Politicas Generales de SI
Short Description
Politica complementaria...
Description
4147.010.30.03
Administración de de Riesgos de Operación Políticas Políticas Generales de Seguridad de la Información
Fecha de Vigencia: 07/04/2017 Fecha de Publicación: 06/04/2017
1. Antecedentes La política de Seguridad de la Información del BCP, se encuentra alineada con la Norma Internacional ISO 27001:2013 Esta política establece las directivas y requerimientos necesarios para implementar un razonable ni vel de protección de la información, plataformas, sistemas de información y aplicativos informáticos dentro del Banco, restringiendo el acceso, modificación y/o divulgación no autorizada de los activos de información, que podrían afectar las operaciones y oportunidades de negocios de la organización.
2. Objetivo a) Establecer el marco general de seguridad de la información que permita contar con niveles requeridos de disponibilidad, confidencialidad, integridad y privacidad, en privacidad, en base a las necesidades del negocio y a los riesgos presentes en sus procesos. b) Asegurar el cumplimiento de las leyes, regulaciones y normativas vigentes.
3. Alcance Indicar el carácter universal de esta política para cada uno de las partes interesadas, interesadas, empleados del Banco, trabajadores externos y proveedores de servicios que acceden a la información y recursos del Banco.
4. Terminología y definiciones 4.1.
Generales
a) Activo de Información: Todo documento físico (DF), documento digital (DD) y aplicativos informáticos (APP) que tengan un valor para la empresa y/o soporten o sean parte de la actividad, proceso o giro giro de negocio de la organización. Y además deberá contar con un “Custodio” Custodio” y un “Owner o Dueño”. Dueño”. b) Administrado: Actividad relacionada con la ejecución de controles para la gestión de la aplicación
como: mantenimiento al aplicativo, instalación de parches, gestión de accesos, entre otros. c) Alojado: Ubicación física del activo de información el cuál puede ser bajo una infraestructura de la División de Sistemas o bajo una infraestructura propia de la Unidad. d) Aplicativo informático fuera de la custodia de la División de Sistemas (APPnoIT): Todo activo de información orientado al procesamiento y administración de datos e información. Se catalogará como fuera de la custodia de la División de Sistemas en el caso que dicho aplicativo se encuentre administrado por la Unidad y no cumpla con el Modelo de Gobierno de Gestión de Usuarios TI, y no se ha evaluado e identificado si cumple con los los lineamientos de seguridad seguridad de información y estándares tecnológicos definidos por el BCP. Se incluye a esta definición los archivos digitales con lógica de programación en su contenido, como por ejemplo: macros en Excel, bases de datos en Access, lógicas en Sharepoint, entre otros. -1-
Toda creación o modificación de APPnoIT sin conocimiento de la unidad de Gestión de Usuarios TI es considerada un incumplimiento al Modelo de Gobierno y logra su formalización cuando es evaluada e inventariada a fin de que se le considere como aplicación especializada APPEsp/User IT e) Aplicativo informático especializado (APPEsp): También conocida como aplicación User IT. Es el conjunto de programas desarrollados, instalados, administrados y/o actualizados por la unidad usuaria fuera de la custodia de la División de Sistemas, para los cuales el Área de Arquitectura y Estándares de TI ha otorgado la autorización bajo el Modelo de Gobierno de Gestión de Usuarios TI, lo cual involucra que es una aplicación inventariada y se evaluará su cumplimiento para aplicar los estándares tecnológicos y lineamientos de seguridad establecidos por el BCP. Para mayor detalle, Gobierno para aplicaciones fuera de la custodia de Sistemas revisar la Norma “Modelo de Gobierno f)
g) h) i)
j) k)
l)
m) n) o)
p) q)
Cumplimiento y tratamiento de los procesos, lineamientos y estándares tecnológicos (4110.011.03)” Aplicativo informático dentro de la custodia de la División de Sistemas (APPIT): Conjunto de
programas desarrollados, instalados, administrados y/o actualizados por la Divisi ón de Sistemas para brindar atención a los clientes con productos o servicios automatizados, así como ofrecer el soporte necesario a toda la estructura administrativa, operativa y co ntable. Confidencialidad : Propiedad de la información, por la que se garantiza que está accesible únicamente a individuos autorizados a acceder a dicha información. Control: Todo mecanismo para manejar el riesgo; incluyendo políticas, procedimientos, lineamientos, entre otros. Custodio del Activo de Información: Mantiene y asegura asegura alguna o todas las propiedades de la información (confidencialidad, integridad, disponibilidad y privacidad) de un DF, DD y APPEsp/User IT y los escenarios de custodia establecidos para su protección, según los requerimientos establecidos por el Owner del activo. Disponibilidad: Propiedad de la