la informacin recibida va electrnica que amerite de chequeos posteriores (solo informacin de ndole laboral), en medios de almacenamiento externo, en el disco duro de su equipo o directamente en el Servidor de la red (en el caso de tener la asignacin de espacio en disco). 8. Los mensajes de correo electrnico en el campo asunto no deben quedar vacos, ni usar el trmino En el Texto. En el mismo, debe colocarse claramente un ttulo que identifique el tema a tratar, para as facilitar la categorizacin de los mensajes. 9. Los mensajes de correos que originalmente se dirigieron a todos o a grupos grandes de usuarios deben responderse nicamente solicitante; a excepcin que se trate de una respuesta que por su naturaleza y/o contenido, necesariamente requiera ser conocida por todos ellos. 10. Los mensajes emitidos con informacin correspondiente al Banco, no pueden ser transmitidos a entes externos al Banco; a excepcin de los casos que establezca la Direccin del Banco. Manual de Polticas Polticas de Seguridad Informtica Versin Codificacin Fecha Emisin Fecha Actualizacin 1 MP.SO.001-01 11/07/2008 02/12/08 Vicepresidencia de Procesos
Manual de Polticas Elaborado por: VP de Procesos Gerencia de Seguridad Informtica 36 de 61
11. El acceso al Correo Electrnico por los administradores, se considera una violacin a la privacidad de los usuarios. No obstante, se podr examinar cualquier informacin sin consentimiento o notificacin al empleado, previa autorizacin por parte de la Direccin del Banco, en caso que se considere que se est utilizando para la comisin de delitos informticos (Revelacin de Informacin, Fraude Electrnico, Apropiacin de informacin de clientes y Apropiacin de informacin por medios electrnicos, uso personal, etc.). 12. La dependencia encargada de la administracin de este servicio tendr potestad para monitorear y controlar el trfico de mensajes, as como establecer medidas de seguridad que permitan resguardar la integridad y confidencialidad de la informacin transmitida por va electrnica. 13. Se podrn crear controles adicionales a las cuentas que presenten un comportamiento sospechoso o que en forma comprobada pongan en riesgo la seguridad. 14. En aquellos casos que se utilice Firmas en los correos, no se permitir el uso de Logos, Nombres de Empresas y/o Datos que no sean los de bolvar Banco. Seguridad y Acceso a Internet 1. El acceso a Internet ser habilitado de acuerdo a las necesidades concernientes al puesto de trabajo de cada empleado. 2. Se procurar el establecimiento de un navegador (Browser) Web como predeterminado para la conexin a Internet por parte de todos los empleados del Banco. 3. Se procurar la actualizacin oportuna del navegador Web utilizado, con el fin de corregir los posibles fallos o bugs asociados a los mismos. 4. Se deber concientizar a los usuarios en el uso adecuado de Internet, a los fines de minimizar los riesgos inherentes al mismo. 5. Podrn establecerse restricciones de horario para el uso de Internet, en los casos que por justificadas razones sea solicitado por la Gerencia del Banco o funcionarios autorizados. 6. El uso va Internet de mensajera instantnea o canales de comunicacin en lnea, correo electrnico pblicos, no estar permitido. Slo se podr otorgar en casos que se justifique su uso y deben estar relacionados con investigaciones de seguridad de informacin. Manual de Polticas Polticas de Seguridad Informtica Versin Codificacin Fecha Emisin Fecha Actualizacin 1 MP.SO.001-01 11/07/2008 02/12/08 Vicepresidencia de Procesos
Manual de Polticas Elaborado por: VP de Procesos Gerencia de Seguridad Informtica 37 de 61
7. Se deber evitar mantener pginas activas innecesariamente, a los fines de evitar consumo de ancho de banda y/o congestin en los diferentes sistemas de comunicacin. 8. Se deber mantener activa la opcin de notificar cuando se accede de un servidor seguro a uno no seguro y viceversa. 9. El uso de Internet deber ser monitoreado peridicamente. Podrn crearse controles adicionales a los usuarios con acceso a Internet que presenten un comportamiento sospechoso o que en forma comprobada pongan en riesgo la seguridad. 10. Se debe restringir la descarga de archivos que ponga en riesgo la estabilidad de la plataforma operativa (ej.:.exe, .vbs, .js, .dll, etc.) 11. Se debe evitar la descarga de archivos de gran tamao que pudiesen mermar el ancho de banda necesario para otras aplicaciones. 12. Utilizar herramientas para monitorear y supervisar el flujo de trfico de paquetes a travs de la red, con el fin de detectar y solucionar anomalas, registrar usos indebidos o cualquier falla que provoque problemas en los servicios de red. 13. Monitorear y supervisar el flujo de trfico de paquetes a travs de la red, con el fin de detectar y solucionar anomalas, registrar usos indebidos o cualquier falla que provoque problemas en los servicios de la red. Seguridad del Internet Banking Mecanismos de Seguridad 1. Deber existir mecanismos de seguridad cnsonos a las ltimas tendencias tecnolgicas, que garanticen el resguardo y confidencialidad de la informacin suministrada por los usuarios. 2. Se garantizar mediante el uso de certificados digitales la autenticidad del sitio Web. 3. Se garantizar mediante el uso de algoritmos de encriptacin la confidencialidad de los datos. 4. Se actualizar constantemente los mecanismos de seguridad acorde a las ltimas tendencias tecnolgicas que garanticen la autenticidad, la integridad y la confidencialidad de la informacin compartida por los usuarios y el Banco. Manual de Polticas Polticas de Seguridad Informtica Versin Codificacin Fecha Emisin Fecha Actualizacin 1 MP.SO.001-01 11/07/2008 02/12/08 Vicepresidencia de Procesos
Manual de Polticas Elaborado por: VP de Procesos Gerencia de Seguridad Informtica 38 de 61
5. Se informar a los usuarios de las ltimas tendencias de fraude en Banca Virtual, con el fin de alertar y evitar los mismos. 6. Se mantendr un histrico de las actividades realizadas por los usuarios a travs de Internet Banking, a fin de disponer de la informacin pertinente para efectuar seguimientos y auditorias en caso de ser necesario Seguridad de Acceso con Autenticacin de Usuario 1. Se garantizar la autenticacin de los usuarios mediante el uso de datos que lo identifiquen de forma nica y mtodos de validacin de contraseas. 2. Se garantizar que en los servidores en los cuales se ingresen contraseas se realice bajo mecanismo que mantengan su confidencialidad y aumente la proteccin contra programas y troyanos que espan las secuencias del teclado y mouse (teclado-virtual, ocultamiento de contrasea, etc). 3. Se establece como datos de autenticacin de usuarios el nmero de su tarjeta, nmero de cdula de identidad y una clave de acceso, la cual es generada en la agencia por el usuario correspondiente. 4. Es de carcter obligatorio el cambio de contrasea de cualquier usuario cuando ingresa por vez primera al Internet Banking del Banco. En esta fase se le debe proporcionar a los usuarios la opcin de establecer una (01) pregunta secreta y su respuesta correspondiente, as como tambin el tiempo de caducidad de la contrasea ingresada (30, 60, 90 o 120 das). 5. En caso de olvido de contrasea de acceso por parte de cualquier usuario, se deber proporcionar una opcin para el reestablecimiento de la misma, garantizando la respectiva autenticacin del usuario. 6. Como mecanismo de prevencin ante posibles suplantaciones de identidades, se requiere de la inactivacin de usuarios luego de al menos tres (3) intentos consecutivos no satisfactorios. 7. Se deber garantizar respuestas oportunas a las solicitudes que se generen por concepto de olvido de contrasea y de pregunta secreta, bloqueos de usuarios. Se debe asegurar la existencia de mecanismos apropiados para canalizar los requerimientos de los clientes, incluyendo las quejas y sugerencias, los cuales deben ser informados por la Direccin de Productos y Mercadeos. Manual de Polticas Polticas de Seguridad Informtica Versin Codificacin Fecha Emisin Fecha Actualizacin 1 MP.SO.001-01 11/07/2008 02/12/08 Vicepresidencia de Procesos
