3. 03
Seguridad de recursos
Humanos
PROCEDIMIENTO DE CAPACITACIÓN Y
SENSIBILIZACIÓN DEL PERSONAL
Indica la metodología empleada por el banco
para realizar la capacitación y sensibilizar del
personal en tema de seguridad de la
información teniendo en cuenta los diferentes
roles y responsabilidades, la periodicidad de
dichas capacitaciones y sensibilizaciones.
Regresar a la página
del programa
PROCEDIMIENTO DE INGRESO Y
DESVINCULACIÓN DEL PERSONAL
Este procedimiento indica la manera con la
entidad gestiona de manera segura el ingreso y
desvinculación, incluyendo temas como
verificación de antecedentes, firmas de
acuerdos de confidencialidad, recepción de
entregarle requerido para generar paz y salvo
entre otras características.
4. Gestión de Activos
Procedimiento de identificación y
clasificación de activos:
En este procedimiento debe indicar la manera en los que
activos de la información son identificados e inventados por el
banco así como también debe especificar cómo son clasificados
de acuerdo a su nivel de confiabilidad o criticidad, como se
acciona y se devuelve los activos unas veces se terminan la
relación con el banco.
04
5. Control de
Acceso
PROCEDIMIENTO PARA INGRESO SEGURO A
LOS SISTEMAS DE INFORMACIÓN
en este procedimiento el banco debe indicar cómo
gestiona el acceso al sistema de información de manera
segura impregnado métodos preventivos contra ataques
de fuerza bruta validando los datos completos para
ingresos en los sistemas, empleando métodos para
cifrar la información de acceso a través de la red entre
otros.
PROCEDIMIENTO DE GESTIÓN DE USUARIO Y
CONTRASEÑA
en este procedimiento, el banco debe indicar cómo
realiza la creación de usuarios y la asignación de
contraseña las cuales deben tener un nivel de seguridad
aceptable, como base a una política de contraseña
segura definida previamente, proveyendo su reutilizacion
posterior, permitiendo a los usuarios cambiarlas
regularmente llenando un registro de las misma.
05
6. Seguridad de las
comunicaciones
06
PROCEDIMIENTO DE ASEGURAMIENTO DEL SERVICIO EN LA RED: ESTE
PROCEDIMIENTO EXPLICA LA MANERA EN QUE EL BANCO PROTEGE LA
INFORMACIÓN EN LAS REDES, INDICANDO LOS CONTROLES DE SEGURIDAD
COMO SE CIFRAN LOS DATOS A TRAVÉS DE LA RED POR EJEMPLO SE APLICAN
PARA ACCEDER A LA RED CABLEADA E INALÁMBRICA, SATELITAL, ETC.
PROCEDIMIENTO DE TRANSFERENCIA DE INFORMACIÓN: EN ESTE
PROCEDIMIENTO EL BANCO DEBERÁ INDICAR LA TRANSMISIÓN O
TRANSFERENCIA DE LA INFORMACIÓN DE MANERA SEGURA DENTRO DE LA
ENTIDAD O CON ENTIDADES EXTERNAS, DONDE SE APLIQUEN MÉTODOS PARA
PROTEGER LA INFORMACIÓN DE INTERCEPTACIÓN, COPIADO, MODIFICACIÓN O
DESTRUCCIÓN SE DEBE TENER EN CUENTA ACUERDOS DE CONFIDENCIALIDAD
Y NO DE DIVULGACIÓN QUE DEBERÁN DE SER ACTUALIZADOS Y REVISADOS
CONSTANTEMENTE.
7. Análisis y Evaluación de
Riesgo
Identificación de activos
Detectar vulnerabilidades
Riesgos y amenazas
Medidas de prevención y
control
07
NOMBRE DE LA EMPRESA
8. Identificación de
activos
Para realizar un análisis de riesgos efectivo, el primer
paso es identificar todos los activos del banco. Estos
activos incluyen todos los recursos relacionados con
la gestión e intercambio de información del banco,
como software, hardware, vías de comunicación,
documentación digital y manual e incluso el recursos
humanos.