información, por la que se garantiza que la información estará accesible y será utilizable a demanda. Documento digital (DD): Todo activo de información que contenga datos en formato electrónico, y que requiere de un dispositivo informático para su acceso y consulta. Se excluye de esta definición a todo archivo digital que contenga lógica de programación en su contenido, como por ejemplo macros en Excel. Documento físico (DF): Todo activo de información que contenga datos registrados en un formato tangible tales como comprobantes de caja, documentos de control operativo, documentos activos, documentos pasivos, documentos para archivo físico, entre otros. Escenario: Nivel de protección exigible por el Banco en función de las características de administración (gestión) y alojamiento (custodia) (custodia) del activo de información. Escenario 1: Nivel de protección para todo Activo de Información administrado y alojado por la División de Sistemas. Escenario 2: Nivel de protección para todo Activo de Información administrado por la Unidad y alojado por la División de Sistemas. En el caso que las actividades de administración de un aplicativo informático sean compartidas entre la Unidad y la División d e Sistemas, y este aplicativo esté alojado en Sistema, se considerará el APPEsp/User el APPEsp/User IT en el Escenario 2. Escenario 3: Nivel de protección para todo Activo de Información administrado y alojado por la Unidad (auto administrado). Gestor de Riesgos de Operación (Gestor RO): Personal de apoyo, perteneciente a la unidad usuaria, que facilite la generación del inventario de activos de información y coordinación de la gestión y tratamiento de riesgos con su Unidad. Todo Gestor RO deberá velar por la correcta identificación y clasificación de los activos de información dentro de su Unidad, así como también, de mantener actualizado el inventario donde dichos activos se encuentran registrados.
-2-
r)
Gestor de aplicaciones de usuarios TI: Líder del equipo de especialistas de aplicación de la
unidad. Será el responsable de velar que las nuevas iniciativas tecnológicas o cambios en el portafolio de las aplicaciones de su unidad, sean gestionados bajo el modelo de gobierno de Gestión de Usuarios de TI de acuerdo a lo indicado en la norma “Modelo de Gobierno para aplicaciones fuera
de la custodia de Sistemas - Cumplimiento y tratamiento de los procesos, lineamientos y estándares tecnológicos (4110.011.03)”. Es la persona responsable de asegurar el cumplimiento de las
propiedades de la información de un APPEsp/User IT (confidencialidad, integridad, disponibilidad y privacidad). s) Asesor de Gestión de Usuarios TI (Asesor User IT): Rol responsable de orientar las soluciones o iniciativas tecnológicas de las unidades usuarias, brindándoles asesoría en la correcta aplicación de los lineamientos de seguridad de información y estándares tecnológicos para aplicaciones APPEsp/User IT de acuerdo a lo indicado en la norma norm a “Modelo de Gobierno para aplicaciones ap licaciones fuera
de la custodia de Sistemas - Cumplimiento y tratamiento de los procesos, lineamientos y estándares t)
tecnológicos (4110.011.03)”. Información: Cualquier forma de registro electrónico, óptico, magnético o en otros medios,
susceptible de ser procesada, distribuida y almacenada. La información adopta muchas formas, tanto en los sistemas como fuera de ellos. Puede ser: Almacenada, en los sistemas o en medios portables; Transmitida, a través través de redes o entre sistemas; Impresa o escrita, escrita, en papel o hablada en conversaciones. Integridad: Propiedad de la información, por la que se asegura su exactitud, su exactitud, precisión y completitud. Lineamiento: Toda descripción que aclara qué se debe hacer para lograr los objetivos establecidos en la política o marcos de gobierno del Banco. Gerente de de la unidad responsable de la información de información de un activo. Owner o Dueño: Líder usuario o Gerente Los Owners o Dueños de activos son formalmente los responsables identificar los requerimientos necesarios para mantener la seguridad seguridad de los activos según su clasificación clasificación (preservación de confidencialidad, integridad, disponibilidad y privacidad) mientras estos sean desarrollados, producidos, mantenidos o usados. Privacidad: propiedad de la información, por la que se garantiza que la información propia e individual del cliente es conocida sólo por individuos autorizados. Procesamiento de Datos: se entiende por procesamiento de datos (independientemente del medio que los contenga), a la validación, transmisión (o distribución) y transformación de datos, ya sea que se efectúe por el Banco o por contratación de servicios con otras empresas, de forma local o fuera del país. Toda operación enmarcada bajo esta definición de berá contar con niveles de seguridad que aseguren la confidencialidad, integridad, disponibilidad y privacidad de los datos, enmarcadas bajo las directrices, lineamientos