Manual de Polticas Elaborado por: VP de Procesos Gerencia de Seguridad Informtica 39 de 61
Control de Acceso a la Aplicacin 1. Deben establecerse mecanismos adecuados para asegurar que los accesos a la aplicacin del Internet Banking para efectos de mantenimiento, actualizacin, evaluacin, etc.; se realice respetando la segregacin de funciones que debe existir entre los que desarrollan, administran y autorizan dichas actividades. 2. Todos los procesos relacionados con la aplicacin del Internet Banking deben ser objeto de revisin por parte de las Unidades de Control del Banco, para garantizar que la segregacin de funciones se est cumpliendo cabalmente. Plataforma de Servidores Seguros 1. Los servidores destinados para ofrecer los servicios de Internet Banking, deben estar resguardados en un rea que cumplan con todos los requisitos de seguridad fsica y lgica, de acuerdo a las mejores prcticas para Centros de Cmputo. 2. Se debe asegurar que los servidores destinados para alojar los servidos del Internet Banking no posean habilitados servicios no requeridos para sus procesos; tal como, Protocolos de transferencia de archivos FTP y Telnet, y cualquier otro protocolo que no sea necesario para el buen funcionamiento del servicio. 3. El acceso a los servidores del Internet Banking desde y hacia Internet, debe estar protegidos tras mecanismos y/o dispositivos de seguridad (Firewall, Detectores de Intrusos, Zona Desmilitarizada, etc.). 4. Se deben realizar pruebas peridicas a los servidores Web que albergan el Internet banking, a fin de evaluar posibles vulnerabilidades en los mismos. 5. Los servidores del Internet Banking deben disponer de mecanismos de seguridad que permitan repeler cualquier ataque o intento de acceso no permitido (Anti-Virus, Anti-Spam, actualizaciones, parches de seguridad, etc.). 6. Es necesario garantizar que todos los procesos de actualizacin y parches de seguridad de la plataforma operativa de los servidores del Internet Banking, sean realizados de forma frecuente y oportuna, por el personal autorizado sin alterar el buen funcionamiento del servicio prestado. 7. Debe garantizarse la existencia de procedimientos formales que permitan la continuidad de las operaciones a travs del Internet Banking en caso de contingencia, desde el propio centro de cmputo o desde un centro alterno. Manual de Polticas Polticas de Seguridad Informtica Versin Codificacin Fecha Emisin Fecha Actualizacin 1 MP.SO.001-01 11/07/2008 02/12/08 Vicepresidencia de Procesos
Manual de Polticas Elaborado por: VP de Procesos Gerencia de Seguridad Informtica 40 de 61
8. Establecimiento de medidas que aseguren la exactitud, culminacin, confianza y no repudio de las transacciones. Controles de Cambios 1. Todos los procesos concernientes a modificaciones y/o actualizaciones de cualquiera de las capas de operacin del Internet Banking (Presentacin, Negocio y Base de Datos), deben ser realizadas slo por personal acreditado, cumpliendo a cabalidad todas las etapas involucradas en la metodologa implementada para el control de cambios. 2. Aquellos cambios y/o modificaciones relacionados con el contenido informativo del Internet Banking (que no sea texto esttico), deben ser realizados por la Unidad de Banca Electrnica, debidamente aprobados por los entes que correspondan, deben ser realizadas slo por personal acreditado. 3. Todos los procesos concernientes a modificaciones y/o actualizaciones de cualquiera hardware del Internet Banking (servidores, routers, enlaces, u otros), deben ser realizadas slo por personal acreditado, cumpliendo a cabalidad todas las etapas involucradas en la metodologa implementada para el control de cambios. Cumplimiento de Requisitos Legales 1. Se debe garantizar que los clientes del Internet Banking dispongan de la informacin relacionada a los servicios disponibles. 2. Los aspectos legales del servicio del Internet Banking deben contemplarse en la seccin de Trminos y Condiciones, la cual debe contemplar los siguientes aspectos: a. Disposiciones Generales. b. Derechos de Propiedad Intelectual. c. Proteccin de la informacin de la organizacin y los clientes. d. Condiciones y limitaciones de uso de los servicios. e. Condiciones de Privacidad. f. Responsabilidades de las partes. Manual de Polticas Polticas de Seguridad Informtica Versin Codificacin Fecha Emisin Fecha Actualizacin 1 MP.SO.001-01 11/07/2008 02/12/08 Vicepresidencia de Procesos
Manual de Polticas Elaborado por: VP de Procesos Gerencia de Seguridad Informtica 41 de 61
g. Infracciones a los requisitos legales. h. mbito de aplicacin de la Ley. Controles para la Proteccin y Auditora de las Redes 1. Se debe garantizar la administracin centralizada de los activos de informacin del banco, incluyendo, los accesos a los sistemas operativos, bases de datos, aplicaciones, Controladores de Dominio, firewalls, IDS, VPN, Antivirus, ISA Server, Proxy, Filtrajes de Contenido, entre otros. 2. Se deben establecer controles para administrar los accesos y monitorear los recursos y soporte de hardware conectados a las redes constituidas en la organizacin, entre ellos, correo electrnico, Internet, enrrutadores, firewall, y proxys; considerndose como mnimo aspectos relacionados con encriptacin, autenticacin de accesos, Identificacin de estaciones, polticas de restriccin de accesos segn las necesidades de cada servicio, limitacin de intentos de acceso fallidos, herramientas de monitoreo, entre otros. 3. Como mecanismo de seguridad se establecer la activacin de las auditoras de sucesos en el servidor de dominio de usuarios. Las actividades a auditar, tomadas por la fragilidad de la accin, son las siguientes: 3.1Administracin de cuentas, proporcionando informacin referente a la creacin y modificacin de cuentas de usuario y grupos de trabajo. 3.2 Cambio de directiva, activndose cuando se modifica una directiva que afecta a la seguridad, a los derechos de usuario o a la auditoria. 4. Se considerar la activacin de auditorias y utilizacin de herramientas de monitoreo para identificar en formar oportuna las brechas de seguridad o posibles intentos de violaciones al correo electrnico, Internet y equipos de soporte a la red (enrrutadores, firewall, Proxy u otros). Los aspectos a monitorear y su frecuencia de revisin, depender de anlisis de riesgo que se efecten para medir la criticidad de los procesos involucrados y el valor o sensibilidad de la informacin implicada. Dentro de los procesos a auditar, se deben contemplar: a. Accesos autorizados (identificacin de usuarios, fecha y hora, tipo de evento, archivos ingresados, etc) b. Accesos por usuarios con privilegios especiales (administradores, supervisores, etc.) Manual de Polticas Polticas de Seguridad Informtica Versin Codificacin Fecha Emisin Fecha Actualizacin 1 MP.SO.001-01 11/07/2008 02/12/08 Vicepresidencia de Procesos
Manual de Polticas Elaborado por: VP de Procesos Gerencia de Seguridad Informtica 42 de 61
c. Intentos de accesos no autorizados (intentos fallidos, acciones o fallas en niveles de permisologa, alertas de sistemas de deteccin de intrusos, etc. d. Cambios e intentos de cambios en las configuraciones y controles de los sistemas de seguridad. e. Los registros de auditora slo podrn ser accesados por administradores y por las cuentas que se creen para revisiones por parte de las Unidades de Control. Estos registros sern utilizados para: a. Emitir informes respecto a posibles problemas internos. b. Ser utilizado como evidencia ante violaciones a reglamentos establecidos. c. Detectar fallas en los sistemas 5. Se efectuarn pruebas de penetracin internas y externas en la red interna del banco, para evaluar los niveles de seguridad existentes, las cuales se debern efectuar al menos una vez al ao. Es importante considerar la disponibilidad, integridad y confidencialidad de los recursos, adems se ha de tener en cuenta lo siguiente: a. Recursos que Requieren Proteccin. b. Factores de Riesgo. c. Medidas de Proteccin.
