Escolar Documentos
Profissional Documentos
Cultura Documentos
03
1. Antecedentes
La política de Seguridad de la Información del BCP, se encuentra alineada con la Norma Internacional
ISO 27001:2013
Esta política establece las directivas y requerimientos necesarios para implementar un razonable nivel de
protección de la información, plataformas, sistemas de información y aplicativos informáticos dentro del
Banco, restringiendo el acceso, modificación y/o divulgación no autorizada de los activos de información,
que podrían afectar las operaciones y oportunidades de negocios de la organización.
2. Objetivo
a) Establecer el marco general de seguridad de la información que permita contar con niveles
requeridos de disponibilidad, confidencialidad, integridad y privacidad, en base a las necesidades
del negocio y a los riesgos presentes en sus procesos.
b) Asegurar el cumplimiento de las leyes, regulaciones y normativas vigentes.
3. Alcance
Indicar el carácter universal de esta política para cada uno de las partes interesadas, empleados del
Banco, trabajadores externos y proveedores de servicios que acceden a la información y recursos del
Banco.
4. Terminología y definiciones
4.1. Generales
a) Activo de Información: Todo documento físico (DF), documento digital (DD) y aplicativos
informáticos (APP) que tengan un valor para la empresa y/o soporten o sean parte de la actividad,
proceso o giro de negocio de la organización. Y además deberá contar con un “Custodio” y un
“Owner o Dueño”.
b) Administrado: Actividad relacionada con la ejecución de controles para la gestión de la aplicación
como: mantenimiento al aplicativo, instalación de parches, gestión de accesos, entre otros.
c) Alojado: Ubicación física del activo de información el cuál puede ser bajo una infraestructura de la
División de Sistemas o bajo una infraestructura propia de la Unidad.
d) Aplicativo informático fuera de la custodia de la División de Sistemas (APPnoIT): Todo activo
de información orientado al procesamiento y administración de datos e información. Se catalogará
como fuera de la custodia de la División de Sistemas en el caso que dicho aplicativo se encuentre
administrado por la Unidad y no cumpla con el Modelo de Gobierno de Gestión de Usuarios TI, y no
se ha evaluado e identificado si cumple con los lineamientos de seguridad de información y
estándares tecnológicos definidos por el BCP.
Se incluye a esta definición los archivos digitales con lógica de programación en su contenido, como
por ejemplo: macros en Excel, bases de datos en Access, lógicas en Sharepoint, entre otros.
-1-
Toda creación o modificación de APPnoIT sin conocimiento de la unidad de Gestión de Usuarios TI
es considerada un incumplimiento al Modelo de Gobierno y logra su formalización cuando es
evaluada e inventariada a fin de que se le considere como aplicación especializada APPEsp/User IT
e) Aplicativo informático especializado (APPEsp): También conocida como aplicación User IT. Es el
conjunto de programas desarrollados, instalados, administrados y/o actualizados por la unidad
usuaria fuera de la custodia de la División de Sistemas, para los cuales el Área de Arquitectura y
Estándares de TI ha otorgado la autorización bajo el Modelo de Gobierno de Gestión de Usuarios TI,
lo cual involucra que es una aplicación inventariada y se evaluará su cumplimiento para aplicar los
estándares tecnológicos y lineamientos de seguridad establecidos por el BCP. Para mayor detalle,
revisar la Norma “Modelo de Gobierno para aplicaciones fuera de la custodia de Sistemas -
Cumplimiento y tratamiento de los procesos, lineamientos y estándares tecnológicos (4110.011.03)”
f) Aplicativo informático dentro de la custodia de la División de Sistemas (APPIT): Conjunto de
programas desarrollados, instalados, administrados y/o actualizados por la División de Sistemas para
brindar atención a los clientes con productos o servicios automatizados, así como ofrecer el soporte
necesario a toda la estructura administrativa, operativa y contable.
g) Confidencialidad: Propiedad de la información, por la que se garantiza que está accesible
únicamente a individuos autorizados a acceder a dicha información.
h) Control: Todo mecanismo para manejar el riesgo; incluyendo políticas, procedimientos,
lineamientos, entre otros.
i) Custodio del Activo de Información: Mantiene y asegura alguna o todas las propiedades de la
información (confidencialidad, integridad, disponibilidad y privacidad) de un DF, DD y APPEsp/User
IT y los escenarios de custodia establecidos para su protección, según los requerimientos
establecidos por el Owner del activo.