y regulaciones regulaciones locales y la autorización autorización del ente regulador en caso aplique. (*) Proveedores Críticos : son todos aquellos proveedores adjudicados como resultado del proceso de formalización de contratos, cuyos servicios han sido clasificados como estratégicos y de alto riesgo para la organización. (*) Proveedores críticos con acceso a información de uso restringido : son todos aquellos terceros que tienen acceso a información de uso restringido del banco, los cuales están sujetos a cumplir con los lineamientos de seguridad de la información exigidos por el banco. Se entiende también que cualquier proveedor crítico con acceso a información de uso restringido, es una subcontratación significativa. (*) Subcontratación : Se entiende por subcontratación a la modalidad de gestión mediante la cual una empresa contrata a un tercero para que éste desarrolle un proceso que podría ser realizada por la empresa contratante.
u) v) w)
x) y)
z)
aa)
bb)
-3-
cc) Subcontratación significativa (*): es toda aquella subcontratación que en caso de falla o suspensión del servicio, puede poner en riesgo importante a la empresa, al afectar sus ingresos, solvencia o, continuidad operativa. (*) Para mayor detalle ver norma Formalización de contratos con Proveedores de Bienes y Servicios (4147.010.05.10).
dd) Seguridad de la Información : Preservación de confidencialidad, integridad, disponibilidad y privacidad de los activos de información. ee) Sistema de información o Sistema de Procesamiento de Información o Aplicativo: Conjunto de programas y/o equipos de cómputo desarrollados, instalados, administrados y/o actualizados para brindar atención a los clientes con productos o servicios automatizados, así como ofrecer el soporte necesario a toda la estructura administrativa, operativa y contable. ff) Unidades: Toda Área o División del Banco que participe o apoye a las operaciones de los procesos del negocio. gg) Unidad de Negocio: estructura organizativa que agrupa los procesos de la empresa mediante los cuales se crea, comercializa, y atiende productos y/o servicios de un mercado objetivo hh) Unidad de Soporte: estructura organizativa que agrupa los procesos de unidades operativas, de staff o apoyo que no pueden ser vinculados a una particular unidad de negocio o que cuyas operaciones soportan a todas ii) Ubicación Física: Ubicación física del activo de información el cuál puede ser bajo una infraestructura de la Unidad de Sistemas o de una Unidad bajo la cual se encuentra emplazado y/o custodiado algún activo de información.
4.2.
Específicos de Seguridad-Informática
a) Antivirus: Aplicaciones con la capacidad de detectar, limpiar o eliminar el funcionamiento de un virus informático que se encuentra residente en forma activa o si lenciosa en la computadora. b) Autenticación: Mecanismo por el cual un sistema de información cuenta con evidencia válida para asegurar que la identificación de un usuario es correcta. c) Autorizador : Usuario con la responsabilidad delegada por el owner, de confirmar o denegar las autorizaciones de accesos a los recursos de i nformación. d) Certificado Digital: Es la certificación electrónica que vincula unos datos de ve rificación de firma a un signatario y confirma su identidad. e) Cifrado: Proceso mediante el cual una cadena legible de datos es alterada, en forma lógica, con el objetivo de evitar que alguien no autorizado pueda interpretarla. Esta cadena codificada carece de significado a menos que tenga los medios que le permitan su interpretación. f) Firewall: Equipo de protección que se coloca entre redes para impedir el acceso de usuarios no autorizados a la red. g) Fixes o parches: Soluciones que provee el fabricante para corregir las vulnerabilidades que afectan a sus productos. h) Log: Registro de datos lógicos de las acciones o sucesos ocurridos en los sistemas aplicativos u operativos, con el fin de mantener información histórica para fines de control, supervisión y auditoría. i) Password o clave de acceso o contraseña : Conjunto de caracteres que una persona debe registrar para ser "reconocida" como usuario autorizado y acceder a los recursos de un equipo o sistema utilizado para el procesamiento de datos. -4-
j) Virus: Programas maliciosos que se activan con o sin control del usuario y que provocan un resultado inesperado en los diferentes sistemas o aplicativos. Vulnerabilidad: Fallo o “bug” de seguridad que afecta al software base que se encuentra instalado. k) Vulnerabilidad:
5. Características a) Para garantizar un adecuado Marco de Seguridad de la Información y su capacidad para lograr resultados se debe tener en cuenta: Aspectos y/o amenazas externas:
La protección contra ataques cibernéticos La revisión y evaluación de servicios estratégicos o de alto riesgo subcontratados que involucren custodia, procesamiento y/o almacenamiento de información de uso restringido. Prevención y contingencia ante desastres naturales.