Manual de Polticas Polticas de Seguridad Informtica Versin Codificacin Fecha Emisin Fecha Actualizacin 1 MP.SO.001-01 11/07/2008 02/12/08 Vicepresidencia de Procesos
Manual de Polticas Elaborado por: VP de Procesos Gerencia de Seguridad Informtica 43 de 61
Encriptacin de Informacin Eleccin de Algoritmos 1. Todos los algoritmos de encriptacin utilizados en los procesos de cifrado de informacin, deben ser reconocidos y certificados por organismos de regulacin internacionales. 2. Dependiendo de la aplicacin y mecanismos de interoperatividad con otros sistemas, se deben tomar consideraciones sobre la eleccin del algoritmo de cifrado a utilizar, a fin de homologar los algoritmos y garantizar la integridad de la data intercambiada. 3. En caso de comprobarse vulnerabilidades o fallas de confiabilidad en los mecanismos implementados por cualquier algoritmo de cifrado usado, deben tomarse medidas a fin de evaluar estado de la informacin almacenada y pronta sustitucin por algn otro algoritmo de cifrado, en caso de ser necesario. 4. No est permitido el uso de algoritmos de cifrados propietarios, a menos que sean evaluados exhaustivamente comprobando la integridad de sus procesos asociados. 5. En caso de no cumplirse el inciso anterior, se deben tomar las consideraciones pertinentes en cuanto al manejo y resguardo de las claves utilizadas para la encriptacin. Procedimientos de Sistemas Criptogrficos 1. Todas las claves relacionadas con procesos criptogrficos, deben ser resguardadas adecuadamente para garantizar su confidencialidad y disponibilidad en los casos que amerite. 2. En aquellos casos que se requiera un mayor nivel de seguridad, para lo cual se hace necesario la implementacin de procesos criptogrficos ms complejos, se deben disponer de procedimientos documentados que abarquen: 2.1. Pasos para la ejecucin de los procesos. 2.2. Composicin de claves. 2.3. Seleccin de personal involucrado en la generacin de claves. 2.4. Implementacin de control dual de los componentes de las claves. 2.5. Responsabilidades asociadas. 2.6. Seleccin, control y resguardo de los dispositivos de seguridad para la generacin, insercin, obtencin o administracin de datos criptogrficos. Manual de Polticas Polticas de Seguridad Informtica Versin Codificacin Fecha Emisin Fecha Actualizacin 1 MP.SO.001-01 11/07/2008 02/12/08 Vicepresidencia de Procesos
Manual de Polticas Elaborado por: VP de Procesos Gerencia de Seguridad Informtica 44 de 61
Operaciones Polticas Generales 1. Se debe garantizar la seguridad en todos los aspectos relacionados con las reas de produccin u operaciones. 2. Los procesos ejecutados en las reas de procesamiento de informacin deben documentarse estableciendo las responsabilidades por cada tarea, tiempos de ejecucin, procedimientos de continuidad de operaciones, acciones para el manejo de fallas y errores, comunicacin con personal de soporte interno y externo, reinicio y recuperacin del sistema. 3. Debe garantizarse el control del Planificador de Tareas, a efectos de evitar cambios no autorizados que puedan afectar la continuidad de las operaciones. 4. El acceso a los sistemas por parte del personal de produccin debe otorgarse conforme a los requerimientos tcnicos y funcionales del rea, evitando el acceso a los datos y programas. 5. La capacidad del equipamiento debe evaluarse en forma peridica, tomando en cuenta el procesamiento actual y proyectarlo conforme a los planes de negocio y sistemas del Banco, a los fines de garantizar la disponibilidad y adecuacin de los recursos a dichos requerimientos de capacidad. 6. Velar por una adecuada segregacin de funciones y responsabilidades que impida que un solo individuo pueda ejecutar un proceso crtico. En tal sentido, se debe asegurar que el personal realice nicamente las tareas contempladas en su cargo, manteniendo una separacin de actividades en los siguientes aspectos: a. Utilizacin de los sistemas de informacin. b. Operaciones de procesamiento. c. Administracin de redes. d. Administracin de sistemas. e. Desarrollo y mantenimiento de sistemas. f. Gestin de cambios. g. Administracin y control de la seguridad. Manual de Polticas Polticas de Seguridad Informtica Versin Codificacin Fecha Emisin Fecha Actualizacin 1 MP.SO.001-01 11/07/2008 02/12/08 Vicepresidencia de Procesos
Manual de Polticas Elaborado por: VP de Procesos Gerencia de Seguridad Informtica 45 de 61
Pases a Produccin de Sistemas o Cambios Tecnolgicos 1. El procedimiento de control de cambio debe garantizar que los pases a produccin se realicen una vez completadas las fases definidas para tal fin, a fin de minimizar los incidentes que puedan afectar la continuidad de las operaciones, resaltando los siguientes aspectos: a. Pruebas y certificacin. b. Aprobacin de todos los entes involucrados. c. Cumplimiento de los requisitos de seguridad establecidos. d. Documentacin de los procedimientos y capacitacin de los usuarios. e. Requerimientos de procesamiento e impacto en otras aplicaciones o elementos tecnolgicos. 2. En los casos de cambios tecnolgicos o sistemas, se deber disponer de un plan de implantacin y prueba. 3. Se procurar la separacin de los ambientes de desarrollo, prueba y produccin, a fin de garantizar la ejecucin adecuada de los controles de cambio y minimizar los problemas operativos por modificaciones no autorizadas. Control y seguridad de los medios de almacenamiento 1. Se establecern procedimientos para proteger documentos, medios de respaldo, datos de entrada/salida y documentacin del sistema, a fin de prevenir los accesos no autorizados que puedan afectar la confidencialidad, integridad y disponibilidad de la informacin. Respaldos y Recuperacin de Informacin 1. Se establecern procedimientos para la realizacin de copias de respaldo, que contemplen copias de la informacin, programas, aplicaciones, documentacin, bases de datos, entre otros; incluyendo los procedimientos de recuperacin del sistema y de la informacin de manera separada e independiente. 2. Se determinarn perodos de conservacin de la informacin en las copias de respaldo durante los plazos que sean definidos segn las regulaciones establecidas por entes supervisorios o legales y las necesidades del Banco, determinadas por el propietario de la informacin y el administrador del sistema. Manual de Polticas Polticas de Seguridad Informtica Versin Codificacin Fecha Emisin Fecha Actualizacin 1 MP.SO.001-01 11/07/2008 02/12/08 Vicepresidencia de Procesos
Manual de Polticas Elaborado por: VP de Procesos Gerencia de Seguridad Informtica 46 de 61