j) Disponibilidad: Propiedad de la información, por la que se garantiza que la información estará
accesible y será utilizable a demanda.
k) Documento digital (DD): Todo activo de información que contenga datos en formato electrónico, y
que requiere de un dispositivo informático para su acceso y consulta. Se excluye de esta definición a
todo archivo digital que contenga lógica de programación en su contenido, como por ejemplo macros
en Excel.
l) Documento físico (DF): Todo activo de información que contenga datos registrados en un formato
tangible tales como comprobantes de caja, documentos de control operativo, documentos activos,
documentos pasivos, documentos para archivo físico, entre otros.
m) Escenario: Nivel de protección exigible por el Banco en función de las características de
administración (gestión) y alojamiento (custodia) del activo de información.
n) Escenario 1: Nivel de protección para todo Activo de Información administrado y alojado por la
División de Sistemas.
o) Escenario 2: Nivel de protección para todo Activo de Información administrado por la Unidad y
alojado por la División de Sistemas. En el caso que las actividades de administración de un aplicativo
informático sean compartidas entre la Unidad y la División de Sistemas, y este aplicativo esté alojado
en Sistema, se considerará el APPEsp/User IT en el Escenario 2.
p) Escenario 3: Nivel de protección para todo Activo de Información administrado y alojado por la
Unidad (auto administrado).
q) Gestor de Riesgos de Operación (Gestor RO): Personal de apoyo, perteneciente a la unidad
usuaria, que facilite la generación del inventario de activos de información y coordinación de la
gestión y tratamiento de riesgos con su Unidad. Todo Gestor RO deberá velar por la correcta
identificación y clasificación de los activos de información dentro de su Unidad, así como también, de
mantener actualizado el inventario donde dichos activos se encuentran registrados.
-2-
r) Gestor de aplicaciones de usuarios TI: Líder del equipo de especialistas de aplicación de la
unidad. Será el responsable de velar que las nuevas iniciativas tecnológicas o cambios en el
portafolio de las aplicaciones de su unidad, sean gestionados bajo el modelo de gobierno de Gestión
de Usuarios de TI de acuerdo a lo indicado en la norma “Modelo de Gobierno para aplicaciones fuera
de la custodia de Sistemas - Cumplimiento y tratamiento de los procesos, lineamientos y estándares
tecnológicos (4110.011.03)”. Es la persona responsable de asegurar el cumplimiento de las
propiedades de la información de un APPEsp/User IT (confidencialidad, integridad, disponibilidad y
privacidad).
s) Asesor de Gestión de Usuarios TI (Asesor User IT): Rol responsable de orientar las soluciones o
iniciativas tecnológicas de las unidades usuarias, brindándoles asesoría en la correcta aplicación de
los lineamientos de seguridad de información y estándares tecnológicos para aplicaciones
APPEsp/User IT de acuerdo a lo indicado en la norma “Modelo de Gobierno para aplicaciones fuera
de la custodia de Sistemas - Cumplimiento y tratamiento de los procesos, lineamientos y estándares
tecnológicos (4110.011.03)”.
t) Información: Cualquier forma de registro electrónico, óptico, magnético o en otros medios,
susceptible de ser procesada, distribuida y almacenada.
La información adopta muchas formas, tanto en los sistemas como fuera de ellos. Puede ser:
Almacenada, en los sistemas o en medios portables;
Transmitida, a través de redes o entre sistemas;
Impresa o escrita, en papel o hablada en conversaciones.
u) Integridad: Propiedad de la información, por la que se asegura su exactitud, precisión y completitud.
v) Lineamiento: Toda descripción que aclara qué se debe hacer para lograr los objetivos establecidos
en la política o marcos de gobierno del Banco.
w) Owner o Dueño: Líder usuario o Gerente de la unidad responsable de la información de un activo.
Los Owners o Dueños de activos son formalmente los responsables identificar los requerimientos
necesarios para mantener la seguridad de los activos según su clasificación (preservación de
confidencialidad, integridad, disponibilidad y privacidad) mientras estos sean desarrollados,
producidos, mantenidos o usados.
x) Privacidad: propiedad de la información, por la que se garantiza que la información propia e
individual del cliente es conocida sólo por individuos autorizados.
y) Procesamiento de Datos: se entiende por procesamiento de datos (independientemente del medio
que los contenga), a la validación, transmisión (o distribución) y transformación de datos, ya sea que
se efectúe por el Banco o por contratación de servicios con otras empresas, de forma local o fuera
del país. Toda operación enmarcada bajo esta definición deberá contar con niveles de seguridad que
aseguren la confidencialidad, integridad, disponibilidad y privacidad de los datos, enmarcadas bajo
las directrices, lineamientos y regulaciones locales y la autorización del ente regulador en caso
aplique.
