La Circular G-140-2009 establece las normas para la gestión de la seguridad de la información que deben seguir bancos, financieras, AFP, cooperativas de ahorro y crédito, aseguradoras, capitalización y factoring en Perú. Entre otras cosas, exige que estas empresas definan una política de seguridad de la información aprobada por el directorio, mantengan registros que permitan verificar el cumplimiento de normas, y establezcan controles como la implementación de encriptación y la detección de software malicioso.

1. Cumplimiento Circular G-140-2009
ANDREZ LAMOUROUX S.
Security Solutions Manager LATAM

2. Circular N° G-140-2009
La Superintendencia de Banca, Seguros y AFP
publica el 6 de Abril de 2009 en el Diario El
Peruano, la Circular G-140-2009 Gestión de la
Seguridad de la Información.

3. Artículo 1° - Alcance
La presente Circular será de
aplicación a las empresas
señaladas en los artículos 16° y
17° de la Ley General, así como
a las Administradoras Privadas
de Fondos de Pensiones (AFP),
en adelante empresas.

4. Quienes deben cumplir?
Bancos y AFP
Financieras
Cooperativas
Fiduciarias de Ahorro y
G-140-2009 Crédito
Capitalización
Aseguradoras y Factoring

5. Artículo 3° - SGSI
Las empresas deberán
establecer, mantener y
documentar un sistema de
gestión de la seguridad de la
información (SGSI)

6. Artículo 3° - SGSI
• Definición de una política
de seguridad de
información aprobada
por el Directorio.

7. Artículo 3° - SGSI
• Mantenimiento de registros
adecuados que permitan
verificar el cumplimiento de
las normas, estándares,
políticas, procedimientos y
otros definidos por la
empresa, así como
mantener pistas adecuadas
de auditoría.

8. Artículo 4° - Estructura organizacional
Las empresas deben contar con
una estructura organizacional
que les permita
implementar y mantener el
sistema de gestión de la
seguridad de información
señalado en el artículo anterior.

9. Artículo 4° - Estructura organizacional
• Asegurar el cumplimiento
de la política de seguridad
de información y de la
metodología definida.
La consecuente aplicación de la política de seguridad garantiza
la permanente disponibilidad de los recursos informáticos y la
integridad de la información como principal activo de las
entidades.

10. Artículo 5° - Controles de seguridad de la información
Como parte de su sistema de
gestión de la seguridad de
información, las empresas
deberán considerar, como
mínimo, la implementación de
los controles generales que se
indican en el presente artículo.

11. Artículo 5° - Controles de seguridad de la información
• Controles especiales sobre
utilidades del sistema y
herramientas de auditoría.
Implementar auditoria sobre los accesos controlados y eventos
relacionados con la protección del sistema, dispositivos y
comunicaciones de red.

12. Artículo 5° - Controles de seguridad de la información
• Seguimiento sobre el
acceso y uso de los
sistemas para detectar
actividades no
autorizadas.
Reportar actividades relacionadas con accesos no autorizados,
intentos de violación de los controles establecidos

13. Artículo 5° - Controles de seguridad de la información
• Controles especiales
sobre usuarios
remotos y
computación móvil.
Implementar controles y políticas de
seguridad persistentes
independientemente del estado de
conectividad.

14. Artículo 5° - Controles de seguridad de la información
• Controles preventivos
y de detección sobre el
uso de software de
procedencia dudosa,
virus y otros similares.
Implementar controles y protecciones contra códigos
maliciosos, software espía, rootkits y malware en general
conocido y desconocido.

15. Artículo 5° - Controles de seguridad de la información
• Seguridad sobre las
redes, medios de
almacenamiento y
documentación de
sistemas.
Implementar controles de acceso a la red, sistemas de
prevención de intrusiones y controles de uso de dispositivos
removibles de almacenamiento y de acceso a los archivos
contenidos.

16. Artículo 5° - Controles de seguridad de la información
• Seguridad sobre el
intercambio de la
información, incluido el
correo electrónico.
Restringir o controlar las transferencias
de archivos a través de programas de
mensajería instantánea, clientes FTP, y
navegadores Web.

17. Artículo 5° - Controles de seguridad de la información
• Seguridad sobre
canales
electrónicos.
Controlar el acceso a la red por parte de las aplicaciones.
Forzar el uso de canales y/o protocolos de comunicación
seguros en conexiones inalámbricas y externas a la red
corporativa.

18. Artículo 5° - Controles de seguridad de la información
• Mantenimiento de
registros de auditoría y
monitoreo del uso de
los sistemas.
Registrar todo tipo de actividad relacionada con los controles establecidos,
ataques de seguridad y operaciones de acceso a archivos y a las
aplicaciones.
Monitorear el estado de conectividad y seguridad de los puntos finales.

19. Artículo 5° - Controles de seguridad de la información
• Aplicar técnicas de
encriptación sobre la
información crítica
que debe ser
protegida.
Implementar políticas de encriptación en dispositivos
removibles de almacenamiento y en discos duros fijos.