Aspectos y/o amenazas internas:
La protección de la información contra accesos no autorizados. La protección contra la modificación no autorizada autorizada de información durante su procesamiento, almacenamiento o transmisión. La protección protección contra contra la negación de servicio a usuarios autorizados autorizados o prestación de servicios servicio s a usuarios no autorizados, incluyendo las medidas necesarias para la detección, documentación y registro de tales amenazas. La protección de la privacidad privacidad de la información personal de los los clientes.
b) La Gerencia de Seguridad Informática Informática y la Gerencia de Seguridad difundirán las responsabilidades que todo el personal del Banco y proveedores de servicio, deben deben conocer conocer y seguir para el mejor uso de la información, para lo cual se tendrá en cuenta el Reglamento Interno de Trabajo, Trabajo, Código de Ética y Lineamientos de Conducta Credicorp, asimismo Credicorp, asimismo deberán aplicar las disposiciones respecto al Secreto Bancario, Bancario, la Política Corporativa de Protección de Datos Personales (4204.119.01.02) y otros vinculados a la Seguridad de la Información. c) Todo personal del Banco Banco y trabajadores externos que tengan acceso a la información y recursos del Banco, son responsables de responsables de cumplir con las normas y políticas de seguridad de la información. d) Toda información es propiedad propiedad de cada empresa Credicorp, Credicorp, independientemente del medio en la que ésta se almacene, y almacene, y por lo tanto debe ser protegida de modificación, eliminación y conocimiento por personas ajenas a la organización o a las funciones asignadas. Incluso la información que se transmite por voz, cuyo medio de transmisión es el aire, debe ser protegida manteniendo su integridad, confidencialidad y privacidad.
6. Políticas de Seguridad de la Información 6.1 Políticas Generales Genera les de Administración Se consideran las siguientes:
Todo medio de información, aplicativo o recurso de computador debe tener un líder usuario o usuario propietario (OWNER) quien será el responsable de cumplir los lineamientos dispuestos en la Política y Marco de Seguridad de la Información relacionadas a ese activo de información en particular.
-5-
Los líderes usuarios o usuarios propietarios tienen la responsabilidad de determinar cómo serán administrados los activos de información bajo su responsabilidad, con el apoyo del Gestor RO y con el asesoramiento y la atención de consultas por parte de la Gerencia de Seguridad Informática, la Gerencia de Seguridad y la asesoría de la unidad de Gestión de Usuarios TI para el caso de sus aplicaciones especializadas (APPEsp/User IT). La administración administración de seguridad debe ser auditada y revisada para asegurar que los procesos procesos a su cargo se realicen de manera eficiente y efectiva.
6.2 Políticas Generales de Identificación de Usuarios a) Para el acceso a todo sistema de información cada empleado debe tener una identificación y password únicos que deberán ser validados con mecanismos de autenticidad. Los líderes usuarios o usuarios propietarios tienen la responsabilidad de cumplir los requerimientos de identificación y autenticidad aplicables del sistema de información. Estos requerimientos se encuentran en el Marco de Gobierno de Seguridad de la l a Información. b) Los empleados con personal a cargo son responsables responsables de asegurar que la identificación y password asignados a los empleados que les reportan, se encuentren activos y cumplan con los requerimientos de su Área, Gerencia, Subgerencia, Unidad u Agencia. Asimismo informar y alertar a la Gerencia de Seguridad Informática de cualquier infidencia y/o mal uso. c) Para aquellos sistemas donde el acceso se ofrece directamente a clientes o personas que no son empleados del Banco, obligatoriamente se debe considerar la existencia de un código de identificación único por usuario y se les deberá proveer de guías explícitas sobre su uso y responsabilidades. d) Toda información de seguridad, como password o claves de acceso, debe estar encriptada durante su transmisión y almacenamiento en cualquier medio electrónico.