(*)
z) Proveedores Críticos : son todos aquellos proveedores adjudicados como resultado del proceso
de formalización de contratos, cuyos servicios han sido clasificados como estratégicos y de alto
riesgo para la organización.
(*)
aa) Proveedores críticos con acceso a información de uso restringido : son todos aquellos
terceros que tienen acceso a información de uso restringido del banco, los cuales están sujetos a
cumplir con los lineamientos de seguridad de la información exigidos por el banco. Se entiende
también que cualquier proveedor crítico con acceso a información de uso restringido, es una
subcontratación significativa.
(*)
bb) Subcontratación : Se entiende por subcontratación a la modalidad de gestión mediante la cual
una empresa contrata a un tercero para que éste desarrolle un proceso que podría ser realizada por
la empresa contratante.
-3-
(*)
cc) Subcontratación significativa : es toda aquella subcontratación que en caso de falla o
suspensión del servicio, puede poner en riesgo importante a la empresa, al afectar sus ingresos,
solvencia o, continuidad operativa.
(*) Para mayor detalle ver norma Formalización de contratos con Proveedores de Bienes y Servicios
(4147.010.05.10).
b) Autenticación: Mecanismo por el cual un sistema de información cuenta con evidencia válida para
asegurar que la identificación de un usuario es correcta.
c) Autorizador: Usuario con la responsabilidad delegada por el owner, de confirmar o denegar las
autorizaciones de accesos a los recursos de información.
d) Certificado Digital: Es la certificación electrónica que vincula unos datos de verificación de firma a un
signatario y confirma su identidad.
e) Cifrado: Proceso mediante el cual una cadena legible de datos es alterada, en forma lógica, con el
objetivo de evitar que alguien no autorizado pueda interpretarla. Esta cadena codificada carece de
significado a menos que tenga los medios que le permitan su interpretación.
f) Firewall: Equipo de protección que se coloca entre redes para impedir el acceso de usuarios no
autorizados a la red.
g) Fixes o parches: Soluciones que provee el fabricante para corregir las vulnerabilidades que afectan a
sus productos.
h) Log: Registro de datos lógicos de las acciones o sucesos ocurridos en los sistemas aplicativos u
operativos, con el fin de mantener información histórica para fines de control, supervisión y auditoría.
i) Password o clave de acceso o contraseña: Conjunto de caracteres que una persona debe registrar
para ser "reconocida" como usuario autorizado y acceder a los recursos de un equipo o sistema
utilizado para el procesamiento de datos.
-4-
j) Virus: Programas maliciosos que se activan con o sin control del usuario y que provocan un resultado
inesperado en los diferentes sistemas o aplicativos.
k) Vulnerabilidad: Fallo o “bug” de seguridad que afecta al software base que se encuentra instalado.
5. Características
a) Para garantizar un adecuado Marco de Seguridad de la Información y su capacidad para lograr
resultados se debe tener en cuenta:
c) Todo personal del Banco y trabajadores externos que tengan acceso a la información y recursos del
Banco, son responsables de cumplir con las normas y políticas de seguridad de la información.
Todo medio de información, aplicativo o recurso de computador debe tener un líder usuario o
usuario propietario (OWNER) quien será el responsable de cumplir los lineamientos dispuestos
en la Política y Marco de Seguridad de la Información relacionadas a ese activo de información
en particular.
-5-
Los líderes usuarios o usuarios propietarios tienen la responsabilidad de determinar cómo serán
administrados los activos de información bajo su responsabilidad, con el apoyo del Gestor RO y
con el asesoramiento y la atención de consultas por parte de la Gerencia de Seguridad
Informática, la Gerencia de Seguridad y la asesoría de la unidad de Gestión de Usuarios TI para
el caso de sus aplicaciones especializadas (APPEsp/User IT).