Administracin y Seguridad de los Medios de Respaldo 1. Los medios de respaldo deben clasificarse de acuerdo al nivel de clasificacin asignado conforme al tipo de informacin que almacenen. 2. Velar por la existencia de procedimientos de etiquetado y manejo de los medios de respaldo y recuperacin. 3. Debe designarse una persona responsable para la ejecucin de las copias de respaldos tomando en consideracin el tipo de Sistemas de Informacin. 4. Los procedimientos de copia de respaldo sern vlidos y aceptables nicamente si se ha verificado que la copia es correcta, utilizando una herramienta de verificacin o restaurando parte del conjunto, para garantizar que las copias estarn disponibles cuando sea necesario. 5. Se deben establecer pruebas rotativas respecto a la restauracin de las copias de respaldo con una periodicidad previamente establecida, que debern incluir inspecciones para comprobar su presencia fsica y lgica. Las pruebas y los resultados deben estar convenientemente documentados y, como consecuencia de las mismas, se subsanarn las incidencias que se pongan de manifiesto durante su desarrollo. 6. Se debe velar por la existencia de copias de respaldo de cada uno de los software adquiridos en el Banco, el cual debe ser ingresado y registrado en el sistema de control de medios de almacenamiento. 7. Se debe formalizar un procedimiento de recuperacin para las copias de respaldo, que incluya los procesos de validacin intrnsecos a la operacin y la aceptacin de los usuarios que utilizan la informacin recuperada. Este procedimiento debe garantizar la reconstruccin de la informacin en un tiempo razonable y en el mismo estado que se encontraba en el momento de producirse la prdida o destruccin 8. Debe garantizarse el registro de incidencias cada vez que se realice la recuperacin de algn archivo o informacin por parte del personal operativo. Traslado y Almacenaje de los Medios de Respaldo 1. Debe disponerse de procedimientos que regulen la autorizacin, envo y recepcin de entradas y salidas de medios de respaldo, incluyendo la identificacin de los responsables de dichas autorizaciones. Manual de Polticas Polticas de Seguridad Informtica Versin Codificacin Fecha Emisin Fecha Actualizacin 1 MP.SO.001-01 11/07/2008 02/12/08 Vicepresidencia de Procesos
Manual de Polticas Elaborado por: VP de Procesos Gerencia de Seguridad Informtica 47 de 61
2. Se debern aplicar controles para salvaguardar los medios de respaldos que se transportan de un punto a otro, a fin de evitar que la informacin pueda ser manipulada durante su transporte, tomando en cuenta los siguientes aspectos: a. Utilizar medios de trasporte o servicios de mensajeras de confianza y debidamente autorizados. a.1El embalaje utilizado para los medios de respaldos debe garantizar la proteccin del contenido de cualquier dao fsico que pueda surgir durante el trnsito, y/o a prueba de aperturas no autorizada (que revelen cualquier intento de acceso). Dicho embalaje debe ser identificado y numerado para su reconocimiento y manipulacin a.2Los medios de respaldo deben ser ingresados a los centros de resguardo bajo la supervisin del personal designado para su traslado. 3. Todo ingreso o retiro de informacin de los sitios de resguardo de respaldo, deber ser autorizada por el custodio designado o persona en la que ste delegue, debiendo llevar un registro donde se detallen: medio de almacenamiento, descripcin, motivos de la entrada o salida, nombre, cargo y firma de la persona que requiere el respaldo, fecha de entrega y reintegro. 4. El acceso a las instalaciones de los centros de resguardo de respaldos del sistema, debe ser exclusivamente por personas autorizadas. 5. Debern conservarse copias de respaldo de la informacin crtica del negocio conforme a los requerimientos y periodos de retencin establecidos por los entes regulatorios, en localidades externas al rea de Procesamiento de Datos, evitando su prdida en caso de siniestro de gran magnitud. 6. Garantizar que existan condiciones adecuadas para la proteccin fsica de documentos, diskettes, CDS, cartuchos y otros medios de almacenamiento de informacin que contengan copias de respaldo en los sitios de resguardo de respaldos del Banco. 7. Los almacenes de los medios de respaldo deben estar situados en reas Restringidas, con las medidas adecuadas de proteccin fsica. El acceso a estas reas debe limitarse a aquellas personas debidamente autorizadas. 8. Se debe verificar la definicin y correcta aplicacin de las medidas de proteccin de los medios de almacenamiento, en cumplimiento con las recomendaciones del fabricante, a fin de garantizar la durabilidad de los mismos, durante el perodo de almacenaje definido Manual de Polticas Polticas de Seguridad Informtica Versin Codificacin Fecha Emisin Fecha Actualizacin 1 MP.SO.001-01 11/07/2008 02/12/08 Vicepresidencia de Procesos
Manual de Polticas Elaborado por: VP de Procesos Gerencia de Seguridad Informtica 48 de 61
Eliminacin de los Medios de Respaldo 1. Se debern definir y aplicar procedimientos de destruccin de copias y/o borrado de la informacin cuando ya no sean necesarios o se desechen, tomando en cuenta los perodos de resguardos requeridos y la obsolescencia o deterioro de los medios de almacenamiento. 2. Los mecanismos de destruccin debern aplicarse conforme al nivel de clasificacin asignado. 3. Los medios de respaldos que contengan informacin crtica deben ser destruidos fsicamente o sobrescritos de manera segura, garantizando la imposibilidad de su recuperacin; por ejemplos (incineracin, triturado, eliminando los datos o utilizando los medios en otras aplicaciones). 4. Se deber realizar un anlisis de riesgo a los medios de respaldos que se encuentren deteriorados o daados y que contienen informacin crtica, para determinar si es necesario destruirlos, repararlos o desecharlos. 5. Se debe mantener un registro de los medios de respaldo eliminados que contienen informacin reservada o confidencial, indicando: fecha de la eliminacin, hora de la eliminacin, procedimiento, motivo, persona que lleva a cabo la eliminacin. 6. Los medios de respaldo a reutilizar, deben ser verificados posterior a su reutilizacin para corroborar que la informacin fue borrada o sobrescrita adecuadamente. Seguridad de la Documentacin del Sistema 1. Se debe garantizar la proteccin de la documentacin del sistema contra accesos no autorizados; en tal sentido, es necesario: a. Establecer medidas de proteccin adecuadas de acuerdo al nivel de criticidad, en las diferentes actividades de procesamiento de informacin, entre ellas, copia, distribucin, transmisin electrnica (especialmente en redes pblicas), almacenamiento, etc. b. El propietario de la informacin debe establecer y mantener actualizadas listas de autorizacin de acceso a la documentacin del sistema. Manual de Polticas Polticas de Seguridad Informtica Versin Codificacin Fecha Emisin Fecha Actualizacin 1 MP.SO.001-01 11/07/2008 02/12/08 Vicepresidencia de Procesos
Manual de Polticas Elaborado por: VP de Procesos Gerencia de Seguridad Informtica 49 de 61