6.3 Políticas Generales de Acceso a Recursos a)
Es responsabilidad del owner o dueño del activo de información asegurar que sus activos restringidos reciban un nivel de protección apropiado.
b)
Todo acceso a los activos de información deberá deberá estar protegido con mecanismos de control de acceso.
c)
Para los accesos fuera de estándar:
El único que puede autorizar accesos no estándar sobre un recurso es el “owner” del mismo.
En general los accesos son para el personal de línea. No hay accesos a Producción para personal de Ingeniería y Desarrollo de TI ó Soluciones de Negocio.
Cualquier pedido debe ser aprobado por el “owner” de la aplicación / información involucrada
y/o sus representantes formalmente designados. Toda atención excepcional será con copia a Auditoría de Procesos de Tecnología.
d)
La empresa debe implementar implementar procedimientos procedimientos definidos en caso de cese del personal, que incluye aspectos como la revocación de los derechos de acceso y la devolución de activos de la información (Formato de Devolución de activos). Política activos). Política Desvinculación del personal (5014.926.02)
e)
La Gerencia Gerencia de Seguridad debe monitorear el cumplimiento, atender las consultas y concientizar a los usuarios de manera continua sobre lo dispuesto por el Marco de Gobierno de Seguridad de la Información con el fin de prevenir:
El acceso físico no autorizado, daño e interferencia interferencia de los documentos documentos físicos restringidos del Banco. -6-
La pérdida y robo o compromiso de documentos físicos.
f)
En caso de pérdida, asalto o robo de documentos documentos con información de clientes o colaboradores BCP, se deberá denunciar el hecho, indicando la relación de clientes/colaboradores afectados.
g)
En caso de que un proveedor sea víctima de robo, asalto o pierda información de clientes o colaboradores BCP, el hecho debe ser denunciado por el mismo proveedor indicando la relación de clientes/colaboradores afectados. Asimismo, deberá comunicar el hecho de forma inmediata a la Unidad Usuaria BCP. Esto último, debe quedar especificado en una cláusula en el contrato con dicho proveedor.
6.4 Políticas Generales de Clasificación de Recursos a) El objetivo es definir un método método de clasificación de los Activos de Información de la empresa, para su protección frente a pérdida, divulgación no autorizada o cualquier otra forma de uso indebido, ya sea de modo accidental o intencionado. b) Es responsabilidad del owner o dueño del activo de información asegurar la gestión e inventariado de sus documentos físicos, documentos digitales, aplicativos informáticos dentro y fuera de la custodia de la División de Sistemas (APPIT y APPESP/User IT respectivamente). c) Todo medio de información, aplicativo aplicativo o recurso recurso de computador, debe tener un Owner (líder (líder usuario, usuario propietario o gerente de la unidad de negocios que administra un servicio o producto bancario). d) Los líderes usuarios o usuarios propietarios determinarán los requerimientos de confidencialidad, integridad, disponibildad y privacidad requerida para los recursos bajo su propiedad, en función a la importancia de la información y de los riesgos a los cuales está expuesto. e) La información adopta adopta muchas formas, tanto en los sistemas como fuera de ellos. Puede ser:
f)
Almacenada, en los sistemas o en medios portables; Transmitida, a través de redes o entre sistemas; Impresa o escrita, en papel o hablada en conversaciones.
Las consideraciones consideraciones de seguridad que se deben tener presente presente para clasificar la información son las siguientes: Disponibilidad Confidencialidad Integridad Privacidad
g) De acuerdo a estas consideraciones, la información se clasifica en:
Público: La información de uso público es clasificada como tal, si en el escenario de que dicha
información no estuviera disponible, el resultado no generaría ningún efecto, además, la divulgación o no de esta información no causa ningún tipo de pérdida económica, impacto legal, ni de imagen para la organización.
Uso Interno: La información de uso interno es clasificada como tal, si en el escenario de que
dicha información se filtrara fuera de la organización, el resultado podría generar pérdidas económicas no significativas. Es decir, la divulgación de dicha información no causará daños graves a la organización, ni en términos económicos, legales ni de imagen institucional. El acceso es provisto únicamente a personal personal del Banco o trabajadores externos autorizados, autorizados, de tal modo, que ellos puedan consultarla libremente. En caso, se necesite modificar o eliminar esta información, se procederá en base a las necesidades y responsabilidades del puesto.