La administración de seguridad debe ser auditada y revisada para asegurar que los procesos a
su cargo se realicen de manera eficiente y efectiva.
b) Los empleados con personal a cargo son responsables de asegurar que la identificación y password
asignados a los empleados que les reportan, se encuentren activos y cumplan con los requerimientos
de su Área, Gerencia, Subgerencia, Unidad u Agencia. Asimismo informar y alertar a la Gerencia de
Seguridad Informática de cualquier infidencia y/o mal uso.
c) Para aquellos sistemas donde el acceso se ofrece directamente a clientes o personas que no son
empleados del Banco, obligatoriamente se debe considerar la existencia de un código de
identificación único por usuario y se les deberá proveer de guías explícitas sobre su uso y
responsabilidades.
d) Toda información de seguridad, como password o claves de acceso, debe estar encriptada durante su
transmisión y almacenamiento en cualquier medio electrónico.
d) La empresa debe implementar procedimientos definidos en caso de cese del personal, que incluye
aspectos como la revocación de los derechos de acceso y la devolución de activos de la información
(Formato de Devolución de activos). Política Desvinculación del personal (5014.926.02)
e) La Gerencia de Seguridad debe monitorear el cumplimiento, atender las consultas y concientizar a
los usuarios de manera continua sobre lo dispuesto por el Marco de Gobierno de Seguridad de la
Información con el fin de prevenir:
El acceso físico no autorizado, daño e interferencia de los documentos físicos restringidos del
Banco.
-6-
La pérdida y robo o compromiso de documentos físicos.
f) En caso de pérdida, asalto o robo de documentos con información de clientes o colaboradores BCP,
se deberá denunciar el hecho, indicando la relación de clientes/colaboradores afectados.
g) En caso de que un proveedor sea víctima de robo, asalto o pierda información de clientes o
colaboradores BCP, el hecho debe ser denunciado por el mismo proveedor indicando la relación de
clientes/colaboradores afectados. Asimismo, deberá comunicar el hecho de forma inmediata a la
Unidad Usuaria BCP. Esto último, debe quedar especificado en una cláusula en el contrato con
dicho proveedor.
f) Las consideraciones de seguridad que se deben tener presente para clasificar la información son las
siguientes:
Disponibilidad
Confidencialidad
Integridad
Privacidad
Público: La información de uso público es clasificada como tal, si en el escenario de que dicha
información no estuviera disponible, el resultado no generaría ningún efecto, además, la
divulgación o no de esta información no causa ningún tipo de pérdida económica, impacto legal,
ni de imagen para la organización.
Uso Interno: La información de uso interno es clasificada como tal, si en el escenario de que
dicha información se filtrara fuera de la organización, el resultado podría generar pérdidas
económicas no significativas. Es decir, la divulgación de dicha información no causará daños
graves a la organización, ni en términos económicos, legales ni de imagen institucional. El
acceso es provisto únicamente a personal del Banco o trabajadores externos autorizados, de tal
modo, que ellos puedan consultarla libremente. En caso, se necesite modificar o eliminar esta
información, se procederá en base a las necesidades y responsabilidades del puesto.
-7-
Restringido: La información de uso restringido es clasificada como tal, si en el escenario de que
dicha información se filtrara fuera de la organización, el resultado podría generar importantes
pérdidas económicas, impacto legal y de imagen institucional. La divulgación de dicha
información requiere la aprobación del Owner o Dueño. Asimismo, en caso la información
requiera ser divulgada a trabajadores externos se requerirá un acuerdo de confidencialidad
firmado.
a) Se entiende por Dato Sensible a cualquier Activo de Información cuya modificación o alteración
inadecuada o no autorizada podría afectar gravemente a la integridad de los Sistemas de
Información, sin ser prevenidas por los métodos habituales de control ni detectadas en un corto
espacio de tiempo.
b) Un programa sensible sólo podrá ser usado para los fines para los que fue creado. Toda
modificación, cambio o alteración de un Programa Sensible deberá ser previamente autorizada por el
Owner o Dueño correspondiente.
c) Los Activos de Información Sensibles no podrán ser, en ningún caso, consultados públicamente y no
puede haber usuarios que tengan acceso permanente a ellos, incluyendo las copias de respaldo.
d) Los accesos temporales deberán estar plenamente justificados y aprobados caso a caso, los que
tendrán que ser eliminados inmediatamente después de terminar la necesidad de uso.
e) Todas y cada una de las actividades de uso y acceso realizadas por los usuarios tendrán que ser
registradas y revisadas.