08
NOMBRE DE LA EMPRESA
9. Riesgos y
amenazas
Una vez se identifiquen todos
los activos de información que
componen el , deben definirse
las amenazas a las que pueden
estar expuestos. Estas
amenazas pueden ser de
diferente índole, como ataques
externos, desastres naturales o
errores humanos.
Ingeniería inversa de las apps : ¿Quién usa la app de su banco
para hacer sus transacciones hoy en día? Pues, los expertos
en seguridad han advertido que estas herramientas pueden
ser utilizadas como maquetas para la ingeniería inversa. ¿No
entiendes? Es sencillo, las personas con malas intenciones lo
que hacen es analizar la app, su estructura de código para
identificar su funcionamiento y descubrir “puntos débiles”,
para clonar dicha app y utilizar el phishing para engañar a los
usuarios.
Ataque de denegación de servicio distribuido (DDOS):También
conocido como “atasco en autopista”, se trata de un evento
donde el acceso a los servidores de la institución se ven
bloqueados debido a un masivo uso y peticiones de acceso a
los mismos.
Ransomware: Este ataque se ha popularizado
masivamente en los últimos años, de hecho, cada 15
segundos se produce un ataque de ransomware en el
mundo. Este tipo de malware, tiene como objetivo
obtener el control de un dispositivo o computadora para
ganar acceso al mismo y a los archivos contenidos en él.
10. Detectar
vulnerabilidades
Las vulnerabilidades se
presentan en activos
informáticos y presentan un
riesgo para la información.
Dos ejemplos de
vulnerabilidades que suelen
encontrarse en el análisis de
riesgos informáticos son la
falta de actualización de los
sistemas operativos ) y el
uso de contraseñas de
acceso débiles
11. Medidas de
prevención y control
Una vez se tengan identificadas las amenazas y
vulnerabilidades de los sistemas y se tengan
definidos todos los riesgos y sus consecuencias,
deben establecerse una serie de medidas y
tratamientos de riesgo con dos objetivos claros:
evitar que se produzca el riesgo o minimizar su
impacto en caso de que llegue a producirse.
Regresar a la página
del programa
11
NOMBRE DE LA EMPRESA
12. Dentro de este tipo de
medidas podemos
destacar
Instalación de
software de
seguridad y
cortafuegos (por
software o hardware).
Añadir protocolos de
seguridad para
reforzar la seguridad
de las contraseñas.
Revisión de los roles y
privilegios de los
usuarios
Implementación de
sistemas alternativos
o duplicados para
asegurar la
disponibilidad del
sistema
12
14. Diseño de Políticas de
Seguridad
Cumplimiento obligatorio
Seguridad del personal
Organización de la
Seguridad
14
15. Cumplimiento
obligatorio
El cumplimiento de las políticas y estándares
de seguridad de la información es obligatorio
y debe ser considerado como una condición
en los contratos del personal.
15
16. Organización
de la
Seguridad
En esta política se definen los
roles y responsabilidades a lo
largo de la organización con
respecto a la protección de
recursos de información. Esta
política se aplica a todos los
empleados y otros asociados
con el Banco, cada uno de los
cuales cumple un rol en la
administración de la seguridad
de la información. Outsourcing
Estructura
Organizacional
Algunas son:
Acceso Por Parte
de Terceros
18. ACCESO POR PARTE DE TERCEROS
El Banco debe establecer para terceros al menos las
mismas restricciones de acceso a la información que a
un usuario interno. Además, el acceso a la información
debe limitarse a lo mínimo indispensable para cumplir
con el trabajo asignado. Las excepciones deben ser
analizadas y aprobadas por el área de seguridad
informática. Esto incluye tanto acceso físico como
lógico a los recursos de información del Banco.
19. Outsourcing
Determinación de niveles de disponibilidad aceptable.
El derecho del Banco de auditar los controles de seguridad de
información del proveedor. - Determinación de los
requerimientos legales del Banco. Metodología del proveedor
para mantener y probar cíclicamente la seguridad del sistema.
Que el servicio de procesamiento y la información del Banco
objeto de la subcontratación estén aislados, en todo momento
y bajo cualquier circunstancia.