-7-
Restringido: La información de uso restringido es clasificada como tal, si en el escenario de que
dicha información se filtrara fuera de la organización, el resultado podría generar importantes pérdidas económicas, económicas, impacto legal y de imagen institucional. institucional. La divulgación de dicha información requiere la aprobación del Owner o Dueño. Asimismo, en caso la información requiera ser divulgada a trabajadores externos se requerirá un acuerdo de confidencialidad firmado.
6.5 Políticas Generales de Evaluación E valuación y Tratamiento de Riesgo a) Es responsabilidad de la Gerencia de Administración de Riesgos de Operación Operación y la Gerencia de Seguridad Informática asegurar que todo personal del Banco y trabajadores externos conozcan los criterios para poder identificar los riesgos a los cuales se encuentran expuestos los documentos digitales, y aplicativos informáticos dentro y fuera de la custodia de la División de Sistemas (APPIT y APPESP/User IT respectivamente). b) Es responsabilidad de la Gerencia de Administración de Riesgos de Operación Operación y la Gerencia de Seguridad asegurar que todo personal del Banco y trabajadores externos conozcan los criterios para poder identificar los riesgos a los cuales se encuentran expuestos los documentos físicos. c) Es responsabilidad de la Gerencia de Seguridad Informática y la Gerencia de Seguridad asegurar que todo personal del Banco y trabajadores externos conozcan la normativa vigente respecto del Marco de Gobierno de Seguridad de la Información, así como cada una de sus responsabilidades para el tratamiento de los riesgos.
6.6 Políticas Generales de Propiedad y Uso de Recursos 6.6.1 De las aplicaciones
a) Se entiende por Dato Dato Sensible a cualquier Activo de Información cuya modificación o alteración alteración inadecuada o no autorizada podría afectar gravemente a la integridad de los Sistemas de Información, sin ser prevenidas por los métodos habituales de control ni detectadas en un corto espacio de tiempo. b) Un programa sensible sólo podrá ser usado usado para los fines para los que fue creado. creado. Toda modificación, cambio o alteración de un Programa Sensible deberá ser previamente autorizada por el Owner o Dueño correspondiente. c) Los Activos de Información Sensibles Sensibles no podrán ser, en ningún caso, consultados públicamente y no puede haber usuarios que tengan acceso permanente a ellos, incluyendo las copias de respaldo. d) Los accesos temporales temporales deberán estar plenamente justificados justificados y aprobados caso a caso, los que tendrán que ser eliminados inmediatamente después de terminar la necesidad de uso. e) Todas y cada una de las actividades de uso y acceso realizadas por los usuarios tendrán que ser registradas y revisadas. f)
Los proveedores proveedores que gestionen gestionen aplicaciones informáticas fuera fuera de la custodia de la División de Sistemas (APPESP/User IT) deberán IT) deberán cumplir con las políticas y normas de seguridad informática, así como todo nuevo lineamiento exigible por la Gerencia de Seguridad Informática. g) La conexión de sistemas sistemas y redes a otros sistemas o redes podrán suponer un grave riesgo para toda la red, los sistemas conectados a ella y los Activos de Información contenidos en los sistemas, por ello, es responsabilidad del Área o Unidad responsable cumplir los lineamientos y estándares dispuesto por la organización respecto a conexiones seguras.
-8-
h) Deberán controlarse todas las transferencias transferencias de Activos recibidas, recibidas, verificando que ninguno de ellos es, o forma parte de, un virus conocido con especial atención en los programas ejecutables. ejecutables . 6.6.2 De los Usuarios
a) Asegurar que cada Activo de Información Información de usuario se encuentre encuentre protegido, conforme a lo establecido por el Owner o Dueño, y que sólo tienen acceso los usuarios autorizados por él. b) Todo usuario es responsable de proteger el terminal que le ha ha sido asignado y colaborar en la protección de cualquier otro terminal de la empresa para evitar el robo o daño (total o parcial) usando la información que contiene y/o utilizando el sistema al que está conectado. c) Durante la jornada laboral, en ausencias que excedan un tiempo tiempo razonable, es necesario bloquear bloquear el terminal, para ello se utiliza productos de bloqueo (protectores de pantalla) y arranque mediante contraseña. d) Cualquier infección de virus deberá ser notificada a HelpDesk para para el aislamiento de los sistemas afectados, el análisis del virus y si fuera necesario, su posterior inclusión en el anti-virus. e) Se prohíbe propagar conscientemente conscientemente programas o datos infectados infectados por virus dentro de o desde el Banco. f)
La responsabilidad de la utilización de anti-virus y la protección protección de las estaciones estaciones de trabajo trabajo (terminales) es del usuario final, pero la Gerencia de Seguridad Informática será responsable de definir las políticas de actualización y escaneo en las estaciones. Asimismo, el Área de Infraestructura y Operaciones de TI (AIO) será responsable de implementar y monitorear el cumplimiento de dichas políticas.