Adquisicin, Desarrollo y Mantenimiento de Sistemas de Informacin Polticas Generales 1. Se deber garantizar que los aspectos de seguridad de la informacin sean contemplados en forma adecuada en el proceso de adquisicin, desarrollo y mantenimiento de sistemas de informacin. 2. Los elementos de seguridad debern identificarse y aprobarse en los pasos previos al diseo y desarrollo de los sistemas, lo cual deber documentarse apropiadamente. Controles de Seguridad de los Sistemas de Informacin 1. Se debern contemplar controles de seguridad en todo el ciclo del sistema, en lo que se refiere a generacin del dato, ingreso del dato, procesamiento, almacenamiento, emisin de reportes y consultas, a objeto de asegurar la integridad y confidencialidad de la informacin. 2. El ingreso de datos debe efectuarse cumpliendo con los siguientes controles bsicos: a. Deben existir datos obligatorios y opcionales y rango de valores de datos. b. Contemplar validaciones de campos numricos, fechas, alfabticos, otros. c. Contener condiciones de error que no puedan ser consistentes fsica o lgicamente que no paralicen el procesamiento, sino que reporten las ocurrencias para accin inmediata en los sistemas. d. Poseer mensajes de errores claros y comprensibles por parte del usuario, de tal forma que se pueda tomar una accin correctiva rpidamente. 3. Los controles de la aplicacin deben ajustarse al sistema desarrollado, y deben determinarse en base a requisitos de seguridad y anlisis de riesgos, a fin de garantizar la integridad de los datos durante su procesamiento. 4. Deben tomarse en consideracin controles para el procesamiento interno, que permitan detectar en forma oportuna cualquier alteracin o corrupcin de la informacin, ya sea por fallas o acciones deliberadas. 5. Debe existir una documentacin adecuada de los programas donde se encuentren contempladas todas las circunstancias que se puedan presentar cuando la aplicacin se encuentre en uso. Manual de Polticas Polticas de Seguridad Informtica Versin Codificacin Fecha Emisin Fecha Actualizacin 1 MP.SO.001-01 11/07/2008 02/12/08 Vicepresidencia de Procesos
Manual de Polticas Elaborado por: VP de Procesos Gerencia de Seguridad Informtica 50 de 61
6. Los datos de salida de la aplicacin deben ser validados efectivamente para corroborar la efectividad del procesamiento. Proteccin de la Informacin 1. Se deben contemplar mecanismos de seguridad en los sistemas desarrollados, que permitan garantizar la confidencialidad e integridad en el almacenamiento y trnsito de la informacin sensible. 2. Se debe determinar el tipo y nivel necesario de seguridad en los datos, a fin de seleccionar y aplicar los controles adecuados. 3. Definir procedimientos de recuperacin de la informacin de acuerdo a los mecanismos de seguridad utilizados, en caso de prdida. Seguridad de los Componentes de la Aplicacin 1. Se debe disponer de controles adecuados que garanticen la proteccin de los archivos del sistema, entre ellos: a. Centralizar el proceso de actualizacin de los componentes del sistema. b. Las bibliotecas contentivas de los programas fuentes deben estar localizadas en ambientes separados del rea de produccin. c. El control y administracin de los programas fuentes de las aplicaciones ser responsabilidad del rea de Tecnologa, centralizando dicha funcin en un responsable por esta rea. d. Los programas fuentes de los sistemas adquiridos o desarrollados deben ser colocados en bibliotecas especiales, determinando quienes pueden actualizarlos y pasarlos a ambiente productivo. e. Mantener registros de auditoria de los accesos y actualizaciones efectuadas en los programas fuentes y sus libreras. f. Velar por el respaldo y resguardo de las versiones anteriores de programas fuentes y objetos. Manual de Polticas Polticas de Seguridad Informtica Versin Codificacin Fecha Emisin Fecha Actualizacin 1 MP.SO.001-01 11/07/2008 02/12/08 Vicepresidencia de Procesos
Manual de Polticas Elaborado por: VP de Procesos Gerencia de Seguridad Informtica 51 de 61
g. Garantizar el cumplimiento de los procedimientos de control de cambio para todos los casos de restauracin de programas fuentes entre los diferentes ambientes establecidos (produccin, calidad y desarrollo). h. Efectuar todas las pruebas y certificaciones requeridas de los objetos ejecutables de un sistema de informacin, previo a su implantacin en ambiente productivo. i. El acceso lgico o fsico de proveedores que participen en el desarrollo o mantenimiento de sistemas de informacin, deben ser debidamente autorizadas y monitoreadas. j. Se debe crear un plan adecuado para asignar la propiedad de los objetos cuando se pasa una aplicacin a Produccin. k. Se debe procurar un ambiente de pruebas controlado para las tareas de certificacin y prueba de los sistemas. l. Velar por que los programas en desarrollo o mantenimiento no sean almacenados en las bibliotecas de los programas fuentes, mientras no son certificadas y aprobadas su funcionalidad y operatividad. m. Slo el administrador de base de datos tendr la autoridad para hacer cambios a la biblioteca del sistema administrativo de bases de datos. n. Velar por que el administrador de base de datos establezca procedimientos escritos para la recuperacin de las bases y estructuras de datos, en caso de una destruccin total o parcial, los cuales debern ser revisados y avalados por el personal de auditoria de sistemas y la unidad de seguridad de los activos de informacin y custodiados adecuadamente a fin de evitar accesos irrestrictos. o. Velar por la implementacin de copias de seguridad de las estructuras y bases de datos, as como, los procedimientos de recuperacin para asegurar la disponibilidad de la base de datos. Seguridad de los Procesos de Control de Cambios 1. Se debe procurar la separacin de los entornos de Desarrollo y Produccin. 2. Toda modificacin efectuada en los sistemas de informacin del banco, debe estar debidamente documentada y justificada. 3. Todo requerimiento o cambio deber ser aprobado por los usuarios propietarios de la informacin y el Comit Tcnico de Control de Cambio, el cual tiene como responsabilidad la supervisin de las actividades Manual de Polticas Polticas de Seguridad Informtica Versin Codificacin Fecha Emisin Fecha Actualizacin 1 MP.SO.001-01 11/07/2008 02/12/08 Vicepresidencia de Procesos
Manual de Polticas Elaborado por: VP de Procesos Gerencia de Seguridad Informtica 52 de 61