Todos los contratos de Outsourcing deben incluir lo siguiente:
Acuerdos sobre políticas y controles de seguridad.
El proveedor es responsable de informar inmediatamente al
responsable del contrato de cualquier brecha de seguridad que
pueda comprometer información del Banco.
19
20. Seguridad del
personal
Capacitación de usuario
Registros de fallos
Procedimiento de
respuesta antes
incidentes de seguridad
Seguridad para medios
en tránsito
20
21. Capacitación de
usuario
Es responsabilidad del área de seguridad informática
promover constantemente la importancia de la seguridad a
todos los usuarios de los sistemas de información. El
programa de concientización en seguridad debe de contener
continuas capacitaciones y charlas, adicionalmente se puede
emplear diversos métodos como afiches, llaveros, mensajes
de log-in, etc.
22. 22
PROCEDIMIENTO DE
RESPUESTA ANTES INCIDENTES
DE SEGURIDAD
El personal encargado de la administración de seguridad debe
ser plenamente identificado por todos los empleados del
Banco. Si un empleado del Banco detecta o sospecha la
ocurrencia de un incidente de seguridad, tiene la obligación
de notificarlo al personal de seguridad informática. Si se
sospecha la presencia de un virus en un sistema, el usuario
debe desconectar el equipo de la red de datos, notificar al
área de seguridad informática quien trabajará en
coordinación con el área de soporte técnico, para la
eliminación del virus antes de restablecer la conexión a la red
de datos.
23. Registros de fallos
Nombre de la persona que reporta la falla
Hora y fecha de ocurrencia de la falla
Descripción del error o problema
Responsable de solucionar el problema
Descripción de la respuesta inicial ante el problema
Descripción de la solución al problema
Hora y fecha en la que se soluciona el problema
El personal encargado de operar los sistemas de
información debe registrar todos los errores y fallas que
ocurren en el procesamiento de información o en los
sistemas de comunicaciones. Estos registros deben incluir
lo siguiente:
23
24. 24
Seguridad para medios en
tránsito
Paquetes sellados y lacrados
Entrega en persona
Firmado y sellado de un cargo
La información a ser transferida en medio digital o impresa debe ser etiquetada con
la clasificación de información respectiva y detallando claramente el remitente y
recipiente del mismo. La información enviada por servicios postales debe ser
protegida de accesos no autorizados mediante la utilización de:
25. Las medidas y procedimientos
necesarios que permitan el
cumplimiento de las políticas de
seguridad en el sistema
informático.
25
26. Aplicar debida
diligencia
aumentada a
todas las
personas, tanto
extranjeras
como nacionales
Las leyes y
reglamentaciones no
deberían distinguir entre
personas nacionales y
extranjeras. Las normas
adoptadas por GAFI y
emisores de normas
regionales y nacionales
debería requerir la misma
debida diligencia aumentada
para personas extranjeras
como nacionales.
27. Requerir una
declaración de la
titularidad real
Al abrir la cuenta y tal como
sea necesario después, los
bancos deberían requerir que
los clientes completen una
declaración escrita de la
identidad y detalles de la(s)
persona(s) física(s) que son los
beneficiarios reales de la
relación o transacción
comercial como primer paso
del cumplimiento de los
requisitos de debida diligencia
respecto del cliente en materia
de la titularidad real
28. Solicitar formularios de
declaración de bienes e ingresos
Se les debería pedir a los funcionarios públicos que
provean una copia de todos los formularios de
declaración de bienes e ingresos presentados a sus
autoridades, así como de toda actualización
subsiguiente. En caso de que el cliente se niegue, el
banco utilizando un enfoque basado en el riesgo
debería evaluar las razones y determinar si proceder
con la relación comercial.
28
29. REVISIÓN PERIÓDICA DE CLIENTES
Por lo menos una vez al año los clientes
que son PEPs deberían ser revisados por la
alta gerencia o un comité que incluya por
lo menos un directivo de alta jerarquía,
utilizando un enfoque basado en el riesgo,
y los resultados de la revisión deberían ser
documentados.