Política General de Seguridad de La Información
Política General de Seguridad de La Información
Política General de Seguridad de La Información
SEGURIDAD DE LA
INFORMACIÓN
DIVISIÓN DE RIESGOS
APROBADO EN SESIÓN
N° 237 – 15 de Abril del 2015
DEL DIRECTORIO
RESPONSABLE DE LA
Carlos Sotelo Rebagliati- Gerente de División de Riesgos
ACTUALIZACIÓN
Walter Huaman Coronel- Gerente de Servicio de Riesgo Operativo y
Gestión de Fraudes
Carlos Soto-Sub Gerente de Seguridad de la Información
REVISADO POR:
ÍNDICE
1. OBJETIVO ............................................................................................................................................. 3
2. ALCANCE ............................................................................................................................................. 3
3. BASE LEGAL ........................................................................................................................................ 3
4. GENERALIDADES ................................................................................................................................ 3
4.1. GLOSARIO ............................................................................................................................................ 3
4.2. RESPONSABILIDADES ........................................................................................................................ 4
5. POLÍTICAS .......................................................................................................................................... 12
5.1. POLITICAS GENERALES ................................................................................................................... 12
5.2. POLITICAS ESPECÍFICAS.................................................................................................................. 13
6. REGISTROS ........................................................................................................................................ 23
7. ANEXOS .............................................................................................................................................. 23
8. CONTROL DE CAMBIOS ................................................................................................................... 23
1. OBJETIVO
En el cumplimiento de los objetivos del Banco, el Directorio reconoce la importancia que tiene la
información y los recursos que la soportan: Personas, aplicaciones, datos, tecnología e
instalaciones; asimismo, reconoce que existen riesgos que podrían afectar la disponibilidad,
integridad, confidencialidad y privacidad de la información, e identifica la necesidad de implementar
un Sistema de Gestión de Seguridad de la Información (SGSI).
El presente documento establece las responsabilidades y lineamientos que permitirán implementar
en el Banco, un Sistema de Gestión de Seguridad de la Información.
2. ALCANCE
3. BASE LEGAL
Externa
Interna
4. GENERALIDADES
4.1. GLOSARIO
4.1.1. Información: Cualquier forma de registro electrónico, óptico, magnético o en otros medios,
susceptible de ser procesada, distribuida y almacenada.
4.1.4. Activo de Información: Información en formato físico o digital que tenga un valor para el
Banco y sea parte de la actividad o soporte un proceso de negocio.
4.1.7. Custodio de Activo: Gerentes y Sub Gerentes responsables de la custodia de los medios a
través de los cuales se almacena, procesa o transmiten los activos de información y de
software.
4.2. RESPONSABILIDADES
4.2.1.1. Dar cumplimiento y hacer cumplir en todas las instancias de la empresa, las
políticas de Seguridad de la Información indicadas en el presente documento
4.2.3.8. Revisar los nuevos lineamientos, variaciones en los perfiles de riesgos, eventos
relevantes y cumplimiento de métricas que serán presentados en el Comité de
Riesgos de Operación Credicorp
4.2.4.2. Determinar el valor que tienen sus activos para el proceso de negocio,
permitiéndole determinar la importancia y criticidad del activo.
4.2.6.1. Desarrollar, custodiar y mantener actualizada las normas del Sistema de Gestión
de Seguridad de la Información del Banco.
4.2.6.11. Evaluar los riesgos que se podrían generar en el lanzamiento de nuevos productos
y cambios significativos en el entorno operativo e informático, incluyendo los de
seguridad de la información relativos a ello; recomendando las medidas que los
mitiguen.
4.2.6.12. Proponer los temas vinculados a los riesgos de Seguridad de la Información a ser
incluidos en el Plan Anual de Capacitación en Seguridad de la Información.
4.2.7.1. Coordinar con los propietarios la actualización del inventario de los activos de
información y de software, que será la base del Sistema de Gestión de Seguridad
de la Información.
4.2.7.2. Definir los lineamientos base de configuración y uso de los recursos de Tecnología
de la Información.
4.2.7.7. Atender los informes de Riesgos, Auditoría Interna y Externa con respecto a la
seguridad de la información y establecer un Plan de acciones correctivas.
4.2.7.15. Verificar que todos los colaboradores estén informados de las políticas
establecidas en el presente documento, cuyo cumplimiento es de carácter
obligatorio.
4.2.7.20. Coordinar con las Áreas que validan el cumplimiento de las Políticas de Seguridad
de la Información en el banco, las posibles sanciones o llamados de atención que
puedan existir ante algún tipo de incumplimiento.
4.2.7.22. Asegurar que las Áreas del banco realicen las evaluaciones de riesgos de los
activos de información y de software.
4.2.7.23. Asesorar a las Áreas del banco en la definición de planes de acción que les ayude
a minimizar el nivel de exposición de sus activos de información y de software.
4.2.7.24. Establecer en coordinación con el Propietario del Activo (Owner), los procesos o
controles necesarios para mitigar los riesgos de seguridad de la información, con
el fin de lograr un entorno seguro para los activos.