relacionadas con controles de cambio, su revisin, medicin de impacto y aprobacin una vez se cumplan todos los procesos de prueba y certificacin requeridos, previo a su puesta en ambiente productivo. 4. Todos los sistemas adquiridos, desarrollados o modificados deben cumplir con todas las etapas de la Metodologa de Control de Cambio, entre ellos: a. Debe cumplirse en forma satisfactoria con todas las pruebas unitarias e integrales que garanticen el funcionamiento y resultados deseados de los sistemas de informacin, adquiridos, desarrollados o modificados antes de proceder a su implantacin en ambiente de produccin, en las cuales debe participar el usuario propietario y el Comit Tcnico de Control de Cambio (Artculo 80). b. Se dejar evidencia de los procesos de prueba realizados y los mismos deban estar firmados por las reas involucradas en el proceso de prueba y certificacin (Artculo .80). c. Aprobacin de todas las reas participantes. d. Se revisar el cdigo fuente del sistema antes de ser colocado en el ambiente de produccin, a fin de verificar que no exista cdigo no deseado. 5. Se garantizar que el personal de desarrollo y mantenimiento de sistemas no pueda implantar o ejecutar cambios en el ambiente productivo del banco. 6. Posterior a la implantacin del sistema se realizar una evaluacin del mismo, a fin de determinar si ha logrado satisfacer los objetivos establecidos. Desarrollo o Mantenimiento Externo de Sistemas de Informacin. Se considerarn los siguientes aspectos, en los casos de requerirse la tercerizacin para el desarrollo o mantenimiento de sistemas de informacin: 1. Se deben contemplar los aspectos en los acuerdos contractuales descritos en la Responsabilidad de Proveedores de Tecnologa y/o Terceros. Pgina 10 2. Los programas de desarrollo externo deben cumplir con las normativas internas relacionadas con la documentacin, seguridad y estndares generales de las aplicaciones. Manual de Polticas Polticas de Seguridad Informtica Versin Codificacin Fecha Emisin Fecha Actualizacin 1 MP.SO.001-01 11/07/2008 02/12/08 Vicepresidencia de Procesos
Manual de Polticas Elaborado por: VP de Procesos Gerencia de Seguridad Informtica 53 de 61
3. Se debe garantizar la ejecucin de todas las pruebas y certificaciones requeridas de los desarrollos realizados; as como suministrar toda la informacin tcnica referida a la instalacin, manuales de usuario y documentacin del sistema y dems requerimientos conforme a lo estipulado en los procedimientos de controles de cambio, previo a su puesta en marcha en ambiente productivo. 4. Los proveedores externos de sistemas de informacin solo podrn tener acceso al ambiente de desarrollo. 5. En caso de que los proveedores requieran para el desarrollo o mantenimiento de sistemas de informacin la utilizacin de conexiones remotas, se debe asegurar que se cumplan con las exigencias mnimas de seguridad de acuerdo a los estndares establecidos.
Manual de Polticas Polticas de Seguridad Informtica Versin Codificacin Fecha Emisin Fecha Actualizacin 1 MP.SO.001-01 11/07/2008 02/12/08 Vicepresidencia de Procesos
Manual de Polticas Elaborado por: VP de Procesos Gerencia de Seguridad Informtica 54 de 61
Plan de continuidad del Negocio Polticas Generales 1. Debe disponerse de Planes de Continuidad del Negocio que garanticen la continuidad de las operaciones crticas en caso de situaciones de emergencia que produzcan paralizacin parcial o total de la capacidad operativa del Banco. Para tal efecto, se debern establecer las pautas a seguir para su desarrollo, actualizacin, prueba y puesta en marcha. 2. El Plan de Continuidad del Negocio tiene por objetivo principal la recuperacin de los procesos crticos en mrgenes de tiempo y niveles de servicios acordes a las necesidades de las distintas unidades de la Organizacin. Evaluacin de Riesgos y Anlisis de Impacto 1. A los fines de establecer el Plan de Continuidad del Negocio se deber efectuar un anlisis detallado de los posibles eventos que puedan afectar parcial o totalmente las actividades del Banco, para lo cual se debern considerar las necesidades de recursos y el impacto producido por dicha interrupcin, tomando en cuenta adems los aspectos econmicos y financieros, y el impacto relacionado al periodo de recuperacin. 2. A partir de la evaluacin realizada se deber desarrollar una estrategia de recuperacin que permita definir los aspectos que se deben considerar para desarrollar los planes de continuidad del negocio. Desarrollo, Prueba y Puesta en Marcha de los Planes de Continuidad del Negocio 1. El Plan de Continuidad del Negocio debe contemplar lo siguiente: a. Personal responsable de evaluar las contingencias presentadas y determinar las acciones a tomar antes de iniciar los procedimientos definidos b. Responsables por cada proceso y rea de la Organizacin, incluyendo el personal de relevo en los casos que corresponda. c. Acciones a tomar mientras dure la contingencia. Manual de Polticas Polticas de Seguridad Informtica Versin Codificacin Fecha Emisin Fecha Actualizacin 1 MP.SO.001-01 11/07/2008 02/12/08 Vicepresidencia de Procesos
Manual de Polticas Elaborado por: VP de Procesos Gerencia de Seguridad Informtica 55 de 61
d. Procedimientos que le permitan al banco administrar el personal que labora en el rea de tecnologa con el fin de cumplir con un plan de contingencia general; en tal sentido dicho personal deber estar dispuesto a ser ubicado en tiempo de desastre y das feriados. e. Procedimientos de respuestas para regresar el rea al estado en que se encontraba antes de que ocurriera el incidente o desastre conforme a los tiempos de respuesta definidos por las reas del banco. En tal sentido, se debern identificar los requerimientos de respaldo por reas para el establecimiento de los procedimientos a seguir en la restauracin o recuperacin de datos crticos para el negocio. f. Procedimientos para salvaguardar y reconstruir las instalaciones. g. Procedimientos de emergencia para asegurar la integridad del personal. h. Acciones a tomar para realizar el traslado del personal clave a ubicaciones temporales. i. Procedimientos de coordinacin con las autoridades pblicas. j. Procedimientos de comunicacin entre empleados, clientes, proveedores, accionistas, gerentes, etc. k. Procedimientos sobre informacin crtica. l. Clasificacin y prioridad de los sistemas que permitan definir el orden de operacin en caso de requerirse la suspensin parcial del procesamiento. m. Documentacin de las pruebas requeridas para asegurar la efectividad de los planes. 2. Los Planes de Continuidad del Negocio deben incluir informacin relacionada con las personas contactos y/o responsables por las distintas unidades del banco, personal de tecnologa y servicios informticos llevados por proveedores externos. 3. Deber garantizarse la elaboracin de un plan detallado de pruebas que permita evaluar los procedimientos definidos previo a su implantacin, adems de permitir que el personal se capacite en las actividades a realizar durante la contingencia. 4. El plan de pruebas debe contemplar la operatividad real de cada rea organizativa, asegurndose el nivel de servicio en la medida de lo posible. Para tal efecto ser necesario programar en forma anticipada la realizacin de los simulacros respectivos, a los fines de involucrar a todo el personal requerido. Manual de Polticas Polticas de Seguridad Informtica Versin Codificacin Fecha Emisin Fecha Actualizacin 1 MP.SO.001-01 11/07/2008 02/12/08 Vicepresidencia de Procesos