20. Artículo 5° - Controles de seguridad de la información
• Definir controles
sobre la
implementación de
aplicaciones antes del
ingreso a producción.
Aplicar políticas de control de aplicaciones en modo de pruebas
para comprobar la seguridad y protección antes de su puesta
en producción.

21. Artículo 5° - Controles de seguridad de la información
• Controlar las
vulnerabilidades
técnicas existentes en
los sistemas de la
empresa.
Prevenir el aprovechamiento de las vulnerabilidades del sistema operativo y
de cualquier software instalado.
Proteger contra ataques específicamente diseñados para explotar
vulnerabilidades o defectos en las aplicaciones y el sistema operativo.

22. ¿Cuáles son los beneficios?
Para los usuarios Para el negocio Para personal del area
tecnológica
 Asegurar disponibilidad 24x7,  Aplicar políticas
e integridad de los consecuentes para toda la  Control centralizado de la red
computadores de usuario. organización. de trabajo hacia el punto
final.
 Permite el despliegue de  TCO bajo: un agente, una
nuevas aplicaciones y consola, una única  Integración inmediata con la
herramientas de instalación a una dirección, infraestructura existente
productividad. un gran rango de aspectos. (implementación, antivirus,
monitoreos)
 Proteger activos corporativos,  Alto nivel de disponibilidad
dentro y fuera de las del punto final hacia nuevas  Mayor tranquilidad del
instalaciones de la reglas corporativas. usuario cuando se requiere
organización. aplicar un parche sobre el
sistema o aplicaciones de
terceros.

23. Aranda Software
| Quienes Somos | Entorno | Soluciones | Casos de Éxito | Servicios | Clientes
Hechos Recursos Tecnología
 Máxima certificación equipo
 Líder en el mercado humano (ITIL Expert).
Latinoamericano de TI (4° región /  Certificación modelo CMMi Dev
 Centro de soporte Aranda 1.2 nivel 2.
IDC 2010)
SUPPORT CENTER (ASC)  Oficinas de investigación y
 Presencia de más de 10 años en la
región  Grupo de soporte certificado desarrollo en Bogotá D.C.
 Más de 1200 clientes de todos ITIL (región)
los sectores en Suramérica  Centro de innovación Aranda  Procesos certificados - Pink
 Implementación de más de Labs Elephant – Pink Verify TM
850.0000 licencias.  Red internacional integrada por Service Support Enhanced v3.1
 Único con índice positivo de más de 100 partners en la - ITIL v3
crecimiento en el mercado región
latinoamericano de TI (IDC 2010)  Centro de entrenamiento
Aranda e-Learning

24. Agenda | Quienes Somos | Entorno | Soluciones | Casos de Éxito | Servicios | Clientes
Miami México Costa Rica Guatemala Colombia Venezuela Perú Chile Brasil Argentina

25. Agenda | Quienes Somos | Entorno | Soluciones | Casos de Éxito | Servicios | Clientes
Misión
En Aranda Software estamos empeñados en facilitar la gestión de
infraestructura tecnológica de las empresas que quieren transformar la
tecnología en valor para su negocio.
Nuestro compromiso es ofrecerle soluciones tecnológicas sencillas de
adquirir, implantar, mantener y crecer, a las empresas interesadas en
buenas prácticas de gestión de TI.
Con Aranda:
 Disminuya el costo de propiedad, soporte, operación y
seguridad.
 Mejore los tiempos de respuesta de atención a sus usuarios.
 Mantenga actualizada la información de la infraestructura TI.
 Aumente la productividad de los empleados.
 Gestione el ciclo de vida de los procesos y activos* de TI
 Asegure las estaciones de trabajo y la información de su
organización.
* Estaciones de trabajo, equipos portátiles, servidores, equipos activos, etc.

26. Agenda | Quienes Somos | Entorno | Soluciones | Casos de Éxito | Servicios | Clientes
SOPORTE CONSULTORIA RENOVACIÓN EDUCACIÓN
CONTRATOS
Incidentes, Recomendación Capacitación –
problemas, cambios, mejores prácticas. Actualización certificación en
reportes, etc. contratos soporte, herramientas
Niveles de servicio, Levantamiento, y mantenimiento.
etc. mapeo de procesos, Levantamiento, y
etc. Actualizaciones mapeo de procesos,
versiones de etc.
soluciones.

27. Agenda | Quienes Somos | Entorno | Soluciones | Casos de Éxito | Servicios | Clientes
Telecomunicaciones Banca Servicios
Algunos de nuestros clientes

28. Agenda | Quienes Somos | Entorno | Soluciones | Casos de Éxito | Servicios | Clientes
Finanzas y Aseguradoras Industria Gobierno

29. Agenda | Quienes Somos | Entorno | Soluciones | Casos de Éxito | Servicios | Clientes
Educación Otros
Más de
1200
Clientes en
América Latina

30. Principales Clientes en Perú
Agenda | Quienes Somos | Entorno | Soluciones | Casos de Éxito | Servicios | Clientes

31. andrez.lamouroux@arandasoft.com