4.2.7.26. El Oficial de Seguridad de la Información del banco deberá informar a los Oficiales
Corporativos de Seguridad de la Información sobre el cumplimiento de la política
(matriz BCP) y los aspectos principales de los riesgos de operación relacionados a
seguridad de la información de su empresa según el nivel exposición.
4.2.10.4. Administrar los accesos a los diferentes sistemas de información, software base,
servidores, bases de datos y dispositivos de telecomunicaciones, garantizando la
disponibilidad, confidencialidad, integridad y privacidad de la información, de
4.2.12.3. Promover dentro de sus áreas, el reporte de los riesgos ó incidentes de seguridad
de la información que se presenten.
4.2.12.5. Asegurar que los colaboradores, a la terminación del empleo, devuelvan los
activos que le fueron asignados.
4.2.14.1. Todo personal y trabajadores externos del banco, serán responsables de gestionar
sus activos de información según su clasificación, siguiendo los lineamientos de
dispuestos en la Política Corporativa de Seguridad de la Información – Credicorp y
en las políticas internas de Seguridad de la Información.
La versión vigente de este documento es la que se encuentra en la intranet.
VERSIÓN 01 Cualquier copia impresa se considera copia NO CONTROLADA y se debe PAG. 10 de 23
verificar su vigencia.
POL-RIE-017
POLÍTICA GENERAL DE SEGURIDAD DE LA
INFORMACIÓN VIGENCIA: 15-04-15
4.2.14.6. Usar los activos de información solamente para los propósitos del negocio para los
que fueron entregados.
4.2.14.7. Todos los empleados y trabajadores externos del banco, deben destruir de manera
segura los documentos físicos clasificados como RESTRINGIDO previo a su
desecho (con máquina trituradora o manualmente).
5. POLÍTICAS
5.1.6. Esos objetivos deben alcanzarse a un costo acorde con los riesgos de los negocios y en
forma congruente, tanto con la necesidad de información fiable, como la necesidad de
proporcionar un nivel de servicio apropiado, a través de diversos canales de servicio que
continuamente cumplan o sobrepasen las expectativas comerciales de los clientes y
deben estar conforme a los requisitos legales, reglamentarios o contractuales.
5.1.9. Los proveedores y terceras partes que accedan a la información del Banco, deberán
tener conocimiento en forma oportuna y cumplir con las políticas, estándares,
procedimientos de seguridad y capacitaciones relacionados a sus actividades. El
personal encargado de la supervisión de las actividades del proveedor o tercero es el
responsable de asegurar el cumplimiento de las mismas.
5.1.10. Toda información de los procesos operativos del Banco, información de clientes,
proveedores y empleados, así como los activos de software que soportan estos procesos
deberán ser protegidos de riesgos de seguridad de la información, esto es, pérdida de
disponibilidad, integridad, confidencialidad y privacidad.
5.2.1.1. La información generada en los procesos y los aplicativos desarrollados por los
colaboradores son propiedad del Banco, por lo que todos los colaboradores
vinculados a su procesamiento, transmisión o almacenamiento deberán cumplir las
medidas que establezca el Propietario de los Activos en coordinación con la
Subgerencia de Seguridad de la Información, en función de la clasificación de la
información.
5.2.1.2. Todo activo de información y de software del Banco contará con un Propietario,
quien será responsable de su identificación y clasificación de acuerdo con su nivel
de importancia para los procesos de negocio.
5.2.1.3. Los Activos de Información identificados podrán ser Documentos Físicos (DF) o
Documentos Digitales (DD); mientras que los Activos de Software podrán ser
Aplicativos Formales (APP) o Aplicativos Informales (APPnoIT).
5.2.1.5. Los Gerentes de División serán los propietarios de los activos de información y de
software que generen dentro de sus procesos.
5.2.1.6. El Propietario se verá soportado por el Custodio de Activo, quien opera las
medidas de seguridad relacionadas al activo de información y de software.
5.2.1.7. Los activos, sus características, sus propietarios y su clasificación formarán parte
de un inventario de activos que será actualizado por los Propietarios en
coordinación con la Subgerencia de Seguridad de la Información. Este proceso se
realizará considerando lo siguiente:
La versión vigente de este documento es la que se encuentra en la intranet.
VERSIÓN 01 Cualquier copia impresa se considera copia NO CONTROLADA y se debe PAG. 13 de 23
verificar su vigencia.
POL-RIE-017
POLÍTICA GENERAL DE SEGURIDAD DE LA
INFORMACIÓN VIGENCIA: 15-04-15
5.2.1.8. Todas las Gerencias de División deben definir los períodos de tiempo que la
información bajo su responsabilidad deberá ser retenida en función de los
requerimientos legales y de negocio.
• Los usuarios deberán cerrar las sesiones activas y apagar el equipo tan
pronto terminen sus labores.
• Todo acceso remoto a la red interna del Banco será autorizado por la
Subgerencia de Seguridad de la Información. Para ello se deberá considerar
el acceso mediante infraestructura de red privada virtual (VPN).