Manual de Polticas Elaborado por: VP de Procesos Gerencia de Seguridad Informtica 56 de 61
5. Las pruebas deben asegurar que los procedimientos y responsabilidades se encuentran acordes, el personal comprende y ejecuta en forma apropiada los procesos definidos y los tiempos de respuesta se ajustan a los plazos establecidos. 6. La documentacin del proceso de pruebas constituye la base para efectuar las revisiones que sean necesarias conforme a los resultados no esperados. Una vez realizados los correctivos se podr proceder a su aprobacin definitiva. 7. Previo al proceso de puesta en marcha de los Planes de Continuidad del Negocio se deber garantizar que el personal cuente con el entrenamiento necesario para atender cualquier contingencia. Mantenimiento y Actualizacin de los Planes de Continuidad del Negocio 1. Los Planes de Continuidad del Negocio sern objeto de revisin al menos una vez al ao, a los fines de verificar su adecuacin y validez conforme a los distintos procesos y actividades de la Organizacin. 2. En los procesos de actualizacin, se debe contemplar la informacin relacionada con el personal, procesos de negocio, instalaciones, cambios de hardware y software, personal externo y riesgos.
Manual de Polticas Polticas de Seguridad Informtica Versin Codificacin Fecha Emisin Fecha Actualizacin 1 MP.SO.001-01 11/07/2008 02/12/08 Vicepresidencia de Procesos
Manual de Polticas Elaborado por: VP de Procesos Gerencia de Seguridad Informtica 57 de 61
Cumplimiento Legal Polticas Generales 1. Se garantizar el cumplimiento de cualquier ley civil o penal, requisito reglamentario, regulaciones establecidas por entes u organismos de control, obligaciones contractuales y todas las polticas, normas y procedimientos en los cuales se establezcan los requisitos de seguridad para la proteccin de los activos de informacin del banco. 2. Todos los requisitos legales, regulatorios y contractuales en materia de seguridad informtica deben mantenerse documentados y actualizados. 3. Se deben establecer medidas adecuadas para mantener informados a todos los usuarios que hacen uso de los activos de informacin del banco de su responsabilidad en materia de seguridad informtica, a fin de prevenir cualquier accin intencional o no, que pueda afectar la seguridad de la Institucin. 4. Mantener informados a los usuarios sobre el alcance otorgado a sus derechos de acceso; adems deben estar en conocimiento de que se realiza un registro de actividades del uso de los servicios a los cuales tiene acceso (aplicaciones, Internet, correo electrnico, etc.). 5. Todos los usuarios debern estar vigilantes ante cualquier hecho irregular que afecte a los activos de informacin del banco y proceder inmediatamente a su reporte al supervisor inmediato o al rea que corresponda, segn procedimientos formales para la notificacin de incidentes de seguridad. Conformidad con las Polticas de Seguridad Informtica 1. Se deben realizar revisiones regulares para verificar el cumplimiento de las polticas, normas, procedimientos y estndares de seguridad informtica, a objeto de asegurar la efectividad de los controles establecidos. 2. Los Vicepresidentes, Gerentes y personal de supervisin en general deben velar por el efectivo cumplimiento de todas las polticas, normas y procedimientos de seguridad dentro de su rea y mbito de responsabilidad. En tal sentido, deber realizar procesos de revisin regulares de las polticas y procesos de seguridad, a fin de: a. Identificar los actos o desacatos a las regulaciones y normativas de seguridad internas o externas asociadas a seguridad informtica. Manual de Polticas Polticas de Seguridad Informtica Versin Codificacin Fecha Emisin Fecha Actualizacin 1 MP.SO.001-01 11/07/2008 02/12/08 Vicepresidencia de Procesos
Manual de Polticas Elaborado por: VP de Procesos Gerencia de Seguridad Informtica 58 de 61
b. Evaluar la necesidad de establecer acciones para asegurar que los actos o desacatos no se vuelvan a presentar. c. Definir e implementar las acciones correctivas que se requieran. d. Garantizar la efectividad de las acciones correctivas implementadas. Sanciones por Uso Indebido de los Activos de Informacin e Infracciones a las Polticas de Seguridad Informtica 1. En caso de detectarse y/o comprobarse cualquier accin intencional o no, dirigida a violar la seguridad de los activos de informacin del Banco y las Polticas de Seguridad de Informacin establecidas en el presente documento y normadas a partir de los diferentes procedimientos establecidos para garantizar su aplicacin; el Banco se reserva el derecho de tomar cualquier accin legal y/o disciplinaria que considere pertinente tomando en cuenta la gravedad de la falta y la reincidencia en la misma. Se consideran infracciones los siguientes hechos o acciones: a. Intentos de violacin de la seguridad de los recursos informticos. b. Violacin comprobada de sistemas internos y/o externos. c. La apropiacin indebida, uso no autorizado o mal uso de los activos y equipos de informacin del Banco. d. Compartir sin aprobacin, activos de informacin o dispositivos de acceso (Ej. Cuentas de usuario, contraseas, claves de seguridad, tarjetas electrnicas, etc.). e. Usurpacin de identidad (acceso ilegtimo a servicios, envo de correos bajo el nombre de otra persona). f. Utilizacin indebida de los recursos de informacin, tal como, usar, sustraer, destruir, ocultar, inutilizar, duplicar, divulgar o alterar, total o parcialmente y de manera indebida informacin propiedad del Banco bolivar Banco, que se encuentre bajo su custodia o a la cual tengan acceso o conocimiento con motivo de su cargo o funciones encomendadas. g. Utilizacin sin autorizacin software que no est licenciado o autorizado (incluyendo freeware, shareware y software de dominio pblico) para el uso en los sistemas y redes internas del banco. h. Clasificar como Reservada, informacin que no cumple con las caractersticas sealadas en la poltica. Manual de Polticas Polticas de Seguridad Informtica Versin Codificacin Fecha Emisin Fecha Actualizacin 1 MP.SO.001-01 11/07/2008 02/12/08 Vicepresidencia de Procesos
Manual de Polticas Elaborado por: VP de Procesos Gerencia de Seguridad Informtica 59 de 61