g) Todo recurso asignado asignado al usuario está destinado únicamente para para fines del negocio, cualquier otro uso contraviene las políticas del Banco. h) Todo empleado del Banco debe asegurar una gestión apropiada del envío y traslado de su información. El traslado externo de documentos (fuera del BCP), debe efectuarse mediante procedimientos formales implementados por el Banco (Norma Envío de Documentos Restringidos y valorados a clientes generados por las distintas áreas y Sucursales de Lima Metropolitana y Callao 4035.011.07) i)
Todo el personal del Banco y trabajadores externos externos debe asegurar la gestión de destrucción de sus documentos físicos clasificados como restringidos.
6.7 Políticas Generales de Alertas, Auditorías y Cumplimiento a) La administración de seguridad debe ser auditada y revisada para asegurar que los procesos a su cargo se realicen de manera correcta. b) Las aplicaciones deben incluir la definición de logs de auditoría auditoría y alertas alertas para eventos eventos críticos que que permitan realizar un análisis forense (investigación por algún incidente). c) Para aplicaciones críticas se se debe coordinar con la Gerencia de Prevención para realizar la interfase con la aplicación Monitor.
-9-
d) La responsabilidad del cumplimiento de las Normas es de todos los empleados, empleados, pero especialmente del personal directivo que tiene bajo su responsabilidad como empleado la coordinación y supervisión de todos los empleados a los que dirige. e) La División de Gestión Gestión y Desarrollo Humano será responsable de aplicar las sanciones a los empleados del Banco ante cualquier incumplimiento de las obligaciones que como empleados les corresponde, relacionado a la mala gestión de seguridad de la información, tanto para documentos físicos, digitales, y aplicativos dentro y fuera de la custodia de la División de Sistemas (APPIT y APPESP/User IT respectivamente). f)
La Gerencia de Seguridad Informática, la Gerencia de Seguridad Seguridad y la Unidad de Gestión de Usuarios TI, serán las encargadas de difundir y velar por el cumplimiento de las normas regulatorias vigentes con respecto a los documentos físicos, digitales, y aplicativos dentro y fuera de la custodia de la División de Sistemas (APPIT y APPESP/User IT respectivamente) según corresponda. Asimismo, son los administradores de la herramienta web utilizada para actualizar el Inventario de Activos de Información de las unidades.
g) La División de Auditoría deberá tomar las consideraciones necesarias en sus revisiones con respecto al Marco de Gobierno de Seguridad de la Información.
6.8 Políticas Generales de Capacitación a) Se incorporará el Programa de Capacitación de Seguridad de la Información en el Plan de Capacitación del Banco, que se desarrollará des arrollará mediante la programación anual de cursos; de acuerdo a procedimientos aceptados y empleados por la Gerencia Gestión del Aprendizaje. b) El Programa de Capacitación de Seguridad de la Información comprenderá un conjunto de acciones que permitirán:
Generar en los empleados del Banco desde el más alto nivel de dirección hasta los empleados temporales, una conciencia de seguridad y lograr su efectiva colaboración en el uso adecuado de los Sistemas y la protección de los activos de información de la institución. Mantener actualizados a los empleados con relación a las políticas, normas, procedimientos y estándares de Seguridad de la Información de la organización y las razones para ser utilizadas.
c) Se deberá desarrollar permanentemente acciones de actualización al personal del Banco en Seguridad de la Información, cuyos objetivos son:
Identificar las responsabilidades responsabilidades de cada empleado para el aseguramiento aseguramiento de los activos activos de información. Proporcionar conocimientos conocimientos en Seguridad de la Información Información a los empleados para la buena toma de decisiones.
d) El Programa de Capacitación de Seguridad de la Información deberá asegurar que los empleados, contratistas y terceros entiendan sus responsabilidades responsabilidades con respecto a la seguridad de la información.