• Todos los incidentes de seguridad en las redes externas e internas deben ser
reportados inmediatamente al Subgerencia de Seguridad de la Información,
quien mantendrá un registro de dichos incidentes, investigará las causas y
coordinará con los propietarios de información la implantación de medidas de
control. Este registro estará disponible para las áreas de control de la
empresa.
• El uso del correo electrónico del Banco es para uso exclusivo de las
actividades de la organización, cualquier uso no destinado a ello contraviene
las políticas de la Empresa.
• Se otorgará acceso sólo a las páginas web que estén relacionadas con las
funciones inherentes al puesto de trabajo del empleado, información general o
para desarrollo profesional. Dicho acceso se definirá en coordinación con la
gerencia respectiva y con la aprobación del Subgerente de Seguridad de la
Información. La posibilidad de conectarse a un sitio específico de la Internet
no implica que se encuentre autorizado.
5.2.5.Control De Accesos
5.2.5.1. El acceso a los aplicativos formales (APP) deberá generarse bajo el esquema de
Perfiles de Usuario, de acuerdo con las funciones que éste realice en la empresa;
el esquema de perfiles será determinado por el Propietario, evaluado por la
Subgerencia de Seguridad de la Información y administrado por la Gerencia de
Área de Sistemas. El acceso a los aplicativos informales (APPnoIT) será
determinado por el Propietario y brindado directamente por el responsable de la
seguridad del aplicativo.
5.2.5.2. El acceso de los usuarios a los aplicativos formales (APP) sólo podrá generarse a
través del uso de una cuenta con una contraseña o “password” de uso
estrictamente personal, asumiendo el titular del mismo, la responsabilidad de las
La versión vigente de este documento es la que se encuentra en la intranet.
VERSIÓN 01 Cualquier copia impresa se considera copia NO CONTROLADA y se debe PAG. 20 de 23
verificar su vigencia.
POL-RIE-017
POLÍTICA GENERAL DE SEGURIDAD DE LA
INFORMACIÓN VIGENCIA: 15-04-15
5.2.5.4. Los aplicativos formales (APP) deberán contar con un módulo de auditoría, con la
capacidad para registrar las transacciones identificadas como críticas por la
Gerencia Propietaria, basados principalmente en los siguientes criterios:
• Ingreso y salida al sistema.
• Inserción, modificación y eliminación de registros correspondientes a
procesos críticos.
5.2.5.7. Para asegurar que todos los usuarios (internos, externos y temporales) y su
actividad a través de las aplicaciones de negocio, ambientes de Tecnología de
Información, operación de sistemas y desarrollo y mantenimiento de aplicaciones
sean identificables, todas las cuentas de acceso deberán ser personalizadas.
5.2.5.8. Existen cuentas internas para la administración de las aplicaciones y las interfaces
entre sistemas que utilizan usuarios genéricos; este tipo de usuarios están
exceptuados de lo mencionado en el ítem anterior. Además están exceptuados de
las Políticas de Seguridad en Sistemas de Información y las Políticas de Seguridad
de Infraestructura Tecnológica; sólo deberán cumplir con el número máximo de
intentos de contraseña errada y la longitud mínima de la contraseña establecida.
5.2.5.9. Todos los cambios a los perfiles ya asignados deberán ser aprobados por el Jefe
Inmediato del solicitante, aprobado por los líderes usuarios e implementado por la
persona responsable de la seguridad del aplicativo; y los privilegios serán
otorgados de acuerdo a las funciones encargadas. Los usuarios autorizados,
incluyendo personal de terceros, deben contar con un código de identificación y
una contraseña, y está estrictamente prohibido compartirlas.
5.2.5.10. Todos los colaboradores tendrán acceso a los recursos lógicos y físicos mínimos
necesarios para cumplir con las labores propias a su rol, asegurándose todo el
tiempo una adecuada segregación de funciones durante el ciclo de vida del
empleado.
5.2.5.12. Los sistemas de información deberán proveer las facilidades que permitan a
unidades internas o externas al banco realizar un análisis forense (investigación
ante algún incidente).
5.2.6.2. Las correcciones o actualizaciones a los programas se realizarán siempre bajo los
procedimientos establecidos por el Área de Sistemas, contando con los
requerimientos del área usuaria.
5.2.7.Gestión de Incidentes
5.2.8.1. La Gerencia de Área de Sistemas dispondrá de medios para proteger los equipos
ante catástrofes y siniestros, de acuerdo con la criticidad de cada uno de ellos. No
obstante, deberán existir procedimientos de contingencia en las áreas de negocios
en caso los recursos tecnológicos fallen o estén fuera de servicio. Dichos planes
deberán estar formalmente documentados y probados al menos una vez al año.
5.2.9.Cumplimiento
6. REGISTROS
NO APLICA
7. ANEXOS
8. CONTROL DE CAMBIOS
Modificaciones
de
Actualizado por
Nº de Versión
Generalidades
Impactada
Solicitante
Área(s)
Área(s)
Registros
Fecha
Políticas
Anexos
Otros
(s)
(s)