-8-
h) Deberán controlarse todas las transferencias de Activos recibidas, verificando que ninguno de ellos
es, o forma parte de, un virus conocido con especial atención en los programas ejecutables.
c) Durante la jornada laboral, en ausencias que excedan un tiempo razonable, es necesario bloquear el
terminal, para ello se utiliza productos de bloqueo (protectores de pantalla) y arranque mediante
contraseña.
d) Cualquier infección de virus deberá ser notificada a HelpDesk para el aislamiento de los sistemas
afectados, el análisis del virus y si fuera necesario, su posterior inclusión en el anti-virus.
e) Se prohíbe propagar conscientemente programas o datos infectados por virus dentro de o desde el
Banco.
g) Todo recurso asignado al usuario está destinado únicamente para fines del negocio, cualquier otro
uso contraviene las políticas del Banco.
h) Todo empleado del Banco debe asegurar una gestión apropiada del envío y traslado de su
información. El traslado externo de documentos (fuera del BCP), debe efectuarse mediante
procedimientos formales implementados por el Banco (Norma Envío de Documentos Restringidos y
valorados a clientes generados por las distintas áreas y Sucursales de Lima Metropolitana y Callao
4035.011.07)
i) Todo el personal del Banco y trabajadores externos debe asegurar la gestión de destrucción de sus
documentos físicos clasificados como restringidos.
b) Las aplicaciones deben incluir la definición de logs de auditoría y alertas para eventos críticos que
permitan realizar un análisis forense (investigación por algún incidente).
c) Para aplicaciones críticas se debe coordinar con la Gerencia de Prevención para realizar la interfase
con la aplicación Monitor.
-9-
d) La responsabilidad del cumplimiento de las Normas es de todos los empleados, pero especialmente
del personal directivo que tiene bajo su responsabilidad como empleado la coordinación y
supervisión de todos los empleados a los que dirige.
e) La División de Gestión y Desarrollo Humano será responsable de aplicar las sanciones a los
empleados del Banco ante cualquier incumplimiento de las obligaciones que como empleados les
corresponde, relacionado a la mala gestión de seguridad de la información, tanto para documentos
físicos, digitales, y aplicativos dentro y fuera de la custodia de la División de Sistemas (APPIT y
APPESP/User IT respectivamente).
g) La División de Auditoría deberá tomar las consideraciones necesarias en sus revisiones con respecto
al Marco de Gobierno de Seguridad de la Información.
Generar en los empleados del Banco desde el más alto nivel de dirección hasta los empleados
temporales, una conciencia de seguridad y lograr su efectiva colaboración en el uso adecuado de
los Sistemas y la protección de los activos de información de la institución.
Mantener actualizados a los empleados con relación a las políticas, normas, procedimientos y
estándares de Seguridad de la Información de la organización y las razones para ser utilizadas.
- 10 -
b) Es responsabilidad del Banco hacia sus clientes, empleados, proveedores y socios de negocios el
mantener la privacidad de la información personal confidencial utilizada para el desarrollo del
negocio.
c) Los contratos con los proveedores que traten documentos de Uso Restringido, deberán incluir
cláusulas de Seguridad de la Información (Confidencialidad) y Protección de Datos Personales
según corresponda, de acuerdo al formato de Contratos de Prestación de Servicios que se
encuentra publicado en el Portal Normativo del Banco.
d) El mantenimiento de la privacidad de la información confidencial requiere de los siguientes controles
y medidas de seguridad como:
Usar la información solamente para el propósito para el cuál se recopiló.
Mantener la información solamente por el tiempo requerido por las regulaciones vigentes o por
el tiempo que sea relevante para el propósito inicial.
No debe ser expuesta sin contar con la debida autorización y/o consentimiento de la persona,
salvo casos en que la regulación lo exija o permita.
Debe encontrarse disponible para que el individuo, a quién pertenecen los datos, pueda
revisarla y copiarla.
Debe ser corregida si se encontrasen errores o si estos son identificados por el individuo a quien
le pertenecen los datos.
Con el fin asegurar y mantener las características de Seguridad de la Información del Banco incluso en
servicios que sean objetos de subcontración se toman en cuenta las siguientes consideraciones:
Los proveedores críticos que además traten con información de uso restringido deberán ser evaluados y
cumplir con los lineamientos de seguridad exigidos por el banco.
- 11 -
7. Partes Interesadas
Las siguientes son las partes interesadas frente al Marco de Gobierno de Seguridad de la
Información y sus requerimientos:
- 12 -