i. Entregar informacin considerada como Reservada o Confidencial, sin la autorizacin del propietario. j. No proporcionar la informacin o entregar de manera incompleta, informacin requerida en una solicitud de acceso con fines de auditoria o inspeccin por entes gubernamentales y de control. k. Utilizar las vulnerabilidades de acceso de las redes internas o de los sistemas del banco para ingresar sin autorizacin. l. Utilizacin de cualquier medio, diferente a los establecidos, para acceder a los servicios sin la debida autorizacin. m. Crear condiciones que hagan peligrar innecesariamente las operaciones de los sistemas y redes. Esto incluye mecanismos de seguridad que degraden el desempeo y que afecten la continuidad del negocio. n. Conectar computadoras u otros dispositivos a las redes del Banco, sin previa autorizacin de las reas de Tecnologa y/o Seguridad Informtica. o. Realizar ataques de negacin de servicio contra los sistemas y redes del Banco. p. Permitir o facilitar la entrada de virus o cdigos maliciosos a los equipos de computacin. q. Uso indebido del servicio de correo electrnico e Internet (actividades ilcitas con software, robo de contraseas, actividades ilcitas en otros equipos; acceso o intercambio de pornografa o materiales indecentes o informacin no relacionada con las actividades profesionales asignadas, envo de mensajes electrnicos discriminatorios o de hostigamiento, etc.). r. No reportar alguna actividad irregular que se conozca. s. Cualquier otro acto que se considere incumplimiento de las obligaciones definidas en estas polticas y en los procedimientos relacionados a la misma. 2. El incumplimiento por parte del usuario de una o ms hechos mencionados anteriormente, puede acarrear la aplicacin de acciones disciplinarias, la cual depender de lo grave de la conducta y la reincidencia de la falta. En tal sentido, se detallen a continuacin las posibles sanciones: a. Mensaje de concientizacin al usuario por parte del administrador del servicio o activo involucrado. b. Carta de Amonestacin por parte del Supervisor inmediato. Manual de Polticas Polticas de Seguridad Informtica Versin Codificacin Fecha Emisin Fecha Actualizacin 1 MP.SO.001-01 11/07/2008 02/12/08 Vicepresidencia de Procesos
Manual de Polticas Elaborado por: VP de Procesos Gerencia de Seguridad Informtica 60 de 61
c. Carta de Amonestacin por parte de la Vicepresidencia de Gestin Humana o bien del Supervisor inmediato, con copia al expediente del empleado o funcionario. d. Suspensin y posterior baja del sistema de cuenta de correo electrnico e Internet u otro sistema al cual tenga acceso y este realizando uso indebido; por lo cual estar sujeto a las siguientes sanciones de acuerdo a la gravedad y a la reincidencia en la falta: e. Suspensin temporal o parcial de servicios (Correo e Internet). Esta medida puede tomarse incluso con carcter preventivo y sin aviso previo, si llegara a detectarse alguna actividad ilegal o peligrosa originada en el buzn de correo del usuario. f. Suspensin definitiva de servicios informticos. g. Suspensin del empleo. h. Destitucin del puesto. i. En caso que la infraccin se genere por delitos informticos comprobables, cometidos a terceros, utilizando la red del Banco, se proceder de acuerdo a las regulaciones establecidas en los artculos N 444, 445, 446, 447 de la exposicin del Decreto N 1.526 con fuerza de Ley de Reforma de la Ley General de Bancos y Otras Instituciones Financieras de fecha martes 13 de Noviembre de 2001, las cuales se detallan a continuacin: Revelacin de Informacin Artculo 444: Los miembros de la junta administradora, directores, administradores, funcionarios o empleados del banco, institucin financiera o casa de cambio, o cualesquiera de las personas sometidas al control de la Superintendencia de Bancos y Otras Instituciones Financieras en virtud de el presente Decreto Ley, que en beneficio propio o de un tercero utilicen, modifiquen, revelen o difundan datos reservados de carcter confidencial que se hallen registrados en medios escritos, magnticos o electrnicos, sern penados con prisin de ocho (8) a diez (10) aos. Con la misma pena sern sancionados los miembros de la junta administradora, directores, administradores, funcionarios o empleados del banco, entidad de ahorro y prstamo, institucin financiera o casa de cambio, o cualesquiera de las personas sometidas al control de la Superintendencia de Bancos y Otras Instituciones Financieras en virtud de el presente Decreto Ley, que sin justa causa destruya, altere o inutilice datos, programas o documentos escritos o electrnicos. Manual de Polticas Polticas de Seguridad Informtica Versin Codificacin Fecha Emisin Fecha Actualizacin 1 MP.SO.001-01 11/07/2008 02/12/08 Vicepresidencia de Procesos
Manual de Polticas Elaborado por: VP de Procesos Gerencia de Seguridad Informtica 61 de 61
Fraude Electrnico Artculo 445: Quien a travs de la manipulacin informtica o mecanismo similar, con nimo de lucro, efecte una transferencia o encomienda electrnica de bienes no consentida, en perjuicio del banco, entidad de ahorro y prstamo, institucin financiera o casa de cambio, o de un cliente o usuario, ser penado con prisin de ocho (8) a diez (10) aos. Con la misma pena sern castigados los miembros de la junta administradora, directores, administradores o empleados del banco, entidad de ahorro y prstamo, institucin financiera o casa de cambio, que colaboren en la comisin de las transferencias antes mencionadas. Apropiacin de Informacin de los Clientes Artculo 446: Quien a travs de la manipulacin informtica o mecanismo similar, se apodere o altere documentos, cartas, mensajes de correo electrnico o cualquier otro documento o efecto personal remitido por un banco, institucin financiera o casa de cambio, a un cliente o usuario de dicho ente, ser penado con prisin de ocho (8) a diez (10) aos. Apropiacin de Informacin por Medios Electrnicos Artculo 447: Quien utilice los medios informticos o mecanismo similar, para apoderarse, manipular o alterar papeles, cartas, mensajes de correo electrnico o cualquier otro documento que repose en los archivos electrnicos de un banco, entidad de ahorro y prstamo, institucin financiera o casa de cambio, perjudicando el funcionamiento de las empresas regidas por este Decreto Ley o a sus clientes, ser penado con prisin de ocho (8) a diez (10) aos. 3. Aquellos usuarios que incumplan alguna ley civil o penal, requisito reglamentario, regulaciones establecidas por entes u organismos de control, obligaciones contractuales y todas las polticas, normas y procedimientos en los cuales se establezcan los requisitos de seguridad para la proteccin de los activos de informacin del banco, se le notificar la incurrencia del hecho por escrito (correo electrnico o memorando) para prevenir su reincidencia 4. De acuerdo a la gravedad del delito informtico cometido se podr realizar las notificaciones a los entes correspondientes a fin de que sean aplicadas las sanciones segn estn definidas en la LEY ESPECIAL CONTRA LOS DELITOS