6.9 Políticas-Generales de Privacidad a)
Todos los usuarios de información, proveedores proveedores y otros individuos con acceso a información de identificación individual deben mantener la privacidad de esta información constantemente. - 10 -
b)
Es responsabilidad responsabilidad del Banco hacia sus clientes, empleados, proveedores proveedores y socios de negocios el mantener la privacidad de la información personal confidencial utilizada para el desarrollo del negocio.
c)
Los contratos contratos con los proveedores que traten documentos de Uso Restringido, deberán incluir cláusulas de Seguridad de la Información (Confidencialidad) y Protección de Datos Personales según corresponda, de acuerdo al formato de Contratos de Prestación de Servicios que se encuentra publicado en el Portal Normativo del Banco.
d)
El mantenimiento mantenimiento de la privacidad de la información confidencial requiere de los siguientes controles controles y medidas de seguridad como:
6.10
Usar la información información solamente para el propósito propósito para el cuál se recopiló. Mantener la información información solamente por el tiempo requerido requerido por las regulaciones vigentes o por el tiempo que sea relevante para el propósito inicial. No debe ser expuesta sin contar con la debida autorización y/o consentimiento de la persona, salvo casos en que la regulación lo exija o permita. Debe encontrarse encontrarse disponible para que el individuo, a quién pertenecen los datos, pueda revisarla y copiarla. Debe ser corregida si se encontrasen encontrasen errores o si estos son identificados por el individuo a quien le pertenecen los datos.
Relación con Proveedores
Con el fin asegurar y mantener las características de Seguridad de la Información del Banco incluso en servicios que sean objetos de subcontración se toman en cuenta las siguientes consideraciones:
Mitigar los riesgos asociados con el servicio subcontratado a proveedores críticos. Asegurar la protección protección de los activos activos de la organización que sean accesibles a los proveedores. proveedores. Establecer y acordar todos los requisitos de seguridad de la información pertinentes pertinentes con cada proveedor que pueda tener acceso, procesar, almacenar, comunicar o suministrar componentes de infraestructura de TI para la información de la organización Mantener el nivel acordado de seguridad de la información y de prestación del servicio en línea con los acuerdos con los proveedores
Los proveedores críticos que además traten con información de uso restringido deberán ser evaluados y cumplir con los lineamientos de seguridad exigidos por el banco. La Norma de Formalización de Contratos con Proveedores de Bienes y Servicios contiene información que permite cubrir estos aspectos (para mayor detalle revisar norma: 4147.010.05_Formalización de contratos con Proveedores de Bienes y Servicios).
6.11
Gestión de Incidentes de Seguridad de la Información
a) El proceso de gestión de incidentes incorpora el reporte reporte de eventos relacionados a la seguridad de la información, con el objetivo de asegurar que dichos eventos puedan ser escalados de una manera oportuna que permita realizar aplicar acciones correctivas, minimizando el impacto adverso a las operaciones de negocio.
- 11 -
7. Partes Interesadas Las siguientes son las partes interesadas frente al Marco de Gobierno de Seguridad de la Información y sus requerimientos:
Parte interesada
Requerimiento
EnteRegulador
Cumplimiento de la legislación y regulación en temas relacionados a la seguridad de la información.
Alta Dirección
Contar con altos estándares de seguridad para el desarrollo de las operaciones permitiendo que el Banco se mantenga líder en todos los segmentos y productos que ofrece.
Colaboradores y trabajadores externos
Contar con las condiciones adecuadas de seguridad lógica y física para el cumplimiento de sus funciones.
Accionistas
Clientes externos
Contar con la implementación de seguridad de la información dentro del Banco para mejorar sus ganancias. Que el Banco gestione su información de forma segura, de acuerdo a las clausulas de confidencialidad que ellos han aceptado.
Documento aprobado por:
Marco Salsi Max de Gorbitz
Gerencia de rea de Administración Administración de de Riesgo de de Operación y Gestión Gestión de Seguros Gerencia de Seguridad Informática
José Marangunich
Gerencia de Área Seguridad Integral para los Negocios
Javier Benvenuto
Gerencia de Arquitectura de Dimensionamiento y Gestión de Usuarios de TI
Hector Calero
Gerencia de Área de Asesoría Legal
- 12 -
View more...
Comments